Automatisch auf Sicherheitsvorfälle in Office 365 reagieren

Microsoft hat für seine Security Service Office 365 Advandced Threat Protection (Office 365 ATP) eine neue Funktion zur allgemeinen Verfügbarkeit angekündigt, die es ermöglicht automatisiert auf Sicherheitsvorfälle in Office 365 zu reagieren. Der Softwarekonzern unterscheidet dabei zwei Automatisierungskategorien: automatisch sowie manuell ausgelöste Reaktionen.

Die automatische Untersuchung von Vorfällen wird auf Basis von Warnungen eingeleitet, beispielsweise durch Erkennen bösartiger Inhalte einer E-Mail durch die Dienste Safe Links und Safe Attachments oder dadurch, dass Anwender selbst eine vermeidliche Phishing Mail melden.

Die zweite Kategorie basiert dagegen auf manuellen Untersuchungen, die automatisierten „Playbook Sequenzen“ für unterschiedliche Angriffsszenarien und Angriffstypen folgen. Diese Playbooks bestehen im Wesentlichen aus einer Reihe sorgfältig protokollierter Schritte, um eine Warnung umfassend zu untersuchen und eine Reihe empfohlener Maßnahmen zur Eindämmung anzubieten. Sie korrelieren dazu ähnliche innerhalb eines Unternehmens gesendeter oder empfangener E-Mails und verdächtige, die maßgeblichen Ofice 365 User betreffenden Aktivitäten. Zu diesen Aktivitäten zählen E-Mail-Weiterleitung, E-Mail-Delegierung, Verstöße gegen DLP (Office 365 Data Loss Prevention) oder verdächtige E-Mail-Sendemuster. Alles im allem sollen sowohl die automatischen, als auch die manuell initiierten Reaktionen auf Vorfälle den Sicherheitsanalysten dabei helfen, schnell und systematisch auf Bedrohungen in Office 365 zu reagieren und diese einzudämmen und zu beseitigen.

Die neue Funktion in Office 365 ATP können aber nur Unternehmenskunden nutzen, die entweder in Besitz eines Office 365 ATP Plan 2 oder einer Office 365 Enterprise E5 Abonnement sind. Die Lizenzierung erfolgt pro User und muss mindestens für ein Jahr abgeschlossen sein.

Quelle: Microsoft