Cloud-App-Sicherheit nutzt Content Scanning , um als Ergänzung zum E-Mail-Schutzdienst auf Ihrer E-Mail-Gateway-Seite erweiterten Spam-Schutz bereitzustellen, um die Benutzer Ihres E-Mail-Dienstes weiter vor Graymail, Betrug, BEC, Ransomware, erweitertem Phishing und anderen hochkarätigen Angriffen zu schützen. Es verwendet die folgenden Komponenten, um heuristische Richtlinien zu implementieren, wenn unerwünschte Inhalte erkannt oder E-Mail-Nachrichten blockiert oder automatisch zugelassen werden:
  • Trend Micro Antispam Engine
  • Trend Micro Spam-Pattern-Dateien
Trend Micro aktualisiert sowohl die Engine- als auch die Pattern-Dateien regelmäßig und stellt sie zum Download bereit. Cloud-App-Sicherheit lädt diese Komponenten automatisch über ein geplantes Update herunter.
Die Antispam-Engine verwendet Spam-Signaturen und heuristische Regeln, um E-Mail-Nachrichten zu filtern. Es scannt E-Mail-Nachrichten und weist jeder einzelnen Nachricht einen Spam-Score zu, der darauf basiert, wie gut sie den Regeln und Mustern aus der Musterdatei entspricht. Anschließend wird die Bewertung mit der benutzerdefinierten Spam-Erkennungsstufe verglichen und das Ergebnis an Cloud-App-Sicherheitgesendet. Wenn der Spam-Score die Erkennungsstufe überschreitet, ergreift Cloud-App-Sicherheit Maßnahmen gegen die E-Mail-Nachricht, basierend auf der Kategorie, in die die Nachricht fällt. Sie können die Methode, die die Antispam-Engine zum Zuweisen von Spam-Bewertungen verwendet, nicht ändern, Sie können jedoch die von Cloud-App-Sicherheit verwendeten Erkennungsstufen anpassen, um zu entscheiden, was Spam ist und was kein Spam.
Die Antispam Engine nutzt auch das Trend Micro EBA-Modul (Email Behaviour Analysis), um Graymail-Nachrichten und Betrügereien zu ermitteln:
  • Graymail: Erwünschte E-Mail-Massennachrichten, die nicht der Definition von Spam-E-Mails entsprechen. Sie können von verschiedenen Benutzern berechtigterweise entweder als Spam oder als rechtmäßige E-Mail-Nachrichten betrachtet werden.
  • Betrug: Ein Versuch, eine Person oder Gruppe zu betrügen, nachdem zuerst ihr Vertrauen gewonnen wurde, wie z. B. Vorschussbetrug (419 Betrug, Lotteriebetrug und Bitcoin-Betrug).
Darüber hinaus lässt sich Cloud-App-Sicherheit in die Writing Style DNA von Trend Micro integrieren und bietet so eine zusätzliche Schutzebene für die Benutzer Ihres Unternehmens vor BEC-Bedrohungen. Weitere Informationen finden Sie unterÜber das Schreiben von Stil-DNA .
Zugehörige Informationen

Über das Schreiben von Stil-DNA

Cloud-App-Sicherheit lässt sich in die Schreibstil-DNA von Trend Micro integrieren und bietet so eine zusätzliche Schutzschicht für die Benutzer Ihres Unternehmens vor BEC-Bedrohungen.
Durch die Nutzung der Schreibstilanalyse, die mit Writing Style DNA einhergeht, scannt Cloud-App-Sicherheit die geschriebenen E-Mail-Nachrichten einer gewünschten Person, um deren spezifischen Schreibstil zu ermitteln, und trainiert dann ein Schreibstilmodell auf dem E-Mail-System zur Identifizierung der Urheberschaft. Bei diesem Schreibstilmodell handelt es sich um eine Reihe von Eigenschaften oder Funktionen, die mit automatisierten Methoden untersucht werden und die Art und Weise, wie eine Person E-Mail-Nachrichten verfasst, eindeutig identifizieren. Anschließend verwendet Cloud-App-Sicherheit das Modell zum Vergleich mit den eingehenden E-Mail-Nachrichten, die angeblich von der Person in geschützten Postfächern gesendet wurden, um die Urheberschaft zu ermitteln.
Hinweis
Hinweis
In dieser Version wird die Schreibstilanalyse auf E-Mail-Nachrichten angewendet, die in Englisch, Japanisch, Deutsch, Französisch, Spanisch, Schwedisch, Dänisch, Norwegisch, Finnisch und brasilianischem Portugiesisch verfasst wurden.
