Bewerten von Microsoft 365 Defender und Ausführen eines Pilotprojekts

Gilt für:

  • Microsoft 365 Defender

Funktionsweise dieser Artikelreihe

Diese Artikelreihe soll Sie schrittweise durch den gesamten Prozess des Einrichtens einer XDR-Testumgebung (End-to-End) führen, sodass Sie die Features und Funktionen von Microsoft 365 Defender auswerten und sogar die Evaluierungsumgebung direkt in die Produktion fördern können, wenn Sie bereit sind.

Wenn Sie noch nicht mit XDR beginnen, können Sie diese sieben verknüpften Artikel überprüfen, um ein Gefühl dafür zu erhalten, wie umfassend die Lösung ist.

Microsoft 365 Defender ist eine Microsoft XDR-Cybersicherheitslösung

Microsoft 365 Defender ist eine EXtended Detection and Response (XDR)-Lösung, die automatisch Signal-, Bedrohungs- und Warnungsdaten aus Ihrer Microsoft 365 Umgebung erfasst, korreliert und analysiert, einschließlich Endpunkt, E-Mail, Anwendungen und Identitäten. Sie nutzt künstliche Intelligenz (KI) und Automatisierung, um Angriffe automatisch zu stoppen und betroffene Objekte in einem sicheren Zustand zu beheben.

Stellen Sie sich XDR als nächsten Schritt bei der Sicherheit, Vifizierung des Endpunkts (EDR oder EDR), E-Mail-, App- und Identitätssicherheit an einem Ort vor.

Microsoft-Empfehlungen für die Evaluierung von Microsoft 365 Defender

Microsoft empfiehlt, die Auswertung in einem vorhandenen Produktionsabonnement von Office 365 zu erstellen. Auf diese Weise erhalten Sie sofort Einblicke in die Praxis und können Einstellungen so optimieren, dass sie auf aktuelle Bedrohungen in Ihrer Umgebung angewendet werden. Nachdem Sie Erfahrung gesammelt haben und mit der Plattform vertraut sind, bewerben Sie einfach jede Komponente nacheinander für die Produktion.

Die Anatomie eines Cybersicherheitsangriffs

Microsoft 365 Defender ist eine cloudbasierte, einheitliche Unternehmensschutzsuite vor und nach der Verletzung. Sie koordiniert die Verhinderung, Erkennung, Untersuchung und Reaktion über Endpunkte, Identitäten, Apps, E-Mails, Anwendungen für die Zusammenarbeit und alle ihre Daten hinweg.

In dieser Abbildung wird ein Angriff ausgeführt. Phishing-E-Mails werden im Posteingang eines Mitarbeiters in Ihrer Organisation eintreffen, der die E-Mail-Anlage unwissentlich öffnet. Dadurch wird Schadsoftware installiert, die zu einer Kette von Ereignissen führt, die mit dem Diebstahl vertraulicher Daten enden könnten. In diesem Fall ist Defender für Office 365 jedoch in Betrieb.

Die verschiedenen Angriffsversuche

In der Abbildung sehen Sie Folgendes:

  • Exchange Online Protection, Teil von Microsoft Defender für Office 365, kann die Phishing-E-Mail erkennen und Nachrichtenflussregeln verwenden, um zu überprüfen, ob sie nie im Posteingang eintreffen.
  • Defender für Office 365 sichere Anlagen testet die Anlage und ermittelt, dass sie schädlich ist, sodass die eingehende E-Mail vom Benutzer nicht bearbeitet werden kann oder Richtlinien verhindern, dass die E-Mails überhaupt eintreffen.
  • Defender für Endpunkt verwaltet Geräte, die eine Verbindung mit dem Unternehmensnetzwerk herstellen und Geräte- und Netzwerkschwachstellen erkennen, die andernfalls möglicherweise ausgenutzt werden.
  • Defender for Identity nimmt plötzliche Kontoänderungen wie die Rechteeskalation oder die laterale Bewegung mit hohem Risiko zur Kenntnis. Es meldet auch leicht ausgenutzte Identitätsprobleme wie die uneingeschränkte Kerberos-Delegierung zur Korrektur durch das Sicherheitsteam.
  • Microsoft Defender für Cloud-Apps erkennt anomales Verhalten wie unmögliche Reise, Zugriff auf Anmeldeinformationen und ungewöhnliche Download-, Dateifreigabe- oder E-Mail-Weiterleitungsaktivitäten und meldet diese an das Sicherheitsteam.

