Konfigurieren von Microsoft Defender für Office 365 für Advanced Threat Protection

Konfigurieren von Microsoft Defender für Office 365 für Advanced Threat Protection

12.01.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Konfiguration und Optimierung von Microsoft Defender für Office 365 (MDO) helfen, einer robusten Lösung für erweiterten Schutz vor Bedrohungen durch E-Mail und Zusammenarbeit. In einem Szenario, in dem E-Mails nach wie vor der Hauptvektor für Cyberangriffe wie Phishing, Malware und Spam sind, bietet MDO wesentliche Verteidigungsebenen zum Schutz von Benutzern und dem Unternehmen [1].

Einführung

E-Mail ist ein unverzichtbares Kommunikationsmittel, aber auch ein häufiger Eintrittspunkt für Cyber-Bedrohungen. Phishing-Angriffe, über bösartige Anhänge übermittelte Ransomware, Business Email Compromise (BEC) und Spoofing sind gängige Taktiken, die darauf abzielen, das Vertrauen der Benutzer auszunutzen und traditionelle Abwehrmaßnahmen zu umgehen. Microsoft Defender für Office 365 (früher bekannt als Office 365 Advanced Threat Protection – ATP) ist eine cloudbasierte Sicherheitssuite zum Schutz vor diesen erweiterten Bedrohungen und bietet Funktionen wie sichere Anhänge, sichere Links, Anti-Phishing, Anti-Spoofing und Anti-Malware-Schutz [2].

Dieser praktische Leitfaden behandelt die schrittweise Konfiguration der wichtigsten Funktionen von MDO, einschließlich der Erstellung von Richtlinien für sichere Anhänge, sichere Links, Anti-Phishing und Anti-Malware. Detaillierte Anweisungen, praktische Beispiele und tatsächliche Befehle (falls zutreffend) werden bereitgestellt, damit der Leser die Wirksamkeit dieser Schutzmaßnahmen implementieren, testen und validieren kann. Darüber hinaus werden Sicherheitstipps, Compliance-Checks und Best Practices besprochen, um sicherzustellen, dass Ihr Unternehmen selbstständig, professionell und zuverlässig vor den neuesten Bedrohungen geschützt ist.

Warum ist Microsoft Defender für Office 365 so wichtig?

  • Erweiterter Bedrohungsschutz: Schützt vor raffinierten Angriffen wie gezieltem Phishing, Ransomware, Zero-Day-Malware und Business Email Compromise (BEC), die herkömmliche Abwehrmaßnahmen möglicherweise nicht erkennen.
  • Sichere Anhänge: Öffnet E-Mail-Anhänge in einer virtuellen Sandbox-Umgebung, um vor der Übermittlung an Benutzer zu prüfen, ob sie schädlich sind, und schützt so vor unbekannter Malware.
  • Sichere Links: Schreibt URLs in E-Mails und Dokumenten neu, um ihre Sicherheit zum Zeitpunkt des Klicks zu überprüfen und Benutzer vor bösartigen Links zu schützen, selbst wenn die ursprüngliche URL zum Zeitpunkt der Zustellung sicher war.
  • Anti-Phishing- und Anti-Spoofing-Schutz: Nutzt maschinelle Intelligenz und fortschrittliche Heuristiken, um Phishing-E-Mails und Spoofing-Versuche zu identifizieren und zu blockieren.
  • Berichte und Analysen: Bietet detaillierte Einblicke in erkannte Bedrohungen und ermöglicht es Sicherheitsteams, Vorfälle zu untersuchen und Richtlinien nach Bedarf anzupassen.
  • Microsoft 365-Integration: Integriert sich nativ in Exchange Online, SharePoint Online, OneDrive for Business und Microsoft Teams und bietet umfassenden Schutz für das gesamte Kollaborationsökosystem.

