Microsoft Defender für Endpoints (Endgeräte)

Als Teil des Microsoft 365 Defender schützt der Defender für Endpoints all Ihre eingesetzten Geräte. Hierbei ist das Betriebssystem nahezu egal. Der Defender unterstützt nämlich eine Vielzahl an Endgeräten ab Windows 10 und aufwärts, Mac OS, Linux, Android und iOS vor Bedrohungen.

Die Sicherheitsplattform stellt verschiedene Funktionen bereit, um die Sicherheitsschwachstellen in Ihrem Unternehmen zu erkennen. Zudem werden bestehende Bedrohungen erkannt und untersucht, um anschließend richtig reagieren zu können.

Den Defender für Endpoints gibt es in zwei Plänen. Den reduzierten Plan 1 und den umfangreicheren Plan 2, für den es bereits noch eine Erweiterung gibt.

Defender für Endpoints Plan 1

In Plan 1 sind folgende Features inbegriffen:

– Schutz der nächsten Generation einschließlich Malware- und Virenschutz

Um Bedrohungen zu erkennen, scannt der Defender in Echtzeit das Verhalten von Dateien und Prozessen. Dadurch kann der Defender sofort nach der Erkennung der Bedrohung diese blockieren.

– Reduzierung der Angriffsfläche

Im Endpoints Manager kann Ihr Sicherheitsteam Einstellungen treffen, um die angreifbare Fläche Ihres Unternehmens zu verringern. So kann das Team vereinzelt Hardware und Software auswählen, denen vertraut wird. Dadurch wird sichergestellt, dass vertraute Dienste durchgehend zur Verfügung stehen.

– Manuelle Reaktionsaktionen

Dem Sicherheitsteam Ihres Unternehmens stehen vier Aktionen zur Verfügung, um manuell auf Bedrohungen zu reagieren.

  • Das Starten eines Antivirus-Scan auf einem Gerät
  • Das Isolieren eines Geräts vom Netzwerk
  • Stoppen und Isolieren von Prozessen und den verwendeten Dateien
  • Hinzufügen von Indikatoren, die das Lesen, Schreiben und Ausführen von Dateien verhindern

– Zentralisierte Verwaltung

Im Microsoft 365 Defender-Portal kann Ihr Sicherheitsteam alle Informationen zu aktuellen Bedrohungen und Risiken einsehen. Zudem können die Administratoren dort direkte und zentrale Maßnahmen treffen, um den Schutz zu erhöhen.

Darüber hinaus kann durch das Festlegen von User-Rollen Benutzern und Gruppen der Zugriff über das Portal festgelegt werden.

– Sicherheitsberichte

Auf der Startseite des Defender Portals ist auf einen Blick zu erkennen, welche Bedrohungen momentan herrschen. Im Bereich „Vorfälle und Warnungen“ sind alle Vorfälle zu finden, die aufgrund einer Warnung erstellt wurden. Die entsprechenden Korrekturmaßnahmen sind unter „Action Center“ zu finden. Die Berichte inklusive Bedrohung und Bedrohungsstatus sind im Bereich „Berichte“ zu finden.

– APIs

Um Workflows zu automatisieren und Übergaben der gesamten Plattform zu vereinfachen, stellt der Defender eine API-Landschaft zur Verfügung.

– Unterstützung für folgende Geräte

  • Windows 7 (ESU erforderlich), 8.1 und 10 ab Version 1709
  • macOS (die drei neuesten Versionen werden unterstützt)
  • iOS
  • Android-Betriebssystem

Defender für Endpoints Plan 2

In Plan 2 sind folgende Features inbegriffen, zusätzlich zu denen von Plan 1:

– Geräteerkennung

Mit der Geräteerkennungsfunktion des Defender können Sie nicht verwaltete Geräte in Ihrem Unternehmensnetzwerk ernennen. Da unbekannte oder nicht verwaltete Geräte ein großes Sicherheitsrisiko darstellen, weil sie häufig das Einstiegstor für Bedrohungen sind, bietet der Defender direkte Maßnahmen an. So kann entweder die Schwachstelle bewertet oder das Endgerät direkt eingebunden werden. Bezüglich der Entdeckungsmethode sollte die Standarderkennung der einfachen Erkennung vorgezogen werden.