Dies erfordert, dass Cloud-App-Sicherheit das spezifische Schreibstilmodell jedes hochkarätigen Benutzers trainiert und analysiert. Da sich die Schreibstilmodelle der Benutzer im Laufe der Zeit ändern können, ist es auch notwendig, sie ständig zu aktualisieren, um die E-Mail-Filterung zu optimieren. Sobald diese Funktion aktiviert ist, beginnt Cloud-App-Sicherheit daher damit, die Schreibstile hochkarätiger Benutzer zu trainieren, um brauchbare persönliche Modelle aufzubauen, und verbessert diese, sobald neue schriftliche E-Mail-Nachrichten vorliegen.

Erweiterten Spam-Schutz konfigurieren

Prozedur

  1. Wählen Sie Erweiterter Spam-Schutz aus.
  2. Aktivieren Sie den erweiterten Spam-Schutz.
  3. Wählen Sie optional Trend Micro kann verdächtige E-Mail-Informationen sammeln, um die Erkennungsfunktionen zu verbessern aus.
  4. Konfigurieren Sie die Einstellungen für Regeln.
    Einstellung
    Beschreibung
    Anwenden auf
    Wählen Sie den Bereich der E-Mail-Nachrichten aus, für die der erweiterte Spam-Schutz gilt.
    • Alle Nachrichten bedeutet, dass diese Richtlinie auf eingehende, ausgehende und interne E-Mail-Nachrichten angewendet wird. Eingehende/ausgehende E-Mail-Nachrichten werden von/zu nicht-internen Domänen gesendet.
    • Eingehende Nachrichten bedeutet, dass diese Richtlinie nur für eingehende E-Mail-Nachrichten gilt, die von nicht internen Domänen gesendet werden.
    Hinweis
    Hinweis
    Weitere Informationen zu internen Domänen finden Sie unter Konfigurieren der internen Domänenliste
    Für Exchange Online (Inline-Modus) ist der Bereich auf Eingehende Nachrichten für den Schutz von eingehenden Daten und Ausgehende Nachrichten für den Schutz von ausgehenden Daten festgelegt. Eingehende Nachrichten werden von außerhalb Ihrer Organisation an eine Adresse innerhalb der Organisation gesendet, während ausgehende Nachrichten von Ihrer Organisation an externe Adressen gesendet werden.
    Erkennungsstufe
    Wählen Sie eine Erkennungsstufe aus. Zu den Optionen gehören:
    • Hoch: Dies ist die strengste Stufe der Spam-Erkennung. Cloud-App-Sicherheit überwacht alle E-Mail-Nachrichten auf verdächtige Dateien oder Texte, es besteht jedoch ein höheres Risiko für Fehlalarme. False Positives sind E-Mail-Nachrichten, die Cloud-App-Sicherheit als Spam filtert, obwohl es sich tatsächlich um legitime E-Mail-Nachrichten handelt.
    • Mittel: Cloud-App-Sicherheit überwacht ein hohes Maß an Spam-Erkennung mit einer moderaten Wahrscheinlichkeit, Fehlalarme herauszufiltern.
    • Niedrig: Dies ist die mildeste Stufe der Spam-Erkennung. Cloud-App-Sicherheit filtert nur die offensichtlichsten und häufigsten Spam-Nachrichten, es besteht jedoch eine sehr geringe Wahrscheinlichkeit, dass falsch positive Nachrichten gefiltert werden.
    Verbesserte BEC-Erkennung
    Navigieren Sie zu Allgemeine EinstellungenBenutzerdefinierte ListenHigh-Profile-ListenHigh-Profile-Benutzer oder High-Profile-Domänen oder zu Allgemeine EinstellungenBenutzerdefinierte ListenInterne Domänenliste, und geben Sie nach Bedarf High-Profile-Benutzer, externe oder interne Domänen an.
    Hinweis
    Hinweis
    • Dies ermöglicht es Cloud-App-Sicherheit , E-Mail-Nachrichten, die angeblich von den am häufigsten gefälschten Benutzern oder Domänen gesendet wurden, weiter zu prüfen, Betrugsprüfungskriterien anzuwenden, um gefälschte Nachrichten zu identifizieren, und Maßnahmen gegen BEC-Angriffe zu ergreifen.
    • Diese Funktion ist für den Schutz von ausgehenden Daten von Exchange Online (Inline-Modus) nicht verfügbar.
    Erkennung eines ungewöhnlichen Signals
    (Nur Exchange Online)
    Hinweis
    Hinweis
    Diese Option ist für Exchange Online (Inline-Modus) nicht verfügbar.
