Nach einigen Wochen folgt nun der zweite Teil meiner Serie zu Microsoft Defender for Endpoint. In diesem Teil tauchen wir in wesentliche Erkenntnisse und Best Practices für Microsoft Defender for Endpoint ein. Ich führe dich durch wichtige Konfigurationen und Strategien, mit denen du die Sicherheit deiner Organisation verbessern kannst.
Teil 1 (Wie man ein Gerät in Microsoft Defender for Endpoint einbindet und wie es funktioniert)
Inhaltsverzeichnis
Inhalt
- Inhalt
- Wie erreiche ich das Microsoft Defender Portal?
- Lizenzen
- Klären wir die Begriffe!
- Wie funktioniert es
- Wie erstelle ich RBAC-Rollen?
- Welche Daten werden erfasst?
- Wo werden die Daten gespeichert?
- Wie aktiviere ich erweiterte Funktionen?
- Wichtige Funktionen, die du kennen solltest
- Automatisches Auflösen von Warnungen
- Benachrichtigungen bei Warnungen einrichten
- Fazit
Wie erreiche ich das Microsoft Defender Portal?
Du findest das Portal unter https://security.microsoft.com/
Lizenzen
Die Lizenzierungsoptionen für Defender for Endpoint sind in zwei Stufen unterteilt:
- Plan 1, Teil von Microsoft 365 E/A3
- Plan 2, Teil von E5/Security
Wichtig zu wissen ist außerdem, dass beim Onboarding von Servern eine spezielle Defender for Endpoint Server-Lizenz erforderlich ist.
| Microsoft Defender for Endpoint Plan 1 +2 | Microsoft Defender for Endpoint nur Plan 2 |
|---|---|
| Block at First Sight | Advanced Hunting |
| Cross-Platform Support | Automated Investigation & Response |
| Enhanced ASR | Defender for Cloud Apps Integration |
| Tamper Protection | Endpoint Detection & Response |
| Web Content Filtering | Evaluation Lab |
| Microsoft Threat Experts | |
| MIP Integration | |
| Threat Analytics | |
| Threat & Vulnerability Management | |
| 6-Months Searchable Data |
Klären wir die Begriffe!
Was ist der Unterschied zwischen Windows Defender und Microsoft Defender for Endpoint?
Letztlich ist es einfach. Der Windows Defender ist die in Windows integrierte kostenlose Funktion zum Schutz der Geräte, z. B. zum Schutz vor Viren. Microsoft Defender for Endpoint ist ein Produkt mit deutlich umfangreicheren Sicherheitsfunktionen, benötigt jedoch eine zusätzliche Lizenz.
Wie funktioniert es
Endpoint Behavioral Sensors
- Integration in Windows: Defender for Endpoint verfügt über Verhaltenssensoren, die direkt in Windows integriert sind. Diese Sensoren überwachen kontinuierlich die Aktivitäten im Betriebssystem.
- Datenerfassung: Diese Sensoren erfassen eine Vielzahl von Verhaltenssignalen aus dem Betriebssystem. Dazu gehören Informationen über Prozessausführungen, Dateiaktivitäten, Netzwerkkommunikation und mehr.
Cloud Security Analytics
- Datenverarbeitung: Die von den Endpoint-Sensoren erfassten Daten werden an eine private, cloudbasierte Instanz von Microsoft Defender for Endpoint gesendet.
- Big-Data-Analyse: Dieser Cloud-Dienst nutzt Big-Data-Analysen, um die von allen Endpunkten gesammelten Informationen zu verarbeiten.
- Machine Learning: Neben Big-Data-Analysen werden Machine-Learning-Algorithmen eingesetzt, um Muster und Anomalien zu erkennen, die auf eine Sicherheitsbedrohung hinweisen könnten.
Threat Intelligence
- Globale Erkenntnisse: Microsoft sammelt Threat Intelligence aus verschiedenen Quellen, darunter die globalen Sicherheitsteams, Drittanbieter-Partner und automatisierte Systeme.
- Echtzeit-Updates: Diese Erkenntnisse werden laufend aktualisiert und umfassen Informationen über bekannte Bedrohungen, Angriffstechniken, Malware-Signaturen und verdächtige Verhaltensmuster.
- Integration mit Sensordaten: Die Threat Intelligence wird in Kombination mit den von den Endpunkten erfassten Daten genutzt, um potenzielle Bedrohungen genauer zu identifizieren.
Hauptkomponenten von Microsoft Defender for Endpoint
- Admin Portal: Ein zentrales Dashboard ermöglicht es Administratoren, Endpunkte zu überwachen, Sicherheitsvorfälle einzusehen und Reaktionsstrategien zu verwalten.
- Attack Surface Reduction (ASR): ASR-Regeln verringern die Angriffsfläche von Endpunkten, indem sie Anwendungen und Webzugriffe kontrollieren.
