Microsoft Defender für Office 365

Der Defender für Office 365 ist der Teil des Microsoft Defender, welcher Ihre E-Mail- und Dateninfrastruktur beschützt. Dadurch sind Sie besser vor Spam, Phishing oder Malware geschützt.

Grundlagen

Allgemein kann man sagen, dass der Defender für Office 365 vier grundlegende Features hat. Diese sind:

  • Richtlinien: Setzen Sie Richtlinien in Ihrem Unternehmen ein, um ein Schutzniveau zu etablieren.
  • Berichte: Nutzen Sie die Echtzeitinformationen über den Erfolg des Defender in Form von Berichten.
  • Tool-Box: Ihnen stehen verschiedene Tools zur Verfügung, um Bedrohungen präventiv zu bekämpfen.
  • Automation: Automatisieren Sie die Erkennung und Bekämpfung von Bedrohungen.

Die genaue Umsetzung dieser Features hängt vom Plan ab, in welcher Ihr Defender vorliegt. So gibt es den Plan 1 und den Plan 2. Der Plan 1 baut auf die Exchange Online Protection – kurz EOP – von Microsoft auf. EOP ist in jedem Abonnement enthalten, in dem ein Exchange Online Postfach enthalten ist. Allerdings schütz der EOP nur vor bekannten und offensichtlichen Bedrohungen. Weiterreichender Schutz erhalten Sie dann erst mit dem Defender für Office 365 in Plan 1 oder 2. Hierbei ist der Plan 1 nicht so umfangreich ausgestattet mit Features wie der Plan 2. Der Grund hierfür ist, dass der Plan 2 die Features von Plan 1 übernimmt und ergänzt.

Microsoft Defender für Office 365: Plan 1

Der Plan 1 ist mit insgesamt fünf konkreten Features ausgestattet:

1. Sichere Anhänge

Anhänge an E-Mails werden grundsätzlich vom Anti-Malware-Schutz in Exchange Online Protection (EOP) gescannt. Darüber hinaus gibt es im Plan 1 noch zusätzliche Features. Hierbei werden Richtlinien festgelegt, welche bei Anhängen erfüllt werden müssen. Diese Richtlinien können Sie auch spezifisch auf bestimmte Benutzer, Gruppen oder Domänen festlegen. Nach dem Aufstellen einer Richtlinie von Admins-Seite dauert es etwa 30 Minuten, bis diese bei allen betroffenen Benutzern angekommen ist. Das Einstellen der globalen Richtlinien erfolgt in den globalen Einstellungen des Microsoft 365 Defender Portal. Hier gibt es fünf mögliche Einstellungen: Aus, Monitor, Block, Ersetzen und Dynamische Lieferung. Es keine allgemein richtige Einstellung. Jedoch sollte die erste Möglichkeit „Aus“ vermieden werden, da hierdurch das Scannen auf Malware deaktiviert wird.

2. Sichere Links

Erneut ergänzt der Defender für Office 365 bestehende Funktionen des EOP. So stellt der Defender ein allgemeines Schutzprofil für E-Mail-Nachrichten. Darüber hinaus können im Defender Portal unter Email & Collaboration > Policies & Rules > Threat policies > Safe Links eigene Richtlinien erstellt und festgelegt werden. Diese können erneut spezifisch für bestimmte Benutzer, Gruppen oder Domänen gelten. Neben E-Mails schütz der Defender auch vor unsicheren Links in Microsoft Teams und in den Office 365 Apps.

3. Sichere Anhänge für SharePoint, OneDrive und Microsoft Teams

Im Defender Portal können Sie unter Safe Attachments im Richtlinienbereich den Defender für SharePoint, OneDrive und Teams aktivieren. Diese Einstellung ist global. Somit können nun Anhänge in den drei Apps gegebenenfalls als bösartig erkannt werden. In diesem Fall ist solch eine Datei zwar noch in den Bibliotheken sichtbar, allerdings lässt sie sich nicht mehr öffnen, kopieren, verschieben oder freigeben. Gekennzeichnet wird so ein Anhang mit einem roten Schild mit einem X. Dieses Symbol steht immer neben dem Namen in der Anhängebibliothek. User können eine solche Datei nur löschen oder Informationen über die Datei abrufen. Der Download der Datei ist meistens auch noch möglich, allerdings kann dies von SharePoint Online-Administratoren gesperrt werden. Den Grund, warum der Anhang als bösartig identifiziert wurde, finden Sie in den Berichten. Administratoren haben weiterhin Zugriff zu den Dateien, auch wenn der Defender diese als bösartig identifiziert hat.