Microsoft 365 Defender Komponenten schützen Geräte, Identität, Daten und Anwendungen

Microsoft 365 Defender besteht aus diesen Sicherheitstechnologien, die zusammen ausgeführt werden. Sie benötigen nicht alle diese Komponenten, um von den Funktionen von XDR und Microsoft 365 Defender zu profitieren. Sie werden auch durch die Verwendung von ein oder zwei Vorteilen und Effizienzsteigerungen profitieren.

Komponente Beschreibung Referenzmaterial
Microsoft Defender for Identity Microsoft Defender for Identity verwendet Active Directory-Signale, um erweiterte Bedrohungen, kompromittierte Identitäten und böswillige Insideraktionen gegen Ihre Organisation zu identifizieren, zu erkennen und zu untersuchen. Was ist Microsoft Defender for Identity?
Exchange Online Protection Exchange Online Protection ist der systemeigene cloudbasierte SMTP-Relay- und Filterdienst, der Ihre Organisation vor Spam und Schadsoftware schützt. Übersicht über Exchange Online Protection (EOP) – Office 365
Microsoft Defender für Office 365 Microsoft Defender für Office 365 schützt Ihre Organisation vor bösartigen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit. Microsoft Defender für Office 365 – Office 365
Microsoft Defender für Endpunkt Microsoft Defender für Endpunkt ist eine einheitliche Plattform für Geräteschutz, Erkennung nach Einer Sicherheitsverletzung, automatisierte Untersuchung und empfohlene Reaktion. Microsoft Defender für Endpunkt – Windows Sicherheit
Microsoft Defender for Cloud Apps Microsoft Defender für Cloud-Apps ist eine umfassende SaaS-übergreifende Lösung, die umfassende Sichtbarkeit, starke Datenkontrollen und verbesserten Bedrohungsschutz für Ihre Cloud-Apps bietet. Was ist Defender für Cloud-Apps?
Azure AD Identity Protection Azure AD Identity Protection wertet Risikodaten aus Milliarden von Anmeldeversuchen aus und verwendet diese Daten, um das Risiko jeder Anmeldung in Ihrer Umgebung zu bewerten. Diese Daten werden von Azure AD verwendet, um den Kontozugriff zuzulassen oder zu verhindern, je nachdem, wie Richtlinien für bedingten Zugriff konfiguriert sind. Azure AD Identity Protection wird separat von Microsoft 365 Defender lizenziert. Es ist in Azure Active Directory Premium P2 enthalten. Was ist Identitätsschutz?

Microsoft 365 Defender-Architektur

Das folgende Diagramm veranschaulicht eine allgemeine Architektur für wichtige Microsoft 365 Defender Komponenten und Integrationen. Detaillierte Architektur für jede Defender-Komponente und Anwendungsszenarien finden Sie in dieser Artikelreihe.

Eine allgemeine Architektur des Microsoft 365 Defender-Portals

In dieser Abbildung:

  • Microsoft 365 Defender kombiniert die Signale aller Defender-Komponenten, um eine domänenübergreifende erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) bereitzustellen. Dazu gehören eine einheitliche Vorfallwarteschlange, automatisierte Reaktion auf das Beenden von Angriffen, Selbstkorrektur (für kompromittierte Geräte, Benutzeridentitäten und Postfächer), bedrohungsübergreifende Suche und Bedrohungsanalyse.
  • Microsoft Defender für Office 365 schützt Ihre Organisation vor bösartigen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit. Es teilt Signale, die sich aus diesen Aktivitäten ergeben, mit Microsoft 365 Defender. Exchange Online Protection (EOP) ist integriert, um einen End-to-End-Schutz für eingehende E-Mails und Anlagen bereitzustellen.
  • Microsoft Defender for Identity sammelt Signale von Servern, auf denen Active Directory-Verbunddienste (AD FS) und lokale Active Directory Domain Services (AD DS) ausgeführt werden. Sie verwendet diese Signale, um Ihre Hybrididentitätsumgebung zu schützen, einschließlich des Schutzes vor Hackern, die kompromittierte Konten verwenden, um sich seitlich über Arbeitsstationen in der lokalen Umgebung zu bewegen.
  • Microsoft Defender für Endpunkt sammelt Signale von Geräten, die von Ihrer Organisation verwendet werden, und schützt sie.
  • Microsoft Defender für Cloud-Apps sammelt Signale aus der Verwendung von Cloud-Apps in Ihrer Organisation und schützt den Datenfluss zwischen Ihrer Umgebung und diesen Apps, einschließlich sanktionierten und nicht genehmigten Cloud-Apps.
  • Azure AD Identity Protection wertet Risikodaten aus Milliarden von Anmeldeversuchen aus und verwendet diese Daten, um das Risiko jeder Anmeldung in Ihrer Umgebung zu bewerten. Diese Daten werden von Azure AD verwendet, um den Kontozugriff zuzulassen oder zu verhindern, je nachdem, wie Richtlinien für bedingten Zugriff konfiguriert sind. Azure AD Identity Protection wird separat von Microsoft 365 Defender lizenziert. Es ist in Azure Active Directory Premium P2 enthalten.

