Office 365 Threat Intelligence

Wichtig :  Dieser Artikel wurde maschinell übersetzt. Bitte beachten Sie den Haftungsausschluss. Die englische Version des Artikels ist als Referenz hier verfügbar: hier.

In diesem Artikel wird erläutert, wie Office 365 Threat Intelligence können Sie die Risiken gegen Ihre Organisation Recherchieren, Malware, Phishing, beantworten und anderen Angriffen, die Office 365 hat in Ihrem Auftrag, und suchen Sie nach Bedrohung Indikatoren, die Sie möglicherweise von Benutzer erhalten haben Berichte, andere innerhalb der Sicherheits-Community oder in der News oder anderen Quellen Intelligence. Bedrohungsanalyse auch helfen Ihnen zu bestimmen, ob die Angriffen, die Sie erkennen oder nicht ausgelegt sind. Wenn Sie Office 365 Enterprise E5 haben, müssen Sie Bedrohungsanalyse integrierten Ihrer Security & Compliance Center.

Was ist Threat Intelligence?

Office 365 hostet eine der größten Unternehmenssuites für E-Mail-Dienste und Produktivität weltweit und verwaltet Inhalte, die auf Millionen von Geräten erstellt wurden. Zum Schutz dieser Informationen hat Microsoft ein riesiges Repository mit Informationen zu Bedrohungen (Threat Intelligence-Daten) aufgebaut. Dieses System muss in der Lage sein, Muster zu erkennen, die Angriffsverhaltensweisen und verdächtigen Aktivitäten entsprechen. Office 365 Threat Intelligence ist eine Sammlung dieser Einblicke, die zum Analysieren Ihrer Office 365-Umgebung verwendet wird, damit Sie Bedrohungen proaktiv finden und abwehren können. Threat Intelligence wird im Security & Compliance Centerals eine Reihe von Tools und Dashboards angezeigt, um Bedrohungen verstehen und auf sie reagieren zu können.

Office 365 Threat Intelligence überwacht Signale von Quellen, z. B. Benutzeraktivitäten, Authentifizierung, E-Mail, betroffene PCs und Sicherheitsvorfälle. Diese Daten können analysiert und angezeigt werden, damit Entscheidungsträger und globale Office 365-Administratoren oder -Sicherheitsadministratoren Bedrohungen, die sich gegen die betroffenen Benutzer und das geistige Eigentum richten, verstehen und auf sie reagieren können.

  • Sie können das Bedrohungsdashboard verwenden, um die Bedrohungen anzuzeigen, die bereits verarbeitet wurden, und Sie können es als praktisches Tool verwenden, um Entscheidungsträgern zu berichten, welche Maßnahmen Threat Intelligence bereits ergriffen hat, um Ihr Unternehmen zu schützen.

  • Wenn Sie einen Angriff auf Ihre Office 365-Umgebung untersuchen oder feststellen, verwenden Sie den Sicherheitsrisiken-Explorer, um die Bedrohungen zu analysieren. Der Sicherheitsrisiken-Explorer zeigt Ihnen den Umfang von Angriffen im Zeitverlauf, und Sie können diese Daten nach Bedrohungsfamilien, Angreiferinfrastruktur und weiteren Kriterien analysieren. Sie können auch eine verdächtige E-Mail für die Liste der Vorfälle markieren.

  • Außerdem können Sie verdächtige E-Mails, die im Sicherheitsrisiken-Explorer angezeigt werden, zur weiteren Untersuchung markieren und Reaktionsergebnisse in der Liste der Vorfälle verwalten. Dies ist eine praktische Möglichkeit, während eines Angriffs den Überblick zu behalten.

Dieses Dashboard ist eine ausgezeichnete Ressource, wenn Sie eine Zusammenfassung der Bedrohungen Ihrer Office 365-Umgebung benötigen. Es bietet ein farbig aufbereitetes Diagramm der wöchentlichen Bedrohungserkennungen, Grafiken der erkannten Malwaretrends und Malwarefamilien, Informationen zu den Sicherheitstrends in der Branche und eine nützliche Heatmap der Angriffsursprünge für Ihre spezielle Umgebung. Außerdem finden globale und Sicherheitsadministratoren auf diesem Dashboard neben weiteren nützlichen Informationsbereichen eine Schnellauflistung der am häufigsten angegriffenen Benutzer und der neuesten Warnungen, auf die Sie klicken können, um weitere Informationen zu erhalten.

