Microsoft Defender for Endpoint: Setup and Best Practices

Defender for Endpoint: Einrichtung & Best Practices

Nach einigen Wochen folgt nun der zweite Teil meiner Serie zu Microsoft Defender for Endpoint. In diesem Teil tauchen wir in wesentliche Erkenntnisse und Best Practices für Microsoft Defender for Endpoint ein. Ich führe dich durch wichtige Konfigurationen und Strategien, mit denen du die Sicherheit deiner Organisation verbessern kannst.

Teil 1 (Wie man ein Gerät in Microsoft Defender for Endpoint einbindet und wie es funktioniert)

Inhalt

  1. Inhalt
  2. Wie erreiche ich das Microsoft Defender Portal?
  3. Lizenzen
  4. Klären wir die Begriffe!
  5. Wie funktioniert es
    1. Endpoint Behavioral Sensors
    2. Cloud Security Analytics
    3. Threat Intelligence
    4. Hauptkomponenten von Microsoft Defender for Endpoint
    5. Onboarding- und Einrichtungsprozess
    6. Kontinuierliche Überwachung und Reaktion
    7. Threat and Vulnerability Management
  6. Wie erstelle ich RBAC-Rollen?
  7. Welche Daten werden erfasst?
  8. Wo werden die Daten gespeichert?
  9. Wie aktiviere ich erweiterte Funktionen?
  10. Wichtige Funktionen, die du kennen solltest
  11. Automatisches Auflösen von Warnungen
  12. Benachrichtigungen bei Warnungen einrichten
  13. Fazit

Wie erreiche ich das Microsoft Defender Portal?

Du findest das Portal unter https://security.microsoft.com/

Lizenzen

Die Lizenzierungsoptionen für Defender for Endpoint sind in zwei Stufen unterteilt:

  • Plan 1, Teil von Microsoft 365 E/A3
  • Plan 2, Teil von E5/Security

Wichtig zu wissen ist außerdem, dass beim Onboarding von Servern eine spezielle Defender for Endpoint Server-Lizenz erforderlich ist.

Microsoft Defender for Endpoint Plan 1 +2Microsoft Defender for Endpoint nur Plan 2
Block at First SightAdvanced Hunting
Cross-Platform SupportAutomated Investigation & Response
Enhanced ASRDefender for Cloud Apps Integration
Tamper ProtectionEndpoint Detection & Response
Web Content FilteringEvaluation Lab
Microsoft Threat Experts
MIP Integration
Threat Analytics
Threat & Vulnerability Management
6-Months Searchable Data

Klären wir die Begriffe!

Was ist der Unterschied zwischen Windows Defender und Microsoft Defender for Endpoint?
Letztlich ist es einfach. Der Windows Defender ist die in Windows integrierte kostenlose Funktion zum Schutz der Geräte, z. B. zum Schutz vor Viren. Microsoft Defender for Endpoint ist ein Produkt mit deutlich umfangreicheren Sicherheitsfunktionen, benötigt jedoch eine zusätzliche Lizenz.

Wie funktioniert es

Endpoint Behavioral Sensors

  • Integration in Windows: Defender for Endpoint verfügt über Verhaltenssensoren, die direkt in Windows integriert sind. Diese Sensoren überwachen kontinuierlich die Aktivitäten im Betriebssystem.
  • Datenerfassung: Diese Sensoren erfassen eine Vielzahl von Verhaltenssignalen aus dem Betriebssystem. Dazu gehören Informationen über Prozessausführungen, Dateiaktivitäten, Netzwerkkommunikation und mehr.

Cloud Security Analytics

  • Datenverarbeitung: Die von den Endpoint-Sensoren erfassten Daten werden an eine private, cloudbasierte Instanz von Microsoft Defender for Endpoint gesendet.
  • Big-Data-Analyse: Dieser Cloud-Dienst nutzt Big-Data-Analysen, um die von allen Endpunkten gesammelten Informationen zu verarbeiten.
  • Machine Learning: Neben Big-Data-Analysen werden Machine-Learning-Algorithmen eingesetzt, um Muster und Anomalien zu erkennen, die auf eine Sicherheitsbedrohung hinweisen könnten.

Threat Intelligence

  • Globale Erkenntnisse: Microsoft sammelt Threat Intelligence aus verschiedenen Quellen, darunter die globalen Sicherheitsteams, Drittanbieter-Partner und automatisierte Systeme.
  • Echtzeit-Updates: Diese Erkenntnisse werden laufend aktualisiert und umfassen Informationen über bekannte Bedrohungen, Angriffstechniken, Malware-Signaturen und verdächtige Verhaltensmuster.
  • Integration mit Sensordaten: Die Threat Intelligence wird in Kombination mit den von den Endpunkten erfassten Daten genutzt, um potenzielle Bedrohungen genauer zu identifizieren.