Microsoft SIEM und SOAR können Daten aus Microsoft 365 Defender

Zusätzliche optionale Architekturkomponenten, die nicht in dieser Abbildung enthalten sind:

  • Detaillierte Signaldaten aus allen Microsoft 365 Defender Komponenten können in Microsoft Sentinel integriert und mit anderen Protokollierungsquellen kombiniert werden, um vollständige SIEM- und SOAR-Funktionen und Einblicke zu bieten.
  • Weitere Informationen zur Verwendung von Microsoft Sentinel, einem Azure SIEM mit Microsoft 365 Defender als XDR, finden Sie in diesem Übersichtsartikel und in den Integrationsschritten von Microsoft Sentinel und Microsoft 365 Defender.
  • Weitere Informationen zu SOAR in Microsoft Sentinel (einschließlich Links zu Playbooks im Microsoft Sentinel GitHub Repository) finden Sie in diesem Artikel.

Der Evaluierungsprozess für Microsoft 365 Defender Cybersicherheit

Microsoft empfiehlt, die Komponenten von Microsoft 365 in der folgenden Reihenfolge zu aktivieren:

Ein allgemeiner Evaluierungsprozess im Microsoft 365 Defender-Portal

In der folgenden Tabelle wird diese Abbildung beschrieben.

Seriennummer Schritt Beschreibung
1 Erstellen der Evaluierungsumgebung Mit diesem Schritt wird sichergestellt, dass Sie über die Testlizenz für Microsoft 365 Defender verfügen.
2 Aktivieren von Defender for Identity Überprüfen Sie die Architekturanforderungen, aktivieren Sie die Auswertung, und durchlaufen Sie Lernprogramme zum Identifizieren und Beheben verschiedener Angriffstypen.
3 Aktivieren von Defender für Office 365 Stellen Sie sicher, dass Sie die Architekturanforderungen erfüllen, aktivieren Sie die Auswertung, und erstellen Sie dann die Pilotumgebung. Diese Komponente enthält Exchange Online Protection, sodass Sie beide wertet.
4 Aktivieren von Defender für Endpunkt Stellen Sie sicher, dass Sie die Architekturanforderungen erfüllen, aktivieren Sie die Auswertung, und erstellen Sie dann die Pilotumgebung.
5 Aktivieren von Microsoft Defender für Cloud-Apps Stellen Sie sicher, dass Sie die Architekturanforderungen erfüllen, aktivieren Sie die Auswertung, und erstellen Sie dann die Pilotumgebung.
6 Untersuchen und Reagieren auf Bedrohungen Simulieren Sie einen Angriff und beginnen Sie mit der Verwendung von Vorfallreaktionsfunktionen.
7 Höherstufen der Testversion in die Produktion Höherstufen der Microsoft 365-Komponenten nacheinander zur Produktion.

Dies ist eine häufig empfohlene Reihenfolge, die entwickelt wurde, um den Nutzen der Funktionen schnell zu nutzen, basierend darauf, wie viel Aufwand normalerweise erforderlich ist, um die Funktionen bereitzustellen und zu konfigurieren. Beispielsweise kann Defender für Office 365 in kürzerer Zeit als für die Registrierung von Geräten in Defender für Endpunkt konfiguriert werden. Natürlich sollten Sie die Komponenten priorisieren, um Ihre Geschäftlichen Anforderungen zu erfüllen, und diese in einer anderen Reihenfolge aktivieren können.

Wechseln Sie zum nächsten Schritt

Erfahren Sie mehr über die Microsoft 365 Defender Evaluierungsumgebung und/oder erstellen Sie sie.