Voraussetzungen

Um Microsoft Defender für Office 365 zu konfigurieren, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: MDO ist in Lizenzen wie Microsoft 365 E5, Office 365 E5, Microsoft 365 E5 Security enthalten oder kann als Add-on zu anderen Microsoft 365/Office 365-Abonnements erworben werden [3].
  2. Administratorzugriff: Ein Konto mit der Rolle „Globaler Administrator“ oder „Sicherheitsadministrator“ im Microsoft 365 Defender-Portal („https://security.microsoft.com“).
  3. Konfigurierte Domänen: Ihre Domänen müssen in Microsoft 365 konfiguriert und validiert werden, wobei die MX-Einträge auf Exchange Online Protection (EOP) verweisen.

Schritt für Schritt: Microsoft Defender für Office 365 konfigurieren

Lassen Sie uns erweiterte Schutzrichtlinien in MDO konfigurieren.

1. Zugriff auf das Microsoft 365 Defender-Portal

Alle MDO-Einstellungen werden über das einheitliche Microsoft 365 Defender-Portal verwaltet.

  1. Öffnen Sie Ihren Browser und navigieren Sie zum Microsoft 365 Defender-Portal: „https://security.microsoft.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  3. Wählen Sie im linken Navigationsbereich E-Mail und Zusammenarbeit > Richtlinien und Regeln > Bedrohungsrichtlinien aus.

2. Konfigurieren der Richtlinie für sichere Anhänge(Sichere Anhänge)

Richtlinien für sichere Anhänge schützen vor Zero-Day-Malware in E-Mail-Anhängen.

  1. Wählen Sie auf der Seite „Bedrohungsrichtlinien“ die Option Sichere Anhänge.
  2. Klicken Sie auf „+Erstellen“, um den neuen Richtlinienassistenten für sichere Anhänge zu starten.
  3. Richtlinienname: Geben Sie einen aussagekräftigen Namen ein (z. B. „Global Secure Attachment Policy“).
  4. Beschreibung: Geben Sie eine klare Beschreibung an (z. B. „Schutz vor bösartigen Anhängen für alle Benutzer“).

  5. Klicken Sie auf „Weiter“.

  6. Benutzer, Gruppen und Domänen:

    • Wählen Sie unter „Benutzer und Gruppen“ „Alle Benutzer“ aus oder fügen Sie bestimmte Benutzer/Gruppen hinzu. Für umfassenden Schutz wird „Alle Benutzer“ empfohlen.
    • Wählen Sie unter „Domains“ „Alle Domains“ oder bestimmte Domains aus.

  7. Klicken Sie auf „Weiter“.

  8. Einstellungen:

    • Aktion der Malware-Reaktion für sichere Anhänge: Wählen Sie „Blockieren“.
      • Erklärung: Dies ist die sicherste Aktion, da sie E-Mails mit erkannten schädlichen Anhängen blockiert.
    • Erkannte Anhänge umleiten: Optional können Sie bösartige Anhänge zur Analyse an eine sichere Postfach-E-Mail-Adresse umleiten.
    • Priorität: Behalten Sie den Standardwert bei oder legen Sie eine Priorität fest, wenn Sie mehrere Richtlinien haben.

  9. Klicken Sie auf „Weiter“.

  10. Überprüfen: Überprüfen Sie die Einstellungen und klicken Sie auf „Senden“, um die Richtlinie zu erstellen.

3. Konfigurieren der Richtlinie für sichere Links

Richtlinien für sichere Links schützen vor bösartigen URLs in E-Mails und anderen Microsoft 365-Apps.

  1. Wählen Sie auf der Seite „Bedrohungsrichtlinien“ die Option Sichere Links.
  2. Klicken Sie auf „+Erstellen“, um den neuen Richtlinienassistenten für sichere Links zu starten.
  3. Richtlinienname: Geben Sie einen aussagekräftigen Namen ein (z. B. „Globale Richtlinie für sichere Links“).
  4. Beschreibung: Geben Sie eine klare Beschreibung an (z. B. „Schutz vor schädlichen URLs für alle Benutzer“).

  5. Klicken Sie auf „Weiter“.

  6. Benutzer, Gruppen und Domänen:

    • Wählen Sie unter „Benutzer und Gruppen“ „Alle Benutzer“ aus oder fügen Sie bestimmte Benutzer/Gruppen hinzu.
    • Wählen Sie unter „Domains“ „Alle Domains“ oder bestimmte Domains aus.

