Die Sicherheit von Unternehmensdaten und -infrastrukturen hat in der heutigen digitalen Welt höchste Priorität. Microsoft bietet mit der M365 E5 Lizenz eine umfassende Lösung, die verschiedene Defender-Produkte integriert, um Unternehmen bestmöglich zu schützen. In diesem Blog werfen wir einen detaillierten Blick auf die verschiedenen Defender-Produkte, die in M365 E5 enthalten sind, und erläutern ihren Nutzen und Mehrwert. Mit den Defender-Produkten in der M365 E5 Lizenz erhalten Unternehmen eine integrierte Sicherheitslösung, die große Bereiche des digitalen Arbeitsplatzes abdeckt.
In unserem Blog „M365 Security E5 Plan: Funktionen und Umfang“ haben wir bereits die Unterschiede zwischen den M365 E3- und E5-Plänen detailliert erläutert. In diesem Beitrag konzentrieren wir uns speziell auf die Defender-Produkte, die eine wertvolle Ergänzung zum Sicherheitskonzept Ihres Tenants darstellen. Wir betrachten dabei die folgenden vier Produkte, die Microsoft anbietet:
- Microsoft Defender for Office 365
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
Zu beachten sei auch, dass diese Produkte durch die „Enterprise Mobile & Security E5“ dazu erworben werden können und so zum Beispiel einen M365 E3 Plan um die Sicherheitsfunktionen der E5 erweitert.
Microsoft Defender for Office 365
Microsoft Defender for Office 365 schützt E-Mail- und Kollaborationsumgebungen vor Bedrohungen wie Phishing, Malware und Ransomware. Zu den Hauptfunktionen gehören die Bedrohungserkennung in Echtzeit, automatische Reaktionen auf Vorfälle und detaillierte Bedrohungsanalysen. Diese Funktionen ermöglichen eine schnelle Identifizierung und Neutralisierung von Bedrohungen, bevor sie Schaden anrichten können.
Defender for Office 365 ist in zwei Plänen erhältlich: Plan 1 und Plan 2. Plan 2 ist in der M365 E5 Lizenz enthalten und bietet erweiterte Funktionen wie Untersuchungstools und Bedrohungssimulationen. Die Untersuchungstools ermöglichen Ihnen eine gründliche Analyse und Nachverfolgung von Sicherheitsvorfällen, um die Ursachen von Angriffen zu identifizieren und zu beseitigen.
Ein häufig übersehenes Tool in der E5 ist das Attack Simulation Training, welches Ihnen ermöglicht, realistische Angriffsszenarien zu simulieren, um Ihre Abwehrmechanismen zu testen und die Sicherheitskompetenz Ihrer Mitarbeiter zu stärken. Durch diese Simulationen können Sicherheitsverantwortliche nachvollziehen, wie effektiv Ihre Systeme und Prozesse auf verschiedene Bedrohungen wie Phishing-Angriffe reagieren. Gleichzeitig werden Ihre Mitarbeiter geschult, verdächtige Aktivitäten zu erkennen und entsprechend zu handeln. Diese proaktiven Maßnahmen helfen, das Sicherheitsbewusstsein in Ihrem Unternehmen zu erhöhen und potenzielle Sicherheitsvorfälle zu reduzieren.
Microsoft Defender for Endpoint (MDE)
Microsoft Defender for Endpoint (MDE) bietet Ihnen eine Sicherheitslösung für alle Ihre Endgeräte. Diese Lösung schützt Sie vor Malware, Zero-Day-Exploits und anderen Bedrohungen durch den Einsatz von verhaltensbasierter, heuristischer und Cloud-basierter Schutztechnologie. Dank dieser Technologien können Sicherheitsrisiken frühzeitig erkannt und abgewehrt werden, bevor sie Schäden verursachen können.
MDE ist ebenfalls in zwei Plänen verfügbar, wie Defender for Office 365. Wenn Sie die M365 E5 Lizenz nutzen, ist auch hier Plan 2 bereits enthalten, allerdings nicht das Add-on Defender Vulnerability Management, welches separat dazu erworben werden muss. Plan 2 bietet Ihnen aber bereits erweiterte Funktionen wie Threat & Vulnerability Management und Endpoint Detection & Response (EDR). Diese Funktionen helfen Ihnen, Schwachstellen in Ihren Systemen zu identifizieren und gezielt darauf zu reagieren.
Das Onboarding von MDE ist ein geführter Prozess, der Ihnen hilft, Ihre Endgeräte schnell und effizient zu schützen. Dies geschieht entweder vollautomatisch, wenn Sie Ihre Geräte bereits mit Intune verwalten, oder per Skript, wenn Sie Drittanbieter oder keine Verwaltung nutzen. Dies können Sie im Setup der Deployment-Methode auswählen. Daraufhin werden Intune-Geräte automatisch geonboardet oder Sie führen die von Microsoft zur Verfügung gestellten Skripte auf Ihren Endgeräten aus, um sie mit dem Dienst zu verbinden. Während dieses Prozesses werden die Endgeräte automatisch konfiguriert und in das Sicherheitssystem integriert. Schließlich können Sie im Defender-Portal den Status der Geräte überwachen, Richtlinien anpassen und die Sicherheitsfunktionen vollständig nutzen.
