Bewerten von Microsoft 365 Defender und Ausführen eines Pilotprojekts

Gilt für:

  • Microsoft 365 Defender

Funktionsweise dieser Artikelreihe

Diese Artikelreihe soll Sie schrittweise durch den gesamten Prozess der Einrichtung einer XDR-Testumgebung (End-to-End) führen, sodass Sie die Features und Funktionen von Microsoft 365 Defender auswerten und die Evaluierungsumgebung sogar direkt zur Produktion fördern können, wenn und wenn Sie bereit sind.

Wenn Sie noch nicht über XDR nachdenken, können Sie diese 7 verknüpften Artikel durchsuchen, um ein Gefühl dafür zu bekommen, wie umfassend die Lösung ist.

Microsoft 365 Defender ist eine Cybersicherheitslösung für Microsoft XDR

Microsoft 365 Defender ist eine EXtended Detection and Response (XDR)-Lösung, die Signal-, Bedrohungs- und Warnungsdaten aus Ihrer gesamten Microsoft 365-Umgebung, einschließlich Endpunkten, E-Mails, Anwendungen und Identitäten, automatisch sammelt, korreliert und analysiert. Sie nutzt künstliche Intelligenz (KI) und Automatisierung, um Angriffe automatisch zu stoppen und betroffene Ressourcen in einen sicheren Zustand zu versetzen.

Stellen Sie sich XDR als den nächsten Schritt bei der Sicherheit, Vereinheitlichung von Endpunkten (Endpunkterkennung und -antwort oder EDR), E-Mail-, App- und Identitätssicherheit an einem Ort vor.

Microsoft-Empfehlungen für die Bewertung Microsoft 365 Defender

Microsoft empfiehlt, ihre Auswertung in einem vorhandenen Produktionsabonnement von Office 365 zu erstellen. Auf diese Weise erhalten Sie sofort einblicke in die Praxis und können Einstellungen optimieren, um gegen aktuelle Bedrohungen in Ihrer Umgebung zu arbeiten. Nachdem Sie Erfahrungen gesammelt haben und mit der Plattform vertraut sind, bewerben Sie einfach jede Komponente einzeln in die Produktion.

Die Anatomie eines Cybersicherheitsangriffs

Microsoft 365 Defender ist eine cloudbasierte, vereinheitlichte Enterprise-Verteidigungssuite vor und nach der Verletzung. Es koordiniert Prävention, Erkennung, Untersuchung und Reaktion auf Endpunkte, Identitäten, Apps, E-Mails, Anwendungen für die Zusammenarbeit und alle ihre Daten.

In dieser Abbildung ist ein Angriff im Gange. Phishing-E-Mails gelangen im Posteingang eines Mitarbeiters in Ihrer Organisation, der die E-Mail-Anlage unwissentlich öffnet. Dadurch wird Schadsoftware installiert, was zu einer Kette von Ereignissen führt, die mit dem Diebstahl vertraulicher Daten enden könnte. In diesem Fall ist Defender for Office 365 jedoch in Betrieb.

Die verschiedenen Angriffsversuche

In der Abbildung sehen Sie Folgendes:

  • Exchange Online Protection, Teil von Microsoft Defender for Office 365, kann die Phishing-E-Mail erkennen und E-Mail-Flussregeln verwenden, um sicherzustellen, dass sie nie im Posteingang eintrifft.
  • Defender for Office 365 sicheren Anlagen testet die Anlage und stellt fest, dass sie schädlich ist, sodass die eingehendeN E-Mails vom Benutzer entweder nicht bearbeitet werden können, oder Richtlinien verhindern, dass die E-Mails überhaupt eingehen.
  • Defender für Endpunkt verwaltet Geräte, die eine Verbindung mit dem Unternehmensnetzwerk herstellen und Geräte- und Netzwerkrisiken erkennen, die andernfalls ausgenutzt werden könnten.
  • Defender for Identity nimmt plötzliche Kontoänderungen wie die Berechtigungseskalation oder die laterale Bewegung mit hohem Risiko zur Kenntnis. Sie berichtet auch über leicht ausgenutzte Identitätsprobleme wie die uneingeschränkte Kerberos-Delegierung zur Korrektur durch das Sicherheitsteam.
  • Microsoft Defender for Cloud Apps bemerkt anomales Verhalten wie unmögliches Reisen, Zugriff auf Anmeldeinformationen und ungewöhnliche Download-, Dateifreigabe- oder E-Mail-Weiterleitungsaktivitäten und meldet diese an das Sicherheitsteam.