- Endpoint Detection and Response (EDR): Diese Komponente ermöglicht die Echtzeiterkennung von Bedrohungen sowie direkte Reaktionen auf den betroffenen Endpunkten.
- Behavioral Blocking and Containment: Erkennt Bedrohungen anhand von Prozessverhalten auf Endpunkten, selbst während laufender Angriffe.
- Automated Investigation and Response (AIR): Diese Funktion nutzt Algorithmen, um Warnungen automatisch zu priorisieren und Reaktionsmaßnahmen einzuleiten.
- Advanced Threat Hunting: Ermöglicht die proaktive Suche nach potenziellen Bedrohungen und Angreifern im Netzwerk.
Onboarding- und Einrichtungsprozess
- Geräteintegration: Geräte werden mit Verwaltungstools wie Microsoft Intune oder System Center Configuration Manager oder manuell per Skript eingebunden.
- Signalübertragung: Nach dem Onboarding beginnen die Geräte, Daten an Microsoft Defender for Endpoint zu übertragen.
Kontinuierliche Überwachung und Reaktion
- Echtzeit-Warnungen: Das System generiert Warnungen auf Basis erkannter Bedrohungen oder Anomalien.
- Incident Response: Administratoren können das Admin-Portal nutzen, um Warnungen zu untersuchen, die Ausbreitung von Bedrohungen zu verfolgen und Reaktionsmaßnahmen einzuleiten.
- Automatische Behebung: In vielen Fällen kann das System automatisch Maßnahmen ergreifen, um Bedrohungen einzudämmen, etwa durch das Isolieren kompromittierter Geräte oder das Bereinigen infizierter Dateien.
Threat and Vulnerability Management
- Schwachstellenerkennung: Das System erkennt Schwachstellen und Fehlkonfigurationen auf Endpunkten in Echtzeit.
- Priorisierung und Behebungsempfehlungen: Es priorisiert diese Schwachstellen anhand der potenziellen Auswirkungen und gibt Empfehlungen zur Behebung.
Wie erstelle ich RBAC-Rollen?
Die RBAC-Einstellungen (Role-Based Access Control) findest du unter Settings -> Endpoints -> Permissions. Hier hast du zwei Menüs:
- Roles: Rollen in Microsoft Defender for Endpoint bieten einen detaillierten Ansatz zur Verwaltung von Berechtigungen innerhalb von Defender.
- Device Groups: Gerätegruppen werden verwendet, um die verschiedenen Behebungsstufen festzulegen. Vielleicht hast du unterschiedliche Geräte mit unterschiedlichem Aufmerksamkeitsbedarf; dafür kannst du sie über Gruppen wie Standard Devices, Board Devices, Windows Server usw. unterteilen. Es empfiehlt sich, ein Konzept dafür zu erarbeiten, wie du die Gruppen anlegen möchtest.
Welche Daten werden erfasst?
- Proaktive Identifizierung von Indicators of Attack (IOAs) in deiner Organisation
- Generierung von Warnungen, wenn ein möglicher Angriff erkannt wurde
- Bereitstellung eines Überblicks über Geräte, Dateien und URLs, die mit Bedrohungssignalen aus deinem Netzwerk in Verbindung stehen, für deine Security Operations, sodass du das Vorhandensein von Sicherheitsbedrohungen im Netzwerk untersuchen und nachverfolgen kannst.
Die erfassten Daten werden verschlüsselt auf der von Microsoft verwalteten Azure-Infrastruktur gespeichert.
Wo werden die Daten gespeichert?
Es gibt Rechenzentren in der Europäischen Union, im Vereinigten Königreich, in den Vereinigten Staaten und in Australien. Die Daten werden am Standort des Tenants oder gemäß den Datenspeicherungsregeln des Dienstes gespeichert.
Daten von Microsoft Defender for Endpoint werden 180 Tage lang aufbewahrt und sind im gesamten Portal sichtbar. In der Advanced-Hunting-Untersuchungsumgebung sind sie jedoch über eine Abfrage für einen Zeitraum von 30 Tagen zugänglich.
Wie aktiviere ich erweiterte Funktionen?
Um die erweiterten Funktionen zu aktivieren, navigierst du zu Settings -> Endpoints -> Advanced Features.