– Gerätebestand

Eine Übersicht aller Geräte finden Sie im Security Center im Abschnitt Computer und Mobilgeräte. Je nach Gerät und Gerätestatus erhält es einen Zustand.

  • Integriert: Endpunkt ist in Microsoft Defender für Endpoints integriert, folglich besteht selten Handlungsbedarf.
  • Kann integriert werden: Endpunkt ist im Netzwerk, das Betriebssystem wird von Defender unterstützt, aber das Gerät ist noch nicht im Defender integriert. Dieses Gerät sollte dringend integriert werden.
  • Nicht unterstützt: Das Gerät wurde im Netzwerk erkannt, allerdings ist eine Integration in den Defender nicht möglich.
  • Unzureichende Information: Die Geräteerkennung konnte nicht ermitteln, ob das Geräte unterstützt werden kann.

– Core Defender Vulnerability Management-Funktionen

Im Inventar, welches Ihnen der Defender zur Verfügung stellt, sehen Sie in Echtzeit jegliche Software von Anwendungen bis Netzwerkfreigaben. Zu jeder Software in diesem Inventar gibt es Informationen und eine zugehörige Risikostufe. Indem diese Risikostufe genutzt wird, kann nun Ihr Sicherheitsteam eine Schwachstelle identifizieren und die Reihenfolge festlegen, in der die Schwachstellen beseitigt werden.

– Bedrohungsanalyse

Die Bedrohungsanalyse stellt eine Reihe von Berichten zur Verfügung, die jeweils eine Bedrohungsanalyse und Anleitung zur Behebung beinhalten. Inhalt sind neue Akteure, Methoden, Malware oder eigene Schwachstellen, die die Sicherheit Ihres Unternehmens gefährden könnten.

– Automatisierte Untersuchung und Reaktion

Wenn ein Vorfall eine Warnung auslöst, dann beginnt der automatisierte Untersuchungsprozess. Die Reaktion wird dann von Ihrem Sicherheitsteam gestartet und läuft automatisch. Voraussetzung ist Microsoft Defender Antivirus. Dieser muss im aktiven oder passiven Modus vorliegen.

– Fortgeschrittene Jagd

Dieses Tool basiert auf Abfragen, um Bedrohungen zu suchen. Hierbei werden die Rohdaten der letzten <30 Tage durchsucht.  Auf der Startseite befinden sich erste Beispiele zur Abfragesprache, die auf den Kusto-Abfragesprachen basiert. Um dieses Tool nutzen zu können, muss die Abfragesprache gelernt, angewendet und beherrscht werden.

– Endpunkterkennung und -reaktion

Diese Erweiterung verbessert nochmals die Möglichkeiten zur Erkennung von Angriffen und Bedrohung. Da das Erkennen des Problems dieses nicht löst, werden auch weitere Reaktionsmöglichkeiten ergänzt. So werden alle sicherheitsrelevanten Informationen übersichtlich und strukturiert präsentiert. Zudem gibt es die Möglichkeit von globalen manuellen Interventionen und dem spezifischen Zugriff auf ein Endpunkt via Remote Shell.

– Microsoft-Bedrohungsexperten

Bei sehr kritischen Bedrohungen werden spezielle und umfangreichere Warnungen Ihrem Sicherheitsteam gemeldet. Um Zeit zu sparen, schlägt der Defender sofort Maßnahmen vor, um die Bedrohung zu eliminieren. Falls diese oder andere Maßnahmen nicht effektive sind, dann stehen Sicherheitsexperten von Microsoft on Demand zur Verfügung. Allerdings muss ein Administrator im Vorhinein den Expertensupport in den Einstellungen freischalten.

