Bedrohungsuntersuchung und -reaktion in der Office 365-Sicherheit

Tutorials

Mit dem ständig steigenden Risiko von Cyberkriminalität kämpfen Unternehmen auf der ganzen Welt darum, ihr wertvollstes Gut zu schützen: ihre Daten. Glücklicherweise bietet Microsoft Defender für Office 365 IT-Administratoren und Analysten Möglichkeiten zur Bedrohungsuntersuchung und -abwehr, die es ihnen ermöglichen, ihre Benutzer und Daten proaktiv zu schützen.

Mit diesen integrierten Sicherheitsfunktionen von Office 365 können Sie wertvolle Einblicke in häufige Bedrohungen gewinnen, praktische Daten sammeln und wirksame Reaktionsmaßnahmen planen. Ihr Sicherheitsteam kann böswillige Aktivitäten leicht identifizieren, überwachen und abwehren, bevor sie Ihrem Unternehmen irreparablen Schaden zufügen.

Dieser Beitrag erläutert die verschiedenen Tools, die in der Bedrohungsuntersuchung und -abwehr von Microsoft enthalten sind. Lesen Sie weiter, um einen Überblick über die verschiedenen Funktionen zu erhalten und wie sie sich kombinieren, um einen unfehlbaren Schutz gegen Datei- und E-Mail-basierte Angriffe zu bieten.

Was ist die Bedrohungsuntersuchung und -abwehr von Office 365?

Die Bedrohungsuntersuchung und -abwehr von Office 365 ist ein Oberbegriff für eine Reihe von Fähigkeiten in Microsoft Defender für Office 365 Plan 2. Diese Tools helfen IT-Administratoren und Analysten, potenzielle Bedrohungen zu überwachen und Informationen darüber zu sammeln. Sicherheitsteams können dann die Reaktionsmaßnahmen nutzen, die im Microsoft 365 Defender-Portal verfügbar sind, um Risiken in SharePoint Online, OneDrive for Business, Exchange Online und Microsoft Teams zu adressieren.

Mit diesen Office 365-Sicherheitsfunktionen können Sie Daten aus verschiedenen Quellen wie früheren Sicherheitsvorfällen, Benutzeraktivitäten, Authentifizierungen, E-Mails und kompromittierten Computern sammeln. Der Bedrohungsuntersuchungs- und Reaktionsworkflow umfasst folgendes:

  • Explorer (Echtzeit-Erkennungen in MS Defender für Office 365 Plan 1)
  • Vorfälle (auch als Untersuchungen bekannt)
  • Angriffssimulationstraining
  • Automatisierte Untersuchung und Reaktion

Es ist wichtig zu erwähnen, dass all diese Funktionen den erforderlichen Schutz bieten, indem sie Daten aus den integrierten Bedrohungsverfolgern in Microsoft Defender sammeln, also werfen wir zunächst einen genaueren Blick darauf.

Bedrohungsverfolger

Bedrohungsverfolger sind eine Sammlung informativer Widgets, Diagramme und Tabellen, die die Überwachung von Office 365 bereitstellen. Sie zeigen nützliche Details zu Cyberbedrohungen, die Ihre Organisation beeinträchtigen können. Die Seiten der Verfolger enthalten regelmäßig aktualisierte Zahlen zu aktuellen Risiken wie Malware- und Phishing-Methoden, um anzuzeigen, welche Probleme derzeit für Ihre Organisation am gefährlichsten sind. Darüber hinaus finden Sie eine Aktionen-Spalte, die Sie zu Threat Explorer umleitet, wo Sie weitere detaillierte Informationen anzeigen können.

Hinweis:

  • Bedrohungsverfolger sind in Microsoft Defender für Office 365 Plan 2 enthalten und Sie benötigen Berechtigungen als globaler Administrator, Sicherheitsadministrator oder Sicherheitsleser, um sie zu verwenden.
  • Um auf die Bedrohungstracker für Ihre Organisation zuzugreifen, gehen Sie zu https://security.microsoft.com/, klicken Sie auf E-Mail & Zusammenarbeit und dann auf Bedrohungstracker. Sie können auch direkt zu https://security.microsoft.com/threattrackerv2 gehen.