Hauptkomponenten von Microsoft Defender for Endpoint

  • Admin Portal: Ein zentrales Dashboard ermöglicht es Administratoren, Endpunkte zu überwachen, Sicherheitsvorfälle einzusehen und Reaktionsstrategien zu verwalten.
  • Attack Surface Reduction (ASR): ASR-Regeln verringern die Angriffsfläche von Endpunkten, indem sie Anwendungen und Webzugriffe kontrollieren.
  • Endpoint Detection and Response (EDR): Diese Komponente ermöglicht die Echtzeiterkennung von Bedrohungen sowie direkte Reaktionen auf den betroffenen Endpunkten.
  • Behavioral Blocking and Containment: Erkennt Bedrohungen anhand von Prozessverhalten auf Endpunkten, selbst während laufender Angriffe.
  • Automated Investigation and Response (AIR): Diese Funktion nutzt Algorithmen, um Warnungen automatisch zu priorisieren und Reaktionsmaßnahmen einzuleiten.
  • Advanced Threat Hunting: Ermöglicht die proaktive Suche nach potenziellen Bedrohungen und Angreifern im Netzwerk.

Onboarding- und Einrichtungsprozess

  • Geräteintegration: Geräte werden mit Verwaltungstools wie Microsoft Intune oder System Center Configuration Manager oder manuell per Skript eingebunden.
  • Signalübertragung: Nach dem Onboarding beginnen die Geräte, Daten an Microsoft Defender for Endpoint zu übertragen.

Kontinuierliche Überwachung und Reaktion

  • Echtzeit-Warnungen: Das System generiert Warnungen auf Basis erkannter Bedrohungen oder Anomalien.
  • Incident Response: Administratoren können das Admin-Portal nutzen, um Warnungen zu untersuchen, die Ausbreitung von Bedrohungen zu verfolgen und Reaktionsmaßnahmen einzuleiten.
  • Automatische Behebung: In vielen Fällen kann das System automatisch Maßnahmen ergreifen, um Bedrohungen einzudämmen, etwa durch das Isolieren kompromittierter Geräte oder das Bereinigen infizierter Dateien.

Threat and Vulnerability Management

  • Schwachstellenerkennung: Das System erkennt Schwachstellen und Fehlkonfigurationen auf Endpunkten in Echtzeit.
  • Priorisierung und Behebungsempfehlungen: Es priorisiert diese Schwachstellen anhand der potenziellen Auswirkungen und gibt Empfehlungen zur Behebung.

Wie erstelle ich RBAC-Rollen?

Die RBAC-Einstellungen (Role-Based Access Control) findest du unter Settings -> Endpoints -> Permissions. Hier hast du zwei Menüs:

  • Roles: Rollen in Microsoft Defender for Endpoint bieten einen detaillierten Ansatz zur Verwaltung von Berechtigungen innerhalb von Defender.
  • Device Groups: Gerätegruppen werden verwendet, um die verschiedenen Behebungsstufen festzulegen. Vielleicht hast du unterschiedliche Geräte mit unterschiedlichem Aufmerksamkeitsbedarf; dafür kannst du sie über Gruppen wie Standard Devices, Board Devices, Windows Server usw. unterteilen. Es empfiehlt sich, ein Konzept dafür zu erarbeiten, wie du die Gruppen anlegen möchtest.

Welche Daten werden erfasst?

  • Proaktive Identifizierung von Indicators of Attack (IOAs) in deiner Organisation
  • Generierung von Warnungen, wenn ein möglicher Angriff erkannt wurde
  • Bereitstellung eines Überblicks über Geräte, Dateien und URLs, die mit Bedrohungssignalen aus deinem Netzwerk in Verbindung stehen, für deine Security Operations, sodass du das Vorhandensein von Sicherheitsbedrohungen im Netzwerk untersuchen und nachverfolgen kannst.

Die erfassten Daten werden verschlüsselt auf der von Microsoft verwalteten Azure-Infrastruktur gespeichert.

Wo werden die Daten gespeichert?

Es gibt Rechenzentren in der Europäischen Union, im Vereinigten Königreich, in den Vereinigten Staaten und in Australien. Die Daten werden am Standort des Tenants oder gemäß den Datenspeicherungsregeln des Dienstes gespeichert.

Daten von Microsoft Defender for Endpoint werden 180 Tage lang aufbewahrt und sind im gesamten Portal sichtbar. In der Advanced-Hunting-Untersuchungsumgebung sind sie jedoch über eine Abfrage für einen Zeitraum von 30 Tagen zugänglich.

Wie aktiviere ich erweiterte Funktionen?

Um die erweiterten Funktionen zu aktivieren, navigierst du zu Settings -> Endpoints -> Advanced Features.

