Freigeben über

Erzielen des besten Sicherheitswerts aus Microsoft Defender for Office 365, wenn Sie E-Mails von Drittanbietern filtern

  • Artikel

Diese Anleitung ist für Sie geeignet, wenn:

  • Sie sind für Microsoft Defender for Office 365 lizenziert und hosten Ihre Postfächer in Office 365
  • Sie verwenden auch einen Drittanbieter für Ihre E-Mail-Sicherheit

In den folgenden Informationen erfahren Sie, wie Sie Das Beste aus Ihrer Investition herauszuholen, aufgeschlüsselt in einfach zu befolgende Schritte.

Was Sie benötigen

  • In Office 365 gehostete Postfächer
  • Eine oder mehrere der folgenden:
    • Microsoft Defender for Office 365 Plan 1 für Schutzfeatures.
    • Microsoft Defender for Office 365 Plan 2 für die meisten anderen Features (in E5-Plänen enthalten).
    • Microsoft Defender for Office 365 Testversion (für alle Kunden unter https://aka.ms/tryMDOverfügbar).
  • Ausreichende Berechtigungen zum Konfigurieren der in diesem Artikel beschriebenen Features.

Schritt 1 – Verstehen des Werts, den Sie bereits haben

Integrierte Schutzfeatures

  • Der integrierte Schutz bietet eine Basisebene des unaufdringlichen Schutzes und umfasst Schadsoftware, Zero Day (sichere Anlagen) und URL-Schutz (sichere Links) in E-Mails (einschließlich interner E-Mails), SharePoint, OneDrive und Microsoft Teams. Der in diesem Zustand bereitgestellte URL-Schutz erfolgt nur über API-Aufruf. UrLs werden nicht umgebrochen oder neu geschrieben, es ist jedoch ein unterstützter Outlook-Client erforderlich. Sie können ihre eigenen benutzerdefinierten Richtlinien erstellen, um Ihren Schutz zu erweitern.

    Lesen Sie mehr & watch ein Übersichtsvideo zu sicheren Links hier:Vollständige Übersicht über sichere Links

    Weitere Informationen zu sicheren Anlagen finden Sie hier:Sichere Anlagen

Erkennungs-, Untersuchungs-, Reaktions- und Huntingfeatures

  • Wenn Warnungen in Microsoft Defender for Office 365 ausgelöst werden, werden sie automatisch korreliert und zu Incidents kombiniert, um die Warnungsmüdigkeit des Sicherheitspersonals zu reduzieren. Die automatisierte Untersuchung und Reaktion (Automated Investigation and Response, AIR) löst Untersuchungen aus, um Bedrohungen zu beheben und einzudämten.

    Lesen Sie mehr, watch Sie ein Übersichtsvideo und beginnen Sie hier:Reaktion auf Vorfälle mit Microsoft Defender XDR

  • Threat Analytics ist unsere produktinterne, detaillierte Threat Intelligence-Lösung von experten Microsoft-Sicherheitsexperten. Threat Analytics enthält detaillierte Berichte, die Sie über die neuesten Bedrohungsgruppen, Angriffstechniken, den Schutz Ihrer organization mit Indikatoren der Kompromittierung (Indicators of Compromise, IOC) und vieles mehr informieren.

    Lesen Sie mehr, watch ein Übersichtsvideo und beginnen Sie hier:Bedrohungsanalyse in Microsoft Defender XDR

  • Explorer können verwendet werden, um Bedrohungen zu suchen, Nachrichtenflussmuster zu visualisieren, Trends zu erkennen und die Auswirkungen von Änderungen zu identifizieren, die Sie während der Optimierung Defender for Office 365 vornehmen. Sie können Nachrichten auch schnell mit wenigen Mausklicks aus Ihrem organization löschen.

    Weitere Informationen und erste Schritte finden Sie hier:Explorer Bedrohungserkennungen und Echtzeiterkennungen

  • Die erweiterte Suche kann verwendet werden, um proaktiv nach Bedrohungen in Ihrem organization zu suchen, indem Sie freigegebene Abfragen aus der Community verwenden, um Ihnen den Einstieg zu erleichtern. Sie können auch benutzerdefinierte Erkennungen verwenden, um Warnungen einzurichten, wenn personalisierte Kriterien erfüllt sind.

    Lesen Sie mehr, watch ein Übersichtsvideo und beginnen Sie hier:Übersicht – Erweiterte Suche

Schritt 2 – Verbessern Sie den Wert mit diesen einfachen Schritten weiter

Zusätzliche Schutzfunktionen

  • Erwägen Sie die Aktivierung von Richtlinien, die über den integrierten Schutz hinausgehen. Aktivieren des Time-of-Click-Schutzes oder des Identitätswechselschutzes, um z. B. zusätzliche Ebenen hinzuzufügen oder Lücken zu schließen, die in Ihrem Schutz von Drittanbietern fehlen. Wenn Sie über eine Nachrichtenflussregel (auch als Transportregel bezeichnet) oder einen Verbindungsfilter verfügen, der Urteile überschreibt (auch als SCL=-1-Regel bezeichnet), müssen Sie diese Konfiguration berücksichtigen, bevor Sie andere Schutzfeatures aktivieren.

    Weitere Informationen finden Sie hier:Anti-Phishing-Richtlinien

  • Wenn Ihr aktueller Sicherheitsanbieter so konfiguriert ist, dass Nachrichten in irgendeiner Weise geändert werden, ist es wichtig zu beachten, dass Authentifizierungssignale sich auf die Fähigkeit für Defender for Office 365 auswirken können, Sie vor Angriffen wie Spoofing zu schützen. Wenn Ihr Drittanbieter AUTHENTIFIZIERTE empfangene Kette (Authenticated Received Chain, ARC) unterstützt, wird dringend empfohlen, ARC in Ihrem Weg zur erweiterten dualen Filterung zu aktivieren. Das Verschieben von Nachrichtenänderungskonfigurationen in Defender for Office 365 ist ebenfalls eine Alternative.

