Microsoft Defender XDR ist eine zentrale Sicherheitsplattform, auf welcher die verschiedenen Defender-Produkte eingebunden und deren Funktionalitäten gebündelt werden. Die Plattform überwacht die IT-Umgebung und warnt, wenn verdächtige Aktivitäten erkannt werden. In diesem Blogbeitrag stelle ich 5 ausgewählte Defender-Produkte, deren Funktionalität und deren Lizenzierung vor.
Sie können via security.microsoft.com auf ihr Microsoft Defender Dashboard zugreifen.
Wie üblich in der Microsoft-Welt überlappen sich Produkte und Services und können nicht immer 100% trennscharf voneinander abgebildet werden.
|
|
Im Video stelle ich die hier genannten fünf Defender-Produkte vor und zeige in eine Live-Demonstration direkt am Bildschirm auf, wie wir den Microsoft Defender bei uns in der first frame networkers AG für die Cyberdefense einsetzen. Die Aufnahme stammt vom Live-Webinar vom 20.03.2025, an welchem rund 40 Personen teilgenommen hatten. |
Das Security Operation Center SOC ist die Überwachungszentrale für IT-Sicherheit. Nach unserer Philosophie besteht ein SOC aus den 3 Komponenten Menschen, Technologien und Prozesse. Die Microsoft Defender XDR-Plattform ist das Herzstück in der Komponente Technologie.
Stellt der Defender verdächtiges Verhalten in der IT-Umgebung fest, erstellt er automatisch einen Incident und eine Notification.
Die Spezialisten im Security Operations Center sehen in den Incidents sofort, welche Assets betroffen sind, können das Gefahrenpotenzial bewerten und reagieren. Je nach Konfiguration des Defenders kann das Tool auch selbstständig auf Vorfälle reagieren und beispielsweise einem Benutzeraccount automatisch die Rechte entziehen.
|
Entra ID Protection minimiert identitätsbasierte Risiken und übernimmt dabei eine ähnliche Rolle wie eine Firewall – jedoch auf Identitäts-Ebene für Cloud-Dienste. Alle Zugriffe auf M365 Cloud-Services werden durch Entra ID Protection geprüft. Die Grundfunktionalitäten sind standardmässig in die M365-Services integriert. |
Identitätsbasierte Risiken lassen sich insbesondere durch Multifaktor-Authentifizierung (MFA) stark reduzieren. Zusätzlich zu erwähnen ist die Conditional Access-Funktion. Damit kann der Zugriff von Usern und Usergruppen über definierte Regeln gesteuert werden. Wir setzen MFA und Conditional Access gezielt für besonders sensible Kundenumgebungen ein, um dort den Zugriff nochmals zusätzlich abzusichern. Mehr dazu im Blog «First Secure Access».
Microsoft Entra ID Protection ist in 3 Varianten erhältlich:
Lizenzempfehlung: Aus unserer Erfahrung deckt Entra ID P1 die Anforderungen der meisten Unternehmen zuverlässig ab.
Im März 2023 wurde die NZZ Opfer eines Cyberangriffes. Der externe SOC-Dienstleisterbemerkte die verdächtigen Aktivitäten und sperrte Accounts, trotzdem schaffte es die international aktive Erpresserbande «Play», Daten zu entwenden und bis zu 60% der IT-Systeme der NZZ zu kompromittieren. Bei der Rekonstruktion des Cyberangriffes stellte sich heraus, dass ein Lieferantenaccount ohne Multifaktor Authentifizierung MFA als Schwachstelle genutzt wurde.
| Defender for Office 365 analysiert eingehende E-Mails systematisch auf potenzielle Bedrohungen und blockiert risikobehaftete Inhalte, bevor sie den Empfänger erreichen. |
Speziell zu erwähnen sind hier die beiden Funktionen Safe Attachments und Safe Links, welche in der P1-Lizenzierung enthalten sind:
Microsoft Defender for Office 365 ist in 3 Varianten erhältlich:
Lizenzempfehlung: Nach unserer Einschätzung erfüllt die Defender for Office 365 P1 die Anforderungen der meisten Unternehmen mit gängigen Sicherheitsbedürfnissen zuverlässig.
|
|
In der Webinar-Aufnahme zeige ich unter anderem auch das Attack Simulation Training aus dem P2-Plan – eine Funktion, die in der regulären P1-Lizenz nicht enthalten ist, aber interessante Einblicke bietet. Dabei analysiere ich einige echte Phishingmails direkt am Bildschirm. Die Aufnahme stammt vom Live-Webinar, welches wir im November 2024 durchgeführt haben. |
| Defender for Endpoint wird auf Endgeräten wie Notebooks und Smartphones installiert und überwacht dort die Aktivitäten der Userinnen und User. Zusätzlich können auch Geräte wie Access Points, Router oder Firewalls in den Schutz eingebunden werden. |
Für IT- und Security-Teams besonders interessant ist die automatische Erkennung aller verwalteten und auch nicht verwalteten Geräte im Tenant – inklusive Bewertung ihrer potenziellen Schwachstellen.
