Als Teil des Microsoft 365 Defender schützt der Defender für Endpoints all Ihre eingesetzten Geräte. Hierbei ist das Betriebssystem nahezu egal. Der Defender unterstützt nämlich eine Vielzahl an Endgeräten ab Windows 10 und aufwärts, Mac OS, Linux, Android und iOS vor Bedrohungen.
Die Sicherheitsplattform stellt verschiedene Funktionen bereit, um die Sicherheitsschwachstellen in Ihrem Unternehmen zu erkennen. Zudem werden bestehende Bedrohungen erkannt und untersucht, um anschließend richtig reagieren zu können.
Den Defender für Endpoints gibt es in zwei Plänen. Den reduzierten Plan 1 und den umfangreicheren Plan 2, für den es bereits noch eine Erweiterung gibt.
In Plan 1 sind folgende Features inbegriffen:
Um Bedrohungen zu erkennen, scannt der Defender in Echtzeit das Verhalten von Dateien und Prozessen. Dadurch kann der Defender sofort nach der Erkennung der Bedrohung diese blockieren.
Im Endpoints Manager kann Ihr Sicherheitsteam Einstellungen treffen, um die angreifbare Fläche Ihres Unternehmens zu verringern. So kann das Team vereinzelt Hardware und Software auswählen, denen vertraut wird. Dadurch wird sichergestellt, dass vertraute Dienste durchgehend zur Verfügung stehen.
Dem Sicherheitsteam Ihres Unternehmens stehen vier Aktionen zur Verfügung, um manuell auf Bedrohungen zu reagieren.
Im Microsoft 365 Defender-Portal kann Ihr Sicherheitsteam alle Informationen zu aktuellen Bedrohungen und Risiken einsehen. Zudem können die Administratoren dort direkte und zentrale Maßnahmen treffen, um den Schutz zu erhöhen.
Darüber hinaus kann durch das Festlegen von User-Rollen Benutzern und Gruppen der Zugriff über das Portal festgelegt werden.
Auf der Startseite des Defender Portals ist auf einen Blick zu erkennen, welche Bedrohungen momentan herrschen. Im Bereich „Vorfälle und Warnungen“ sind alle Vorfälle zu finden, die aufgrund einer Warnung erstellt wurden. Die entsprechenden Korrekturmaßnahmen sind unter „Action Center“ zu finden. Die Berichte inklusive Bedrohung und Bedrohungsstatus sind im Bereich „Berichte“ zu finden.
Um Workflows zu automatisieren und Übergaben der gesamten Plattform zu vereinfachen, stellt der Defender eine API-Landschaft zur Verfügung.
In Plan 2 sind folgende Features inbegriffen, zusätzlich zu denen von Plan 1:
Mit der Geräteerkennungsfunktion des Defender können Sie nicht verwaltete Geräte in Ihrem Unternehmensnetzwerk ernennen. Da unbekannte oder nicht verwaltete Geräte ein großes Sicherheitsrisiko darstellen, weil sie häufig das Einstiegstor für Bedrohungen sind, bietet der Defender direkte Maßnahmen an. So kann entweder die Schwachstelle bewertet oder das Endgerät direkt eingebunden werden. Bezüglich der Entdeckungsmethode sollte die Standarderkennung der einfachen Erkennung vorgezogen werden.
Eine Übersicht aller Geräte finden Sie im Security Center im Abschnitt Computer und Mobilgeräte. Je nach Gerät und Gerätestatus erhält es einen Zustand.
Im Inventar, welches Ihnen der Defender zur Verfügung stellt, sehen Sie in Echtzeit jegliche Software von Anwendungen bis Netzwerkfreigaben. Zu jeder Software in diesem Inventar gibt es Informationen und eine zugehörige Risikostufe. Indem diese Risikostufe genutzt wird, kann nun Ihr Sicherheitsteam eine Schwachstelle identifizieren und die Reihenfolge festlegen, in der die Schwachstellen beseitigt werden.
Die Bedrohungsanalyse stellt eine Reihe von Berichten zur Verfügung, die jeweils eine Bedrohungsanalyse und Anleitung zur Behebung beinhalten. Inhalt sind neue Akteure, Methoden, Malware oder eigene Schwachstellen, die die Sicherheit Ihres Unternehmens gefährden könnten.
Wenn ein Vorfall eine Warnung auslöst, dann beginnt der automatisierte Untersuchungsprozess. Die Reaktion wird dann von Ihrem Sicherheitsteam gestartet und läuft automatisch. Voraussetzung ist Microsoft Defender Antivirus. Dieser muss im aktiven oder passiven Modus vorliegen.