    Ungewöhnliche Signale sind das Verhalten oder die Merkmale einer E-Mail, die Cloud-App-Sicherheitverdächtig erscheinen. Ein einzelnes ungewöhnliches Signal bedeutet keine eindeutige Bedrohung, kann aber auf mögliche Risiken hinweisen. Wenn ein ungewöhnliches Signal in einer E-Mail-Nachricht erkannt wird, unterstützt Cloud-App-Sicherheit die Durchführung der Aktion für Unusual Signal für die Nachricht. Einzelheiten zu ungewöhnlichen Signalen finden Sie unterUngewöhnliche Signale .
    • Geben Sie an, ob nach externen Absendern mit einem der folgenden verdächtigen Eigenschaften gesucht werden soll:
      • Der Anzeigename des Absenders stimmt mit der Liste der High-Profile-Benutzer überein.
        Diese Funktion erfordert, dass Sie die Liste der High-Profile-Benutzer konfigurieren.
      • Der Absender hat seit mindestens 30 Tagen keine E-Mail mehr geschickt.
        Der Absender kann aus einer vorhandenen Domäne oder einer neu registrierten Domäne stammen.
        Hinweis
        Hinweis
        Cloud-App-Sicherheit bestimmt anhand der von Trend Micro gesammelten Informationen, ob ein Absender die Kriterien erfüllt.
    • Geben Sie an, ob nach anderen ungewöhnlichen Signalen gesucht werden soll.
      Hier ein paar Beispiele:
      • Anomales Markenverhalten
      • URL, die einem bekannten bösartigen Link ähnelt
      • Unbekannter Absender, der zahlungsbezogene Probleme behandelt
      Trend Micro wird auch weiterhin kontinuierlich neue ungewöhnliche Signale hinzufügen, um Ihnen dabei zu helfen, mehr E-Mail-Verhaltensweisen oder -Merkmale zu erkennen, die von dem abweichen, was normal oder üblich ist.
    Erkennung von Anzeigenamen-Spoofing
    Aktivieren Sie optional das Kontrollkästchen, um die Erkennung von Anzeigennamen-Spoofing zu aktivieren. Diese Option ist standardmäßig deaktiviert.
    Cloud-App-Sicherheit überprüft den Anzeigenamen eines externen Absenders, um herauszufinden, ob der Name dem in Ihrer Organisation verwendeten Namen ähnelt oder mit diesem übereinstimmt, und analysiert dann E-Mail-Nachrichten des Absenders, um festzustellen, ob es sich bei der Nachricht um Betrug, Phishing, BEC usw. handelt. oder Ransomware-Angriff. Cloud-App-Sicherheit ergreift die konfigurierte Aktion basierend auf der erkannten Bedrohungskategorie, um Benutzer Ihrer Organisation vor E-Mail-Imitationsangriffen mittels Anzeigenamen-Spoofing zu schützen.
    Hinweis
    Hinweis
    • Wenn Sie bestimmte externe Absender von dieser Erkennung ausschließen möchten, navigieren Sie zu Allgemeine EinstellungenBenutzerdefinierte ListenAusnahmeliste für die Erkennung von Anzeigenamen-Spoofing und fügen Sie die E-Mail-Adressen des Absenders zur Ausnahmeliste hinzu.
    • Diese Funktion ist für den Schutz von ausgehenden Daten von Exchange Online (Inline-Modus) nicht verfügbar.
    Retro-Suche & autom. Wartung
    Legen Sie fest, ob historische E-Mail-Nachrichten erneut durchsucht und Korrekturaktionen durchgeführt werden sollen. Diese Option ist standardmäßig deaktiviert.
    Hinweis
    Hinweis
    • Diese Option ist für Exchange Online (Inline-Modus) nicht verfügbar.
    • Diese Funktion gilt nicht für die E-Mail-Nachrichten, die mit der Liste der zulässigen/gesperrten Absender oder der Liste der genehmigten Header-Felder im erweiterten Spam-Schutz oder der allgemeinen Liste der genehmigten Header-Felder übereinstimmen.
    Um diese Funktion zu verwenden, aktivieren Sie Trend Micro kann verdächtige E-Mail-Informationen sammeln, um die Erkennungsfunktionen zu verbessern.
    Sobald die Option aktiviert ist, beginnt Cloud-App-Sicherheit beim Scannen der Nachrichten mit der Erfassung von E-Mail-Metadaten. Wenn sich weitere Metadaten ansammeln, analysiert Cloud-App-Sicherheit die Metadaten, um zuvor nicht identifizierte oder unbekannte Bedrohungen zu erkennen, indem es die aktualisierten Musterdateien verwendet und maschinelle Lerntechnologien nutzt, die das E-Mail-Verhalten über einen bestimmten Zeitraum hinweg beobachten und analysieren. Ein wesentlicher Vorteil des Retro-Scans besteht darin, dass er die Attribute verschiedener E-Mail-Nachrichten korrelieren kann, was dabei hilft, Bedrohungen zu erkennen, die nicht durch die Analyse einzelner Nachrichten aufgedeckt werden können.