Es gibt vier verschiedene Funktionen in den Bedrohungstrackern: Bemerkenswerte Tracker, aktuelle Tracker, Verfolgte Abfragen und Gespeicherte Abfragen.

Bemerkenswerte Tracker

Dieses Widget zeigt neue oder bestehende Bedrohungen unterschiedlicher Schweregrade und ob sie in Ihrer Microsoft 365-Umgebung existieren oder nicht. Falls sie das tun, können Sie auch Links zu hilfreichen Artikeln sehen, die das Problem im Detail erläutern und wie es sich auf die Sicherheit von Office 365 in Ihrer Organisation auswirken kann.

Ihr Sicherheitsteam sollte die bemerkenswerten Tracker regelmäßig überprüfen, da sie nur für ein paar Wochen veröffentlicht werden und dann durch aktuellere Elemente ersetzt werden. Dies hält die Liste auf dem neuesten Stand, sodass Sie über relevantere Risiken informiert bleiben können.

Aktuelle Tracker

Aktuelle Tracker heben die neuesten Bedrohungen hervor, die in der letzten Woche an Ihre Organisations-E-Mail gesendet wurden. Administratoren erhalten bessere Einblicke, indem sie dynamische Bewertungen von Malware-Trends auf Tenant-Ebene anzeigen und das Verhalten von Malware-Familien identifizieren.

Verfolgte Abfragen

Tracked queries ist ein weiteres Überwachungstool für Office 365, das regelmäßig die Aktivitäten in Ihrer Microsoft-Umgebung bewertet, indem es die gespeicherten Abfragen nutzt. Dies ist ein automatischer Prozess, der aktuelle Informationen zu verdächtigen Aktivitäten liefert, um die Bedrohungsschutzfunktionen von Office 365 zu gewährleisten.

Gespeicherte Abfragen

Die gängigen Explorer-Suchvorgänge oder bemerkenswerten Tracker-Abfragen, die Sie normalerweise durchführen, können als Gespeicherte Abfragen gespeichert werden. Auf diese Weise müssen Sie nicht jedes Mal eine neue Suche erstellen und können problemlos auf zuvor gespeicherte Abfragen zugreifen.

Bedrohungs-Explorer und Echtzeit-Erkennungen

Im Microsoft Defender für Office 365 ermöglicht der Explorer, auch bekannt als Bedrohungs-Explorer, Sicherheitsexperten die Analyse potenzieller Bedrohungen, die auf Ihre Organisation abzielen, und die Überwachung der Angriffshäufigkeit im Laufe der Zeit. Mit dieser Funktion können Sie umfassende Berichte und Richtlinienempfehlungen anzeigen, um zu erfahren, wie Sie effizient auf die Risiken reagieren können, die versuchen, in Ihre Organisation einzudringen.

Hinweis:

  • Der Explorer ist in Microsoft Defender für Office 365 Plan 2 enthalten, während Plan 1 Echtzeit-Erkennungen bietet.
  • Um auf eines dieser Tools zuzugreifen, gehen Sie zum Sicherheits- und Compliance-Center und dann zu Bedrohungsmanagement.

Threat Explorer bietet wichtige Informationen zu Bedrohungen wie grundlegende historische Daten, gängige Methoden der Bereitstellung und den möglichen Schaden, der verursacht werden könnte. Analysten können dieses Tool als Ausgangspunkt für ihre Untersuchungen nutzen, um Daten nach Angreiferinfrastruktur, Bedrohungsfamilien und anderen Parametern zu untersuchen.

Überprüfen Sie erkannte Malware

Sie können Explorer verwenden, um Malware anzuzeigen, die in der E-Mail Ihres Unternehmens entdeckt wurde. Der Bericht kann nach verschiedenen Microsoft 365-Technologien gefiltert werden.