Screenshot der Grafiken und Diagramme für die Zusammenfassung der Bedrohungen im Threat Intelligence-Dashboard für einen bestimmten Office 365-Mandanten

Das Dashboard bietet für Experten für technische Sicherheit eine hervorragende Möglichkeit, Informationen für Entscheidungsträger wie Geschäftsführer (CEOs) oder Technikvorstände (CTOs) aufzubereiten.

Das Dashboard ist außerdem ein Zugangspunkt zum Sicherheitsrisiken-Explorer, und über viele der Links sind diese beiden Ansichten Ihrer Threat Intelligence verknüpft. Beispielsweise hat der Bereich für Bedrohungsuntersuchungen Links, über die Sie zu ausführlichen Informationen im Sicherheitsrisiken-Explorer gelangen:

  • Anzeigen von Nachrichten, die nach der Zustellung entfernt wurden

  • Suchen nach schädlichen Nachrichten, an irgendeine Person in Ihrer Organisation gesendet wurden

Dieser Zusammenfassungsbereich sollte täglich geprüft werden soll.

Wenn Sie den Sicherheitsrisiken-Explorer öffnen, sehen Sie ein farbig aufbereitetes Diagramm, in dem Angriffe dargestellt sind, die auf Ihre Organisation gezielt waren. In der Standardansicht wird Malware nach Bedrohungsfamilie angezeigt. Dieser Bereich hat eine Ansicht mit Registerkarten für die häufigsten Malwarefamilien, für eine E-Mail-Liste und für eine Karte mit den E-Mail-Ursprüngen. Außerdem werden in dem Bereich die Benutzer angezeigt, die am häufigsten ein Ziel waren.

HINWEIS  Zeigen Sie optional entweder Alle E-Mails oder Malware nach Absenderdomäne, Absender-IP-Adresse, Schutzstatus oder von Technologie abgefangen an. Und Sie haben die Möglichkeit, die Diagrammdaten und die E-Mail-Liste zu exportieren.

Screenshot des Sicherheitsrisiken-Explorers in Office 365, farbcodiert nach Malwarefamilie

Wenn Sie auf eine bestimmte häufigste Malwarefamilie (z.B. JS/Nemucod) klicken, sehen Sie Details dazu, wie sich diese Malware auf Ihre Organisation auswirkt und was die Malware ausrichten kann. Sobald der Bedrohungsbereich für die Malwarefamilie geöffnet ist, können Sie sich deren Definition ansehen. Die Ansicht jeder häufigsten Bedrohung zeigt die betroffenen Benutzer (Empfänger, Absenderadressen, IP-Adressen und Status) zusammen mit Registerkarten für Technische Details, Globale Details und Erweiterte Analyse.

HINWEIS  Jede verdächtige E-Mail-Nachricht, die auf der Registerkarte Benutzer aufgelistet wird, kann ausgewählt und zur weiteren Nachverfolgung und Analyse schnell einer Vorfalluntersuchung hinzugefügt werden. Dadurch wird verhindert, dass sie in der Menge untergeht, wenn eine Bedrohung entsteht.

Die Registerkarte Technische Details zeigt ein Dokument, das ausführliche Informationen zu der Malwarebedrohung enthält, sodass Sie bestens über die Bedrohung informiert sind und wissen, nach welchen Verhaltensweisen Sie suchen müssen.

Wenn Sie unsicher sind, wie tief Sie forschen sollten, oder wenn Ihnen der Umfang des Angriffs unklar ist, schauen Sie sich Globale Details an, und ermitteln Sie, welche Länder und Branchen am meisten betroffen sind. Wenn Sie beispielsweise in einem Fertigungsunternehmen in Japan oder in einem Bergbauunternehmen in den USA arbeiten, bieten Ihnen diese Diagramme Kontext und die Möglichkeit, eine allgemeine Bedrohungsstufe zu ermitteln. Wenn Sie feststellen, dass speziell Ihre Branche immer mehr Angriffen ausgesetzt ist, sollten Sie dies sicherlich als Auslöser betrachten, Ihr Sicherheitsteam zu mobilisieren und sich proaktiv mit dem Sicherheitsrisiken-Explorer zu beschäftigen.

