Wir freuen uns, die neuen Datenbanken CampaignInfo und FileMaliciousContentInfo im Advanced Hunting unter dem Email & collaboration schema für Microsoft Defender for Office 365 anzukündigen.
Wann dies geschieht:
Öffentliche Vorschau: Der Rollout beginnt Anfang Juni 2025 und soll bis Ende Juni 2025 abgeschlossen sein.
Allgemeine Verfügbarkeit (weltweit, GCC, GCC High, DoD): Der Rollout beginnt Anfang Juli 2025 und wird voraussichtlich bis Ende November 2025 abgeschlossen sein. Dies betrifft sowohl Advanced Hunting als auch die Verfügbarkeit in Sentinel.
Wie sich dies auf Ihre Organisation auswirkt:
Die neuen Tabellen sind standardmäßig verfügbar. SOC-Teams können zwei neue Datentabellen unter Defender > Advanced hunting > Email & collaboration schema einsehen.
1. CampaignInfo
Die CampaignInfo-Tabelle im Advanced Hunting-Schema enthält Informationen über von Defender for Office 365 erkannte E-Mail-Kampagnen. Die Tabelle folgt diesem Schema, um Sicherheitsteams bei der Untersuchung von Bedrohungen, die auf ihre Nutzer und Organisation abzielen, zu unterstützen:
2. FileMaliciousContentInfo
Die FileMaliciousContentInfo-Tabelle im Advanced Hunting-Schema enthält Informationen über Dateien, die von Defender for Office 365 in Microsoft SharePoint Online, Microsoft OneDrive und Microsoft Teams als bösartig erkannt wurden. Die Tabelle folgt diesem Schema, um Sicherheitsteams bei der Untersuchung von Bedrohungen, die auf ihre Nutzer und Organisation abzielen, zu unterstützen:
Hier einige Beispielabfragen zum Einstieg:
// E-Mails, die im Rahmen von Phishing-Kampagnen gesendet wurden
CampaignInfo
| where Timestamp > ago(7d)
| where CampaignType has \'Phish\'
| project NetworkMessageId, RecipientEmailAddress, CampaignName, CampaignId, CampaignType
| join (EmailEvents | where Timestamp > ago(7d)) on NetworkMessageId, RecipientEmailAddress
| project Timestamp, NetworkMessageId, Subject, SenderMailFromAddress, RecipientEmailAddress, LatestDeliveryLocation, LatestDeliveryAction, CampaignId, CampaignName, CampaignType
// Dateien, die als Malware erkannt und in den letzten 1 Tag geändert wurden
FileMaliciousContentInfo
| where ThreatTypes == \'Malware\'
| where LastModifiedTime > ago(1d)
Was Sie zur Vorbereitung tun müssen:
Der Rollout erfolgt automatisch zu den angegebenen Terminen, ohne dass vorab administrative Maßnahmen erforderlich sind. Überprüfen Sie Ihre aktuelle Konfiguration, um die Auswirkungen auf Ihre Organisation zu bewerten. Möglicherweise möchten Sie Ihre Nutzer über diese Änderung informieren und Ihre entsprechenden Dokumentationen aktualisieren.
Nach dem Rollout der öffentlichen Vorschau werden wir diesen Beitrag mit neuer Dokumentation aktualisieren.