  7. Klicken Sie auf „Weiter“.

  8. URL- und Klickschutzeinstellungen:

    • Aktion für potenziell schädliche URLs auswählen: Wählen Sie „Sichere Links in E-Mail aktivieren“.
    • Sichere Links auf E-Mail-Nachrichten anwenden, die innerhalb der Organisation gesendet werden: Aktivieren Sie diese Option, um interne Links zu schützen.
    • Sichere Links auf URLs in unterstützten Office 365-Clients anwenden: Aktivieren Sie diese Option, um Links in Anwendungen wie Teams, Word, Excel, PowerPoint zu sichern.
    • URLs nicht neu schreiben, sondern Prüfungen über die API nur bei sicheren Links durchführen: Deaktivieren Sie diese Option, da das Umschreiben für den Schutz von entscheidender Bedeutung ist.
    • Benutzer daran hindern, auf Original-URLs zu klicken: Aktivieren Sie diese Option, um sicherzustellen, dass Benutzer die Überprüfung nicht umgehen können.
    • Die folgenden URLs nicht überprüfen: Fügen Sie optional vertrauenswürdige URLs hinzu, die nicht umgeschrieben oder überprüft werden sollten (z. B. die internen URLs Ihrer Organisation).

  9. Klicken Sie auf „Weiter“.

  10. Überprüfen: Überprüfen Sie die Einstellungen und klicken Sie auf „Senden“, um die Richtlinie zu erstellen.

4. Anti-Phishing-Richtlinie konfigurieren

Anti-Phishing-Richtlinien schützen vor Spoofing und anderen Phishing-Angriffen.

  1. Wählen Sie auf der Seite „Bedrohungsrichtlinien“ die Option Anti-Phishing aus.
  2. Klicken Sie auf „+Erstellen“, um den neuen Anti-Phishing-Richtlinien-Assistenten zu starten.
  3. Name der Richtlinie: Geben Sie einen aussagekräftigen Namen (z. B. „Globale Anti-Phishing-Richtlinie“).
  4. Beschreibung: Geben Sie eine klare Beschreibung an (z. B. „Phishing- und Spoofing-Schutz für alle Benutzer“).

  5. Klicken Sie auf „Weiter“.

  6. Benutzer, Gruppen und Domänen:

    • Wählen Sie unter „Benutzer“, „Gruppen“ und „Domänen“ jeweils „Alle Benutzer“, „Alle Gruppen“ und „Alle Domänen“ aus. Bei Bedarf können Sie auch einige Benutzer oder Gruppen ausschließen.

  7. Klicken Sie auf „Weiter“.

  8. Phishing-Schwellenwert und Schutz vor Identitätsdiebstahl:

    • Phishing-Schwellenwert: Legen Sie den Grad der Aggressivität des Schutzes fest. Für die meisten Organisationen wird „Standard“ oder „Aggressiv“ empfohlen.
    • Impersonation Intelligence aktivieren: „Aktiviert“ belassen.
    • Mailbox-Intelligenz aktivieren: Bleiben Sie „Ein“.
    • Schutz vor Benutzeridentität aktivieren: Klicken Sie auf „+Benutzer hinzufügen“, um leitende oder hochrangige Benutzer zu schützen.
    • Domänenidentitätsschutz aktivieren: Klicken Sie auf „+Domäne hinzufügen“, um Ihre eigenen und Partnerdomänen zu schützen.

  9. Klicken Sie auf „Weiter“.

  10. Aktionen:

    • Als Fälschung erkannte Nachrichten: Wählen Sie „Nachricht in Junk-E-Mail verschieben“ oder „Nachricht in Quarantäne“.
    • Nachrichten, die als Benutzeridentitätsbetrug erkannt wurden: Wählen Sie „Nachricht unter Quarantäne stellen“.
    • Nachrichten, die als Domänenidentitätsbetrug erkannt wurden: Wählen Sie „Nachricht unter Quarantäne stellen“.
    • Als Phishing erkannte Nachrichten: Wählen Sie „Nachricht unter Quarantäne stellen“.

