Microsoft Defender XDR: Die 5 wichtigsten Produkte und deren Lizenzierung in der Übersicht

Microsoft Defender XDR ist eine zentrale Sicherheitsplattform, auf welcher die verschiedenen Defender-Produkte eingebunden und deren Funktionalitäten gebündelt werden. Die Plattform überwacht die IT-Umgebung und warnt, wenn verdächtige Aktivitäten erkannt werden. In diesem Blogbeitrag stelle ich 5 ausgewählte Defender-Produkte, deren Funktionalität und deren Lizenzierung vor. 

Sie können via security.microsoft.com auf ihr Microsoft Defender Dashboard zugreifen.

Wie üblich in der Microsoft-Welt überlappen sich Produkte und Services und können nicht immer 100% trennscharf voneinander abgebildet werden.

Webinar-Aufnahme inkl. Defender Live-Demo und Tipps für die eigene Defender-Implementierung

Microsoft Defender XDR als technologisches Herzstück des Security Operation Centers

Das Security Operation Center SOC ist die Überwachungszentrale für IT-Sicherheit. Nach unserer Philosophie besteht ein SOC aus den 3 Komponenten Menschen, Technologien und Prozesse. Die Microsoft Defender XDR-Plattform ist das Herzstück in der Komponente Technologie.

Stellt der Defender verdächtiges Verhalten in der IT-Umgebung fest, erstellt er automatisch einen Incident und eine Notification.

Die Spezialisten im Security Operations Center sehen in den Incidents sofort, welche Assets betroffen sind, können das Gefahrenpotenzial bewerten und reagieren. Je nach Konfiguration des Defenders kann das Tool auch selbstständig auf Vorfälle reagieren und beispielsweise einem Benutzeraccount automatisch die Rechte entziehen.

In der Webinar-Aufnahme nehme ich euch direkt am Bildschirm mit in die Defender-Umgebung, welche wir bei uns eingerichtet haben, ich öffne einen Incident und zeige auf, was da zu sehen ist.

Defender Produkt 1: Entra ID Protection

Entra ID Protection minimiert identitätsbasierte Risiken und übernimmt dabei eine ähnliche Rolle wie eine Firewall – jedoch auf Identitäts-Ebene für Cloud-Dienste. Alle Zugriffe auf M365 Cloud-Services werden durch Entra ID Protection geprüft. Die Grundfunktionalitäten sind standardmässig in die M365-Services integriert.

Identitätsbasierte Risiken lassen sich insbesondere durch Multifaktor-Authentifizierung (MFA) stark reduzieren. Zusätzlich zu erwähnen ist die Conditional Access-Funktion. Damit kann der Zugriff von Usern und Usergruppen über definierte Regeln gesteuert werden. Wir setzen MFA und Conditional Access gezielt für besonders sensible Kundenumgebungen ein, um dort den Zugriff nochmals zusätzlich abzusichern. Mehr dazu im Blog «First Secure Access».

Lizenzierung von Entra ID Protection

Microsoft Entra ID Protection ist in 3 Varianten erhältlich:

1. Entra ID Free mit Basisfunktionalitäten und 7-Tage-Logs
2. Entra ID P1 mit granular konfigurierbarem MFA und Conditional Access sowie längerer Log-Aufbewahrung
3. Entra ID P2 mit erweiterten Funktionalitäten

Lizenzempfehlung: Aus unserer Erfahrung deckt Entra ID P1 die Anforderungen der meisten Unternehmen zuverlässig ab.

• Zum Webinar-Video mit der Entra ID Protection-Vorstellung: https://youtu.be/4odK0p1Uh_w?si=YTIb5viRgW7c001h&t=268
• Zur Produktbeschreibung von Microsoft: https://learn.microsoft.com/en-us/azure/active-directory/identity-protection/overview

Im März 2023 wurde die NZZ Opfer eines Cyberangriffes. Der externe SOC-Dienstleisterbemerkte die verdächtigen Aktivitäten und sperrte Accounts, trotzdem schaffte es die international aktive Erpresserbande «Play», Daten zu entwenden und bis zu 60% der IT-Systeme der NZZ zu kompromittieren. Bei der Rekonstruktion des Cyberangriffes stellte sich heraus, dass ein Lieferantenaccount ohne Multifaktor Authentifizierung MFA als Schwachstelle genutzt wurde.

