Ansichten:

Befolgen Sie diesen umfassenden Best-Practice-Leitfaden, um die von Benutzern gemeldete E-Mail-Analyse- und Reaktionsfunktion effektiv zu nutzen. Dies hilft Sicherheitsteams, die Bedrohungsbewertung zu optimieren, Maßnahmen sicher anzuwenden und die Email Protection zu stärken.

Organisationen sehen sich einem wachsenden Volumen an E-Mail-basierten Bedrohungen gegenüber, und Endbenutzer sind oft die letzte Verteidigungslinie. Ohne einen strukturierten Prozess zur Analyse gemeldeter E-Mails können Sicherheitsteams jedoch Schwierigkeiten haben, Bedrohungen effizient zu priorisieren, was zu verzögerten Reaktionen und einem erhöhten Risikopotenzial führt. Die manuelle Untersuchung jedes Berichts ist zeitaufwändig und anfällig für Übersehen, insbesondere wenn ähnliche Bedrohungen bereits in der Umgebung vorhanden sind.
Cloud-E-Mail- und Zusammenarbeitsschutz geht diese Herausforderung mit seiner Funktion zur Analyse und Reaktion auf von Benutzern gemeldete E-Mails an. Wenn Benutzer verdächtige E-Mails melden, analysiert das System automatisch die Nachricht, um die Bedrohungsart zu bestimmen, wie Phishing, Spam oder markiert, und identifiziert gemeinsame Indikatoren wie bösartige URLs oder verdächtige Absender. Es bietet auch eine Liste der neuesten E-Mails, die ähnliche verdächtige Indikatoren mit der gemeldeten Nachricht teilen, sodass Administratoren manuelle oder automatische Maßnahmen ergreifen können, um diese Bedrohungen zu mindern.
Darüber hinaus verbessert Cloud-E-Mail- und Zusammenarbeitsschutz die Erkennungsfähigkeiten, indem es aus der gemeldeten E-Mail lernt, um ein Wiederauftreten zu verhindern. Administratoren können auch relevante Objekte – wie Absenderadressen, Domains oder URLs – aus der gemeldeten E-Mail zu überwachten Listen hinzufügen, die in den Richtlinien der Korrelativen Intelligenz verwendet werden.
Cloud-E-Mail- und Zusammenarbeitsschutz unterstützt auch das Senden von Analyseergebnissen gemeldeter E-Mails direkt an Endbenutzer, basierend auf der Konfiguration des Administrators. Unabhängig davon, ob die E-Mail als Phishing, Spam bestätigt oder zur weiteren Beachtung markiert wurde, erhalten die Benutzer Rückmeldungen, die ihre Rolle bei der Bedrohungserkennung stärken.
Durch die Nutzung dieser Closed-Loop-Analyse- und Reaktionsfunktion ermöglichen Organisationen ihren Endbenutzern, zur Bedrohungserkennung beizutragen, während Sicherheitsteams schneller reagieren, den manuellen Arbeitsaufwand reduzieren und zukünftige Bedrohungen proaktiv sperren können. Das Ergebnis ist ein effizienterer und skalierbarer E-Mail-Sicherheitsworkflow, der die Sichtbarkeit und Eindämmung in der gesamten Organisation verbessert.