Screenshot der globalen Details der häufigsten Bedrohungen in Threat Intelligence

Jede Datei- oder Dokumentanlage, die Office 365 Advanced Threat Protection durchläuft, wird in einem Sandkasten abgelegt, wo sie geöffnet und getestet werden kann, um nach verhaltensauffälligen bösartigen Aktivitäten zu suchen. Dadurch lassen sich potenzielle Bedrohungen, verdächtige Makros oder neue Malware entdecken. Aus diesen Testläufen werden Indikatoren extrahiert, und alle Treffer sind auf der abschließenden Registerkarte einer besonders häufigen Bedrohung zu finden: Erweiterte Analyse.

Die Ergebnisse von Testläufen sind in Beobachtetes Verhalten zu sehen. Im folgenden Beispiel wurde eine Dateianlage getestet, und diese fiel durch, weil in einem Dateimakro in ihr ein Kennwortdiebstahl-Trojaner gefunden wurde. Die IP-Adresse und die URL, mit der die Datei versucht zu kommunizieren, steht unter Netzwerkdatenverkehr. Schließlich sehen Sie die böswillige ausführbare Datei, die vom Makro während des Tests heruntergeladen wurde – der wichtigste Grund, warum dieses Testen in einer isolierten virtualisierten Umgebung erfolgt, die dazu erstellt wird, Bedrohungen verfügbar zu machen, bevor sie die Benutzer Ihrer Organisation erreichen.

Screenshot der erweiterten Analyse einer speziellen Dateianlage

HINWEIS  Wenn Sie andere Sicherheitsgeräte oder -dienste verwenden, um Angriffe zu filtern, bevor diese Ihre Office 365-Website erreichen, werden im Sicherheitsrisiken-Explorer und in der zugehörigen Telemetrie nur die Angriffe angezeigt, die diese anderen Geräte oder Dienste nicht erkannt haben. Dies kann die Ergebnisse von Features wie "Globale Details" und "Erweiterte Analysen" verändern.

Verwenden Sie "Vorfälle", um Phishing- oder Malwareangriffe auf Ihre Benutzer nachzuverfolgen und Bereinigungsaktionen auszulösen, etwa Löschen von Anlagen oder Verschieben von E-Mail-Nachrichten in einen Ordner für Junk-E-Mails.

Um einen neuen Vorfall zu erstellen, suchen Sie in der Alle E-Mails-Ansicht des Sicherheitsrisiken-Explorers nach Nachrichten, die Sie als verdächtig identifiziert haben. Nachdem Sie aus den E-Mails diejenigen gefiltert haben, die Sie nachverfolgen oder sanieren möchten, verwenden Sie die Schaltfläche E-Mail zu Vorfall hinzufügen, um einen neuen Vorfall zu erstellen oder diese Nachrichten zu einem vorhandenen Vorfall hinzuzufügen.

Sobald Sie Nachrichten zu einem Vorfall hinzugefügt haben, können Sie eine Bereinigungsaktion für diese Nachrichten ausführen. Wählen Sie auf der Seite Vorfälle den Vorfall aus, den Sie erstellt haben, und wählen Sie dann Ihre E-Mail-Übermittlung aus. Wählen Sie im Dialogfeld für Übermittlungen die Schaltfläche In Junk-E-Mail verschieben oder Anlagen löschen aus. Wenn Sie E-Mail-Nachrichten versehentlich in einen Ordner für Junk-E-Mails verschoben haben, können Sie diese durch Auswählen von In Posteingang verschieben wiederherstellen.

Screenshot der E-Mail-Liste mit Vorfallsbereinigung

Sie können den Fortschritt der Sanierung, die Sie gestartet haben, auf der Registerkarte Aktionsprotokolle nachverfolgen.