Der NZZ-Hack ist einer von 3 besonderen Schweizer Cybervorfällen, die wir hier vorstellen und die uns als Lehrstücke dienen sollen, um unsere eigene IT resilienter gegen Cyberangriffe zu machen.

Defender Produkt 2: Defender for Office 365

Defender for Office 365 analysiert eingehende E-Mails systematisch auf potenzielle Bedrohungen und blockiert risikobehaftete Inhalte, bevor sie den Empfänger erreichen.

Speziell zu erwähnen sind hier die beiden Funktionen Safe Attachments und Safe Links, welche in der P1-Lizenzierung enthalten sind:

• Safe Attachments untersucht E-Mail-Anhänge im Detail: Soll der Anhang Code ausführen oder einen Registry-Call machen? Stuft Defender for Office 365 den Anhang als gefährlich ein, wird er entfernt.
• Safe Links ersetzt URLs in E-Mails automatisch durch geschützte Microsoft-Links. Beim Anklicken prüft der Service die Zieladresse in Echtzeit und blockiert den Zugriff bei erkannten Gefahren.

Lizenzierung von Defender for Office 365

Microsoft Defender for Office 365 ist in 3 Varianten erhältlich:

1. Exchange Online Protection mit Grundfunktionalitäten
2. Defender for Office 365 P1 mit zusätzlichen Funktionen wie Safe Links und Safe Attachments
3. Defender for Office 365 P2 mit erweiterten Funktionalitäten

Lizenzempfehlung: Nach unserer Einschätzung erfüllt die Defender for Office 365 P1 die Anforderungen der meisten Unternehmen mit gängigen Sicherheitsbedürfnissen zuverlässig.

• Direkt zum Video-Kapitel zum Defender for Office 365 in der Webinar-Aufnahme: https://youtu.be/4odK0p1Uh_w?si=YTIb5viRgW7c001h&t=268
• Zur Produktbeschreibung von Microsoft: https://learn.microsoft.com/en-us/office365/servicedescriptions/office-365-advanced-threat-protection-service-description

Defender Produkt 3: Microsoft Defender for Endpoint

Defender for Endpoint wird auf Endgeräten wie Notebooks und Smartphones installiert und überwacht dort die Aktivitäten der Userinnen und User. Zusätzlich können auch Geräte wie Access Points, Router oder Firewalls in den Schutz eingebunden werden.

Für IT- und Security-Teams besonders interessant ist die automatische Erkennung aller verwalteten und auch nicht verwalteten Geräte im Tenant – inklusive Bewertung ihrer potenziellen Schwachstellen.

Die Lösung ermöglicht nicht nur klassische Endpoint Protection, sondern auch erweiterte Funktionen wie Angriffserkennung, Verhaltensanalyse und Gerätekontrolle. Die Kombination dieser Funktionen hilft dabei, Bedrohungen frühzeitig zu erkennen und gezielt zu reagieren.

Lizenzierung von Defender for Endpoint

Microsoft Defender for Endpoint ist in 3 Varianten erhältlich:

1. Defender for Business mit Funktionalitäten, die auf KMU fokussiert sind
2. Defender for Endpoint P1 mit Basisfunktionen, vergleichbar mit einem klassischen Antivirus – aus unserer Sicht verzichtbar
3. Defender for Endpoint P2 mit erweiterten Funktionen wie aktivem Threat Hunting, unterstützt durch eine 30-tägige Datenhaltung. Damit wirkt die Lösung wie ein Flugdatenschreiber, der alle sicherheitsrelevanten Aktivitäten dokumentiert und die man im Nachhinein im Detail auswerten kann.

Lizenzempfehlung: Nach unserer Einschätzung sind Defender for Business oder Defender for Endpoint P2 die passenden Optionen für die meisten Einsatzszenarien.

• Zur Produktbeschreibung von Microsoft: https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint
• Direkt zum Video-Kapitel mit dem Defender for Endpoint in der Webinar-Aufnahme: https://youtu.be/4odK0p1Uh_w?si=104fSkiI6HTS9wMn&t=765

Defender Produkt 4: Microsoft Defender for Cloud

Aus unserer Sicht liegt der praxisrelevanteste Anwendungsfall von Defender for Cloud im Schutz von on premises Servern wie Active Directory, Fileserver oder ERP-Systemen. Microsoft definiert den Umfang deutlich breiter und bezieht auch zahlreiche Cloud-Workloads und Plattformdienste mit ein.