Die Lösung ermöglicht nicht nur klassische Endpoint Protection, sondern auch erweiterte Funktionen wie Angriffserkennung, Verhaltensanalyse und Gerätekontrolle. Die Kombination dieser Funktionen hilft dabei, Bedrohungen frühzeitig zu erkennen und gezielt zu reagieren.
Microsoft Defender for Endpoint ist in 3 Varianten erhältlich:
Lizenzempfehlung: Nach unserer Einschätzung sind Defender for Business oder Defender for Endpoint P2 die passenden Optionen für die meisten Einsatzszenarien.
| Aus unserer Sicht liegt der praxisrelevanteste Anwendungsfall von Defender for Cloud im Schutz von on premises Servern wie Active Directory, Fileserver oder ERP-Systemen. Microsoft definiert den Umfang deutlich breiter und bezieht auch zahlreiche Cloud-Workloads und Plattformdienste mit ein. |
Ob die Systeme aus Azure oder AWS stammen – Defender for Cloud schützt unterschiedlichste Infrastrukturen, Plattformen, Container oder Datenbanken unabhängig vom Hosting-Anbieter.
Der Funktionsumfang ist entsprechend umfangreich. Die Lizenzierung hängt davon ab, ob Defender for Business oder Defender for Endpoint P2 genutzt wird – sie ist also nicht losgelöst zu betrachten.
Microsoft Defender for Cloud ist in 2 Varianten erhältlich:
Lizenzempfehlung: Je nach gewählter Endpoint-Lizenz ist entweder Business Server oder Server P1 die passende Ergänzung.
| Microsoft Defender for Identity richtet sich spezifisch an Unternehmen mit einer hybriden oder rein lokalen Active Directory-Umgebung. Es analysiert Benutzerverhalten und Netzwerkaktivitäten und erkennt auf dieser Basis verdächtige Muster, um kompromittierte Identitäten und Insider-Bedrohungen zu identifizieren. |
Dieses Produkt ist speziell auf den Schutz des Active Directorys auf der on premises Infrastruktur ausgelegt. Dabei werden unter anderem Protokolle wie Kerberos, NTLM oder LDAP analysiert und auf Anomalien geprüft, welche auf einen laufenden Angriff hindeuten könnten – z. B. seitliches Bewegen im Netzwerk, Pass-the-Hash-Angriffe oder verdächtige Benutzerrechte-Eskalationen.
Microsoft Defender for Identity ist in einer einzigen Lizenzvariante erhältlich:
Lizenzempfehlung: Die Lizenzierung ist die geeignete Lösung für alle, die weiterhin noch ein eigenes Active Directory on premises betreiben werden.
Wie eingangs erwähnt, werden grundsätzliche Schutzfunktionen automatisch aktiviert, sobald ein M365-Tenant eingerichtet wird. Bedeutet: Ihr Microsoft Defender läuft eh schon, also können Sie diesen auch nutzen.
Done for you: Wir übernehmen die Rolle Ihres Security Operation Centers, deployen und konfigurieren Ihren Defender nach unseren praxiserprobten Best Practices und überwachen und bearbeiten die laufenden Incidents. Anhand eines gemeinsam festgelegten Incident Response Prozesses reagieren wir auf Vorfälle und haben Ihre Cyberresilienz dadurch massgeblich gesteigert.
Done by you: Sie übernehmen die Defender-Konfiguration und die Aktivierung nötiger Lizenzen selbstständig. Wir stehen zur Verfügung, wenn Lizenzfragen auftauchen oder Sie bei der Feinjustierung der Alerts oder der Integration der verschiedenen Produkte Hilfe benötigen.
Done with you: Wir Aktivieren und Konfigurieren Ihre Defender-Instanz gemeinsam mit Ihnen und stellen den nötigen Wissenstransfer sicher. Je nach Ihrem Bedürfnis wirken wir bei der Überwachung mit.