Phishing-URL und Klick-Verdachtsdaten anzeigen

Phishing-Versuche über URLs in E-Mail-Nachrichten werden ebenfalls im Threat Explorer angezeigt. Dieser Bericht enthält eine Liste der erlaubten, blockierten und außer Kraft gesetzten URLs, die in zwei Tabellen sortiert sind:

  • Top-URLs: Angreifer fügen manchmal gute URLs neben den schlechten Links hinzu, um den Empfänger zu verwirren. Diese Liste enthält hauptsächlich legitime URLs, die in den von Ihnen gefilterten Nachrichten gefunden wurden, und sie sind nach der Gesamtanzahl der E-Mails sortiert.
  • Top-Klicks: Dies sind die durch Safe Links geschützten URLs, die geöffnet wurden, und sie sind nach der Gesamtanzahl der Klicks sortiert. Die Links hier sind höchstwahrscheinlich bösartig, und Sie können die Anzahl der Safe Links-Klickverdachtsanzeigen neben jeder URL finden.

Hinweis: Beim Einrichten des Office 365-Phishing-Filters sollten Sie Safe Links und deren Richtlinien konfigurieren, um zu identifizieren, welche URLs angeklickt wurden, und von der Schutz- und Protokollierungsfunktion der Klickverdachtsanzeigen zum Zeitpunkt des Klicks profitieren.

Die im Explorer angezeigten Klickverdachtsanzeigen helfen Ihnen zu verstehen, welche Maßnahmen ergriffen wurden, sobald eine URL ausgewählt wurde:

  • Erlaubt: Der Benutzer konnte zur URL navigieren.
  • Blockiert: Der Benutzer konnte nicht zur URL navigieren.
  • Ausstehendes Urteil: Die Auslöseseite wurde angezeigt, als der Benutzer auf die URL klickte.
  • Fehler: Die Fehlerseite wurde dem Benutzer präsentiert, da beim Versuch, das Urteil zu erfassen, ein Fehler auftrat.
  • Fehlschlag: Beim Versuch, das Urteil zu erfassen, ist ein unbekannter Ausnahmefehler aufgetreten. Es ist möglich, dass der Benutzer auf die URL geklickt hat.
  • Keine: Das Urteil konnte nicht erfasst werden. Es ist möglich, dass der Benutzer auf die URL geklickt hat.
  • Blockierung aufgehoben: Der Benutzer hat die Blockierung aufgehoben und ist zur URL navigiert.
  • Ausstehendes Urteil umgangen: Die Auslöseseite wurde angezeigt, aber der Benutzer hat die Meldung umgangen, um auf die URL zuzugreifen.

Überprüfung von E-Mail-Nachrichten, die von Benutzern gemeldet wurden

Dieser Bericht zeigt Daten zu Nachrichten, die Benutzer in Ihrer Organisation als Junk, Nicht-Junk oder Phishing gemeldet haben. Um bessere Ergebnisse zu erzielen, wird empfohlen, dass Sie Spamschutz für Office 365 konfigurieren.

Bösartige E-Mails finden und untersuchen, die zugestellt wurden

Echtzeit-Erkennungen und Threat Explorer geben Sicherheitspersonal die Möglichkeit, feindselige Aktivitäten zu untersuchen, die Ihre Organisation gefährden könnten. Die verfügbaren Aktionen sind:

  • Ortung und Identifizierung der IP-Adresse eines bösartigen E-Mail-Absenders
  • Das Auffinden und Löschen von Nachrichten
  • Ein Vorfall wird gestartet, um weitere Untersuchungen durchzuführen
  • Überprüfen Sie die Zustellaktion und den Standort
  • Sehen Sie sich die Zeitachse Ihrer E-Mails an

Anzeigen von bösartigen Dateien, die in SharePoint Online, OneDrive und Microsoft Teams erkannt wurden

Berichte im Explorer listen Informationen über Dateien auf, die von Safe Attachments für OneDrive, Microsoft Teams und SharePoint Online als bösartig identifiziert wurden. Administratoren können diese Dateien auch in Quarantäne anzeigen.