Ob die Systeme aus Azure oder AWS stammen – Defender for Cloud schützt unterschiedlichste Infrastrukturen, Plattformen, Container oder Datenbanken unabhängig vom Hosting-Anbieter.

Der Funktionsumfang ist entsprechend umfangreich. Die Lizenzierung hängt davon ab, ob Defender for Business oder Defender for Endpoint P2 genutzt wird – sie ist also nicht losgelöst zu betrachten.

Lizenzierung von Defender for Cloud

Microsoft Defender for Cloud ist in 2 Varianten erhältlich:

1. Defender for Business Server – als Ergänzung zu Defender for Endpoint Business
2. Defender for Server P1 – als Ergänzung zu Defender for Endpoint P2

Lizenzempfehlung: Je nach gewählter Endpoint-Lizenz ist entweder Business Server oder Server P1 die passende Ergänzung.

• Zur Produktbeschreibung von Microsoft: https://learn.microsoft.com/en-us/azure/defender-for-cloud/defender-for-cloud-introduction
• Direkt zum Video-Kapitel mit dem Defender for Cloud in der Webinar-Aufnahme: https://youtu.be/4odK0p1Uh_w?si=CVzWtEQp0d5zQzDl&t=857

Defender Produkt 5: Microsoft Defender for Identity

Microsoft Defender for Identity richtet sich spezifisch an Unternehmen mit einer hybriden oder rein lokalen Active Directory-Umgebung. Es analysiert Benutzerverhalten und Netzwerkaktivitäten und erkennt auf dieser Basis verdächtige Muster, um kompromittierte Identitäten und Insider-Bedrohungen zu identifizieren.

Dieses Produkt ist speziell auf den Schutz des Active Directorys auf der on premises Infrastruktur ausgelegt. Dabei werden unter anderem Protokolle wie Kerberos, NTLM oder LDAP analysiert und auf Anomalien geprüft, welche auf einen laufenden Angriff hindeuten könnten – z. B. seitliches Bewegen im Netzwerk, Pass-the-Hash-Angriffe oder verdächtige Benutzerrechte-Eskalationen.

Lizenzierung von Defender for Identity

Microsoft Defender for Identity ist in einer einzigen Lizenzvariante erhältlich:

1. Defender for Identity

Lizenzempfehlung: Die Lizenzierung ist die geeignete Lösung für alle, die weiterhin noch ein eigenes Active Directory on premises betreiben werden.

• Zur Produktbeschreibung von Microsoft: https://learn.microsoft.com/en-us/defender-for-identity/what-is
• Direkt zum Video-Kapitel zum Defender for Identity in der Webinar-Aufnahme: https://youtu.be/4odK0p1Uh_w?si=J0TCgPU2ns2gVZFH&t=1012

Fazit: Ihr Defender läuft eh schon, also nutzen Sie ihn auch (3 Varianten)

Wie eingangs erwähnt, werden grundsätzliche Schutzfunktionen automatisch aktiviert, sobald ein M365-Tenant eingerichtet wird. Bedeutet: Ihr Microsoft Defender läuft eh schon, also können Sie diesen auch nutzen.

Done for you: Wir übernehmen die Rolle Ihres Security Operation Centers, deployen und konfigurieren Ihren Defender nach unseren praxiserprobten Best Practices und überwachen und bearbeiten die laufenden Incidents. Anhand eines gemeinsam festgelegten Incident Response Prozesses reagieren wir auf Vorfälle und haben Ihre Cyberresilienz dadurch massgeblich gesteigert.

Done by you: Sie übernehmen die Defender-Konfiguration und die Aktivierung nötiger Lizenzen selbstständig. Wir stehen zur Verfügung, wenn Lizenzfragen auftauchen oder Sie bei der Feinjustierung der Alerts oder der Integration der verschiedenen Produkte Hilfe benötigen.

Done with you: Wir Aktivieren und Konfigurieren Ihre Defender-Instanz gemeinsam mit Ihnen und stellen den nötigen Wissenstransfer sicher. Je nach Ihrem Bedürfnis wirken wir bei der Überwachung mit.