  11. Klicken Sie auf „Weiter“.

  12. Überprüfen: Überprüfen Sie die Einstellungen und klicken Sie auf „Senden“, um die Richtlinie zu erstellen.

5. Anti-Malware-Richtlinie konfigurieren

Anti-Malware-Richtlinien schützen vor Schadsoftware in E-Mails.

  1. Wählen Sie auf der Seite „Bedrohungsrichtlinien“ die Option Anti-Malware.
  2. Sie sehen eine Standardrichtlinie („Default“), die für alle Empfänger gilt. Für Anpassungen können Sie eine neue Richtlinie erstellen oder die Standardrichtlinie bearbeiten.
  3. Klicken Sie auf „+ Erstellen“ (oder wählen Sie die Richtlinie „Standard“ aus und klicken Sie auf „Schutz bearbeiten“).
  4. Name der Richtlinie: Geben Sie einen Namen ein (z. B. „Benutzerdefinierte Anti-Malware-Richtlinie“).
  5. Beschreibung: Geben Sie eine Beschreibung ein.

  6. Klicken Sie auf „Weiter“.

  7. Benutzer, Gruppen und Domänen:

    • Wählen Sie „Alle Empfänger“ oder fügen Sie bestimmte Benutzer/Gruppen/Domänen hinzu.

  8. Klicken Sie auf „Weiter“.

  9. Schutzeinstellungen:

    • Schutzabschnitt: Lassen Sie die Optionen „Allgemeinen Anhangsfilter aktivieren“ und „Automatische Zero-Hour-Verwerfung für Malware aktivieren“ aktiviert.
    • Quarantänebereich: Definieren Sie, wie lange Malware-Nachrichten in Quarantäne gehalten werden sollen (z. B. „30 Tage“).
    • Benachrichtigungsbereich: Konfigurieren Sie Benachrichtigungen für Administratoren und Absender/Empfänger, wenn Malware erkannt wird.

  10. Klicken Sie auf „Weiter“.

  11. Überprüfen: Überprüfen Sie die Einstellungen und klicken Sie auf „Senden“, um die Richtlinie zu erstellen/aktualisieren.

Validierung und Tests

Es ist wichtig, die Wirksamkeit konfigurierter Richtlinien zu testen, um sicherzustellen, dass sie wie erwartet funktionieren.

1. Sichere Anhänge testen

  1. Szenario: Senden Sie eine E-Mail von einer externen Adresse an einen internen Benutzer mit einer harmlosen Testdatei, die Malware simuliert (z. B. eine EICAR-Datei, bei der es sich um ein Antiviren-Testmuster handelt). Sie können eine EICAR-Datei von verschiedenen Sicherheitswebsites generieren.
  2. Erwartete Aktion: Die E-Mail mit der EICAR-Datei sollte blockiert oder in die Quarantäne verschoben werden und der Anhang sollte nicht an den Benutzer zugestellt werden.
  3. Verifizierung:
    • Navigieren Sie im Microsoft 365 Defender-Portal zu E-Mail & Zusammenarbeit > Explorer (oder Nachrichtenverfolgung).
    • Suchen Sie nach der Test-E-Mail. Sie sollten sehen, dass es von der Richtlinie für sichere Anhänge erkannt und blockiert wurde.

2. Sichere Links testen

  1. Szenario: Senden Sie eine E-Mail von einer externen Adresse an einen internen Benutzer, die einen Link zu einer Phishing-Testseite enthält (z. B. „http://www.phishtest.com“ oder einen Link zu einer Malware-Testseite). Bitte stellen Sie sicher, dass der Link nicht zu einer echten Website führt, die Schaden anrichten könnte.
  2. Erwartete Aktion: Wenn der Benutzer auf den Link klickt, sollte er zu einer Warnseite für sichere Links weitergeleitet werden, die ihn darüber informiert, dass die Website bösartig oder verdächtig ist, und der Zugriff sollte blockiert werden.
  3. Verifizierung:
    • Navigieren Sie im Microsoft 365 Defender-Portal zu E-Mail & Zusammenarbeit > Explorer.
    • Suchen Sie nach der Test-E-Mail. Sie sollten Klickdetails für den Link sehen und sehen, dass er durch sichere Links blockiert wurde.