Defender Vulnerability Management-Add-on

Das Defender Vulnerability Management-Add-on erweitert nun den Defender Plan 2. Dieses ergänzt jenen um folgende Features:

– Bewertung der Sicherheitsgrundlagen

Im Defender Portal können Administratoren im Vulnerability Management unter dem Punkt Baselines Assessment Ihre Sicherheits-Baselines in einem Profil zusammenfassen und dieses bewerten lassen. Zudem erhalten Sie so weiterreichende Informationen, zum Beispiel eine Liste aller Geräte, auf die diese Sicherheits-Baselines zutreffen.

– Blockieren Sie anfällige Anwendungen

Administratoren können Anwendungen sperren, wenn diese aktuell ein Sicherheitsrisiko darstellen. Die andere Möglichkeit ist es, den User zu warnen, falls eine Anwendungssperre nicht in Frage kommt. Eine Blockierung oder Warnung ist im Normalfall innerhalb von wenigen Minuten umgesetzt, jedoch kann es ein Problem geben. Es kann nämlich vorkommen, dass das Blockieren einer Anwendung sich deutlich verlängert, teilweise um Stunden. Zudem befindet sich diese Erweiterung erst in der Beta-Phase. Folglich besteht die Möglichkeit, dass Microsoft diese Features noch weiterentwickelt und anpasst.

– Browser-Erweiterungen

Browser-Erweiterungen können im Defender Portal über das Vulnerability Management erreicht werden, indem Sie den Unterpunkt Software Inventory auswählen. Falls Sie dorthin navigieren, finden Sie eine Liste aller Erweiterungen, inklusive Name, Browser, Anzahl der Geräte und weiteren Informationen. Weiter können Sie auch sehen, welche Berechtigungen die einzelnen Erweiterungen haben.

– Digitale Zeugnisbewertung

Erneut erreichen Sie dies über das Vulnerability Management und den Unterpunkt Software Inventory ein weiteres Tool. Aber diesmal via Zertifikatsinventar, das alle Zertifikate zeigt, die installiert sind. Hierdurch sehen Sie, welche Zertifikate bald ablaufen und welche ein Sicherheitsrisiko darstellen.

– Analyse der Netzwerkfreigabe

Das Sicherheitsteam Ihres Unternehmens kann hier den Umfang der Netzwerkfreigabe limitieren, falls geteilte Medien außer Kontrolle sind. Die Umsetzung erfolgt, indem Administratoren vier Methoden einzeln oder parallel nutzen.

  • Verbot des Online-Zugriffs auf Freigaben
  • Keine Freigaben aus dem Stammordner
  • Keiner hat Schreibrechte bei Freigaben
  • Festlegen der Ordneraufzählung bei Freigaben

Unternehmen können die verschiedenen Lizenzen auch gemischt verwenden, falls je nach User-Gruppe ein unterschiedlicher Plan attraktiver ist. Hierbei muss das Sicherheitsteam beachten, dass bezüglich der Mandaten-Erfahrung der höchste Plan herangezogen wird. Falls Sie allerdings diese Regelung außer Kraft setzten wollen, dann können Sie dies beim Microsoft Defender für Endpoints Support hinterlegen.

Integrationen

Der Defender lässt sich in folgende Microsoft Dienste integrieren:

  • MS Defender Cloud/Cloud-Apps/Identität/Office
  • Intune
  • MS Sentinel
  • Skype für Unternehmen

Testlizenz

Auch für den Microsoft Defender für Endpoints gibt es eine Testlizenz. Diese kann bei Interesse hier erworben werden.

Haben Sie Fragen?

Nico Ziegler

Beitrag teilen:

Share on linkedin
Share on email
Share on xing
Share on twitter
Share on whatsapp
Share on telegram
Share on facebook

Weitere interessante Beiträge

Scroll to Top