Überprüfen Sie den Bericht zum Bedrohungsschutzstatus

Dieses Widget zeigt den Status Ihrer Office 365-Sicherheit an. Zusätzlich zur Anzahl der E-Mail-Nachrichten, die bösartige Inhalte enthalten, finden Sie auch:

  • Dateien oder URLs, die blockiert wurden
  • Nullstunden-Auto-Purge (ZAP)
  • Sichere Links
  • Sichere Anhänge
  • Imitatorschutzfunktionen in Anti-Phishing-Richtlinien

Diese Informationen ermöglichen es Ihnen, Sicherheitstrends zu analysieren, damit Sie feststellen können, ob Ihre Richtlinien angepasst werden müssen.

Simulationstraining für Angriffe

Richten Sie realistische, aber harmlose Cyberangriffe in Ihrer Organisation ein und führen Sie sie durch, um Ihre Sicherheitsrichtlinien zu testen und Schwachstellen zu identifizieren, bevor ein tatsächlicher Angriff stattfindet. Diese Simulationen sind ein Teil des Bedrohungsschutzes von Office 365, da sie dazu beitragen, Ihre Mitarbeiter darauf zu trainieren, wachsam gegen Social-Engineering-Techniken wie Phishing-Angriffe zu bleiben.

Hinweis: Sie können auf diese Funktion zugreifen, indem Sie zum Microsoft 365 Defender-Portal gehen > E-Mail & Zusammenarbeit > Simulierte Angriffsschulung. Oder gehen Sie direkt zur Seite für simulierte Angriffsschulung.

Die simulierte Angriffsschulung hat einen spezifischen Workflow, der aus einer Reihe von Schritten besteht, die Sie abschließen müssen, bevor der simulierte Angriff gestartet wird.

Wählen Sie eine Social-Engineering-Technik

Zunächst müssen Sie eine der verfügbaren Social Engineering-Methoden auswählen:

  • Link zu Malware: Führt einen beliebigen Code von einer Datei aus, die auf einem seriösen Dateifreigabedienst gehostet wird, und sendet dann eine Nachricht mit einem Link zu dieser bösartigen Datei. Wenn der Benutzer die Datei öffnet, ist das Gerät kompromittiert.
  • Credential Harvesting: Benutzer werden zu einer Website umgeleitet, die wie eine bekannte Website aussieht, auf der sie ihren Benutzernamen und ihr Passwort eingeben können.
  • Link im Anhang: Eine URL wird zu einem E-Mail-Anhang hinzugefügt und verhält sich ähnlich wie beim Credential Harvesting.
  • Malware-Anhang: Ein bösartiger Anhang wird einer Nachricht hinzugefügt. Wenn der Anhang geöffnet wird, ist das Gerät des Ziels kompromittiert.Drive-by-URL: Eine URL leitet den Benutzer zu einer vertrauten Website um, die im Hintergrund bösartigen Code installiert. Der Office 365-Endpunktschutz kann solche Bedrohungen möglicherweise nicht abwehren, und folglich wird das Gerät infiziert.
  • Drive-by-URL: Eine URL leitet den Benutzer auf eine vertraute Website um, die im Hintergrund bösartigen Code installiert. Der Endpunktschutz von Office 365 kann solche Bedrohungen möglicherweise nicht abwehren, und folglich wird das Gerät infiziert.

Wählen Sie einen Namen und beschreiben Sie die Simulation

Der nächste Schritt besteht darin, einen eindeutigen und beschreibenden Namen für die Simulation einzugeben, die Sie erstellen. Eine ausführliche Beschreibung ist optional.