3. Testen von Anti-Phishing und Anti-Spoofing

  1. Szenario:
    • Spoofing: Senden Sie eine E-Mail von einer externen Adresse, die die Domäne Ihrer Organisation fälscht (z. B. „[email protected]“ von einem nicht autorisierten E-Mail-Server).
    • Impersonation Phishing: Senden Sie eine E-Mail von einer externen Adresse, die wie die Adresse einer Führungskraft aussieht, die durch die Imitationsrichtlinie geschützt ist (z. B. „[email protected]“).
  2. Erwartete Aktion: E-Mails sollten in den Quarantäne- oder Junk-Ordner verschoben werden, wie in der Anti-Phishing-Richtlinie konfiguriert.
  3. Verifizierung:
    • Überprüfen Sie den Quarantäne- oder Junk-Ordner des Benutzers.
    • Auf dem Micro-PortalNavigieren Sie in soft 365 Defender zu E-Mail & Zusammenarbeit > Explorer.
    • Suchen Sie nach Test-E-Mails. Sie sollten sehen, dass sie durch Anti-Phishing-/Anti-Spoofing-Richtlinien erkannt und behandelt wurden.

Sicherheitstipps und Best Practices

  • Vordefinierte Sicherheitsrichtlinien: Erwägen Sie die Verwendung der vordefinierten Sicherheitsrichtlinien („Standard“ und „Streng“) in MDO. Sie wenden von Microsoft empfohlene Einstellungen für einen schnellen und effektiven Schutz an [4].
  • Benutzerschulung: Technologie ist nur ein Teil der Lösung. Schulen Sie Ihre Benutzer regelmäßig darin, Phishing-E-Mails und andere Bedrohungen zu erkennen und zu melden. Das Microsoft Attack Simulation Training kann hierfür ein wertvolles Werkzeug sein.
  • Kontinuierliche Überwachung: Überwachen Sie regelmäßig Berichte und Threat Explorer im Microsoft 365 Defender-Portal, um Angriffstrends und Benutzer mit hohem Risiko zu identifizieren und Richtlinien nach Bedarf anzupassen.
  • Ausnahmen mit Vorsicht: Verwenden Sie Ausnahmen (z. B. „Überprüfen Sie die folgenden URLs nicht“ in sicheren Links) mit äußerster Vorsicht und nur für Domänen, die nachweislich sicher und notwendig sind.
  • Richtlinienpriorität: Verstehen Sie, wie die Richtlinienpriorität funktioniert. Spezifischere Richtlinien müssen eine höhere Priorität (kleinere Anzahl) haben, um vor allgemeineren Richtlinien angewendet zu werden.
  • Integration mit Microsoft Sentinel: Senden Sie MDO-Protokolle und Warnungen an Microsoft Sentinel für eine zentrale Ansicht der Sicherheit und Automatisierung der Reaktion auf Vorfälle.
  • Kollaborationsschutz: Denken Sie daran, dass MDO nicht nur E-Mails, sondern auch Dateien in SharePoint, OneDrive und Nachrichten in Teams schützt. Stellen Sie sicher, dass diese Schutzmaßnahmen aktiviert und konfiguriert sind.