    Basierend auf dem Retro-Scan-Ergebnis ergreift Cloud-App-Sicherheit automatisch Korrekturmaßnahmen für die betroffenen E-Mail-Nachrichten.
    • Bei einer E-Mail-Nachricht, die als Spam oder andere Arten von Bedrohungen hätte gefiltert werden sollen, dies aber nicht der Fall ist, ergreift Cloud-App-Sicherheit die vom Administrator konfigurierte Aktion für die E-Mail-Nachricht.
    • Bei einer E-Mail-Nachricht, die fälschlicherweise als Spam oder andere Arten von Bedrohungen gefiltert wurde, stellt Cloud-App-Sicherheit die E-Mail-Nachricht wieder her, wenn die Nachricht vom erweiterten Spam-Schutzfilter unter Quarantäne gestellt wurde, oder verschiebt die Nachricht in den Posteingang, wenn sie in den Junk-Ordner verschoben wurde Ordner durch diesen Filter. Cloud-App-Sicherheit macht die anderen Aktionen nicht rückgängig.
    Graymail-Erkennung
    (Nur Exchange Online)
    Hinweis
    Hinweis
    Diese Funktion ist für den Schutz von ausgehenden Daten von Exchange Online (Inline-Modus) nicht verfügbar.
    1. Wählen Sie Graymail-Erkennung aktivieren aus.
      Cloud-App-Sicherheit erkennt Folgendes als Graymail-Nachrichten:
      • Marketing-Nachricht und ‑Newsletter
      • Benachrichtigung über soziale Netzwerke
      • Forenbenachrichtigung
      • E-Mail-Massennachricht
    2. Wählen Sie mindestens eine Graymail-Kategorie aus.
    Schreibstilanalyse für BEC
    Hinweis
    Hinweis
    • Diese Funktion bietet Cloud-App-Sicherheit eine verbesserte Möglichkeit, die Schreibstilmodelle hochkarätiger Benutzer zu trainieren, um wahrscheinliche BEC-Angriffe zu erkennen. Zusätzliche Konfigurationen sind erforderlich.
    • Diese Funktion ist für den Schutz von ausgehenden Daten von Exchange Online (Inline-Modus) nicht verfügbar.
    Bevor Sie die Einstellungen für die Schreibstilanalyse konfigurieren, navigieren Sie zu Allgemeine Einstellungen, um Folgendes zu konfigurieren:
    Konfigurieren Sie die Einstellungen für die Schreibstilanalyse für BEC. Weitere Informationen finden Sie unter Schreibstilanalyse für BEC konfigurieren.
  5. Klicken Sie auf Zulässige/Sperrlisten.
  6. Konfigurieren Sie die Listen der zulässigen/gesperrten Absender.
    1. Aktivieren Sie die Liste der zulässigen Absender.
    2. Geben Sie eine E-Mail-Adresse für den Versand oder eine Domänean, um den erweiterten Spam-Schutz zu umgehen, und klicken Sie auf Hinzufügen >.
      Hinweis
      Hinweis
      Sie können das Zeichen (*) als Platzhalter für ein beliebiges Zeichen in E-Mail-Adressen oder Domänennamen verwenden. Beispiele: *@example.com, name@*.com, *@*.example.com
      Die folgenden Formate sind ungültig: *@*, *
    3. Klicken Sie optional auf Importieren, um Absender-E-Mail-Adressen in Batches zu importieren.
    4. Aktivieren Sie die Liste der gesperrten Absender.
      Hinweis
      Hinweis
      Für eine E-Mail-Übereinstimmung mit blockierten Absenderlisten wendet Cloud-App-Sicherheit die für Liste der blockierten Absender-/Header-Felderangegebene Aktion an.
    5. Geben Sie eine E-Mail-Adresse für den Versand oder eine Domäne an, um direkt Aktionen auf Nachrichten anzuwenden, und klicken Sie auf Hinzufügen >.
      Hinweis
      Hinweis
      Sie können das Zeichen (*) als Platzhalter für ein beliebiges Zeichen in E-Mail-Adressen oder Domänennamen verwenden. Beispiele: *@example.com, name@*.com, *@*.example.com
      Die folgenden Formate sind ungültig: *@*, *
    6. Klicken Sie optional auf Importieren, um Absender-E-Mail-Adressen in Batches zu importieren.
    7. Gehen Sie zu Aktion , um eine Aktion für die Liste blockierter Absender/Header-Felder festzulegen.
    • Für Gmail werden E-Mail bezeichnen, Löschen und Quarantäne unterstützt.
    • Für andere Anwendungen und Dienste werden Quarantäne und Löschen unterstützt.