Wählen Sie eine Nutzlast

Auf dieser Seite sollten Sie die Nutzlast auswählen, die den Benutzern in der Simulation präsentiert wird. Dies könnte entweder eine E-Mail-Nachricht oder eine Webseite sein. Sie können aus dem integrierten Katalog wählen, der die verfügbaren Nutzlasten enthält. Es ist auch möglich, eine benutzerdefinierte Nutzlast zu erstellen, die besser zu Ihrer Organisation passt.

Zielbenutzer

Hier wählen Sie die Benutzer in Ihrem Unternehmen aus, die das Training zur Angriffssimulation erhalten werden. Sie können entweder alle Benutzer einschließen oder spezifische Ziele und Gruppen auswählen.

Training zuweisen

Microsoft empfiehlt, dass Sie für jede erstellte Simulation ein Training zuweisen, da die Mitarbeiter, die es durchlaufen, weniger anfällig für einen ähnlichen Angriff sind. Sie können die vorgeschlagenen Kurse und Module anzeigen und diejenigen auswählen, die basierend auf den Ergebnissen des Benutzers am besten zu Ihren Bedürfnissen passen.

Endbenachrichtigung auswählen

Dieser Tab ermöglicht es Ihnen, Ihre Benachrichtigungseinstellungen zu konfigurieren. Sie können eine positive Verstärkungsbenachrichtigung hinzufügen, wenn Sie Benutzerdefinierte Endbenachrichtigungen wählen, um Ihre Benutzer zu ermutigen, sobald sie mit dem Training fertig sind.

Automatisierte Untersuchung und Reaktion (AIR)

Im Office 365-Sicherheit lösen die Automatisierten Untersuchungs- und Reaktionsfähigkeiten (AIR) automatische Warnmeldungen aus, wenn eine bekannte Bedrohung Ihr Unternehmen ins Visier nimmt. Dies verringert die manuelle Arbeit und ermöglicht es Ihrem Sicherheitsteam, effizienter zu arbeiten, indem sie entsprechend überprüfen, priorisieren und reagieren.

Eine automatisierte Untersuchung kann entweder durch einen verdächtigen Anhang ausgelöst werden, der in einer E-Mail-Nachricht angekommen ist, oder durch einen Analysten, der Threat Explorer verwendet. AIR sammelt Daten im Zusammenhang mit der betreffenden E-Mail, wie beabsichtigte Empfänger, Dateien und URLs. Administratoren und Sicherheitspersonal können die Untersuchungsergebnisse überprüfen und die Empfehlungen überprüfen, um die Sofortmaßnahmen zu genehmigen oder abzulehnen.

AIR kann durch eine der folgenden Warnmeldungen ausgelöst werden:

  • A possibly malicious URL was clicked
  • A user reported an email as phishing or malware
  • Eine E-Mail-Nachricht enthält Malware oder Phish-URL und wurde nach der Zustellung entfernt
  • A suspicious email sending pattern was detected
  • A user is restricted from sending messages

Fazit

Die Office 365-Bedrohungsuntersuchung bietet verschiedene Funktionen, die Ihre Daten schützen. Mit Microsoft Defender für Office 365 Plan 2 können Sie fortschrittliche Funktionen wie Bedrohungsverfolger und Bedrohungsexplorer nutzen. Sie können auch Angriffssimulationstraining durchführen, um Ihre Benutzer wachsam und sicher vor potenziellen Cyberangriffen zu halten. Darüber hinaus können Sie eine automatisierte Untersuchung und Reaktion (AIR) einrichten, um Ihr Sicherheitsteam zu entlasten, damit sie sich auf die bedrohlichsten Bedrohungen konzentrieren können.

Dennoch ist der einzige Weg, um einen vollständigen Schutz einer Office 365-Umgebung sicherzustellen, die Bereitstellung einer modernen Datensicherungslösung wie NAKIVO Backup & Replication. Die Lösung bietet leistungs

Source:
https://www.nakivo.com/blog/microsoft-365-threat-investigation-and-response/