NAKIVO > Bloggen

Untersuchung und Reaktion auf Bedrohungen in der Sicherheit von Office 365

Veröffentlicht am: September 14, 2022

Written by: NAKIVO Team

& Angesichts des ständig steigenden Risikos von Cyberkriminalität haben Unternehmen weltweit Mühe, ihr wertvollstes Gut zu schützen: ihre Daten. Glücklicherweise bietet Microsoft Defender für Office 365 IT-Administratoren und Analysten Funktionen zur Untersuchung und Reaktion auf Bedrohungen, mit denen sie ihre Benutzer und Daten proaktiv schützen können.

Mit diesen integrierten Sicherheitsfunktionen von Office 365 erhalten Sie wertvolle Einblicke in häufige Bedrohungen, können praktische Daten sammeln und wirksame Gegenmaßnahmen planen. Ihr Sicherheitsteam kann böswillige Aktivitäten leicht identifizieren, überwachen und abwehren, bevor sie Ihrem Unternehmen irreparablen Schaden zufügen.

In diesem Beitrag werden die verschiedenen Tools vorgestellt, die in der Bedrohungsuntersuchung und -reaktion von Microsoft enthalten sind. Lesen Sie weiter, um einen Überblick über die verschiedenen Funktionen zu erhalten und zu erfahren, wie sie zusammen einen unfehlbaren Schutzschild gegen Datei- und E-Mail-basierte Angriffe bilden.

Backup for Microsoft 365 Data

Backup for Microsoft 365 Data

Use the NAKIVO solution to back up Microsoft 365 data in Exchange Online, Teams, OneDrive and SharePoint Online for uninterrupted workflows and zero downtime.

DISCOVER SOLUTION

Was ist Office 365 Threat Investigation and Response?

Office 365 Threat Investigation and Response ist ein Oberbegriff, der sich auf eine Reihe von Funktionen in Microsoft Defender für Office 365 Plan 2bezieht. Diese Tools helfen IT-Administratoren und Analysten dabei, Informationen über potenzielle Bedrohungen zu überwachen und zu sammeln. Sicherheitsteams können dann die im Microsoft 365 Defender-Portal verfügbaren Reaktionsaktionen nutzen, um Risiken in SharePoint Online, OneDrive for Business, Exchange Online und Microsoft Teams zu beheben.

Mit diesen Office 365-Sicherheitsfunktionen können Sie Daten von verschiedenen Quellen wie früheren Sicherheitsvorfällen, Benutzeraktivitäten, Authentifizierungen, E-Mails und kompromittierten Computern sammeln. Der Workflow für die Untersuchung und Reaktion auf Bedrohungen umfasst Folgendes:

  • Explorer (Echtzeit-Erkennungen in MS Defender für Office 365 Plan 1)
  • Vorfälle (auch als Untersuchungen bezeichnet)
  • Angriffssimulationstraining
  • Automatisierte Untersuchung und Reaktion

Es ist wichtig zu erwähnen, dass alle diese Funktionen den erforderlichen Schutz bieten, indem sie Daten von den integrierten Bedrohungs-Trackern in Microsoft Defender sammeln. Schauen wir uns diese also zunächst einmal genauer an.

Bedrohungs-Tracker

Threat Trackers sind eine Sammlung informativer Widgets, Diagramme und Tabellen, die Office 365 überwachen. Sie zeigen nützliche Details zu Cyberbedrohungen an, die Ihr Unternehmen betreffen können. Tracker-Seiten enthalten periodisch aktualisierte Zahlen zu aktuellen Risiken wie Malware und Phishing-Angriffen, um aufzuzeigen, welche Probleme derzeit für Ihr Unternehmen am gefährlichsten sind. Darüber hinaus finden Sie eine Spalte „ <” ( ) >„Aktionen” (Aktionen) , die Sie zum Threat Explorer weiterleitet, wo Sie detailliertere Informationen ansehen können.