  7. Konfigurieren Sie die Liste der genehmigten Header-Felder.
    1. Aktivieren Sie die Liste der genehmigten Header-Felder.
    2. Geben Sie einen Kopffeldnamen und einen Wert für das Feld an und wählen Sie nach Bedarf Enthält oder Entspricht aus.
    3. Klicken Sie auf Hinzufügen.
      Der angegebene Eintrag wird im Bereich unten angezeigt.
      Wenn das angegebene Header-Feld einer E-Mail-Nachricht den angegebenen Wert enthält oder diesem genau entspricht, je nachdem, ob Enthält oder Entspricht ausgewählt ist, wird die Nachricht nicht vom erweiterten Spam-Schutz auf Spam durchsucht, durchläuft jedoch weiterhin die anderen Sicherheitsfilter in der Richtlinie.
      Hinweis
      Hinweis
      Beachten Sie, dass beim Namen und Wert des Header-Felds die Groß-/Kleinschreibung beachtet wird und Platzhalterzeichen und reguläre Ausdrücke nicht unterstützt werden.
      Der Name und der Wert des Header-Felds dürfen nicht mehr als 128 Zeichen umfassen.
    4. Wiederholen Sie optional die Schritte b und c, um nach Bedarf ein weiteres Header-Feld hinzuzufügen.
      Die E-Mail-Nachricht, deren Header-Feld einem der angegebenen Einträge entspricht, wird nicht vom erweiterten Spam-Schutz durchsucht.
      Hinweis
      Hinweis
      Maximal 10 Header-Felder werden unterstützt.
    5. Um ein angegebenes Header-Feld zu löschen, wählen Sie es in der Liste aus und klicken auf Löschen.
    Die hier konfigurierte Liste der genehmigten Header-Felder gilt nur für die aktuelle Richtlinie. Sie können auch eine Liste der genehmigten Header-Felder erstellen, die auf alle aktivierten Richtlinien für Exchange Online angewendet werden kann. Weitere Informationen finden Sie unter Konfigurieren der Liste genehmigter Headerfelder für Exchange Online.
  8. Konfigurieren Sie die Liste der blockierten Header-Felder.
    1. Aktivieren Sie die Liste der blockierten Header-Felder.
      Hinweis
      Hinweis
      Für eine E-Mail-Übereinstimmung mit der Liste blockierter Headerfelder wendet Cloud-App-Sicherheit die für Liste der blockierten Absender-/Header-Felderangegebene Aktion an.
    2. Definieren Sie eine Regel, indem Sie einen Kopffeldnamen und einen Wert für das Feld angeben und als Beziehung Enthält oder Entspricht auswählen.
    3. Fügen Sie weitere Header-Felder hinzu, mit denen eine E-Mail übereinstimmen muss, indem Sie auf Header-Feld hinzufügenklicken.
      Eine E-Mail entspricht einer Regel für blockierte Headerfelder, wenn sie mit allen in der Regel angegebenen Headerfeldern übereinstimmt.
      Sie können bis zu 10 Header-Felder in einer Regel hinzufügen.
      Hinweis
      Hinweis
      Beachten Sie, dass beim Namen und Wert des Header-Felds die Groß-/Kleinschreibung beachtet wird und Platzhalterzeichen und reguläre Ausdrücke nicht unterstützt werden.
      Der Name und der Wert des Header-Felds dürfen nicht mehr als 128 Zeichen umfassen.
    4. Fügen Sie die definierte Regel der vorhandenen Regelliste hinzu, indem Sie auf Zur Regelliste hinzufügenklicken.
      Sie können bis zu 10 Regeln für blockierte Headerfelder hinzufügen.
  9. Klicken Sie auf Aktion und Benachrichtigung.
  10. Konfigurieren Sie die Einstellungen für die Aktion für jede Kategorie.
    MitCloud-App-Sicherheit können Sie Aktionen nach den folgenden Kategorien konfigurieren:
    • (Nur Exchange Online) Graymail
    • (Nur Exchange Online) Betrug: z. B. Vorschussbetrug, Lotteriebetrug und Bitcoin-Betrug.
    • BEC
    • Phishing
    • Ransomware
    • Bösartige Inhalte: Spam-Nachrichten, die bösartige Angriffe anderer Art wie Command and Control (C&C), Malware und Bank-Trojaner enthalten.
    • Spam: Beispielsweise unerwünschte kommerzielle E-Mail-Nachrichten oder unerwünschte Massen-E-Mails.
      Wählen Sie optional Alle von internen Domänen gesendeten Nachrichten weiterleiten, wenn sie als anderer Spam erkannt werden aus, um Fehlalarme zu reduzieren, wenn einige interne E-Mail-Nachrichten von Cloud-App-Sicherheit als anderer Spam erkannt werden, Sie sie jedoch gemäß den Sicherheitsrichtlinien Ihrer Organisation als normale Nachrichten behandeln.