Prozedur

  1. Richten Sie Meldekanäle für Ihre Benutzer auf eine der folgenden Arten ein.
    • Installieren Sie das Add-in für Outlook im Outlook-Client Ihrer Benutzer, um das Melden von verdächtigen E-Mails mit einem Klick zu ermöglichen.
    • Aktivieren Sie das Warnbanner in der entsprechenden Correlated Intelligence-Richtlinie, um eine Warnmeldung am oberen Rand des E-Mail-Textes anzuzeigen, der durch vordefinierte Korrelationsregeln als Anomalie markiert wurde.
  2. Konfigurieren Sie die E-Mail-Berichtseinstellungen.
    • Erlauben Sie Cloud-E-Mail- und Zusammenarbeitsschutz, gemeldete E-Mails automatisch zu analysieren, um die Zeit für die Bedrohungsbewertung zu verkürzen.
    • Wählen Sie, ob manuelle oder automatische Sicherheitsmaßnahmen auf E-Mails angewendet werden sollen, die basierend auf der Analyse als ähnliche Bedrohungen identifiziert wurden.
    • Wählen Sie, ob Sie nach erfolgreicher Analyse einer gemeldeten E-Mail eine Folge-E-Mail an Endbenutzer senden möchten, um die Ergebnisse ihres Feedbacks zusammenzufassen.
  3. Überprüfen Sie die gemeldeten E-Mail-Details und greifen Sie auf den Analyse-Details-Bildschirm zu, um Klassifizierung, verdächtige Indikatoren und E-Mail-Metadaten anzuzeigen.
  4. Überwachen Sie die automatisierte Minderung oder wenden Sie Minderungsmaßnahmen manuell an.
    • Überwachen Sie die automatisierte Minderung, wenn automatisierte Sicherheitsmaßnahmen aktiviert sind.
      • Das System ergreift automatisch Abhilfemaßnahmen bei ähnlichen historischen E-Mails.
      • Verwenden Sie die Fortschrittsleiste, um den Echtzeitstatus-Update zu verfolgen.
    • Wenden Sie Abhilfemaßnahmen manuell an, wenn manuelle Sicherheitsmaßnahmen aktiviert sind.
      Verwenden Sie den Bildschirm Analysedetails, um manuelle Schritte durchzuführen:
      1. Untersuchen Sie die gemeldete E-Mail, sehen Sie sich deren Klassifizierung an und verstehen Sie, warum die E-Mail durch die wichtigsten Indikatoren als verdächtig eingestuft wurde.
      2. Im Abschnitt Abhilfemaßnahmen empfohlene Maßnahmen auf ähnliche E-Mails einzeln oder in Gruppen anwenden.
  5. Überwachen Sie die automatisierte Behebung und Prävention oder wenden Sie Behebungs- und Präventionsmaßnahmen manuell an.
    • Für gemeldete E-Mails, die als Phishing oder Spam bestätigt wurden, wendet das System automatisch Abhilfemaßnahmen und Präventionsmaßnahmen an.
      Verwenden Sie die Fortschrittsleiste, um den Echtzeitstatus-Update zu verfolgen.
      Sobald diese Maßnahmen umgesetzt sind, kann das System weitere historische E-Mails identifizieren, die ähnliche Bedrohungen oder Risiken darstellen. Sie können zusätzliche problematische Nachrichten im Analyse-Detailbildschirm finden.
    • Für gemeldete E-Mails, die zur weiteren Beachtung markiert wurden, verwenden Sie den Analyse-Details-Bildschirm, um manuelle Schritte durchzuführen:
      1. Fügen Sie im Abschnitt Behebung und Prävention das relevanteste Objekt zur entsprechenden überwachten Liste hinzu, die von Correlated Intelligence verwaltet wird.
        Dieser Vorgang erstellt automatisch ein Erkennungssignal für diesen Objekttyp auf der Erkennungssignale-Registerkarte unter RichtlinienAllgemeine EinstellungenKorrelierte IntelligenzKorrelationsregeln und Erkennungssignale, benannt Überwachtes <object type> aus von Benutzern gemeldeten E-Mails.
        Diese Signale tragen zu einer systemgenerierten Korrelationsregel Benutzerbericht-gesteuerte Bedrohungserkennung bei, die hilft, andere E-Mails mit demselben überwachten Objekt zu erkennen.
        Auf dem Bildschirm mit den Signaldetails können Sie alle Objekte finden, die Sie im Bildschirm mit den Analysedetails hinzugefügt haben, und diese nach Wunsch verwalten.
      2. Um ähnliche Bedrohungen und Risiken proaktiv zu sperren, gehen Sie zu Ihren Advanced Threat Protection-Richtlinieneinstellungen und fügen Sie Benutzerbericht-gesteuerte Bedrohungserkennung als benutzerdefinierte Regel unter Korrelierte Intelligenz hinzu.