Hinweis:

  • Bedrohungs-Tracker sind in Microsoft Defender für Office 365 Plan 2 enthalten. Um sie nutzen zu können, benötigen Sie die Berechtigung eines globalen Administrators, Sicherheitsadministrators oder Sicherheitslesers.
  • Um auf die Bedrohungs-Tracker für Ihre Organisation zuzugreifen, gehen Sie zu https://sicherheit.microsoft.com/, klicken Sie auf E-Mail & Zusammenarbeit, dann Bedrohungs-Tracker. Sie können auch direkt zu https://sicherheit.microsoft.com/threattrackerv2.

Es gibt vier verschiedene Funktionen in Bedrohungstrackern: Bemerkenswerte Tracker, Trend-Tracker, Verfolgte Abfragen und Gespeicherte Abfragen.

Bemerkenswerte Tracker

Dieses Widget zeigt neue oder bestehende Bedrohungen unterschiedlicher Schwere an und gibt an, ob sie in Ihrer Microsoft 365-Umgebung vorhanden sind oder nicht. Ist dies der Fall, werden Ihnen Links zu hilfreichen Artikeln angezeigt, in denen das Problem und dessen Auswirkungen auf die Office 365-Sicherheit in Ihrem Unternehmen detailliert beschrieben werden.

Ihr Sicherheitsteam sollte die bemerkenswerten Tracker regelmäßig überprüfen, da sie nur für einige Wochen veröffentlicht und dann durch aktuellere Elemente ersetzt werden. So bleibt die Liste auf dem neuesten Stand, und Sie können sich über relevante Risiken auf dem Laufenden halten.

Trend-Tracker

Trend-Tracker heben die neuesten Bedrohungen hervor, die in der letzten Woche an die E-Mail-Adresse Ihres Unternehmens gesendet wurden. Administratoren erhalten bessere Einblicke, indem sie dynamische Bewertungen der Malware-Trends auf Mandantenebene anzeigen und das Verhalten von Malware-Familien identifizieren.

Verfolgte Abfragen

Verfolgte Abfragen ist ein weiteres Office 365-Überwachungstool, das periodisch die Aktivitäten in Ihrer Microsoft-Umgebung anhand der gespeicherten Abfragen bewertet. Dies ist ein automatischer Prozess, der aktuelle Informationen zu verdächtigen Aktivitäten liefert, um die Sicherheit zu gewährleisten. Office 365-Bedrohungsschutz.

Gespeicherte Abfragen

Die üblichen Explorer-Suchen nach Aktivitäten oder Noteworthy-Tracker-Abfragen, die Sie normalerweise durchführen, können als gespeicherte Abfragen gespeichert werden. Auf diese Weise müssen Sie nicht jedes Mal eine neue Suche erstellen und können einfach auf zuvor gespeicherte Abfragen zugreifen.

Threat Explorer und Echtzeit-Erkennungen

In Microsoft Defender für Office 365 ermöglicht der Explorer, auch bekannt als Threat Explorer, Sicherheitsexperten die Analyse potenzieller Bedrohungen, die auf Ihr Unternehmen abzielen, und die Überwachung des Angriffsvolumens im Zeitverlauf. Mit dieser Funktion können Sie umfassende Berichte und Richtlinienempfehlungen ansehen, um zu erfahren, wie Sie effizient auf die Risiken reagieren können, die versuchen, in Ihr Unternehmen einzudringen.

Hinweis:

  • Explorer ist in Microsoft Defender für Office 365 Plan 2 enthalten, während Plan 1 Echtzeit-Erkennungen bietet.
  • Um auf eines dieser Tools zuzugreifen, gehen Sie zu Sicherheit & Compliance Center dann Threat Management.

Threat Explorer liefert wichtige Informationen zu Bedrohungen, wie grundlegende historische Daten, gängige Verbreitungsmethoden und mögliche Schäden. Analysten können dieses Tool als Ausgangspunkt für ihre Untersuchungen nutzen, um Daten nach Angreiferinfrastruktur, Bedrohungsfamilien und anderen Parametern zu untersuchen.