      Hinweis
      Hinweis
      Für den Schutz von ausgehenden Daten für Exchange Online (Inline-Modus) wählen Sie optional Alle ausgehenden Nachrichten, die als anderer Spam erkannt wurden, ohne Protokollierung weitergeben aus.
    • Liste der blockierten Absender/Header-Felder: Nachrichten, die von Absendern stammen, deren E-Mail-Adressen mit der Liste der blockierten Absender übereinstimmen.
    • Ungewöhnliches Signal: Nachrichten, die einem ungewöhnlichen Merkmal oder Verhalten entsprechen, das für Cloud-App-Sicherheitverdächtig erscheint.
      Hinweis
      Hinweis
      Trend Micro empfiehlt die Anwendung der Aktion "Haftungsausschluss hinzufügen", um Ihre Benutzer vor ungewöhnlichen Merkmalen oder Verhaltensweisen in E-Mails zu warnen. Da ein einziges ungewöhnliches Signal keine konkrete Bedrohung bedeutet, raten wir davon ab, die Aktion "In Quarantäne stellen" oder "Löschen" zu verwenden.
    Nähere Informationen zu den Aktionen finden Sie unter Für verschiedene Dienste verfügbare Aktionen.
    Weitere Informationen darüber, wie Filteraktionen für den erweiterten Spam-Schutz angewendet werden, finden Sie unter Kriterien für Filteraktionen für den erweiterten Spam-Schutz.
  11. Konfigurieren Sie Einstellungen für die Benachrichtigung.
    Option Bezeichnung
    Administrator benachrichtigen
    1. Geben Sie die zu benachrichtigenden Administratoren an, indem Sie eine Empfängergruppe auswählen oder einzelne Empfänger angeben. Sie können auf Empfängergruppen verwalten klicken, um die Mitglieder einer Gruppe zu bearbeiten oder weitere Gruppen hinzuzufügen.
    2. Geben Sie Nachrichtendetails an, um Administratoren darüber zu informieren, dass Cloud-App-Sicherheit ein Sicherheitsrisiko erkannt und Maßnahmen für eine E-Mail-Nachricht, einen Anhang oder eine Datei ergriffen hat.
    3. Legen Sie den Schwellenwert für Benachrichtigungen fest, der die Anzahl der gesendeten Benachrichtigungs-E-Mail begrenzt. Zu den Schwellenwerteinstellungen zählen:
      • Konsolidierte Benachrichtigungen regelmäßig senden: Cloud-App-Sicherheit sendet eine E-Mail-Nachricht, die alle Benachrichtigungen für einen bestimmten Zeitraum konsolidiert. Geben Sie den Zeitraum an, indem Sie eine Zahl in das Feld eingeben und Stunde(n) oder Tag(e) auswählen.
      • Konsolidierte Benachrichtigungen basierend auf Vorkommen senden: Cloud-App-Sicherheit sendet eine E-Mail-Nachricht, die Benachrichtigungen für eine festgelegte Anzahl von Filteraktionen konsolidiert. Geben Sie die Anzahl der Viren-/Malware-Vorfälle an, indem Sie eine Zahl in das Feld eingeben.
      • Individuelle Benachrichtigungen senden: Cloud-App-Sicherheit sendet jedes Mal eine E-Mail-Benachrichtigung, wenn Cloud-App-Sicherheit eine Filteraktion durchführt.
    Benutzer benachrichtigen
    Geben Sie Nachrichtendetails an, die Empfänger darüber benachrichtigen, dass Cloud-App-Sicherheit ein Sicherheitsrisiko erkannt hat und Aktionen für Ihre E-Mail-Nachricht oder ihren Anhang durchgeführt hat.
    Hinweis
    Hinweis
    Wenn Sie eine Benachrichtigung angeben, fügen Sie relevante Token ein und bearbeiten Sie den Nachrichteninhalt wie gewünscht. Weitere Informationen zu Token finden Sie unter Token-Liste.
  12. Klicken Sie auf Speichern oder wählen Sie im Navigationsbereich auf der linken Seite eine andere Richtlinienkonfiguration aus, um mit weiteren Regeln fortzufahren.
Zugehörige Informationen

Schreibstilanalyse für BEC konfigurieren

Prozedur

  1. Wählen Sie Schreibstilanalyse aktivieren aus.
    Cloud-App-Sicherheit beginnt automatisch damit, E-Mail-Nachrichten, die von hochkarätigen Benutzern verfasst wurden, von den konfigurierten E-Mail-Adressen abzurufen und zu analysieren, um das Schreibstilmodell für jeden Benutzer zu trainieren. Um den Trainingsfortschritt anzuzeigen, gehen Sie zuAllgemeine EinstellungenBenutzerdefinierten ListenHigh-Profile-ListenHigh-Profile-Benutzer .