    Weitere Informationen finden Sie hier:Konfigurieren vertrauenswürdiger ARC-Versiegelungen

  • Die erweiterte Filterung für Connectors ermöglicht es, IP-Adress- und Absenderinformationen über den Drittanbieter beizubehalten. Dieses Feature verbessert die Genauigkeit für den Filter(Schutz)-Stapel, die Funktionen nach Sicherheitsverletzungen & Authentifizierungsverbesserungen.

    Weitere Informationen finden Sie hier:Erweiterte Filterung für Connectors in Exchange Online

  • Der Prioritätskontoschutz bietet eine verbesserte Sichtbarkeit für Konten in Tools sowie zusätzlichen Schutz, wenn sie sich in einem erweiterten tiefgehenden Konfigurationszustand für den Schutz befinden.

    Weitere Informationen finden Sie hier:Prioritätskontoschutz

  • Advanced Delivery sollte so konfiguriert werden, dass phish-Simulationen von Drittanbietern ordnungsgemäß übermittelt werden. Wenn Sie über ein Security Operations-Postfach verfügen, sollten Sie es als SecOps-Postfach definieren, um sicherzustellen, dass E-Mails nicht aufgrund von Bedrohungen aus dem Postfach entfernt werden.

    Weitere Informationen finden Sie hier:Erweiterte Übermittlung

  • Sie können vom Benutzer gemeldete Einstellungen so konfigurieren, dass Benutzer gute oder schlechte Nachrichten an Microsoft, an ein bestimmtes Berichtspostfach (zur Integration in aktuelle Sicherheitsworkflows) oder sowohl über die integrierte Schaltfläche Bericht in unterstützten Versionen von Outlook oder mithilfe unterstützter Lösungen von Drittanbietern melden können. Administratoren können die Registerkarte Vom Benutzer gemeldet auf der Seite Übermittlungen verwenden, um falsch positive und falsch negative Benutzermeldungen zu selektieren.

    Weitere Informationen finden Sie hier:Vom Benutzer gemeldete Einstellungen und Melden von Phishing und verdächtigen E-Mails in Outlook für Administratoren

Education-Features

  • mit Angriffssimulationstraining können Sie realistische, aber harmlose Cyberangriffsszenarien in Ihrem organization ausführen. Wenn Sie noch nicht über Phishingsimulationsfunktionen von Ihrem primären E-Mail-Sicherheitsanbieter verfügen, können Die simulierten Angriffe von Microsoft Ihnen helfen, anfällige Benutzer, Richtlinien und Methoden zu identifizieren und zu finden. Diese Funktion enthält wichtige Kenntnisse, die Sie haben und korrigieren müssen, bevor sich ein echter Angriff auf Ihre organization auswirkt. Nach der Simulation, die wir in Produkt- oder benutzerdefinierten Schulungen zuweisen, um Benutzer über die Bedrohungen aufzuklären, die sie verpasst haben, und letztendlich das Risikoprofil Ihrer organization zu reduzieren. Mit Angriffssimulationstraining übermitteln wir Nachrichten direkt in den Posteingang, sodass die Benutzererfahrung reichhaltig ist. Diese Erfahrung bedeutet auch, dass keine Sicherheitsänderungen wie Außerkraftsetzungen erforderlich sind, um Simulationen ordnungsgemäß zu liefern.

Erste Schritte hier:Erste Schritte mit der Angriffssimulation.

Hier können Sie direkt mit einer Simulation beginnen:Einrichten automatisierter Angriffe und Training in Angriffssimulationstraining

Schritt 3 und darüber hinaus zum Helden mit doppeltem Einsatz

  • Ihre Sicherheitsteams sollten viele der zuvor beschriebenen Erkennungs-, Untersuchungs-, Reaktions- und Huntingaktivitäten wiederholen. Dieser Leitfaden enthält eine detaillierte Beschreibung der Aufgaben, des Rhythmus und der Teamzuweisungen, die wir empfehlen würden.

    Weitere Informationen:Sicherheitsbetriebshandbuch für Defender for Office 365

  • Berücksichtigen Sie Benutzeroberflächen wie den Zugriff auf mehrere Quarantänen oder die Übermittlung/Berichterstattung von falsch positiven und falsch negativen Ergebnissen. Sie können vom Drittanbieterdienst erkannte Nachrichten mit einem benutzerdefinierten X-Header markieren. Beispielsweise können Sie Nachrichtenflussregeln verwenden, um E-Mails zu erkennen und zu isolieren, die den X-Header enthalten. Dieses Ergebnis bietet Benutzern auch einen zentralen Ort für den Zugriff auf isolierte E-Mails.

    Weitere Informationen:Konfigurieren von Quarantäneberechtigungen und -richtlinien

  • Der Migrationsleitfaden enthält viele nützliche Anleitungen zur Vorbereitung und Optimierung Ihrer Umgebung, um sie für eine Migration vorzubereiten. Viele der Schritte gelten jedoch auch für ein Dual-Use-Szenario. Ignorieren Sie die Mx-Switch-Anleitung in den letzten Schritten.

    Lesen Sie es hier:Migrieren von einem Schutzdienst eines Drittanbieters zu Microsoft Defender for Office 365 – Office 365 | Microsoft-Dokumentation.

Weitere Informationen

Migrieren von einem Schutzdienst eines Drittanbieters zu Microsoft Defender for Office 365

Sicherheitsbetriebsleitfaden für Defender for Office 365

Mit Microsoft Defender XDR können Sie mehr aus Microsoft Defender for Office 365 herauszuholen.