4. Anti-Phishing-Schutz in Defender für Office 365

Der Defender stellt ebenfalls eine Identitätsschutzfunktion und erweiterte Einstellungen zur Verfügung. Der Identitätsschutz schütz Sie vor imitierenden Domänen oder E-Mail-Adressen. Dahinter steckt die Gefahr, dass Sie beispielsweise eine Mail von einem vertrauten Namen erhalten, aber die E-Mail-Adresse nicht passt. Fällt einem die dubiose Adresse nicht auf, so glaubt man, die Mail stammt von einem Kollegen. Der Defender sucht genau solche Fälle, in denen die Identität einer vertrauten Person oder Quelle ausgenutzt wird. Die erweiterten Einstellungen ermöglichen das Festlegen eines Schwellenwertes. So steuert dieser Wert die Aggressivität des Defender. Der Wert 1 ist der Standardwert und der niedrigste. Jedoch können Administratoren diesen Wert auf 4 erhöhen. Hier handelt der Defender am aggressivsten. Allerdings kann man diesen Wert nicht einfach erhöhen und davon ausgehen, fortan besser geschützt zu sein, da auf Wert 4 die Fehlerrate des Defender auch am höchsten ist.

5. Erkennungen in Echtzeit

Ihr Sicherheitsteam hat im Security & Compliance Center die Möglichkeit, bestehende Bedrohungen einzusehen und zu reagieren. Hierbei liegen die Daten in Echtzeit in Form eines grafisch aufbereiteten Berichts vor.

Microsoft Defender für Office 365: Plan 2

Der Plan 2 übernimmt wie bereits erwähnt, die Features von Plan 1 und ergänzt sie um folgende 4 Features:

1. Bedrohungs-Tracker

Im Bedrohungstracker erhält das Sicherheitsteam aktuelle Informationen zu Malware-Kampagnen. Sie erreichen den Tracker im Defender Portal unter Email & Collaboration > Threat Tracker. Dadurch ist das Sicherheitsteam immer auf dem neuesten Stand bezüglich neuer Bedrohungen, Risiken und Sicherheitslücken. Zudem ist einzusehen, welche Schwachstellen momentan häufig genutzt werden, um Schaden in einem Unternehmen anzurichten. Hierdurch kann man genau diese Stellen im eigenen Unternehmen stärker absichern.

2. Bedrohungs-Explorer

Dieses Feature ist bereits in Plan 1 enthalten und wird in Plan 2 nochmals verbessert und erweitert. So sind mehr Daten über einen längeren Zeitraum verfügbar. Zudem hat der Plan 2 einen Explorer und einen Angriffssimulator, welche nicht in Plan 1 enthalten sind. Im Explorer kann ein Sicherheitsadministrator automatisierte Untersuchungen starten.

Beim Angriffssimulator können Sie die Sicherheit Ihres Unternehmens in der Praxis testen. Hierbei fordert ein Cyberangriff Ihr gesamtes Unternehmen. Allerdings ist dieser Angriff natürlich gutartig und kann keinen Schaden hinterlassen. Sie können die Simulation im Defender Portal und E-Mail und Zusammenarbeit > Angriffssimulationstraining starten. Dabei kann eine von fünf Techniken ausgewählt werden, nach der der Angriff ablaufen soll. Zudem kann eine Simulation für alle Benutzer und Gruppen oder nur für bestimmte ausgeführt werden.

3. Suchen Sie proaktiv nach Bedrohungen mit der erweiterten Suche in Microsoft 365 Defender

Dieses Tool basiert auf Abfragen, um Bedrohungen zu suchen. Hierbei werden die Rohdaten der letzten < 30 Tage durchsucht. Auf der Startseite befinden sich erste Beispiele zur Abfragesprache, die auf den Kusto-Abfragesprachen basiert. Um dieses Tool nutzen zu können, müssen Teile Ihres Sicherheitsteams die Abfragesprache lernen, anwenden und beherrschen.

4. Untersuchen Sie Vorfälle und Warnungen in Microsoft 365 Defender

Der Defender fasst alle Daten von allen Geräten und Benutzern zusammen. Hierbei können Vorfälle und Warnungen auftreten. Sie können alle Vorfälle aufgelistet im Defender Portal einsehen und Informationen über sie erhalten. Somit erhalten Sie auf einen Blick alle Vorfälle mit dem jeweiligen Schweregrad, also wie kritisch dieser Vorfall für die Sicherheit Ihres Unternehmens ist. Auch die Warnungen können Sie zusammenhängend mit dem Vorfall einsehen. Hierbei sehen Sie, wie gefährlich die Warnung ist, woher sie stammt und was der Grund für sie ist.

Da jeder Vorfall und jede Warnung einem Gerät und einem Benutzer zugeordnet werden kann, können Sie sich auch genau das anzeigen lassen. Sie können durch das Wechseln der Registerkarte im Bereich Geräte alle Geräte sehen, die in Verbindung zu einer Warnung oder einem Vorfall stehen. Wenn Sie auf die Karte Benutzer wechseln, sehen Sie folglich alle entsprechenden User. Zudem ist dasselbe Schema auch anwendbar und einsehbar für Postfächer und Untersuchungen.

Testlizenz

Auch für den Microsoft Defender für Office 365 gibt es eine Testlizenz. Diese kann bei Interesse hier erworben werden.

Haben Sie Fragen?

Nico Ziegler

Beitrag teilen:

Weitere interessante Beiträge

Scroll to Top