Microsoft 365-Abonnement-Lizenzierung: Vollständiger Überblick
Office 365 Advanced Threat Protection (ATP), das seit September 2020 zu Microsoft Defender für Office 365geworden ist, ist eine Sammlung von Tools, die speziell zur Abwehr von Online-Bedrohungen entwickelt wurden. Mit den verschiedenen Richtlinien und Regeln können Sie vor Ort und in Cloud-Umgebungen schützen, indem Sie eingehende und ausgehende Kommunikation filtern und andere freigegebene Inhalte überprüfen.
Was ist Advanced Threat Protection?
Office 365 Advanced Threat Protection (ATP) ist ein cloudbasierter Filterdienst zur Prävention und Erkennung von Cyberbedrohungen. ATP kann Ihr Unternehmen vor Viren und anderer Malware schützen, einschließlich Zero-Day-Angriffen, die über Office 365-Dienste verbreitet werden. ATP kann die neuesten Viren und unbekannte komplexe Bedrohungen erkennen, die noch nicht untersucht wurden und selbst von den meisten Antivirenprogrammen mit den neuesten Virensignaturdatenbanken nicht erkannt werden können.
So arbeitet Office 365 Advanced Threat Protection
Office 365 Advanced Threat Protection basiert auf Richtlinien, die von einem Systemadministrator konfiguriert werden sollten. ATP filtert Daten, verdächtiges Verhalten und andere Parameter auf der Ebene eines Unternehmens, einer Domain, eines Benutzers und eines Empfängers.
Office 365 Advanced Threat Protection kann in Verbindung mit Exchange Online Protection (EOP) und Office 365 Threat Intelligence. Durch die Verwendung von ATP in der Cloud können Sie Ihre Mailserver und Schutzsysteme auf den Mailservern, einschließlich vor Ort installierter Server, entlasten. Es wird nicht empfohlen, Office 365 Advanced Threat Protection zu deaktivieren, selbst wenn Sie andere Tools wie EOP verwenden.
Advanced Threat Protection kann E-Mail-Anhänge, Links und Dateien schützen, die von Benutzern auf OneDrive for Business, SharePoint Online und Teams hochgeladen werden. Darüber hinaus kann ATP Links zu Phishing-Websites, Websites mit hochgeladenem Malware-Code und das Vorhandensein von bösartigem Code in heruntergeladenen/hochgeladenen Dateien erkennen. URL-Trace-Funktionen können Ihnen dabei helfen, potenzielle Quellen von Bedrohungen zu blockieren und deren Art und Herkunft zu verstehen.
Funktionen von Advanced Threat Protection
Office 365 Advanced Threat Protection enthält viele nützliche Funktionen zum Schutz Ihrer Daten bei der Verwendung von Office 365-Diensten. Sehen wir uns diese Funktionen im Detail an.
Richtlinien
Richtlinien legen das Schutzniveau und die Reaktion auf vordefinierte Bedrohungen fest, die beide auf verschiedenen Ebenen eingestellt werden können. Richtlinien bieten flexible Optionen, die ein Systemadministrator, der Microsoft 365 verwaltet, konfigurieren kann. Als Systemadministrator können Sie festlegen, wer von Richtlinien betroffen ist und wie streng diese Richtlinien sind.
Sichere Anhänge
Sichere Anhänge stellen sicher, dass an E-Mail-Nachrichten angehängte Dateien nicht bösartig sind. Zum Schutz Ihres E-Mail-Systems wird Zero-Day-Schutz bereitgestellt. Bevor eine Nachricht im Postfach eines Benutzers empfangen wird, wird sie an eine spezielle Umgebung weitergeleitet, wo die angehängten Dateien mithilfe von Virensignaturen, maschinellem Lernen und fortschrittlichen Analysetechniken auf Viren überprüft werden. Wenn in den E-Mail-Anhängen keine Viren entdeckt werden, wird die E-Mail-Nachricht an das Postfach weitergeleitet. Die für sichere Anhänge zuständige Funktion wird als „Attachment Sandboxing” bezeichnet.
Sichere Links
Sichere Links arbeiten nach einem ähnlichen Prinzip wie sichere Anhänge. Diese Funktion überprüft Links in E-Mails und anderen Dateien, die in der Microsoft 365-Umgebung hoch- oder heruntergeladen werden. Wenn Microsoft 365 ATP feststellt, dass ein Link nicht sicher ist, wird eine Warnmeldung angezeigt (genau wie bei herunterladbaren Dateien).