    Um das Schreibstilmodell für jeden High-Profile-Benutzer zu trainieren, der für Ihren E-Mail-Dienst hinzugefügt wurde (d. h. Exchange Online oder Gmail), müssen Sie die Schreibstilanalyse in mindestens einer Advanced Threat Protection-Richtlinie für diesen Dienst aktivieren. Wenn Sie die Schreibstilanalyse in allen Richtlinien dieses Diensts deaktivieren, wird der Trainingsvorgang angehalten und fortgesetzt, wenn die Schreibstilanalyse in mindestens einer Richtlinie aktiviert ist.
    Wichtig
    Wichtig
    Cloud-App-Sicherheit scannt E-Mail-Nachrichten nur, um das jeweilige Schreibstilmodell für jeden hochkarätigen Benutzer zu trainieren, und sammelt KEINE tatsächlichen E-Mail-Nachrichten oder deren Inhalt.
  2. Wählen Sie eine Aktion aus.
    Eine eingehende E-Mail-Nachricht, die den Kriterien der Schreibstilanalyse entspricht, unterliegt der hier konfigurierten Aktion, unabhängig von der Einstellung für BEC unter Aktion.
    Nähere Informationen zu den Aktionen finden Sie unter Für verschiedene Dienste verfügbare Aktionen.
    Wenn die Schreibstilanalyse in mehreren Richtlinien eines E-Mail-Diensts aktiviert ist, wird die Aktion angewendet, die in der Richtlinie mit einer höheren Priorität konfiguriert ist.
    Wenn Sie möchten, dass eine E-Mail-Adresse eines High-Profile-Benutzers im Rahmen der Schreibstilüberprüfung von der Suche ausgeschlossen wird, fügen Sie die E-Mail-Adresse im Feld Ausnahmeliste für High-Profile-Benutzer hinzu.
  3. Wählen Sie optional Angenommenen Absender benachrichtigen aus, um festzulegen, ob eine Benachrichtigung an den High-Profile-Benutzer gesendet werden soll, von dem erwartet wird, dass er der tatsächliche Absender der E-Mail-Nachricht ist.
    • Wählen Sie optional Ursprüngliche E-Mail-Nachricht anfügen aus, um festzulegen, ob die ursprüngliche E-Mail-Nachricht als Anhang hinzugefügt werden soll, wenn der angenommene Absender benachrichtigt wird.
      Hinweis
      Hinweis
      Diese Option gilt nicht, wenn Aktion auf Löschen oder Quarantäne festgelegt ist.
    • Wählen Sie optional Dem angenommenen Absender gestatten, Feedback zu geben aus, um festzulegen, ob eine Feedbackoption in der Benachrichtigung hinzugefügt werden soll.
      Der angenommene Absender kann auf Ja oder Nein klicken, um zu überprüfen, ob der Absender die E-Mail-Nachricht tatsächlich gesendet hat. Dies wirkt sich nicht auf die konfigurierte Aktion aus, die für die E-Mail-Nachricht durchgeführt wird, hilft Trend Micro jedoch dabei, seine Schreibstilanalyse-Funktionen zu verbessern.
  4. Wählen Sie optional Administrator benachrichtigen aus.
    Es wird eine speziell für Verstöße gegen die Schreibstilanalyse konzipierte Nachricht gesendet, um den Administrator darüber zu informieren, dass Cloud-App-Sicherheit per E-Mail einen wahrscheinlichen BEC-Angriff erkannt und Maßnahmen gegen die E-Mail-Nachricht ergriffen hat. Ob der Administrator die Benachrichtigungsnachricht erhält oder nicht, hängt von den Einstellungen hier ab, unabhängig von der Einstellung in Benachrichtigung.
    • Klicken Sie optional auf Benachrichtigung bearbeiten, um den Nachrichteninhalt nach Bedarf zu ändern. Weitere Informationen zu den Token finden Sie unter Token-Liste.
    • Wählen Sie optional Ursprüngliche E-Mail-Nachricht anfügen aus, um festzulegen, ob die ursprüngliche E-Mail-Nachricht als Anhang hinzugefügt werden soll, wenn der Administrator benachrichtigt wird.
      Hinweis
      Hinweis
      Diese Option gilt nicht, wenn Aktion auf Löschen oder Quarantäne festgelegt ist.