Erkannte Malware überprüfen

Mit Explorer können Sie Malware ansehen, die in den E-Mails Ihres Unternehmens erkannt wurde. Der Bericht kann nach verschiedenen Microsoft 365-Technologien gefiltert werden.

Phishing-URLs und Klick-Urteilsdaten ansehen

Phishing-Versuche über URLs in E-Mail-Nachrichten werden ebenfalls im Threat Explorer angezeigt. Dieser Bericht enthält eine Liste der zugelassenen, blockierten und überschriebenen URLs, sortiert in zwei Tabellen:

  • Top-URLs: Angreifer fügen manchmal neben den bösartigen Links auch harmlose URLs hinzu, um den Empfänger zu verwirren. Diese Liste enthält hauptsächlich legitime URLs, die in den von Ihnen gefilterten Nachrichten gefunden wurden, und sie sind nach der Gesamtzahl der E-Mails sortiert.
  • Top-Klicks: Dies sind die mit Safe Links umschlossenen URLs, die geöffnet wurden, sortiert nach der Gesamtzahl der Klicks. Die Links hier sind höchstwahrscheinlich bösartig, und neben jeder URL finden Sie die Anzahl der Klicks, die von Safe Links als sicher eingestuft wurden.

Hinweis: Beim Einrichten des Office 365-Phishingfilters sollten Sie Sichere Links und deren Richtlinien so konfigurieren, dass Sie erkennen können, welche URLs angeklickt wurden, und von der Schutzfunktion zum Zeitpunkt des Klicks sowie der Protokollierung von Klick-Urteilen profitieren können.

Die im Explorer angezeigten Klick-Urteil-Werte helfen Ihnen zu verstehen, welche Aktion nach der Auswahl einer URL durchgeführt wurde:

  • Zulässig: Der Benutzer konnte zur URL navigieren.
  • Blockiert: Der Benutzer konnte nicht zur URL navigieren.
  • Ausstehende Entscheidung: Die Seite „Detonation ausstehend” wurde angezeigt, als der Benutzer auf die URL geklickt hat.
  • Fehler: Die Fehlerseite wurde dem Benutzer angezeigt, da beim Versuch, das Urteil zu erfassen, ein Fehler aufgetreten ist.
  • Fehler: Beim Versuch, das Urteil zu erfassen, ist eine unbekannte Ausnahme aufgetreten. Möglicherweise hat der Benutzer die URL angeklickt.
  • Keine: Das Ergebnis konnte nicht erfasst werden. Möglicherweise hat der Benutzer auf die URL geklickt.
  • Blockiert überschrieben: Der Benutzer hat die Blockierung umgangen und ist zur URL navigiert.
  • Ausstehende Entscheidung umgangen: Die Detonationsseite wurde angezeigt, aber der Benutzer hat die Meldung ignoriert, um auf die URL zuzugreifen.

Von Benutzern gemeldete E-Mail-Nachrichten überprüfen

Dieser Bericht enthält Daten zu Nachrichten, die Benutzer in Ihrer Organisation als Junk, Nicht-Junk oder Phishing gemeldet haben. Um bessere Ergebnisse zu erzielen, wird empfohlen, den Spamschutz für Office 365 zu konfigurieren: .

Suchen und untersuchen Sie bösartige E-Mails, die zugestellt wurden:

Dank Echtzeit-Erkennung und Threat Explorer können Sicherheitsmitarbeiter feindliche Aktivitäten untersuchen, die Ihre Organisation gefährden könnten. Die verfügbaren Aktionen sind:

  • Auffinden und Identifizieren der IP-Adresse eines Absenders bösartiger E-Mails
  • Nachrichten finden und löschen
  • Einen Vorfall starten, um weitere Untersuchungen durchzuführen
  • Die Zustellungsaktion und den Standort überprüfen
  • Sehen Sie die Zeitleiste Ihrer E-Mail an

Sehen Sie in SharePoint Online, OneDrive und Microsoft Teams erkannte schädliche Dateien an

Berichte im Explorer listen Informationen zu Dateien auf, die von Safe Attachments für OneDrive, Microsoft Teams und SharePoint Online als schädlich identifiziert wurden. Administratoren können diese Dateien auch in Quarantäne ansehen.