Sie können die Funktion so konfigurieren, dass Benutzer auf eine Warnseite umgeleitet werden, wenn sie versuchen, auf einen als bösartig erkannten Link zu klicken. Das System blockiert bösartige Links dynamisch. Die Funktion „Sichere Links” wurde aktualisiert und ersetzt nun den ursprünglichen Link nicht mehr durch einen geänderten Link zu einer Webseite in der Microsoft-Cloud.
ATP für SharePoint Online
ATP für SharePoint Online schützt Benutzer, die mithilfe von SharePoint Online-Websites und freigegebenen Dateien innerhalb Ihrer Organisation zusammenarbeiten. Diese Funktion erkennt und blockiert verdächtige Dateien in Dokumentenbibliotheken und Teamwebsites, einschließlich Dateien, die auf OneDrivegespeichert sind. Der identifizierte schädliche Inhalt wird blockiert. Benutzer können eine blockierte Datei, die als schädlich eingestuft wurde, nicht öffnen, kopieren, verschieben, bearbeiten oder teilen. Die schädliche Datei kann nur gelöscht werden. Die Möglichkeit, die Datei herunterzuladen, hängt von der Konfiguration ab.
Anti-Phishing-Schutz
Nach der Festlegung von Anti-Phishing-Richtlinien werden selbstlernende Systemmodelle mit komplexen Algorithmen verwendet, um Phishing-Angriffe automatisch und schnell zu erkennen. Das Postfach analysiert die E-Mail- und Kommunikationsgewohnheiten der Benutzer und aggregiert die Daten, um Phishing-Versuche in Zukunft besser erkennen zu können. Diese strengen Maßnahmen machen jeden Betrugsversuch schwierig.
Quarantäne
Unerwünschte und potenziell gefährliche Dateien können in die Quarantäne verschoben werden. Als Systemadministrator können Sie die Daten in der Quarantäne manuell wiederherstellen oder löschen. Andernfalls werden diese Daten nach Ablauf der konfigurierten Aufbewahrungsfrist gelöscht. Wenn Sie Microsoft 365 Exchange Online Protection verwendet haben, sind Sie möglicherweise mit der Funktionsweise der Quarantäne vertraut.
Spoof Intelligence
Hacker können E-Mails im Namen eines oder mehrerer Konten versenden, indem sie den Namen des Absenders ersetzen. Wenn ein Benutzer eine solche „gefälschte” E-Mail erhält, kann sie sicher erscheinen, wenn der Absender im Absenderfeld den Namen eines Managers verwendet. Eine gefälschte E-Mail, die eine Aufforderung zur Überweisung von Geld, zu Übermittlung von Anmeldeinformationen oder bösartige Skripte enthält, ist nicht sicher und stellt eine Bedrohung für Benutzer und das gesamte Unternehmen dar.
Office 365 Advanced Threat Protection enthält die Funktion „Spoof Intelligence“, mit der erkannt werden kann, ob ein Absender einen echten Namen oder einen gefälschten Namen verwendet. Sie können die vollständige Liste der Benutzer anzeigen, die eine bestimmte Unternehmensdomäne verwenden, und überprüfen, wer die Domäne Ihres Unternehmens oder externe Domänen fälscht. Als Administrator können Sie den Absender blockieren, der einen Domänennamen oder einen Benutzername verwendet, der vorgibt, ein Mitarbeiter Ihres Unternehmens zu sein.
Berichte
Office 365 Advanced Threat Protection bietet informative Berichte, in denen Sie den Status des Schutzes einsehen und eingehende Bedrohungen analysieren können. Ein Bericht ist eine einzelne Ansicht, die Informationen zu erkannten Bedrohungen, einschließlich bösartiger E-Mails und anderer bösartiger Inhalte, zusammenfasst. In den Berichten werden Bedrohungen angezeigt, die von Office 365 Advanced Threat Protection und Exchange Online Protection erkannt wurden. In den Berichten werden Informationen für die letzten 90 Tage (der maximal konfigurierbare Zeitraum) angezeigt. Nach der Analyse der Berichte können Sie die Richtlinien anpassen.
Bedrohungsuntersuchung und -reaktion
Wenn Sie in einem großen Unternehmen mit vielen Office 365-Benutzern arbeiten, sind Sie möglicherweise mit einer Vielzahl von Warnungen zur Sicherheit überfordert, die Sie bearbeiten müssen. Das Sortieren einer großen Anzahl von E-Mails anhand ihrer Attribute ist eine zeitaufwändige Aufgabe. Office 365 Threat Investigation and Response kann Systemadministratoren und Sicherheitsspezialisten dabei helfen, effizienter zu arbeiten. Sie können erkannte Bedrohungen ansehen und automatisierte Aktionen konfigurieren, um verschiedene Arten von Bedrohungen zu mindern. Sie können Playbooks mit den geeigneten Aktionen für erkannte Bedrohungen erstellen sowie Aktionen oder Empfehlungen überprüfen und genehmigen, die von Office 365 Advanced Threat Protection nach einer automatisierten Untersuchung zur Behebung von Bedrohungen vorgeschlagen werden.
