Erkunden des Microsoft Defender for Office 365-Schutzstapels

Der Microsoft Defender für Office 365-Schutzstapel bietet mehrere Sicherheitsschutzebenen für alle eingehenden Nachrichten. Der Stapel besteht aus vier Teilen:

• Edge-Schutz
• Absenderintelligenz
• Inhaltsfilterung
• Schutz nach der Übermittlung

Jede Ebene sucht nach einer anderen Art von Bedrohung. In der Regel durchläuft eine Nachricht jede der Ebenen. Die tatsächliche Route durch die einzelnen Teile hängt jedoch davon ab, wie ein organization Microsoft Defender for Office 365 konfiguriert.

Ebene 1: Die Edge-Schutzebene

Die Edge-Schutzebene ist der erste Kontaktpunkt für eine eingehende Nachricht. Es besteht aus Edgeblöcken, die automatisch ausgeführt werden. Jeder Edge-Block behandelt einen anderen Aspekt des Schutzes – von der Netzwerk- und IP-Zuverlässigkeitsdrosselung über verzeichnisbasierte Edge-Filterung bis hin zur Rückstauerkennung.

Die Edge-Schutzebene besteht aus den folgenden Edgeblöcken:

• Netzwerkdrosselung. Schränkt die Anzahl der Nachrichten ein, die einzelne Benutzer oder Anwendungen innerhalb eines kurzen Zeitraums senden können. Dadurch wird verhindert, dass das Netzwerk den Server überlastet, und das Risiko eines Denial-of-Service-Angriffs (DOS) wird verringert.
• IP-Zuverlässigkeit und -Drosselung. Blockiert Nachrichten, die von bekannten IP-Adressen mit schlechter Verbindung gesendet werden.
• Domänenzulässigkeit. Blockiert alle Nachrichten, die von einer bekanntermaßen fehlerhaften Domäne gesendet werden.
• Verzeichnisbasierte Edgefilterung. Blockiert Versuche, die Verzeichnisinformationen einer Organisation über SMTP zu sammeln.
• Rückstauerkennung. Verhindert, dass ein organization durch ungültige, nicht verwerfliche Berichte (NonDelivery Reports, NDRs) angreift.
• Erweiterte Filterung für lokales Routing. Verwendet die wahre Quelle von E-Mail-Nachrichten, auch wenn der Datenverkehr über ein anderes Gerät fließt, bevor es Microsoft 365 erreicht. Ein weiterer Name für diesen Block ist Erweiterte Filterung für Connectors.

Ebene 2: Die Senderintelligenzebene

Die nächste Ebene im Schutzstapel ist die Absenderintelligenz. Der Fokus dieser Ebene liegt auf der Identifizierung der Gültigkeit des Nachrichtensenders. Diese Ebene überprüft jede Nachricht auf die folgenden Probleme:

• Indikatoren für ein kompromittiertes Konto
• Spam
• Spoofing
• ob der organization den E-Mail-Absender zuvor autorisiert und authentifiziert hat
• das Postfach verhält sich innerhalb der Toleranz.

Das Sicherheitsteam einer Organisation kann jede dieser Funktionen so konfigurieren, dass sie ihren Geschäftsanforderungen entspricht.

Die Absender-Intelligenzebene besteht aus den folgenden Features:

• Es löst Warnungen zur Erkennung von Kontokompromittierungen aus, wenn ein Konto ein ungewöhnliches Verhalten aufweist, das mit einem kompromittierten Konto übereinstimmt.
• Email Authentication versucht, echte Absender zu autorisieren und deren Legitimität sicherzustellen. Um Spoofing zu vermeiden, sollten Organisationen die Authentifizierungsmethoden SPF, DKIM, DMARC und ARC verwenden.
• Spoofintelligenz filtert die Benutzer, die zum „Spoofing“ berechtigt sind, unter den böswilligen Absendern heraus, die organisatorische oder bekannte externe Domänen imitieren.
• Organisationsinterne Spoofintelligenz erkennt und blockiert Spoofingversuche aus einer Domäne innerhalb der Organisation.
• Die domänenübergreifende Spoofintelligenz erkennt und blockiert Spoofingversuche von einer Domäne außerhalb der Organisation.
• Mithilfe der Massenfilterung können Sie eine Massenkonfidenzebene konfigurieren. Die Ebene gibt an, ob ein Massenabsender die Nachricht gesendet hat. Massenabsender können wahrscheinlicher oder weniger wahrscheinlich Spam senden.
• Die Postfachintelligenz lernt aus standardmäßigen E-Mail-Verhaltensweisen von Benutzern. Wie? Sie beginnt mit der Analyse des Kommunikationsgraphen eines Benutzers, bei dem es sich um einen Verlauf von Nachrichten an und vom Benutzer handelt. Diese Analyse wird verwendet, um zu erkennen, wann ein Absender nur jemand zu sein scheint, mit dem der Benutzer normalerweise kommuniziert, aber stattdessen böswillig ist.
• Postfachintelligenz für den Schutz vor Identitätswechsel ermöglicht es Organisationen, bestimmte Aktionen zu konfigurieren, um Nachrichten zu übernehmen, wenn Postfachintelligenz einen imitierten Benutzer erkennt.
• Der Benutzeridentitätswechsel ermöglicht Es Organisationen, eine Liste mit hochwertigen Zielen (Absendern) zu erstellen, die Angreifer tendenziell annehmen.
• Der Domänenidentitätswechsel erkennt Absenderdomänen, die der Domäne des Empfängers ähneln, um wie eine interne Domäne auszusehen.