Threat Intelligence-Funktionen führen Sie eine einfache Berechtigungsmodell. Untersuchung Aktivitäten erfordern die Sicherheit Reader oder Security Administrator Rolle sowie Behebungsaktionen die e-Mail beeinflussen die Rolle Suchen und Aufräumen . Rollenzuweisung kann von jedem Benutzer, der die Rolle des Organisationsverwaltung oder Globaler Administrator hat, von der Seite " Berechtigungen " in der Sicherheit und Compliance Center vorgenommen werden.

Aktivität

Rollen

Verwenden Sie den Explorer Bedrohung

Security Administrator oder Sicherheit Reader

Anzeigen von Ereignissen und e-Mail-Adresse auf einen Vorfall hinzufügen

Security Administrator oder Sicherheit Reader

Trigger-e-Mail-Aktionen in ein Vorfall

Suchen und löschen

Die Daten, mit denen das Threat Intelligence-Dashboard und der Sicherheitsrisiken-Explorer gefüttert werden, sind auch über das Security & Compliance Center sowie die Office 365 Management Activity API verfügbar. Die Feeds enthalten:

  • Einen Datensatz für jede E-Mail, die eine Bedrohung enthält, die auf Ihre Organisation zielt

  • Einen Datensatz für jede Nachricht, die durch automatische Bereinigung zur Nullstunde entfernt wurde

Weitere Informationen zum Threat Intelligence Feeds finden Sie unter Office 365 Management Activity API
.  

Verwenden Sie die Integration zwischen Office 365 und Windows Defender Advanced Threat Protection (Windows Defender ATP), um rasch zu erkennen, ob Computer von Benutzern gefährdet sind, wenn Sie Bedrohungen in Office 365 untersuchen. Nachdem die Integration aktiviert wurde, können Sicherheitsadministratoren in Office 365 sehen, welche Computer den Empfängern einer E-Mail-Nachricht gehören und wie viele aktuelle Warnungen für diese Computer in Windows Defender ATP vorliegen.

Die folgende Abbildung enthält die Registerkarte "Geräte", die nach dem Aktivieren der Integration von Windows Defender ATP angezeigt wird:

Wenn Windows Defender ATP aktiviert ist, können Sie eine Liste der Computer mit Warnungen anzeigen.

In diesem Beispiel können Sie sehen, dass die Empfänger der E-Mail-Nachricht vier Computer haben. Für einen dieser Computer wird in Windows Defender ATP eine Warnung angezeigt. Wenn Sie auf den Link zu einem Computer klicken, wird die Seite für den Computer in Windows Defender ATP auf einer neuen Registerkarte geöffnet.

So aktivieren Sie die Integration zwischen Office 365 und Windows Defender ATP

  1. Sie benötigen Zugriff auf Office 365 Threat Intelligence und Windows Defender ATP.

  2. Wechseln Sie zum Sicherheitsrisiken-Explorer.

  3. Wählen Sie im Menü Weitere die Option WDATP-Einstellungen aus.

  4. Wählen Sie Mit Windows ATP verbinden aus.

Nachdem Sie die Einstellungen in Office 365 geändert haben, müssen Sie die Verbindung Windows Defender ATP aktivieren. Finden Sie unter Verwenden des Portals Windows Defender erweiterte Schutz.

Verwandte Themen

Schutz vor Bedrohungen in Office 365
Übersicht über das Office 365 Security & Compliance Center
Office 365 Advanced Threat Protection

Hinweis : Haftungsausschluss für maschinelle Übersetzungen: Dieser Artikel wurde mithilfe eines Computersystems und ohne jegliche Bearbeitung durch Personen übersetzt. Microsoft bietet solche maschinellen Übersetzungen als Hilfestellung für Benutzer ohne Englischkenntnisse an, damit Sie von den Informationen zu Produkten, Diensten und Technologien von Microsoft profitieren können. Da es sich bei diesem Artikel um eine maschinelle Übersetzung handelt, enthält er möglicherweise Fehler in Bezug auf (Fach-)Terminologie, Syntax und/oder Grammatik.

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×