Microsoft 365-Lizenzierung
Im Gegensatz zu Exchange Online Protection, das standardmäßig für Microsoft 365-Benutzer verfügbar ist, ist Advanced Threat Protection für Top-Abonnementpläne verfügbar oder kann separat erworben werden. Beispielsweise enthält selbst Microsoft 365 E3 keinen erweiterten Schutz vor Bedrohungen.
Microsoft Office 365 Advanced Threat Protection ist in den folgenden Abonnementplänen enthalten:
- Microsoft 365 E5
- Microsoft 365 A5
- Microsoft 365 Business Premium
Sie können die Office 365 Advanced Threat Protection-Lizenz jedoch zusätzlich zu den folgenden Abonnementplänen erwerben:
- Exchange Online Plan 1
- Exchange Online Plan 2
- Exchange Online Kiosk
- Exchange Online Protection
- Microsoft 365 Business Basic
- Microsoft 365 Business Standard
- Microsoft 365 Enterprise E1
- Microsoft 365 Enterprise E3
- Microsoft 365 Enterprise F3
- Microsoft 365 A1
- Microsoft 365 A3
Wenn Office 365 Advanced Threat Protection nicht in Ihrem Abonnement enthalten ist, können Sie eines der eigenständigen ATP-Abonnements mit einem Lizenzmodell pro Benutzer erwerben:
- Advanced Threat Protection Plan 1
- Erweiterter Schutz vor Bedrohungen, Plan 2
Konfiguration des erweiterten Schutzes vor Bedrohungen
Update: Office 365 Advanced Threat Protection wurde zu Microsoft Defender für Office 365 im September 2020. Um eine der unten aufgeführten Funktionen zu konfigurieren, müssen Sie nun auf das Defender-Portal.
Sehen wir uns an, wie Sie Office 365 Advanced Threat Protection konfigurieren:
- Öffnen Sie die Weboberfläche des Microsoft 365-Abonnement-Lizenzierung Admin Centers von dem Link https://admin.microsoft.com und gehen Sie zu Admin Centers > Sicherheit im linken Bereich des Fensters.
Alternativ können Sie einen direkten Link zum Microsoft 365 Sicherheit & Compliance ADMIN Center öffnen: https://protection.office.com
- Klicken Sie im linken Bereich auf Threat Manager und dann auf Dashboard.
Die Anzeige des Sicherheits-Dashboards, auch als Bedrohungs-Dashboard bezeichnet, zeigt den aktuellen Status des Bedrohungsschutzes und Links zu Konfigurationsseiten an.
Anti-Malware-Richtlinien
Klicken Sie auf Richtlinie im linken Bereich oder im Navigationsbereich, um die Seite anzuzeigen, auf der Sie Richtlinien ansehen, bearbeiten und erstellen können. Sie können Richtlinien für Anti-Phishing, Anti-Spam und Anti-Malware konfigurieren. Sehen wir uns an, wie Sie eine neue Anti-Malware-Richtlinie erstellen:
- Klicken Sie auf Anti-Malware-.
- Klicken Sie auf der sich öffnenden Anti-Malware-Seite auf das Symbol „+“, um eine neue Anti-Malware-Richtlinie für Office 365 Advanced Threat Protection zu erstellen.
- Ein neues Popup-Fenster wird geöffnet.
Geben Sie den Namen und die Beschreibung der Richtlinie ein und legen Sie weitere Richtlinienoptionen fest, z. B.:
- Reaktion bei Malware-Erkennung
- Filter für gängige Anhangstypen
- Malware Zero-Hour Auto Purge
- Benachrichtigungen
Geben Sie abschließend an, für wen diese Richtlinie angewendet wird, und klicken Sie auf Speichern Sie.
Die Anzeige der Richtlinie wurde nun erstellt und wird in der Liste der Richtlinien auf der Seite „Malware“ angezeigt.
Anti-Phishing-Richtlinien
Anti-Phishing-Richtlinien werden etwas anders erstellt als Anti-Malware-Richtlinien:
- Gehen Sie zu Bedrohungsmanagement > Richtlinie und klicken Sie auf Anti-Phishing.
Die Anti-Phishing-Seite wird geöffnet. Wenn Sie diese Seite zum ersten Mal öffnen, ist die Liste der Anti-Phishing-Richtlinien leer.