Microsoft 365 Defender Komponenten sichern Geräte, Identität, Daten und Anwendungen

Microsoft 365 Defender setzt sich aus diesen Sicherheitstechnologien zusammen. Sie benötigen nicht alle diese Komponenten, um von den Funktionen von XDR und Microsoft 365 Defender zu profitieren. Sie werden gewinne und Effizienz durch die Verwendung von ein oder zwei als auch realisieren.

Komponente Beschreibung Referenzmaterial
Microsoft Defender for Identity Microsoft Defender for Identity verwendet Active Directory-Signale, um erweiterte Bedrohungen, kompromittierte Identitäten und böswillige Insideraktionen, die an Ihre Organisation gerichtet sind, zu identifizieren, zu erkennen und zu untersuchen. Was ist Microsoft Defender for Identity?
Exchange Online Protection Exchange Online Protection ist der systemeigene cloudbasierte SMTP-Relay- und Filterdienst, der Ihre Organisation vor Spam und Schadsoftware schützt. übersicht über Exchange Online Protection (EOP) – Office 365
Microsoft Defender für Office 365 Microsoft Defender for Office 365 schützt Ihre Organisation vor böswilligen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit. Microsoft Defender for Office 365 - Office 365
Microsoft Defender für Endpunkt Microsoft Defender for Endpoint ist eine einheitliche Plattform für Geräteschutz, Erkennung nach Sicherheitsverletzungen, automatisierte Untersuchung und empfohlene Reaktion. Microsoft Defender for Endpoint – Windows-Sicherheit
Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps ist eine umfassende saaS-übergreifende Lösung, die umfassende Sichtbarkeit, starke Datenkontrollen und verbesserten Bedrohungsschutz für Ihre Cloud-Apps bietet. Was ist Defender für Cloud-Apps?
Azure AD Identity Protection Azure AD Identity Protection wertet Risikodaten aus Milliarden von Anmeldeversuchen aus und verwendet diese Daten, um das Risiko jeder Anmeldung bei Ihrer Umgebung zu bewerten. Diese Daten werden von Azure AD verwendet, um den Kontozugriff zuzulassen oder zu verhindern, je nachdem, wie Richtlinien für bedingten Zugriff konfiguriert sind. Azure AD Identity Protection wird separat von Microsoft 365 Defender lizenziert. Es ist in Azure Active Directory Premium P2 enthalten. Was ist Identitätsschutz?

Microsoft 365 Defender Architektur

Das folgende Diagramm veranschaulicht eine allgemeine Architektur für wichtige Microsoft 365 Defender Komponenten und Integrationen. Detaillierte Architektur für jede Defender-Komponente und Anwendungsfallszenarien finden Sie in dieser Artikelreihe.

Eine allgemeine Architektur des Microsoft 365 Defender-Portals

In dieser Abbildung:

  • Microsoft 365 Defender kombiniert die Signale aller Defender-Komponenten, um domänenübergreifende erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) bereitzustellen. Dazu gehören eine einheitliche Vorfallswarteschlange, automatisierte Reaktion auf das Beenden von Angriffen, Selbstheilung (für kompromittierte Geräte, Benutzeridentitäten und Postfächer), bedrohungsübergreifende Suche und Bedrohungsanalyse.
  • Microsoft Defender für Office 365 schützt Ihre Organisation vor bösartigen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit. Sie teilt Signale, die sich aus diesen Aktivitäten ergeben, mit Microsoft 365 Defender. Exchange Online Protection (EOP) ist integriert, um End-to-End-Schutz für eingehende E-Mails und Anlagen zu bieten.
  • Microsoft Defender for Identity sammelt Signale von Servern, auf denen Active Directory Federated Services (AD FS) und lokales Active Directory Domain Services (AD DS) ausgeführt werden. Es verwendet diese Signale, um Ihre Hybrididentitätsumgebung zu schützen, einschließlich des Schutzes vor Hackern, die kompromittierte Konten verwenden, um sich lateral über Arbeitsstationen in der lokalen Umgebung zu bewegen.
  • Microsoft Defender for Endpoint sammelt Signale von Geräten, die von Ihrer Organisation verwendet werden, und schützt sie.
  • Microsoft Defender for Cloud Apps sammelt Signale aus der Nutzung von Cloud-Apps durch Ihre Organisation und schützt Daten, die zwischen Ihrer Umgebung und diesen Apps fließen, einschließlich sanktionierten und nicht genehmigten Cloud-Apps.
  • Azure AD Identity Protection wertet Risikodaten aus Milliarden von Anmeldeversuchen aus und verwendet diese Daten, um das Risiko jeder Anmeldung bei Ihrer Umgebung zu bewerten. Diese Daten werden von Azure AD verwendet, um den Kontozugriff zuzulassen oder zu verhindern, je nachdem, wie Richtlinien für bedingten Zugriff konfiguriert sind. Azure AD Identity Protection wird separat von Microsoft 365 Defender lizenziert. Es ist in Azure Active Directory Premium P2 enthalten.