Microsoft Defender for Identity (MDI)
Microsoft Defender for Identity nutzt Benutzer und Verhaltensanalysen, um normales Verhalten Ihrer Benutzer und Geräte zu erfassen. Durch die kontinuierliche Überwachung werden Abweichungen erkannt, die auf Bedrohungen hinweisen. Beispielsweise werden Angriffsvektoren wie Pass-the-Ticket- und Pass-the-Hash-Angriffe durch die Analyse von Authentifizierungsversuchen identifiziert. Der Dienst verfolgt kontinuierlich Ihre Anmeldeereignisse und erkennt Anomalien wie ungewöhnliche Anmeldezeiten oder -orte, die auf eine Kompromittierung hinweisen könnten. Zudem werden Sicherheitslücken und Fehlkonfigurationen in Ihrem Active Directory erkannt, die von Angreifern ausgenutzt werden könnten.
Durch die kontinuierliche Analysen werden Bedrohungen erkannt, bevor sie größeren Schaden anrichten. Auch interne Bedrohungen werden durch die kontinuierliche Überwachung und Analyse von Benutzeraktivitäten erkannt.
Damit Ihre lokale Infrastruktur seitens Microsoft durchgehend überwacht werden kann, müssen Sie entsprechende Sensoren bereitstellen, beziehungsweise installieren. Diese Sensoren leiten alle Signale weiter an die Microsoft Cloud, wo sie Ihnen in Dashboard und Analysetool aufbereitet zur Verfügung stehen. Die weitere Konfiguration, wie auf bestimmte Ereignisse oder Sicherheitsvorfälle regiert werden soll, findet ebenfalls in der Cloud statt.
Defender for Identity-Sensoren können auf den folgenden Servern direkt installiert werden:
- Windows Server 2016
- Windows Server 2019. Erfordert KB4487044 oder ein neueres kumulatives Update. Sensoren, die auf Server 2019 ohne dieses Update installiert sind, werden automatisch gestoppt, wenn die im Systemverzeichnis gefundene Version der Datei dll älter als 10.0.17763.316 ist.
- Windows Server 2022
Alle Betriebssysteme:
- Unterstützt für Server Core, Server mit Desktopdarstellung.
- Nano-Server werden nicht unterstützt.
- Installationen werden für Domänencontroller, AD FS- und AD CS-Server unterstützt.
Microsoft Defender for Cloud Apps
Defender for Cloud Apps ist ein wesentlicher Bestandteil der Microsoft Defender-Produktfamilie und spielt eine wichtige Rolle beim Schutz der Cloud-Infrastruktur Ihres Unternehmens. Es hilft dabei, unautorisierte Zugriffe zu verhindern und die Einhaltung von Sicherheitsrichtlinien in der Cloud sicherzustellen.
Mit Microsoft Defender for Cloud Apps können Sie nicht genehmigte Anwendungen erkennen und überwachen, um sicherzustellen, dass nur autorisierte Cloud-Dienste verwendet werden. Die Lösung ermöglicht Ihnen, alle Aktivitäten in Ihren Cloud-Diensten zu überwachen und zu analysieren, um Einblicke in die Nutzung und potenzielle Bedrohungen zu erhalten. Darüber hinaus hilft es Ihnen, Sicherheitsrichtlinien zu definieren und durchzusetzen, um sensible Daten zu schützen und Compliance-Anforderungen zu erfüllen.
Das sogenannte SaaS Security Posture Management bietet Sicherheitsteams die Möglichkeit, den Sicherheitsstatus der Organisation zu verbessern. Durch kontinuierliche Bewertung und Verbesserung der Sicherheitslage Ihrer SaaS-Anwendungen werden Konfigurationsfehler identifiziert und behoben. Als Teil der XDR-Lösung (Extended Detection and Response) von Microsoft ermöglicht Defender for Cloud Apps eine leistungsstarke Korrelation von Signalen und umfassende Sichtbarkeit über die gesamte Kill Chain erweiterter Angriffe, was eine effektive Bedrohungserkennung und -abwehr unterstützt.
Die Lösung erweitert zudem den Schutz auf OAuth-fähige Anwendungen, die über Berechtigungen und Rechte für den Zugriff auf kritische Daten und Ressourcen verfügen, und deckt so wichtige Bedrohungsszenarien ab, die durch App-zu-App-Kommunikation entstehen können.
Das Dashboard zum Verwalten der Defender Produkte
Das M365 Security Dashboard unter https://security.microsoft.com ist das zentrale Verwaltungstool für alle Defender-Produkte. Es bietet eine übersichtliche Oberfläche zur Verwaltung und Überwachung der Sicherheitsinfrastruktur und der eingehenden Signale aus den einzelnen Defender Lösungen.
Das Dashboard ist interaktiv und ermöglicht Ihnen, durch Klicken auf spezifische Warnungen oder Vorfälle tiefer in die Details einzutauchen und geeignete Maßnahmen zu ergreifen. Über das Dashboard können alle zuvor erläuterten Defender-Produkte konfiguriert und überwacht werden. Es bietet eine einheitliche Plattform für die Verwaltung von Sicherheitsrichtlinien, die Überwachung von Bedrohungen und die Analyse von Sicherheitsereignissen, was zu einer verbesserten Sicherheitslage und einer schnelleren Reaktionszeit bei Sicherheitsvorfällen führt.
Durch die Integration der Defender-Produkte in die M365 E5 Lizenz bietet Microsoft eine umfassende Sicherheitslösung, die alle Aspekte des digitalen Arbeitsplatzes abdeckt und Unternehmen dabei unterstützt, ihre Sicherheitsziele zu erreichen und ihre Daten und Infrastrukturen zu schützen.
Bei Fragen oder Anregungen zum Thema New Work, zur Microsoft Welt oder zu Collaboration Tools stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.
Weitere Blogartikel aus Bereichen, die von New Work, über Microsoft 365 bis hin zu Sustainable IT reichen, finden Sie auf unserer Blogseite.