Überprüfen Sie den Bericht zum Schutzstatus vor Bedrohungen

Dieses Widget zeigt den Status Ihrer Office 365-Sicherheit an. Neben der Anzahl der E-Mail-Nachrichten, die schädliche Inhalte enthalten, finden Sie auch:

  • Dateien oder URLs, die blockiert wurden
  • Zero-Hour Auto Purge (ZAP)
  • Sichere Links
  • Sichere Anhänge
  • Funktionen zum Schutz vor Identitätsdiebstahl in Anti-Phishing-Richtlinien

Anhand dieser Informationen können Sie Sicherheitstrends analysieren und feststellen, ob Ihre Richtlinien angepasst werden müssen.

Angriffssimulationstraining

Richten Sie realistische, aber harmlose Cyberangriffe in Ihrem Unternehmen ein und führen Sie diese durch, um Ihre Sicherheitsrichtlinien zu testen und Schwachstellen zu identifizieren, bevor ein tatsächlicher Angriff stattfindet. Diese Simulationen sind Teil des Office 365-Schutzes vor Bedrohungen, da sie dazu beitragen, Ihre Mitarbeiter darin zu schulen, gegenüber Social-Engineering-Angriffen wie Phishing-Angriffen wachsam zu bleiben.

Hinweis: Sie können auf diese Funktion zugreifen, indem Sie das Microsoft 365 Defender-Portal > E-Mail & Zusammenarbeit > Angriffssimulationstraining. Oder gehen Sie direkt zur Seite „ Angriffssimulationstraining.

Das Angriffssimulationstraining hat einen bestimmten Ablauf, der aus einer Reihe von Schritten besteht, die Sie vor dem Start des simulierten Angriffs ausführen müssen.

Wählen Sie eine Social-Engineering-Technik

Erster Schritt: Sie müssen eine der verfügbaren Social-Engineering-Methoden auswählen:

  • Link zu Malware: Führt einen beliebigen Code aus einer Datei aus, die auf einem seriösen Filesharing-Dienst gehostet wird, und sendet dann eine Nachricht mit einem Link zu dieser schädlichen Datei. Wenn der Benutzer die Datei öffnet, wird das Gerät kompromittiert.
  • Sammeln von Anmeldeinformationen: Benutzer werden auf eine Website weitergeleitet, die wie eine bekannte Website aussieht, auf der sie ihren Benutzername und ihr passwort eingeben können.
  • Link im anhang: Eine URL wird einem E-Mail-Anhang hinzugefügt und verhält sich ähnlich wie beim Sammeln von Anmeldeinformationen.
  • Malware-Anhang: Ein bösartiger Anhang wird einer Nachricht hinzugefügt. Wenn der Anhang geöffnet wird, wird das Gerät des Ziels kompromittiert.
  • Drive-by-URL: Eine URL leitet den Benutzer zu einer vertrauten Website weiter, die im Hintergrund bösartigen Code installiert. Der Endpunktschutz von Office 365 kann solche Bedrohungen möglicherweise nicht abwehren, sodass das Gerät infiziert wird.

Wählen Sie einen Namen und beschreiben Sie die Simulation

Im weiteren Schritt geben Sie einen eindeutigen und aussagekräftigen Namen für die von Ihnen erstellte Simulation ein. Eine detaillierte Beschreibung ist optional.

Wählen Sie eine Nutzlast aus

Auf dieser Seite sollten Sie die Nutzlast auswählen, die den Benutzern in der Simulation präsentiert wird. Dies kann entweder eine E-Mail-Nachricht oder eine Webseite sein. Sie können von dem integrierten Katalog auswählen, der die verfügbaren Payloads enthält. Es ist auch möglich, eine benutzerdefinierte Payload zu erstellen, die besser zu Ihrer Organisation passt.

