Microsoft Defender für Office 365: Automatische Bedrohungsabwehr ohne manuelle Freigabe

Sicherheitsteams profitieren von beschleunigter Reaktion auf E-Mail-Bedrohungen

Microsoft gibt Administratoren mehr Kontrolle über die automatisierte Bedrohungsabwehr in Defender für Office 365 Plan 2. Bislang erforderte jede Schutzmaßnahme, die das System „Automated Investigation and Response“ (AIR) vorschlug, eine manuelle Bestätigung durch das Sicherheitsteam. Mit der neuen Konfigurationsmöglichkeit lassen sich bestimmte Gegenmaßnahmen zur selbstständigen Ausführung freigeben.

„Standardmäßig müssen Behebungsmaßnahmen, die von „Automated Investigation and Response“ (AIR) in Microsoft Defender für Office 365 Plan 2 identifiziert wurden, von den Sicherheitsteams (SecOps) genehmigt werden. Jetzt können Administratoren auch bestimmte Maßnahmen für die automatische Behebung festlegen.“

Weniger Aufwand für SecOps-Teams

Die Funktion AIR analysiert erkannte Bedrohungen und gruppiert betroffene Nachrichten in Clustern. Sobald Administratoren festlegen, welche Cluster-Kategorien automatisch bereinigt werden dürfen, führt das System die entsprechenden Maßnahmen ohne Rückfrage durch. Dies beschleunigt den Schutz und entlastet Sicherheitsverantwortliche von Routineaufgaben.

Cluster, die nicht für die automatische Verarbeitung konfiguriert sind, erscheinen weiterhin als ausstehende Aktionen. Eine Ausnahme bilden Cluster mit über 10.000 Nachrichten – diese werden grundsätzlich zur manuellen Prüfung vorgelegt.

Drei Cluster-Typen stehen zur Auswahl

Im Microsoft Defender-Portal können Administratoren unter „Einstellungen“ drei Kategorien für die automatische Bereinigung aktivieren:

Dateien mit Schadcode: Das System erkennt schädliche Anhänge und erstellt einen Cluster aller Nachrichten, die diese Datei enthalten. Bei aktivierter Option werden alle betroffenen E-Mails automatisch entfernt.

Schädliche Links: URLs, die als Bedrohung identifiziert wurden, lösen die Clusterbildung für alle Nachrichten aus, die den entsprechenden Link enthalten.

Gemeinsame Merkmale: E-Mails mit identischen Attributen wie Betreffzeilen oder Absender-IP-Adressen werden gruppiert. Das System erstellt verschiedene Cluster-Kombinationen, etwa nach Body-Fingerprint und Sender-IP oder nach Betreff und Absender-Domain.

Als Gegenmaßnahme steht derzeit ausschließlich „Soft Delete“ zur Verfügung. Dabei wandern die Nachrichten in den Ordner für wiederherstellbare Elemente. Microsoft kündigt für die Zukunft weitere Aktionsoptionen an.

Nachvollziehbarkeit durch Protokollierung

Automatisch durchgeführte Maßnahmen lassen sich an mehreren Stellen überprüfen. Im Aktionscenter zeigt die Registerkarte „Verlauf“ mit dem Filter „Entschieden von: Automatisierung“ alle bearbeiteten Cluster an. In AIR-Untersuchungen erscheinen sie unter „Ausstehende Aktionshistorie“ mit dem Vermerk „Bearbeitet von: Automatisierung“.

Der Threat Explorer kennzeichnet betroffene Nachrichten mit dem Eintrag „Zusätzliche Aktion: Automatische Behebung: automatisiert“. In Advanced Hunting finden sich die Vorgänge in der Tabelle „EmailPostDeliveryEvents“ mit den Eigenschaftswerten „ActionType: Automated Remediation“ und „ActionTrigger: Automation“.

Wiederherstellung bleibt möglich

Administratoren können automatisch entfernte Nachrichten bei Bedarf zurückholen. Die Verfügbarkeit hängt von den Aufbewahrungsrichtlinien für gelöschte Elemente im jeweiligen Postfach ab. Zur Wiederherstellung stehen der Assistent „Maßnahmen ergreifen“ in Threat Explorer oder die Aktionen „In Posteingang verschieben“ beziehungsweise „In Junk verschieben“ im Aktionscenter zur Verfügung.

Microsoft empfiehlt, vor der Aktivierung die rechtlichen Anforderungen zur E-Mail-Aufbewahrung zu prüfen, da dies auch für als schädlich markierte Nachrichten gilt. Die Aufbewahrungsdauer für vorläufig gelöschte Elemente lässt sich in Exchange Online anpassen.

Fazit

Die erweiterte Automatisierung in Defender für Office 365 Plan 2 ermöglicht eine schnellere Reaktion auf E-Mail-Bedrohungen. Sicherheitsteams gewinnen Zeit für komplexere Aufgaben, während das System wiederkehrende Gefahren eigenständig neutralisiert. Die transparente Protokollierung und Wiederherstellungsmöglichkeit gewährleisten dabei die notwendige Kontrolle.

Last updated on 12/16/2025

Unsere Lese-Tipps

---

Bild/Quelle: https://depositphotos.com/de/home.html