Microsoft Defender for Office 365: Verbesserungen der Alarmfunktion für schnellere Bearbeitung

Veröffentlicht am

03

.

09

.

2025

Aktualisiert am

.

.

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

< Zurück zum Message Center Archiv
Microsoft Defender for Office 365 verbessert das Warnungserlebnis, indem verwandte Signale zu umfassenderen Warnungen zusammengefasst werden, was die Warnmüdigkeit verringert und gleichzeitig Erkennung und Workflows erhält. Die Einführung beginnt Mitte September 2025, erfordert keine Konfigurationsänderungen und kann Automatisierung sowie die Nachverfolgung von Warnmetriken beeinflussen. Es wurden keine Compliance-Probleme festgestellt.

Einführung

Wir verbessern die Alarmierungserfahrung in Microsoft Defender for Office 365 (MDO), um Sicherheitsteams bei der effizienteren Bearbeitung von Alarmen zu unterstützen. Diese Aktualisierungen reduzieren die Alarmmüdigkeit, indem verwandte Signale in einzelne, umfassendere Alarme zusammengeführt werden – ohne dabei die Erkennungsgenauigkeit oder Abdeckung zu beeinträchtigen.

Zeitpunkt der Umsetzung

Allgemeine Verfügbarkeit (weltweit, GCC, GCC High, DoD): Der Rollout beginnt Mitte September 2025 und wird bis Ende November 2025 abgeschlossen sein. Die Aktualisierungen werden während dieses Zeitraums schrittweise ausgeliefert.

Auswirkungen auf Ihre Organisation
  • Weniger nahezu identische Alarme: Eng verwandte Signale werden gruppiert, was die Übersichtlichkeit in der Alarmliste erhöht.
  • Umfassendere Alarmdetails: Alarme enthalten betroffene Entitäten (z. B. Benutzer, Empfänger), wichtige Kennungen (z. B. Nachrichten-/Netzwerk-IDs) und Zeitachsen. Nachweise wie URLs, Anhänge und IP-Adressen bleiben zugänglich.
  • Erhaltene Triage-Workflows: Bestehende Funktionen wie Nachricht im Explorer öffnen, Zeitleiste anzeigen und Betroffene Entitäten auflisten bleiben unverändert. Schweregrad und Kategorisierung bleiben ebenfalls unverändert.
  • Vorfallkorrelation: Vorfälle können weniger untergeordnete Alarme enthalten, dafür jedoch mit dichterer Evidenz pro Alarm.
  • APIs und Berichte: Es gibt keine Schemaänderungen. Sie könnten eine geringere Gesamtanzahl an Rohalarmen mit höherer Informationsdichte pro Alarm feststellen. Dashboards und Automatisierungen, die Alarm-IDs referenzieren, funktionieren weiterhin.

Diese Funktion ist standardmäßig aktiviert und erfordert keine Konfigurationsänderungen.

Vorbereitungsmöglichkeiten
  • Automatisierungslogik überprüfen: Stellen Sie sicher, dass Playbooks und Skripte mit Alarmen umgehen können, die mehrere Entitäten und umfangreicheren Kontext enthalten.
  • Alarmmetriken prüfen: Wenn Sie Alarmzahlen verfolgen, berücksichtigen Sie auch, wie viele Benutzer oder Nachrichten in jedem Alarm enthalten sind, welche Aktionen durchgeführt werden und wie lange die Reaktion und Behebung dauert (mittlere Zeit bis zur Bestätigung und mittlere Zeit bis zur Behebung).
  • Absprache mit SecOps-Teams: Kommunizieren Sie Erwartungen bezüglich der reduzierten Alarmanzahl bei gleichzeitig erhaltener Evidenztiefe.

Vor dem Rollout sind keine Änderungen an Richtlinien oder Konfigurationen erforderlich.

Compliance-Aspekte

Es wurden keine Compliance-Bedenken identifiziert. Bitte prüfen Sie dies entsprechend für Ihre Organisation.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >

© itelio GmbH