Microsoft SIEM und SOAR können Daten aus Microsoft 365 Defender

Zusätzliche optionale Architekturkomponenten, die in dieser Abbildung nicht enthalten sind:

  • Detaillierte Signaldaten aus allen Microsoft 365 Defender-Komponenten können in Microsoft Sentinel integriert und mit anderen Protokollierungsquellen kombiniert werden, um vollständige SIEM- und SOAR-Funktionen und -Einblicke zu bieten.
  • Weitere Informationen zur Verwendung von Microsoft Sentinel, einem Azure SIEM, mit Microsoft 365 Defender als XDR finden Sie in diesem Übersichtsartikel sowie in den Integrationsschritten von Microsoft Sentinel und Microsoft 365 Defender.
  • Weitere Informationen zu SOAR in Microsoft Sentinel (einschließlich Links zu Playbooks im Microsoft Sentinel GitHub-Repository) finden Sie in diesem Artikel.

Der Auswertungsprozess für Microsoft 365 Defender Cybersicherheit

Microsoft empfiehlt, die Komponenten von Microsoft 365 in der angegebenen Reihenfolge zu aktivieren:

Ein hochrangiger Auswertungsprozess im Microsoft 365 Defender-Portal

In der folgenden Tabelle wird diese Abbildung beschrieben.

Seriennummer Schritt Beschreibung
1 Erstellen Sie die Evaluierungsumgebung Mit diesem Schritt wird sichergestellt, dass Sie über die Testlizenz für Microsoft 365 Defender verfügen.
2 Aktivieren von Defender for Identity Überprüfen Sie die Architekturanforderungen, aktivieren Sie die Auswertung, und führen Sie Lernprogramme durch, um verschiedene Angriffstypen zu identifizieren und zu beheben.
3 Aktivieren von Defender for Office 365 Stellen Sie sicher, dass Sie die Architekturanforderungen erfüllen, aktivieren Sie die Auswertung, und erstellen Sie dann die Pilotumgebung. Diese Komponente enthält Exchange Online Protection, sodass Sie beide hier tatsächlich auswerten.
4 Aktivieren von Defender für Endpunkt Stellen Sie sicher, dass Sie die Architekturanforderungen erfüllen, aktivieren Sie die Auswertung, und erstellen Sie dann die Pilotumgebung.
5 Aktivieren von Microsoft Defender for Cloud Apps Stellen Sie sicher, dass Sie die Architekturanforderungen erfüllen, aktivieren Sie die Auswertung, und erstellen Sie dann die Pilotumgebung.
6 Untersuchen und Reagieren auf Bedrohungen Simulieren Sie einen Angriff, und beginnen Sie mit der Verwendung von Funktionen zur Reaktion auf Vorfälle.
7 Höherstufen der Testversion in die Produktion Höherstufen der Microsoft 365-Komponenten zur Einzelproduktion.

Dies ist eine häufig empfohlene Reihenfolge, die entwickelt wurde, um den Nutzen der Funktionen schnell zu nutzen, je nach dem, wie viel Aufwand in der Regel erforderlich ist, um die Funktionen bereitzustellen und zu konfigurieren. Beispielsweise können Defender for Office 365 in kürzerer Zeit konfiguriert werden als die Registrierung von Geräten in Defender für Endpunkt. Natürlich sollten Sie die Komponenten so priorisieren, dass sie Ihren geschäftlichen Anforderungen entsprechen, und können diese in einer anderen Reihenfolge aktivieren.

Zum nächsten Schritt wechseln

Erfahren Sie mehr über die Microsoft 365 Defender Evaluierungsumgebung und/oder erstellen Sie sie.