Sicherheits-Roadmap – Die wichtigsten Prioritäten für die ersten 30 Tage, 90 Tage und darüber hinaus

Wichtig

Das verbesserte Microsoft 365 Defender-Portal ist jetzt verfügbar. Diese neue Oberfläche bringt Defender für Endpunkt, Defender für Office 365, Microsoft 365 Defender und mehr in das Microsoft 365 Defender Portal. Erfahren Sie, was es Neues gibt.

Dieser Artikel enthält die wichtigsten Empfehlungen des Cybersicherheitsteams von Microsoft für die Implementierung von Sicherheitsfunktionen zum Schutz Ihrer Microsoft 365 Umgebung. Dieser Artikel basiert auf einer Microsoft Ignite-Sitzung – Sichere Microsoft 365 wie ein Cybersicherheitsprofi: Die wichtigsten Prioritäten für die ersten 30 Tage, 90 Tage und darüber hinaus. Diese Sitzung wurde von Mark Simos und Matt Kemelhar, Enterprise Cybersecurity Architects, entwickelt und präsentiert.

Inhalt dieses Artikels:

Roadmap-Ergebnisse

Diese Roadmap-Empfehlungen werden in drei Phasen in einer logischen Reihenfolge mit den folgenden Zielen unterteilt.


Zeitrahmen Ergebnisse
30 Tage Schnelle Konfiguration:
  • Grundlegende Administratorschutzmechanismen.
  • Protokollierung und Analyse.
  • Grundlegende Identitätsschutzmechanismen.

Mandantenkonfiguration.

Bereiten Sie Projektbeteiligten vor.

90 Tage Erweiterte Schutzmaßnahmen:
  • Administratorkonten.
  • Daten und Benutzerkonten.

Sichtbarkeit der Compliance-, Bedrohungs- und Benutzeranforderungen.

Anpassen und Implementieren von Standardrichtlinien und -schutzmaßnahmen.

Über etwas hinaus Anpassen und Verfeinern wichtiger Richtlinien und Steuerelemente.

Erweitert den Schutz auf lokale Abhängigkeiten.

Integration in Geschäfts- und Sicherheitsprozesse (Recht, Insider-Bedrohung usw.).

30 Tage – leistungsstarke Schnellstarts

Die folgenden Maßnahmen können schnell umgesetzt werden und führen lediglich zu geringen Beeinträchtigungen für die Benutzer.


Bereich Aufgaben
Sicherheitsverwaltung
Bedrohungsschutz Verbinden Microsoft 365 zu Microsoft Defender für Cloud-Apps, um mit der Überwachung mithilfe der standardmäßigen Bedrohungserkennungsrichtlinien für anomales Verhalten zu beginnen. Es dauert sieben Tage, bis eine Basislinie für die Anomalieerkennung erstellt wird.

Implementieren des Schutzes für Administratorkonten:

  • Verwenden Sie dedizierte Administratorkonten für Administratoraktivitäten.
  • Erzwingen der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) für Administratorkonten.
  • Verwenden Sie ein hochsicheres Windows Gerät für Administratoraktivitäten.
Identitäts- und Zugriffsverwaltung
Information Protection Überprüfen Sie Beispielempfehlungen für den Informationsschutz. Der Informationsschutz erfordert eine Organisationsübergreifende Koordination. Finden Sie den Einstieg mit den folgenden Ressourcen:

90 Tage – erweiterte Schutzmaßnahmen

Die folgenden Maßnahmen erfordern etwas mehr Zeit für Planung und Implementierung, stärken die Sicherheit Ihres Unternehmens jedoch erheblich.


Bereich Aufgabe
Sicherheitsverwaltung
  • Überprüfen Sie die Sicherheitsbewertung auf empfohlene Aktionen für Ihre Umgebung ( https://security.microsoft.com/securescore ).
  • Überprüfen Sie regelmäßig Dashboards und Berichte im Microsoft 365 Defender Portal, defender für Cloud-Apps und SIEM-Tools.
  • Suchen und implementieren Sie Softwareupdates.
  • Führen Sie Angriffssimulationen für Spear-Phishing-, Kennwort-Spray- und Brute-Force-Kennwortangriffe mithilfe von Angriffssimulationsschulungen durch (im Lieferumfang Office 365 Threat Intelligenceenthalten).
  • Suchen Sie nach Freigaberisiken, indem Sie die integrierten Berichte in Defender für Cloud-Apps (auf der Registerkarte "Untersuchen") überprüfen.
  • Überprüfen Sie den Compliance-Manager, um den Status von Vorschriften zu überprüfen, die für Ihre Organisation gelten (z. B. DSGVO, NIST 800-171).
Bedrohungsschutz Implementieren sie erweiterte Schutzmaßnahmen für Administratorkonten:
  • Konfigurieren Sie Arbeitsstationen mit privilegiertem Zugriff (PaWs) für Administratoraktivitäten.
  • Konfigurieren Azure AD Privileged Identity Management.
  • Konfigurieren Sie ein SIEM-Tool (Security Information and Event Management), um Protokollierungsdaten von Office 365, Defender für Cloud-Apps und anderen Diensten, einschließlich AD FS, zu sammeln. Das Überwachungsprotokoll speichert Daten nur 90 Tage lang. Wenn Sie diese Daten im SIEM-Tool erfassen, können Sie Daten für einen längeren Zeitraum speichern.
Identitäts- und Zugriffsverwaltung
Information Protection Anpassen und Implementieren von Informationsschutzrichtlinien. Zu diesen Ressourcen gehören Beispiele:

Verwenden Sie Richtlinien zur Verhinderung von Datenverlust und Überwachungstools in Microsoft 365 für Daten, die in Microsoft 365 gespeichert sind (anstelle von Defender für Cloud-Apps).

Verwenden Sie Defender für Cloud-Apps mit Microsoft 365 für erweiterte Benachrichtigungsfunktionen (außer der Verhinderung von Datenverlust).

Über etwas hinaus

Dies sind wichtige Sicherheitsmaßnahmen, die auf früheren Arbeiten aufbauen.


Bereich Aufgabe
Sicherheitsverwaltung
  • Setzen Sie die Planung der nächsten Aktionen mithilfe der Sicherheitsbewertung ( https://security.microsoft.com/securescore ) fort.
  • Überprüfen Sie regelmäßig Dashboards und Berichte im Microsoft 365 Defender Portal, defender für Cloud-Apps und SIEM-Tools.
  • Suchen Und implementieren Sie weiterhin Softwareupdates.
  • Integrieren Sie eDiscovery in Ihre Prozesse zur rechtlichen und Bedrohungsantwort.
Bedrohungsschutz
  • Implementieren von Secure Privileged Access (SPA) für lokale Identitätskomponenten (AD, AD FS).
  • Verwenden Sie Defender für Cloud-Apps, um Insider-Bedrohungen zu überwachen.
  • Entdecken Sie die SaaS-Verwendung von Schatten-IT mithilfe von Defender für Cloud-Apps.
Identitäts- und Zugriffsverwaltung
  • Verfeinern von Richtlinien und betrieblichen Prozessen.
  • Verwenden Sie Azure AD Identity Protection, um Insider-Bedrohungen zu identifizieren.
Information Protection Verfeinern von Informationsschutzrichtlinien:
  • Microsoft 365 und Office 365 Vertraulichkeitsbezeichnungen und Verhinderung von Datenverlust (Data Loss Prevention, DLP) oder Azure Information Protection.
  • Richtlinien und Warnungen für Defender für Cloud-Apps.

Siehe auch: So können Sie schnelle Cyberangriffe wie Petya und WannaCrypt abschwächen.