Microsoft erweiterte sein Security & Compliance Center im Microsoft 365 Admin Center nun um die Funktionen “E-Mail Nachrichtenflusseinblicke” (E-mail Flow). Mit dieser Funktion können Administratoren wesentlich schneller und einfacher einen Überblick über die Versendung von Emails erhalten, einzelne NutzerInnen überwachen oder Spamversendungen prüfen. Berichte können z.B. als .csv runtergeladen werden. Aber schauen wir es uns einfach mal genauer an:
An der neuen Funktion wird aktuell noch gearbeitet, so dass auch Blogposts mit Neuerungen zu beachten sind.
In dem Dashboard erhaltet ihr zunächst einen Überblick über den E-Mail Fluss in eurem Tenant. Es werden verschiedene Berichte auf einer Seite zusammengefasst:
Desweiteren könnt ihr auch eine Verfolgung von Emails bestimmter Personen und oder Gruppen durchführen. Hierzu könnt ihr die Nachrichtenablaufverfolgung nutzen. Es gibt 5 Standardabfragen, die modifiziert oder komplett neu angelegt und dann als benuzerdefinierte Abfragen verwendet werden können.
Sobald ihr selber diese Anlegen wollt, erhaltet ihr folgendes Formular angezeigt. Als Bespiel habe ich einfach mal meine Domain genutzt und möchte alle Nachrichten verfolgen. Es können bestimmte Empfänger ausgewählt werden, hier könnt ihr Domains oder einzelne Emailadressen auswählen. Es bietet sich in der Regel an fertige Abfragen mit genaueren Sendern und Empfängern anzulegen, um die Versendung genauer im Blick zu behalten.
Wichtig ist, dass ihr die Berichte je nach benötigten Informationen auswählt. Ich habe mich bisher immer für den Erweiterten Zusammenfassungsbericht als CSV-Datei entschieden. Der Bericht ist nach einiger Zeit zum Download verfügbar, darüber wird man per Email auch informiert.
Berichte des Emailflusses
Ihr könnt über die Berichtsanzeige, klickt einfach auf die kleine Grafik im Dashboard, verschiedenste Berichte auswählen.
Diese Berichte könnt ihr an verschiedenen Punkten anpassen. So könnt ihr einen Zeitplan erstellen, so dass ihr als Exchange Administrator z.B. wöchentlich automatisch per Email informiert werdet. Diese Email kann auch in einem Teams-Channel laufen und wäre meine bevorzugte Wahl, wenn Microsoft Teams im Einsatz ist.
Über die Spaltenoptionen seht ihr zunächst, welche Informationen überhaupt verfügbar sein. Im Standard sind die unteren drei Optionen ausgehakt. Ich aktiviere alle Optionen, um mir das gesamte Spektrum ansehen zu können. Dies lässt sich pro Bericht einzeln bestimmen.
So erhaltet ihr nach eine kurzen Konfiguration die Informationen, die ihr benötigt.
Die Informationen werden im Klartext angezeigt. Ihr könnt genau sehen welcher MitarbeiterIn mit welcher IP Adresse an welchen Empfänger mit welchem Betreff wann eine Email versandt hat.
Windows Defener ATP
Wir ihr seht, besteht auch die Möglichkeit den Windows Defender Advanced Threat Protecton hinzuzufügen. Somit wird das Spektrum der Informationen erweitert und Informationen aus dem Bereich der Security für die Berichte erweitert.
Berichte und Karten
Neben verschiedenen Zeitstrahlen und Balkendiagrammen erhalten ihr auch, dafür müsst ihr weiter nach unten scrollen, eine Heatmap. So könnt ihr schnell erfassen, wo der meiste Kontakt liegt und ggf. auch wo die meisten Junk-Emails herkommen oder auch Bedrohungen.
Der Bereich Security wird auch abgedeckt. So habt ihr schnell einen Überblick über den TLS Status aus den letzten 7 Tagen. Es können über den Klick auf “View detail table” auch alle Sender und deren Emails inkl. Status angezeigt werden. So lassen sich Probleme schnell pro Account erkennen. Der Tipp ist auch hier übe die Filter zu gehen, um in großen Umgebungen den Überblick zu behalten.
Datenschutz und Betriebsrat
Der Nachrichtenfluss und dessen ausführlichen Berichte sind ohne Frage jeweils auch für die Bereiche Datenschutz und auch den Betriebsrat relevant. Es können Sender und Empfänger verfolgt und die Emailkommunikation (Betreff) eingesehen werden. Über den Betreff, da Datum und den Versender könnte man genau diese Emails über die Inhaltssuche extrahieren und genau betrachten ohne dass der Mitarbeiter die Mitarbeiterin dies mitbekommt.
Folglich muss das Werkzeug und damit der Zugang eingeschränkt werden. Der Überblick anonymisiert ist für den Security und Compliance Officer relevant und auch für den Exchange Administrator, so dass die den sicheren Betrieb gewährleisten können. Jedoch sind tiefergehende Analysen durch einen Prozess abzusichern, da granularere Berechtigungen hier nicht möglich sind. Ebenfalls sollten die Exchange und Security Administratoren geschult sein.
Im Sinne des Betriebsrates kann eine Mitarbeiterüberwachung über die Emailkommunikation erfolgen. Dies ist mit diesem Abzuklären.
Weiterhin spielt die Diskussion private oder geschäftliche Email auch hier wieder eine Rolle. Es handelt sich um erweitere Log-Informationen, so dass auf diese, steng genommen, nur durch das Unternehmen zugegriffen werden darf, wenn den MitarbeiterInnen lediglich die geschäftliche Nutzung der Emailadresse erlaubt ist. Gegenüber externen Personen sollte und das wird heute schon häufig gemacht, auf diese Analyse Möglichkeiten hingewiesen werden, denn auch deren Daten und pers. Daten werden sichtbar und verarbeitet. Unternehmen, die keine Regelung haben oder die private Emailnutzung erlauben, ist ein Zugriff durch das Unternehmen auf dieses Werkzug zu untersagen.
via:
https://blogs.technet.microsoft.com/exchange/2018/06/22/update-on-mail-flow-insights/