Kriterien für Filteraktionen für den erweiterten Spam-Schutz

Die Kriterien für Filteraktionen für den erweiterten Spam-Schutz für Exchange Online werden wie folgt beschrieben:
  • Für die Kategorien Betrug, BEC, Phishing, Ransomware und bösartiger Spam ist die Standardaktion Quarantäne, für Graymail ist es Übergehen und für den übrigen Spam In Junk-E-Mail-Ordner verschieben.
  • Nachdem Cloud-App-Sicherheit die In Junk-E-Mail-Ordner verschieben -Aktion gegen eine E-Mail-Nachricht ergriffen hat, wird die E-Mail-Nachricht weiterhin zur weiteren Verarbeitung an andere Scanfilter gesendet.
  • Wenn eine E-Mail-Nachricht mehrere Kategorien trifft, kombiniert Cloud-App-Sicherheit die für jede dieser Kategorien festgelegten Aktionen und ergreift nur die Aktion mit der höchsten Priorität. Die Aktionen haben die folgenden Prioritäten (von hoch nach niedrig): Löschen, Quarantäne, In Junk-E-Mail-Ordner verschieben, Betreff mit einem Tag versehen, Übergehen.
  • Wenn eine E-Mail-Nachricht von einem Benutzer in den Junk-E-Mail-Ordner verschoben oder aus diesem wiederhergestellt wird, scannt und verarbeitet Cloud-App-Sicherheit die Nachricht, wenn ein neuer manueller Scan beginnt.
  • Wenn eine E-Mail-Nachricht von Cloud-App-Sicherheit in den Junk-E-Mail-Ordner verschoben wird, nachdem die In Junk-E-Mail-Ordner verschieben -Aktion ausgeführt wurde, wird Cloud-App-Sicherheit die Nachricht nicht erneut scannen und verarbeiten.
  • Wenn eine E-Mail-Nachricht von Exchange Online in den Junk-E-Mail-Ordner verschoben wird, verarbeitet Cloud-App-Sicherheit sie und ergreift dennoch Maßnahmen dagegen, solange die für die entsprechende Spam-Kategorie festgelegte Aktion Vorrang vor In Junk-E-Mail-Ordner verschiebenhat.
Die Kriterien für Filteraktionen für den erweiterten Spam-Schutz für Gmail werden wie folgt beschrieben:
  • Für die Kategorien BEC, Phishing, Ransomware und bösartiger Spam ist die Standardaktion E-Mail bezeichnen, und die für den übrigen Spam ist In Spam verschieben.
  • Nachdem Cloud-App-Sicherheit die In Spam verschieben -Aktion gegen eine E-Mail-Nachricht ergriffen hat, wird die E-Mail-Nachricht weiterhin zur weiteren Verarbeitung an andere Scanfilter gesendet.
  • Wenn eine E-Mail-Nachricht auf mehrere Spam-Kategorien trifft, kombiniert Cloud-App-Sicherheit die für jede dieser Kategorien festgelegten Aktionen und ergreift nur die Aktion mit der höchsten Priorität. Die Aktionen haben die folgenden Prioritäten (von hoch nach niedrig): Löschen, E-Mail bezeichnen, In Spam verschieben, Übergehen.
  • Wenn eine E-Mail-Nachricht von Gmail in den Spam-Ordner verschoben wird, verarbeitet Cloud-App-Sicherheit sie und ergreift dennoch Maßnahmen dagegen, solange die für die entsprechende Spam-Kategorie festgelegte Aktion Vorrang vor In Spam verschiebenhat.

Ungewöhnliche Signale

In der folgenden Tabelle sind die ungewöhnlichen Signale aufgeführt, die Cloud-App-Sicherheit erkennen kann.
Signal
Beschreibung
Kontoübernahme
Dieses Absenderkonto könnte kompromittiert sein.
Ungewöhnliche URL
Die URLs in der E-Mail ähneln denen, die in anderen bösartigen E-Mails gefunden wurden.
Zahlungs-PDF-Kostenlose-E-Mail
Diese Nachricht stammt von einem kostenlosen E-Mail-Dienst und behandelt zahlungsbezogene Probleme in einem PDF-Anhang.
Zahlung-HTML-Free-E-Mail
Diese Nachricht stammt von einem kostenlosen E-Mail-Dienst und behandelt zahlungsbezogene Probleme in einem HTML-Anhang.
Zahlungs-HTML-NB-Konto
Dieses Konto weist keine früheren Kontakte mit Ihnen auf und behandelt zahlungsbezogene Probleme in einem HTML-Anhang.
Geschmiedete Marke
Der Absender behauptet, eine bekannte Marke zu sein, verhält sich aber nicht so, wie es dem bekannten Verhalten der Marke entspricht.
Verdächtig-Benachrichtigung
Der Anhang könnte Links enthalten, die für bösartige Aktivitäten genutzt werden.