- Klicken Sie auf die Schaltfläche +Erstellen Schaltfläche, um eine neue Anti-Phishing-Richtlinie für Office 365 Advanced Threat Protection zu erstellen.
- Ein neuer Richtlinienassistent wird als Popup-Fenster geöffnet. Führen Sie alle Schritte im Assistenten aus:
- Benennen Sie Ihre Richtlinie. Geben Sie einen Namen für eine neue Anti-Phishing-Richtlinie ein. Sie können auch eine Beschreibung eingeben.
- Angewandt auf. Definieren Sie die Empfänger oder Domänen in Ihrer Organisation, für die diese Richtlinie gelten oder von der sie ausgeschlossen werden soll, indem Sie Bedingungen hinzufügen und Empfänger auswählen. Sie können die Richtlinie beispielsweise auf eine gesamte Domain, eine Gruppenmitgliedschaft oder Kombinationen aus Gruppen und Domänen anwenden. Klicken Sie dann auf Weiter.
- Überprüfen Sie Ihre Einstellungen. Überprüfen Sie Ihre Einstellungen und bearbeiten Sie sie bei Bedarf. Wenn alles korrekt ist, klicken Sie auf Erstellen Sie diese Richtlinie.
Quarantäne
E-Mail-Nachrichten und Dateien, die als potenziell gefährlich eingestuft werden, werden in die Quarantäne verschoben, wenn die entsprechenden Einstellungen für Office 365 Advanced Threat Protection verwendet werden. Gehen Sie zu Management > Überprüfen > Quarantäne , um die Quarantäne zu öffnen. Sie können auch diesen direkten Link verwenden: https://protection.office.com/quarantine
Hinweis: Auf die Quarantäne können der Administrator oder andere Benutzer zugreifen, die über Berechtigungen zum Verwalten der Quarantäne verfügen. Mitglieder der Rolle „Quarantäne” im Office 365 Security & Compliance Center verfügen über Berechtigungen zum Verwalten der Quarantäne.
Auf der Seite „Quarantäne” können Sie die Ergebnisse sortieren, indem Sie auf den Titel der gewünschten Spalten klicken. Klicken Sie auf Spalten ändern , um auszuwählen, welche Spalten für die Anzeige verwendet werden sollen.
Berichte
Berichte sind nützlich, um den aktuellen Status und Statistiken Ihrer Microsoft 365-Umgebung anzusehen. Klicken Sie im Navigationsbereich des Office 365 Security & Compliance Admin Centers auf
Auf dieser Seite sehen Sie die Zusammenfassung mit folgenden Informationen:
- Aktuelle Berichte zum Herunterladen
- Top 5 Labels
- Label-Trend der letzten 90 Tage
- Wie Labels angewendet wurden
- Als Datensätze klassifizierte Labels
- Exchange-Transportregel
- Status des Schutzes vor Bedrohungen
- In E-Mails erkannte Malware
- Häufigste Malware
- Top-Absender und -Empfänger
- Spoof-Erkennungen
- Spam-Erkennungen
- Kompromittierte Benutzer
- Gesendete und empfangene E-Mails
- Überwachung
- Weiterleitungsbericht
- Connector-Bericht
- Bericht zur Verschlüsselung
Bewegen Sie den Mauszeiger über das Diagramm, um weitere Informationen anzuzeigen. Klicken Sie auf das gewünschte Diagramm oder die gewünschte Grafik, um es/sie im Vollbildmodus zu öffnen und die Details anzuzeigen. Nach dem Klicken auf Spoof-Erkennungen, wird ein detaillierter Bericht zu gefälschten E-Mails angezeigt.
Standardmäßig wird in den Diagrammen und Grafiken ein Zeitraum von 7 Tagen angezeigt, dieser Zeitraum kann jedoch in den Einstellungen auf bis zu 90 Tage verlängert werden. Testnutzer von Microsoft 365 mit Advanced Threat Protection können in Berichten Daten für maximal 30 Tage ansehen.
Fazit
Office 365 Advanced Threat Protection ist in andere Microsoft 365-Dienste wie OneDrive, SharePoint Online, Exchange Online, SharePoint Online und andere Dienste integriert. ATP hilft Ihnen, Ihre E-Mails vor verschiedenen Sicherheitsbedrohungen wie schädlichen Links, Viren und Malware zu schützen.
Um jedoch ein höheres Maß an Datensicherheit zu erreichen, sollten Sie alle Ihre Microsoft Office 365-Daten mit einer speziellen Lösung wie NAKIVO Backup & Replication sichern. Mit der NAKIVO-Lösung können Sie inkrementelle Backups von Microsoft 365-Daten erstellen und flexible Point-in-Time-Wiederherstellungen durchführen.