Dieses Tool basiert auf Abfragen, um Bedrohungen zu suchen. Hierbei werden die Rohdaten der letzten <30 Tage durchsucht. Auf der Startseite befinden sich erste Beispiele zur Abfragesprache, die auf den Kusto-Abfragesprachen basiert. Um dieses Tool nutzen zu können, muss die Abfragesprache gelernt, angewendet und beherrscht werden.
Diese Erweiterung verbessert nochmals die Möglichkeiten zur Erkennung von Angriffen und Bedrohung. Da das Erkennen des Problems dieses nicht löst, werden auch weitere Reaktionsmöglichkeiten ergänzt. So werden alle sicherheitsrelevanten Informationen übersichtlich und strukturiert präsentiert. Zudem gibt es die Möglichkeit von globalen manuellen Interventionen und dem spezifischen Zugriff auf ein Endpunkt via Remote Shell.
Bei sehr kritischen Bedrohungen werden spezielle und umfangreichere Warnungen Ihrem Sicherheitsteam gemeldet. Um Zeit zu sparen, schlägt der Defender sofort Maßnahmen vor, um die Bedrohung zu eliminieren. Falls diese oder andere Maßnahmen nicht effektive sind, dann stehen Sicherheitsexperten von Microsoft on Demand zur Verfügung. Allerdings muss ein Administrator im Vorhinein den Expertensupport in den Einstellungen freischalten.
Das Defender Vulnerability Management-Add-on erweitert nun den Defender Plan 2. Dieses ergänzt jenen um folgende Features:
Im Defender Portal können Administratoren im Vulnerability Management unter dem Punkt Baselines Assessment Ihre Sicherheits-Baselines in einem Profil zusammenfassen und dieses bewerten lassen. Zudem erhalten Sie so weiterreichende Informationen, zum Beispiel eine Liste aller Geräte, auf die diese Sicherheits-Baselines zutreffen.
Administratoren können Anwendungen sperren, wenn diese aktuell ein Sicherheitsrisiko darstellen. Die andere Möglichkeit ist es, den User zu warnen, falls eine Anwendungssperre nicht in Frage kommt. Eine Blockierung oder Warnung ist im Normalfall innerhalb von wenigen Minuten umgesetzt, jedoch kann es ein Problem geben. Es kann nämlich vorkommen, dass das Blockieren einer Anwendung sich deutlich verlängert, teilweise um Stunden. Zudem befindet sich diese Erweiterung erst in der Beta-Phase. Folglich besteht die Möglichkeit, dass Microsoft diese Features noch weiterentwickelt und anpasst.
Browser-Erweiterungen können im Defender Portal über das Vulnerability Management erreicht werden, indem Sie den Unterpunkt Software Inventory auswählen. Falls Sie dorthin navigieren, finden Sie eine Liste aller Erweiterungen, inklusive Name, Browser, Anzahl der Geräte und weiteren Informationen. Weiter können Sie auch sehen, welche Berechtigungen die einzelnen Erweiterungen haben.
Erneut erreichen Sie dies über das Vulnerability Management und den Unterpunkt Software Inventory ein weiteres Tool. Aber diesmal via Zertifikatsinventar, das alle Zertifikate zeigt, die installiert sind. Hierdurch sehen Sie, welche Zertifikate bald ablaufen und welche ein Sicherheitsrisiko darstellen.
Das Sicherheitsteam Ihres Unternehmens kann hier den Umfang der Netzwerkfreigabe limitieren, falls geteilte Medien außer Kontrolle sind. Die Umsetzung erfolgt, indem Administratoren vier Methoden einzeln oder parallel nutzen.
Unternehmen können die verschiedenen Lizenzen auch gemischt verwenden, falls je nach User-Gruppe ein unterschiedlicher Plan attraktiver ist. Hierbei muss das Sicherheitsteam beachten, dass bezüglich der Mandaten-Erfahrung der höchste Plan herangezogen wird. Falls Sie allerdings diese Regelung außer Kraft setzten wollen, dann können Sie dies beim Microsoft Defender für Endpoints Support hinterlegen.
Der Defender lässt sich in folgende Microsoft Dienste integrieren:
Auch für den Microsoft Defender für Endpoints gibt es eine Testlizenz. Diese kann bei Interesse hier erworben werden.
Willkommen bei unserem exklusiven Support für Bestandskunden. Hier finden Sie alle nötigen Informationen, um schnell und unkompliziert Hilfe bei technischen Anfragen zu erhalten.
Senden Sie uns Ihr Anliegen mit allen relevanten Details an:
Für eine direkte Unterstützung per Fernwartung, laden Sie bitte unser TeamViewer-Modul herunter:
Bitte beachten Sie: Dieser Kanal ist speziell für technische Anfragen unserer Bestandskunden vorgesehen. Für allgemeine Anfragen, Informationen zu unseren Dienstleistungen oder eine Erstberatung nutzen Sie bitte unser Kontaktformular oder schreiben Sie eine E-Mail an info@rewion.com.