Ebene 3: Die Ebene zum Filtern von Inhalten

Die nächste Ebene im Schutzstapel ist die Inhaltsfilterung. Der Hauptfokus dieser Ebene liegt auf der Überprüfung des Inhalts der E-Mail. Dabei wird nach verdächtigen Nachrichtenstrukturen und Worthäufigkeit, Links und Anlagen gesucht. Jede E-Mail durchläuft mehreren Prüfungen, von Nachrichtenflussregeln bis hin zu Heuristiken und Modellen des maschinellen Lernen.

Die Inhaltsfilterebene besteht aus den folgenden Funktionen:

• Nachrichtenflussregeln (auch als Transportregeln bezeichnet) werten alle Nachrichten, die eine Organisation durchlaufen, basierend auf den Bedingungen, Ausnahmen und Aktionen aktivierter Nachrichtenflussregeln aus.
• Es verwendet Microsoft Defender Antivirus und zwei Antiviren-Engines von Drittanbietern, um alle bekannten Schadsoftware in Anlagen zu erkennen.
• Die allgemeine Anlagenfilterung kann alle Anlagen der von der Organisation festgelegten Typen blockieren.
• Der Dienst zum Blockieren der Anlagenreputation blockiert bekannte schädliche Dateien in allen Microsoft 365-Produkten eines organization.
• Heuristisches Clustering kann bestimmen, ob eine Datei verdächtig ist. Dies erfolgt basierend auf der Übermittlungsheuristik.
• Modelle des maschinellen Lernens reagieren auf die Kopfzeile, den Textkörperinhalt und die URLs einer Nachricht, um Phishingversuche zu erkennen.
• Der Url-Zuverlässigkeits-Blockierungsdienst blockiert jede Nachricht mit einer bekannten schädlichen URL.
• Inhaltsheuristiken können verdächtige Nachrichten basierend auf der Struktur und Worthäufigkeit innerhalb des Nachrichtentexts erkennen. Dazu werden Machine Learning-Modelle verwendet.
• Safe Attachments stellt jede Anlage für Microsoft Defender for Office 365-Kunden in eine Sandbox. Es verwendet dynamische Analysen, um nie zuvor erkannte Bedrohungen zu erkennen.
• Bei der Detonation von verlinkten Inhalten wird jede URL, die auf eine Datei in einer E-Mail verweist, als Anhang behandelt. anschließend wird die Datei zum Zeitpunkt der Übermittlung asynchron in eine Sandbox verpackt.
• Die URL-Detonation erfolgt, wenn die Upstream-Antiphishingtechnologie eine Nachricht oder URL als verdächtig findet.

Ebene 4: Die Schutzebene nach der Übermittlung

Die letzte Ebene im Schutzstapel ist der Schutz nach der Übermittlung. Diese beständige Ebene verwaltet, wie Benutzer nicht nur in ihren Postfächern, sondern auch in anderen Tools für die Zusammenarbeit wie Microsoft Teams mit Dateien und Links interagieren.

Die Schutzebene nach der Übermittlung besteht aus den folgenden Funktionen:

• Sichere Links ist der Schutz zum Zeitpunkt des Klickens in Microsoft Defender for Office 365. Wenn ein Benutzer eine URL auswählt, überprüft Safe Links diese anhand des aktuellen Rufs, bevor er zur Zielwebsite umleitet.
• Zero-Hour Auto Purge (ZAP) für Phishing erkennt und neutralisiert schädliche Phishing-Nachrichten, die das System zuvor an Exchange Online Postfächer übermittelt hat.
• ZAP für Schadsoftware erkennt und neutralisiert schädliche Malware-Nachrichten, die das System zuvor an Exchange Online Postfächer übermittelt hat.
• ZAP für Spam erkennt und neutralisiert schädliche Spamnachrichten, die das System zuvor an Exchange Online Postfächer übermittelt hat.
• Kampagnenansichten ermöglichen es einem organization, die Gesamtheit eines Angriffs zu sehen, indem die riesigen Mengen an Anti-Phishing-, Antispam- und Anti-Malware-Daten im gesamten Dienst verwendet werden.
• Mit dem Add-In „Nachricht melden“ und dem Add-In „Phishing melden“ können Benutzer auf einfache Weise falsch positive (gute E-Mails, die fälschlicherweise als schlecht markiert wurden) oder falsch negative (schlechte E-Mails, die als „gut“ markiert wurden) zur weiteren Analyse an Microsoft melden.
• Safe Links für Office-Apps bietet den gleichen Safe Links-Schutz zum Zeitpunkt des Klickens standardmäßig in unterstützten Office-Apps wie Word, PowerPoint und Excel.
• Der Schutz für OneDrive, SharePoint und Teams bietet den gleichen "Sichere Links"-Schutz vor schädlichen Dateien, nativ, innerhalb OneDrive, SharePoint und Microsoft Teams.
• Bei der Detonation verknüpfter Inhalte wird eine Warnseite angezeigt, wenn der Benutzer die URL auswählt. Die Warnseite wird weiterhin angezeigt, bis sichere Links die Dateisandboxing abgeschlossen haben und die URL als sicher ermittelt wird.

Wissenscheck

Wählen Sie für jede der folgenden Fragen die beste Antwort aus.