Ansichten:

Befolgen Sie diesen umfassenden Best-Practice-Leitfaden, um die von Benutzern gemeldete E-Mail-Analyse- und Reaktionsfunktion effektiv zu nutzen. Dies hilft Sicherheitsteams, die Bedrohungsbewertung zu optimieren, Maßnahmen sicher anzuwenden und die Email Protection zu stärken.

Organisationen sehen sich einem wachsenden Volumen an E-Mail-basierten Bedrohungen gegenüber, und Endbenutzer sind oft die letzte Verteidigungslinie. Ohne einen strukturierten Prozess zur Analyse gemeldeter E-Mails können Sicherheitsteams jedoch Schwierigkeiten haben, Bedrohungen effizient zu priorisieren, was zu verzögerten Reaktionen und einem erhöhten Risikopotenzial führt. Die manuelle Untersuchung jedes Berichts ist zeitaufwändig und anfällig für Übersehen, insbesondere wenn ähnliche Bedrohungen bereits in der Umgebung vorhanden sind.
Cloud-E-Mail- und Zusammenarbeitsschutz geht diese Herausforderung mit seiner Funktion zur Analyse und Reaktion auf von Benutzern gemeldete E-Mails an. Wenn Benutzer verdächtige E-Mails melden, analysiert das System automatisch die Nachricht, um die Bedrohungsart zu bestimmen, wie Phishing, Spam oder markiert, und identifiziert gemeinsame Indikatoren wie bösartige URLs oder verdächtige Absender. Es bietet auch eine Liste der neuesten E-Mails, die ähnliche verdächtige Indikatoren mit der gemeldeten Nachricht teilen, sodass Administratoren manuelle oder automatische Maßnahmen ergreifen können, um diese Bedrohungen zu mindern.
Darüber hinaus verbessert Cloud-E-Mail- und Zusammenarbeitsschutz die Erkennungsfähigkeiten, indem es aus der gemeldeten E-Mail lernt, um ein Wiederauftreten zu verhindern. Administratoren können auch relevante Objekte – wie Absenderadressen, Domains oder URLs – aus der gemeldeten E-Mail zu überwachten Listen hinzufügen, die in den Richtlinien der Korrelativen Intelligenz verwendet werden.
Indem sie diese Funktion nutzen, ermöglichen Organisationen ihren Endbenutzern, zur Bedrohungserkennung beizutragen, während Sicherheitsteams schneller reagieren, den manuellen Arbeitsaufwand reduzieren und zukünftige Bedrohungen proaktiv sperren können. Das Ergebnis ist ein effizienterer und skalierbarer E-Mail-Sicherheitsworkflow, der die Sichtbarkeit und Eindämmung in der gesamten Organisation verbessert.

Prozedur

  1. Richten Sie Meldekanäle für Ihre Benutzer ein.
    • Installieren Sie das Add-in für Outlook im Outlook-Client Ihrer Benutzer, um das Melden von verdächtigen E-Mails mit einem Klick zu ermöglichen, oder
    • Aktivieren Sie das Warnbanner, um eine Warnmeldung am oberen Rand des E-Mail-Körpers anzuzeigen, der durch vordefinierte Korrelationsregeln als Anomalie markiert wurde.
  2. Konfigurieren Sie die E-Mail-Berichtseinstellungen.
    • Erlauben Sie Cloud-E-Mail- und Zusammenarbeitsschutz, gemeldete E-Mails automatisch zu analysieren, um die Zeit für die Bedrohungsbewertung zu verkürzen.
    • Wählen Sie, ob manuelle oder automatische Sicherheitsmaßnahmen auf E-Mails angewendet werden sollen, die basierend auf der Analyse als ähnliche Bedrohungen identifiziert wurden.
  3. Überprüfen Sie die gemeldeten E-Mail-Details und greifen Sie auf den Analyse-Details-Bildschirm zu, um Klassifizierung, verdächtige Indikatoren und E-Mail-Metadaten anzuzeigen.
  4. Überwachen Sie die automatisierten Abhilfemaßnahmen und Präventionsaktionen.
    • Wenn automatisierte Sicherheitsmaßnahmen aktiviert sind, ergreift das System automatisch Maßnahmen bei ähnlichen historischen E-Mails und wendet Präventionsmaßnahmen an.
    • Verwenden Sie die Fortschrittsleiste, um Echtzeitstatus-Updates zu verfolgen.
  5. Sicherheitsmaßnahmen manuell anwenden.
    Wenn manuelle Sicherheitsmaßnahmen aktiviert sind, verwenden Sie den Bildschirm für Analysedetails, um manuelle Schritte durchzuführen:
    1. Untersuchen Sie die gemeldete E-Mail, sehen Sie sich deren Klassifizierung an und verstehen Sie, warum die E-Mail durch die wichtigsten Indikatoren als verdächtig eingestuft wurde.
    2. Im Abschnitt Abhilfemaßnahmen empfohlene Maßnahmen auf ähnliche E-Mails einzeln oder in Gruppen anwenden.
    3. Fügen Sie im Abschnitt Behebung und Prävention das relevanteste Objekt zur entsprechenden überwachten Liste hinzu, die von Correlated Intelligence verwaltet wird.
      Dieser Vorgang erstellt automatisch ein Erkennungssignal für diesen Objekttyp auf der Erkennungssignale-Registerkarte unter RichtlinienAllgemeine EinstellungenKorrelierte IntelligenzKorrelationsregeln und Erkennungssignale, benannt Überwachtes <object type> aus von Benutzern gemeldeten E-Mails.
      Diese Signale tragen zu einer systemgenerierten Korrelationsregel Benutzerbericht-gesteuerte Bedrohungserkennung bei, die hilft, andere E-Mails mit demselben überwachten Objekt zu erkennen.
      Auf dem Bildschirm mit den Signaldetails können Sie alle Objekte finden, die Sie im Bildschirm mit den Analysedetails hinzugefügt haben, und diese nach Wunsch verwalten.
    4. Um ähnliche Bedrohungen und Risiken proaktiv zu sperren, gehen Sie zu Ihren Advanced Threat Protection-Richtlinieneinstellungen und fügen Sie Benutzerbericht-gesteuerte Bedrohungserkennung als benutzerdefinierte Regel unter Korrelierte Intelligenz hinzu.