Allgemeine Fehlerbehebung

  • Bösartige E-Mails werden nicht blockiert:
    • Stellen Sie sicher, dass die Richtlinien „aktiviert“ sind und auf die richtigen Benutzer/Gruppen/Domänen angewendet werden.
    • Überprüfen Sie die Priorität der Richtlinien. Eine weniger aggressive Politik mit höherer Priorität könnte früher in Kraft treten.
    • Verwenden Sie Nachrichtenverfolgung im Exchange Admin Center (EAC) oder Threat Explorer im Microsoft 365 Defender-Portal, um zu sehen, wie eine bestimmte E-Mail verarbeitet wurde.
    • Stellen Sie sicher, dass es keine Ausnahmen oder Zulassungslisten gibt, die die Zustellung zulassen.
  • False Positives (legitime E-Mails blockiert):
    • Untersuchen Sie die E-Mail im Threat Explorer, um herauszufinden, warum sie blockiert wurde.
    • Passen Sie die Richtlinienempfindlichkeit an (z. B. weniger aggressiven Phishing-Schwellenwert).
    • Setzen Sie vertrauenswürdige Absender oder Domänen auf die Whitelist, aber gehen Sie dabei vorsichtig vor.
    • Senden Sie die E-Mail zur Überprüfung durch Microsoft, um die Erkennung zu verbessern.
  • Links werden von Safe Links nicht umgeschrieben:
    • Überprüfen Sie, ob die Richtlinie „Sichere Links“ aktiviert ist und auf die richtigen Benutzer/Gruppen/Domänen angewendet wird.
    • Stellen Sie sicher, dass „URLs nicht neu schreiben, aber API-Prüfungen nur für sichere Links durchführen“ deaktiviert ist (sofern dies nicht für bestimmte Szenarien vorgesehen ist).
    • Stellen Sie sicher, dass der Link nicht auf einer Liste mit „Nicht überprüfen“-URLs steht.
  • Bösartige Anhänge werden nicht erkannt:
    • Stellen Sie sicher, dass die Richtlinie für sichere Anhänge „Aktiviert“ und auf „Blockieren“ eingestellt ist.
    • Überprüfen Sie den Dateityp. Sichere Anhänge konzentrieren sich auf Dateitypen, die ausführbare Inhalte oder Skripte enthalten können.

Fazit

Microsoft Defender für Office 365 ist ein leistungsstarkes und unverzichtbares Tool zum Schutz von Unternehmen vor der sich ständig weiterentwickelnden Landschaft von E-Mail- und kollaborationsbasierten Bedrohungen. Durch die sorgfältige Implementierung und Optimierung sicherer Anhänge, sicherer Links, Anti-Phishing- und Anti-Malware-Richtlinien können Sicherheitsteams eine robuste Verteidigung aufbauen, die Benutzer vor raffinierten Angriffen schützt. Die Kombination aus fortschrittlicher Erkennung, automatisierter Behebung und umfassenden Untersuchungstools ermöglicht es Unternehmen, ihre Produktivität aufrechtzuerhalten und gleichzeitig erhebliche Risiken zu mindern. Mit diesem praktischen Leitfaden sind Sicherheitsexperten bestens gerüstet, um Microsoft Defender für Office 365 zu konfigurieren, zu validieren und zu verwalten und so eine sicherere und belastbarere Kommunikations- und Kollaborationsumgebung für ihre Organisationen zu gewährleisten.

Referenzen:

[1] Microsoft Learn. Microsoft Defender für Office 365. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-office-365/ [2] Microsoft Learn. Überblick über den Schutzstapel in Microsoft Defender für Office 365. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-office-365/protection-stack-microsoft-defender-for-office365 [3] Microsoft Learn. Lizenzierung von Microsoft Defender für Office 365. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-office-365/mdo-licensing [4] Microsoft Learn. Empfohlene Einstellungen für EOP und Microsoft Defender für Office 365. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-office-365/recommended-settings-for-eop-and-office365 [5] Microsoft Learn. Konfigurieren Sie Richtlinien für sichere Anhänge in Microsoft Defender für Office 365. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-office-365/safe-attachments-policies-configure [6] Microsoft Learn. Konfigurieren Sie Richtlinien für sichere Links in Microsoft Defender für Office 365. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-office-365/safe-links-policies-configure [7] Microsoft Learn. Anti-Phishing-Richtlinien in Microsoft Defender für Office 365. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-mdo [8] Microsoft Learn. Konfigurieren Sie Anti-Malware-Richtlinien in EOP. Verfügbar unter: https://learn.microsoft.com/pt-br/microsoft-365/security/office-365-security/anti-malware-policies-configure?view=o365-worldwide