Zielbenutzer

Hier wählen Sie die Benutzer in Ihrem Unternehmen aus, die das Angriffssimulationstraining erhalten sollen. Sie können entweder alle Benutzer einbeziehen oder bestimmte Ziele und Gruppen auswählen.

Schulung zuweisen

Microsoft empfiehlt, für jede von Ihnen erstellte Simulation eine Schulung zuzuweisen, da die Mitarbeiter, die diese absolvieren, weniger anfällig für ähnliche Angriffe sind. Sie können die vorgeschlagenen Kurse und Module ansehen und anhand der Ergebnisse der Benutzer diejenigen auswählen, die Ihren Anforderungen am besten entsprechen.

Endbenutzerbenachrichtigung auswählen

Auf dieser Registerkarte können Sie Ihre Einstellungen für die Benachrichtigung konfigurieren. Sie können eine positive Verstärkungsbenachrichtigung hinzufügen, wenn Sie Benutzerdefinierte Endbenutzerbenachrichtigungen auswählen, um Ihre Benutzer zu ermutigen, sobald sie die Schulung abgeschlossen haben.

Automatisierte Untersuchung und Reaktion (AIR)

In Office 365 Sicherheit lösen die Funktionen für automatisierte Untersuchung und Reaktion (AIR) automatische Warnmeldungen aus, wenn eine bekannte Bedrohung das Ziel Ihres Unternehmens ist. Dies reduziert den manuellen Aufwand und ermöglicht Ihrem Sicherheitsteam ein effizienteres Arbeiten, indem es die Meldungen überprüft, priorisiert und entsprechend reagiert.

Eine automatisierte Untersuchung kann entweder von einem verdächtigen Anhang in einer E-Mail-Nachricht oder von einem Analysten mithilfe von Threat Explorer ausgelöst werden. AIR sammelt Daten zu der betreffenden E-Mail, z. B. die vorgesehenen Empfänger, Dateien und URLs. Administratoren und Sicherheitspersonal können die Untersuchungsergebnisse überprüfen und die Empfehlungen zur Genehmigung oder Ablehnung der Abhilfemaßnahmen prüfen.

AIR kann von einer der folgenden Warnmeldungen ausgelöst werden:

  • Eine möglicherweise bösartige URL wurde angeklickt
  • Ein Benutzer hat eine E-Mail als Phishing oder Malware gemeldet
  • Eine E-Mail-Nachricht, die Malware oder eine Phishing-URL enthält, wurde nach der Zustellung entfernt
  • Ein verdächtiges E-Mail-Versandmuster wurde erkannt
  • Ein Benutzer darf keine Nachrichten senden

Fazit

Die Bedrohungsuntersuchung von Office 365 bietet verschiedene Funktionen, die zum Schutz Ihrer Daten beitragen. Mit Microsoft Defender für Office 365 Plan 2 können Sie erweiterte Funktionen wie Bedrohungstracker und Bedrohungs-Explorer nutzen. Sie können auch Angriffssimulationstrainings durchführen, um Ihre Benutzer wachsam zu halten und vor potenziellen Cyberangriffen zu schützen. Darüber hinaus können Sie automatisierte Untersuchungen und Reaktionen (AIR) einrichten, um Ihr Sicherheitsteam zu entlasten, damit es sich auf Bedrohungen mit höherer Priorität konzentrieren kann.

Allerdings lässt sich ein vollständiger Schutz einer Office 365-Umgebung nur durch das Bereitstellen einer modernen Lösung für Datensicherheit wie NAKIVO Backup & Replikation gewährleisten. Die Lösung bietet leistungsstarke Funktionen für Backup und Wiederherstellung für Exchange Online, Teams, OneDrive for Business und SharePoint Online.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Empfohlene Artikel

Picture
Nutanix-Backup: Vollständiger Leitfaden und Best Practices
Picture
Best Practices für die Sicherheit von Microsoft OneDrive
Picture
Fehler „503 Service Unavailable“ im vSphere Web Client: Was sollten Sie tun?