Die folgenden Funktionen sind verfügbar:
| Einstellungsname | Beschreibung |
|---|---|
| Restrict correlation to within scoped device groups | Isoliert Warnungen in separate Vorfälle auf Basis von Gerätegruppen für eine bessere Organisation. Standardmäßig werden Vorfälle tenantweit korreliert. Betrifft nur zukünftige Warnungskorrelationen. |
| Enable EDR in block mode | Nutzt verhaltensbasiertes Blocking, um Bedrohungen nach einem Breach zu stoppen. Keine Änderung an der Erkennung und Warnungsgenerierung. Wende Security-Baselines für optimalen Schutz an. |
| Automatically resolve alerts | Löst Warnungen auf, wenn die Automated Investigation keine Bedrohungen findet oder die Behebung erfolgreich war. |
| Allow or block file | Erfordert Windows Defender Antivirus und cloudbasierten Schutz für die Dateikontrolle. |
| Hide potential duplicate device records | Blendet doppelte Geräte aus und verbessert so die Genauigkeit des Inventars. Weiterhin sichtbar in der globalen Suche, im Advanced Hunting und auf Warnungsseiten. |
| Custom network indicators | Konfiguriere Geräteverbindungen zu bestimmten IP-Adressen, Domains oder URLs. Erfordert Windows 10, Block Mode und eine bestimmte Antimalware-Plattformversion. |
| Tamper protection | Verhindert, dass bösartige Apps Sicherheitsfunktionen deaktivieren. |
| Show user details | Zeigt Benutzerdetails aus Microsoft Entra ID an. |
| Skype for business integration | Ermöglicht die Kommunikation mit Benutzern per Klick. |
| Microsoft Defender for Cloud Apps | Sendet Endpoint-Signale an Defender for Cloud Apps und verbessert so die Sichtbarkeit und App-Kontrolle. Erfordert E5-Lizenz und bestimmte Windows-10-Versionen. |
| Web content filtering | Blockiert unerwünschte Websites und verfolgt Webaktivitäten. Erfordert Network Protection im Block Mode. |
| Device discovery | Ermöglicht es eingebundenen Geräten, nicht verwaltete Geräte zu erkennen und Schwachstellen zu bewerten. |
| Download quarantined files | Sicheres Speichern und Herunterladen von Dateien in Quarantäne. |
| Live Response | Berechtigt Benutzer, Geräte per Remote-Shell-Verbindung aus der Ferne zu untersuchen. |
| Live Response for Servers | Erlaubt autorisierten Benutzern den Remote-Zugriff auf Server. |
| Live Response unsigned script execution | Erlaubt unsignierte PowerShell-Skripte in Live Response. |
| Share endpoint alerts with Microsoft Compliance Center | Leitet Sicherheitswarnungen weiter, um das Insider-Risikomanagement zu verbessern. Daten werden zusammen mit Office-365-Daten gespeichert. |
| Microsoft Intune connection | Stellt eine Verbindung zu Microsoft Intune her, um Geräteinformationen auszutauschen und Richtlinien durchzusetzen. |
| Authenticated telemetry | Verhindert das Spoofing von Telemetriedaten in deinem Dashboard. |
| Preview features | Zugriff auf kommende Funktionen durch Aktivieren von Previews. |
| Endpoint Attack Notifications | Priorisiert kritische Bedrohungen durch aktives Hunting über alle Endpunkte und Microsoft Defender XDR hinweg. |
Wichtige Funktionen, die du kennen solltest
Hier ist ein Überblick über einige zentrale Funktionen, die du unbedingt in Betracht ziehen solltest:
- EDR in Block Mode: Diese Funktion nutzt verhaltensbasiertes Blocking, um Bedrohungen nach einem Breach zu stoppen, und erhöht so die Widerstandsfähigkeit deiner Organisation gegen ausgefeilte Angriffe.
- Custom Network Indicators: Definiere bestimmte IP-Adressen, Domains oder URLs zur Überwachung. Das hilft, Geräteverbindungen zu kontrollieren und potenziell schädlichen Datenverkehr zu erkennen.
- Tamper Protection: Schützt vor bösartigen Anwendungen, die versuchen, wesentliche Sicherheitsfunktionen zu deaktivieren.
- Web Content Filtering: Diese Funktion blockiert den Zugriff auf unerwünschte Websites und ermöglicht so eine bessere Kontrolle über die Webaktivitäten innerhalb der Organisation.
- Device Discovery: Erkenne nicht verwaltete Geräte in deinem Netzwerk und bewerte deren Schwachstellen.
- Live Response: Bietet die Möglichkeit, Geräte per Shell-Verbindung aus der Ferne zu untersuchen.
Automatisches Auflösen von Warnungen
So richtest du das automatische Auflösen von Warnungen ein:
- Gehe zu
Settings -> Microsoft Defender XDR ->Alert tuning. - Hier kannst du die Logik anpassen, um Warnungen basierend auf bestimmten Bedingungen automatisch aufzulösen oder auszublenden.
Benachrichtigungen bei Warnungen einrichten
Bleibe proaktiv, indem du E-Mail-Benachrichtigungen für Warnungen einrichtest:
- Gehe zu
Settings -> Endpoints -> Email Notification. - Konfiguriere die Einstellungen, um E-Mail-Warnungen zu erhalten, sodass du umgehend über potenzielle Sicherheitsvorfälle informiert wirst.
Fazit
Microsoft Defender for Endpoint bietet eine umfassende Sicherheitslösung für Unternehmen. Es ist wirklich einfach zu bedienen und nutzt die volle Leistungsfähigkeit von Cloud und KI.
[…] Microsoft Defender for Endpoint: Key Configurations and Best Practices (2/2) […]