Wir haben den Zeitplan aktualisiert. Vielen Dank für Ihre Geduld.
Bald verfügbar für Microsoft Defender for Office 365: Wir freuen uns, die neuen Datenbanken CampaignInfo und FileMaliciousContentInfo im Advanced hunting unter Email & collaboration schema anzukündigen.
Wann dies passiert:
Öffentliche Vorschau: Wir beginnen mit der Einführung Anfang Juni 2025 und erwarten den Abschluss bis Ende Juni 2025.
Allgemeine Verfügbarkeit (weltweit, GCC, GCC High, DoD): Wir beginnen mit der Einführung Anfang Juli 2025 und erwarten den Abschluss bis Ende August 2025 (zuvor Ende Juli).
Wie sich dies auf Ihre Organisation auswirkt:
Die neuen Tabellen sind standardmäßig verfügbar. SOC-Teams können zwei neue Datentabellen in Defender > Advanced hunting > Email & collaboration schema sehen.
1. CampaignInfo
Die Tabelle CampaignInfo im Advanced hunting-Schema enthält Informationen über von Defender for Office 365 erkannte E-Mail-Kampagnen. Die Tabelle hat folgendes Schema, um Sicherheitsteams bei der Untersuchung von Bedrohungen zu unterstützen, die auf ihre Benutzer und Organisation abzielen:
2. FileMaliciousContentInfo
Die Tabelle FileMaliciousContentInfo im Advanced hunting-Schema enthält Informationen über Dateien, die von Defender for Office 365 in Microsoft SharePoint Online, Microsoft OneDrive und Microsoft Teams als schädlich identifiziert wurden. Die Tabelle hat folgendes Schema, um Sicherheitsteams bei der Untersuchung von Bedrohungen zu unterstützen, die auf ihre Benutzer und Organisation abzielen:
Hier sind einige Beispielabfragen zum Einstieg:
//E-Mails, die im Rahmen von Phishing-Kampagnen gesendet wurden
CampaignInfo
| where Timestamp > ago(7d)
| where CampaignType has \"Phish\"
| project NetworkMessageId, RecipientEmailAddress, CampaignName, CampaignId, CampaignType
| join (EmailEvents | where Timestamp > ago(7d)) on NetworkMessageId, RecipientEmailAddress
| project Timestamp, NetworkMessageId, Subject, SenderMailFromAddress, RecipientEmailAddress, LatestDeliveryLocation, LatestDeliveryAction, CampaignId, CampaignName, CampaignType
//In den letzten 1 Tag als Malware identifizierte Dateien
FileMaliciousContentInfo
| where ThreatTypes == \"Malware\"
| where LastModifiedTime > ago(1d)
Was Sie zur Vorbereitung tun müssen:
Die Einführung erfolgt automatisch zu den angegebenen Terminen, ohne dass vorab eine Administratoraktion erforderlich ist. Überprüfen Sie Ihre aktuelle Konfiguration, um die Auswirkungen auf Ihre Organisation zu bewerten. Möglicherweise möchten Sie Ihre Benutzer über diese Änderung informieren und Ihre relevanten Dokumentationen aktualisieren.
Nach der Einführung der öffentlichen Vorschau werden wir diesen Beitrag mit neuer Dokumentation aktualisieren.