Die folgenden Funktionen sind verfügbar:

EinstellungsnameBeschreibung
Restrict correlation to within scoped device groupsIsoliert Warnungen in separate Vorfälle auf Basis von Gerätegruppen für eine bessere Organisation. Standardmäßig werden Vorfälle tenantweit korreliert. Betrifft nur zukünftige Warnungskorrelationen.
Enable EDR in block modeNutzt verhaltensbasiertes Blocking, um Bedrohungen nach einem Breach zu stoppen. Keine Änderung an der Erkennung und Warnungsgenerierung. Wende Security-Baselines für optimalen Schutz an.
Automatically resolve alertsLöst Warnungen auf, wenn die Automated Investigation keine Bedrohungen findet oder die Behebung erfolgreich war.
Allow or block fileErfordert Windows Defender Antivirus und cloudbasierten Schutz für die Dateikontrolle.
Hide potential duplicate device recordsBlendet doppelte Geräte aus und verbessert so die Genauigkeit des Inventars. Weiterhin sichtbar in der globalen Suche, im Advanced Hunting und auf Warnungsseiten.
Custom network indicatorsKonfiguriere Geräteverbindungen zu bestimmten IP-Adressen, Domains oder URLs. Erfordert Windows 10, Block Mode und eine bestimmte Antimalware-Plattformversion.
Tamper protectionVerhindert, dass bösartige Apps Sicherheitsfunktionen deaktivieren.
Show user detailsZeigt Benutzerdetails aus Microsoft Entra ID an.
Skype for business integrationErmöglicht die Kommunikation mit Benutzern per Klick.
Microsoft Defender for Cloud AppsSendet Endpoint-Signale an Defender for Cloud Apps und verbessert so die Sichtbarkeit und App-Kontrolle. Erfordert E5-Lizenz und bestimmte Windows-10-Versionen.
Web content filteringBlockiert unerwünschte Websites und verfolgt Webaktivitäten. Erfordert Network Protection im Block Mode.
Device discoveryErmöglicht es eingebundenen Geräten, nicht verwaltete Geräte zu erkennen und Schwachstellen zu bewerten.
Download quarantined filesSicheres Speichern und Herunterladen von Dateien in Quarantäne.
Live ResponseBerechtigt Benutzer, Geräte per Remote-Shell-Verbindung aus der Ferne zu untersuchen.
Live Response for ServersErlaubt autorisierten Benutzern den Remote-Zugriff auf Server.
Live Response unsigned script executionErlaubt unsignierte PowerShell-Skripte in Live Response.
Share endpoint alerts with Microsoft Compliance CenterLeitet Sicherheitswarnungen weiter, um das Insider-Risikomanagement zu verbessern. Daten werden zusammen mit Office-365-Daten gespeichert.
Microsoft Intune connectionStellt eine Verbindung zu Microsoft Intune her, um Geräteinformationen auszutauschen und Richtlinien durchzusetzen.
Authenticated telemetryVerhindert das Spoofing von Telemetriedaten in deinem Dashboard.
Preview featuresZugriff auf kommende Funktionen durch Aktivieren von Previews.
Endpoint Attack NotificationsPriorisiert kritische Bedrohungen durch aktives Hunting über alle Endpunkte und Microsoft Defender XDR hinweg.

Wichtige Funktionen, die du kennen solltest

Hier ist ein Überblick über einige zentrale Funktionen, die du unbedingt in Betracht ziehen solltest:

  1. EDR in Block Mode: Diese Funktion nutzt verhaltensbasiertes Blocking, um Bedrohungen nach einem Breach zu stoppen, und erhöht so die Widerstandsfähigkeit deiner Organisation gegen ausgefeilte Angriffe.
  2. Custom Network Indicators: Definiere bestimmte IP-Adressen, Domains oder URLs zur Überwachung. Das hilft, Geräteverbindungen zu kontrollieren und potenziell schädlichen Datenverkehr zu erkennen.
  3. Tamper Protection: Schützt vor bösartigen Anwendungen, die versuchen, wesentliche Sicherheitsfunktionen zu deaktivieren.
  4. Web Content Filtering: Diese Funktion blockiert den Zugriff auf unerwünschte Websites und ermöglicht so eine bessere Kontrolle über die Webaktivitäten innerhalb der Organisation.
  5. Device Discovery: Erkenne nicht verwaltete Geräte in deinem Netzwerk und bewerte deren Schwachstellen.
  6. Live Response: Bietet die Möglichkeit, Geräte per Shell-Verbindung aus der Ferne zu untersuchen.

Automatisches Auflösen von Warnungen

So richtest du das automatische Auflösen von Warnungen ein:

  1. Gehe zu Settings -> Microsoft Defender XDR -> Alert tuning.
  2. Hier kannst du die Logik anpassen, um Warnungen basierend auf bestimmten Bedingungen automatisch aufzulösen oder auszublenden.

Bleibe proaktiv, indem du E-Mail-Benachrichtigungen für Warnungen einrichtest:

  1. Gehe zu Settings -> Endpoints -> Email Notification.
  2. Konfiguriere die Einstellungen, um E-Mail-Warnungen zu erhalten, sodass du umgehend über potenzielle Sicherheitsvorfälle informiert wirst.

Microsoft Defender for Endpoint bietet eine umfassende Sicherheitslösung für Unternehmen. Es ist wirklich einfach zu bedienen und nutzt die volle Leistungsfähigkeit von Cloud und KI.

One thought on “Defender for Endpoint: Einrichtung & Best Practices

Comments are closed.