Microsoft Defender for Office 365: Zwei neue Datentabellen in Advanced Hunting (Vorschau)

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

Microsoft Defender for Office 365 fügt zwischen Juni und August 2025 zwei neue Advanced Hunting-Datentabellen hinzu: CampaignInfo und FileMaliciousContentInfo. Diese Tabellen unterstützen Sicherheitsteams bei der Untersuchung von E-Mail-Kampagnen und bösartigen Dateien in E-Mails, SharePoint, OneDrive und Teams, ohne dass eine Administratoraktion erforderlich ist.

Wir haben den Zeitplan aktualisiert. Vielen Dank für Ihre Geduld.

Bald verfügbar für Microsoft Defender for Office 365: Wir freuen uns, die neuen Datenbanken CampaignInfo und FileMaliciousContentInfo im Advanced hunting unter Email & collaboration schema anzukündigen.

Wann dies passiert:

Öffentliche Vorschau: Wir beginnen mit der Einführung Anfang Juni 2025 und erwarten den Abschluss bis Ende Juni 2025.

Allgemeine Verfügbarkeit (weltweit, GCC, GCC High, DoD): Wir beginnen mit der Einführung Anfang Juli 2025 und erwarten den Abschluss bis Ende August 2025 (zuvor Ende Juli).

Wie sich dies auf Ihre Organisation auswirkt:

Die neuen Tabellen sind standardmäßig verfügbar. SOC-Teams können zwei neue Datentabellen in Defender > Advanced hunting > Email & collaboration schema sehen.

1. CampaignInfo

Die Tabelle CampaignInfo im Advanced hunting-Schema enthält Informationen über von Defender for Office 365 erkannte E-Mail-Kampagnen. Die Tabelle hat folgendes Schema, um Sicherheitsteams bei der Untersuchung von Bedrohungen zu unterstützen, die auf ihre Benutzer und Organisation abzielen:

admin controls

2. FileMaliciousContentInfo

Die Tabelle FileMaliciousContentInfo im Advanced hunting-Schema enthält Informationen über Dateien, die von Defender for Office 365 in Microsoft SharePoint Online, Microsoft OneDrive und Microsoft Teams als schädlich identifiziert wurden. Die Tabelle hat folgendes Schema, um Sicherheitsteams bei der Untersuchung von Bedrohungen zu unterstützen, die auf ihre Benutzer und Organisation abzielen:

admin controls

Hier sind einige Beispielabfragen zum Einstieg:

//E-Mails, die im Rahmen von Phishing-Kampagnen gesendet wurden

CampaignInfo

| where Timestamp > ago(7d)

| where CampaignType has \"Phish\"

| project NetworkMessageId, RecipientEmailAddress, CampaignName, CampaignId, CampaignType

| join (EmailEvents | where Timestamp > ago(7d)) on NetworkMessageId, RecipientEmailAddress

| project Timestamp, NetworkMessageId, Subject, SenderMailFromAddress, RecipientEmailAddress, LatestDeliveryLocation, LatestDeliveryAction, CampaignId, CampaignName, CampaignType

//In den letzten 1 Tag als Malware identifizierte Dateien

FileMaliciousContentInfo

| where ThreatTypes == \"Malware\"

| where LastModifiedTime > ago(1d)

Was Sie zur Vorbereitung tun müssen:

Die Einführung erfolgt automatisch zu den angegebenen Terminen, ohne dass vorab eine Administratoraktion erforderlich ist. Überprüfen Sie Ihre aktuelle Konfiguration, um die Auswirkungen auf Ihre Organisation zu bewerten. Möglicherweise möchten Sie Ihre Benutzer über diese Änderung informieren und Ihre relevanten Dokumentationen aktualisieren.

Nach der Einführung der öffentlichen Vorschau werden wir diesen Beitrag mit neuer Dokumentation aktualisieren.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.