Beispiele für automatisierte Untersuchung und Reaktion (AIR) in Microsoft Defender for Office 365 Plan 2

• Gilt für::

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender for Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Automatisierte Untersuchung und Reaktion (AIR) in Microsoft Defender for Office 365 Plan 2 (enthalten in Microsoft 365-Lizenzen wie E5 oder als eigenständiges Abonnement) ermöglicht Es Ihrem SecOps-Team, effizienter und effektiver zu arbeiten. AIR umfasst automatisierte Untersuchungen zu bekannten Bedrohungen und bietet empfohlene Abhilfemaßnahmen. Das SecOps-Team kann die Beweise überprüfen und die empfohlenen Aktionen genehmigen oder ablehnen. Weitere Informationen zu AIR finden Sie unter Automatisierte Untersuchung und Reaktion (Air) in Microsoft Defender for Office 365 Plan 2.

In diesem Artikel wird anhand mehrerer Beispiele beschrieben, wie AIR funktioniert:

• Beispiel: Eine vom Benutzer gemeldete Phishingnachricht startet ein Untersuchungsplaybook
• Beispiel: Ein Sicherheitsadministrator löst eine Untersuchung von Threat Explorer
• Beispiel: Ein Sicherheitsbetriebsteam integriert AIR mithilfe der Office 365 Management Activity-API in sein SIEM

Beispiel: Eine vom Benutzer gemeldete Phishingnachricht startet ein Untersuchungsplaybook

Ein Benutzer erhält eine E-Mail, die wie ein Phishingversuch aussieht. Der Benutzer meldet die Nachricht mithilfe der Add-Ins Microsoft Report Message oder Report Phishing, was zu einer Warnung führt, die von der Email ausgelöst wird, die vom Benutzer als Schadsoftware- oder Phishingwarnungsrichtlinie gemeldet wird, wodurch automatisch das Untersuchungsplaybook gestartet wird.

Verschiedene Aspekte der gemeldeten E-Mail-Nachricht werden bewertet. Zum Beispiel:

• Der identifizierte Bedrohungstyp
• Wer hat die Nachricht gesendet?
• Wohin die Nachricht gesendet wurde (Senden der Infrastruktur)
• Ob andere Instanzen der Nachricht zugestellt oder blockiert wurden
• Die Mandantenlandschaft, einschließlich ähnlicher Nachrichten und deren Urteile durch E-Mail-Clustering
• Gibt an, ob die Nachricht bekannten Kampagnen zugeordnet ist.
• Und vieles mehr.

Das Playbook wertet Übermittlungen aus und löst sie automatisch auf, wenn keine Aktion erforderlich ist (was häufig bei vom Benutzer gemeldeten Nachrichten geschieht). Für die verbleibenden Übermittlungen wird eine Liste der empfohlenen Aktionen für die ursprüngliche Nachricht und die zugehörigen Entitäten (z. B. angefügte Dateien, eingeschlossene URLs und Empfänger) bereitgestellt:

• Identifizieren sie ähnliche E-Mail-Nachrichten über E-Mail-Clustersuchen.
• Ermitteln Sie, ob Benutzer durch schädliche Links in verdächtigen E-Mail-Nachrichten geklickt haben.
• Risiken und Bedrohungen werden zugewiesen. Weitere Informationen finden Sie unter Details und Ergebnisse einer automatisierten Untersuchung.
• Korrekturschritte. Weitere Informationen finden Sie unter Wartungsaktionen in Microsoft Defender for Office 365.

Beispiel: Ein Sicherheitsadministrator löst eine Untersuchung von Threat Explorer

Sie sind in Explorer (Threat Explorer) in https://security.microsoft.com/threatexplorerv3 den Ansichten Alle E-Mails, Malware oder Phish. Sie befinden sich auf der Registerkarte Email (Ansicht) des Detailbereichs unterhalb des Diagramms. Sie wählen eine Nachricht aus, die mit einer der folgenden Methoden untersucht werden soll:

• Wählen Sie einen oder mehrere Einträge in der Tabelle aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren. Aktion ausführen ist direkt auf der Registerkarte verfügbar.

  

• Klicken Sie in der Tabelle auf den Wert Betreff eines Eintrags. Das details-Flyout, das geöffnet wird, enthält Aktion ausführen am oberen Rand des Flyouts.

  

Nachdem Sie Aktion ausführen ausgewählt haben, wählen Sie Automatisierte Untersuchung initiieren aus. Weitere Informationen finden Sie unter Email Wartung.

Ähnlich wie playbooks, die durch eine Warnung ausgelöst werden, umfassen automatische Untersuchungen, die von Threat Explorer ausgelöst werden:

• Eine Stammuntersuchung.
• Schritte zum Identifizieren und Korrelieren von Bedrohungen. Weitere Informationen finden Sie unter Details und Ergebnisse einer automatisierten Untersuchung.
• Empfohlene Maßnahmen zur Minderung von Bedrohungen. Weitere Informationen finden Sie unter Wartungsaktionen in Microsoft Defender for Office 365.

Beispiel: Ein Sicherheitsbetriebsteam integriert AIR mithilfe der Office 365 Management Activity-API in sein SIEM

Air-Funktionen in Defender for Office 365 Plan 2 enthalten Berichte und Details, die das SecOps-Team verwenden kann, um Bedrohungen zu überwachen und zu beheben. Sie können air-Funktionen aber auch in andere Lösungen integrieren. Zum Beispiel:

• SIEM-Systeme (Security Information and Event Management).
• Fallverwaltungssysteme.
• Benutzerdefinierte Berichterstellungslösungen.

Verwenden Sie die Office 365 Management Activity-API für die Integration in diese Lösungen.

Ein Beispiel für eine benutzerdefinierte Lösung, die Warnungen aus vom Benutzer gemeldeten Phishingnachrichten, die bereits von AIR verarbeitet wurden, in einen SIEM-Server und ein Fallverwaltungssystem integriert, finden Sie im Tech Community-Blog: Verbessern der Effektivität Ihres SOC mit Microsoft Defender for Office 365 und der Office 365 Management-API.

Die integrierte Lösung reduziert die Anzahl falsch positiver Ergebnisse erheblich, sodass sich das SecOps-Team auf reale Bedrohungen konzentrieren kann.

Nächste Schritte

• Erste Schritte mit AIR
• Anzeigen ausstehender oder abgeschlossener Wartungsaktionen