Microsoft Defender für Unternehmensidentitäten

Als Teil des Microsoft Defender schütz der Microsoft Defender für Unternehmensidentitäten Ihre Active Directory Infrastruktur vor erweiterten Bedrohungen und böswilligen Insider-Aktionen. Der Microsoft Defender für Unternehmensidentitäten ist der Nachfolger von Azure Advanced Threat Protection, auch bekannt als Azure ATP. Die Grundlage für die Bedrohungsuntersuchung und -bekämpfung sind die lokalen Active Directory Signale. Hiermit arbeitet auch der Microsoft Defender.

Um das Unternehmen vor Risiken zu bewahren, werden die Benutzer und deren Verhalten überwacht. Zudem werden die im Active Directory gespeicherten Identitäten mit dazugehörigen Anmeldeinformationen geschützt. Angriffe auf das Netzwerk können so vom Defender identifiziert, bekämpft und mit Informationen ausgestattet berichtet werden.

Funktionsweise

Der Defender überwacht und analysiert die Aktivitäten und Informationen der Benutzer. Diese Schutzfunktion erstreckt sich hierbei über das gesamte Netzwerk. Dadurch kann der Defender das Benutzerverhalten ermitteln, was Anomalien sichtbar macht. Eine solche Anomalie kann dann eine Bedrohung für das Unternehmen darstellen.

Durch die Kenntnis über das Benutzerverhalten können auch Schwachstellen im menschlichen Verhalten erkannt werden. Durch Tipps des Defenders können die User Ihre Schwachstellen selbst abbauen, um die Sicherheit zu erhöhen. So hilft der Defender auch dabei, dass Benutzer sichere Passwörter Klartextpasswörter vorziehen.

Cyberangriffe

Die Cyber Kill Chain beschreibt Cyberangriffe. Hierbei befinden sich harmlosere Angriffe auf unteren Ebenen der Kette und schwerwiegende Angriffe oben. Durch die Überwachung der Benutzer klärt der Defender über böswilliges Verhalten der Benutzer auf. Hierbei sucht der Defender nach auffälligen Benutzernamen, IP-Adressen und Zugehörigkeitsstellen von Diensten und Ressourcen.

Nach einem passiven Angriff auf niedriger Ebene folgt meist ein Brute-Force-Angriff. Also der Versuch, das Passwort zu erraten, indem hintereinander immer wieder mögliche Phrasen getestet werden, die vom Angreifer als vielversprechend angesehen werden. Falls solch ein Angriff stattfindet, kann der Defender anhand der Anzahl an fehlgeschlagenen Authentifizierungsversuchen den Angriff lokalisieren. Der Defender kann darüber hinaus auch Versuche erkennen, in denen Angreifer sensible Nutzerdaten erreichen wollen, die sich auf derselben Ebene im Netzwerk befinden wie sie selbst. Bei allen Angriffen kann der Defender, wie auch bei normalen Benutzern, das Verhalten des angreifenden Benutzers ermitteln. Dadurch ergibt sich für Sie ein genaues Bild, wie der Angriff ablief und woher angegriffen wurde. Diese Informationen sind viel wert, da Sie so die notwendigen Maßnahmen einleiten können, um Ihr Netzwerk an seinen Schwachstellen besser zu schützen.

Alle Daten, auf denen der Defender arbeitet und die Daten, die der Defender erstellt, werden isoliert gespeichert. Dadurch ist garantiert, dass ausschließlich der Kunde von Microsoft auf die Daten zugreifen kann, die aus seinem Unternehmen kommen. Physisch liegen diese Daten immer in der Azure-Region, die dem geografischen Standort des Azure Active Directory-Mandanten am nächsten liegt.

Voraussetzungen

Um den Microsoft Defender für Unternehmensidentitäten nutzen können, benötigen Sie eine Lizenz. Eine adäquate Lizenz wäre Enterprise Mobility + Security E5 (EMS E5/A5), Microsoft 365 E5 (M365 E5/A5/G5) oder Microsoft 365 E5/A5/G5 Security. Im 365 Portal von Microsoft können Sie zu allen Lizenzen weitere Informationen erhalten und diese erwerben. Danach müssen Sie sicherstellen, dass Sie mindestens über ein Verzeichniskonto mit Lesezugriff verfügen. Darin sind alle Objekte und zwar aus allen überwachten Domänen einsehbar.

Da Sie nun die Instanz Ihres Defender für Unternehmensidentitäten erstellen wollen, benötigen Sie einen Azure Active Directory Mandanten. Dieser muss einen oder mehrere Sicherheitsadministratoren beinhalten, welche global über Ihre Adminrechte verfügen. Wenn Sie nun auf das Microsoft 365 Defender Portal zugreifen, empfiehlt sich die Verwendung von Microsoft Edge. Neben den Voraussetzungen auf Benutzer Ebene gibt es auch noch technische. Diese beinhalten beispielweise die notwendigen Anforderungen für Firewalls, NNR und Sensoren und sind ab hier zu finden.

Integration in Defender für Cloud-Apps

Das Aktivieren des Defenders für Unternehmensidentitäten startet im Defender für Cloud-Apps. Dort wählen wir in den Einstellungen den Punkt Bedrohungsschutz und den Unterpunkt Defender für Unternehmensidentitäten aus. Nun können Sie den Defender aktivieren und die Einstellung speichern. Die Integration in das Defender-Konstrukts dauert bis zu zwölf Stunden. Das Deaktivieren erfolgt über dieselbe Einstellung. Microsoft bewahrt allerdings die vorhandenen Daten des Defenders für Unternehmensidentitäten gemäß den Aufbewahrungsrichtlinien weiterhin auf.

Unterschied zu Microsoft ATA

Microsoft Advanced Threat Analytics ist eine On-Premise-Plattform. ATA schützt wie der Defender für Unternehmensidentitäten vor Bedrohungen in Form von internen und externen Angriffen. Der erste Unterschied besteht bereits darin, dass der Defender cloudbasiert ist. Somit benötigt es kein Anschluss an die Hardware, sondern arbeitet auf Signalen aus dem Active Directory. Zudem wird ATA bald eingestellt. Die Plattform hat seine endgültige Version bereits erreicht und wird ab Februar 2026 nicht mehr unterstützt. Der Defender erhält hingegen weiterhin Updates. Die Abwehrfunktionen des Defender sind somit in Zukunft weiterhin verfügbar und werden konstant verbessert.

Können wir Ihnen helfen?

Können wir Ihnen helfen?

Nico Ziegler

Beitrag teilen:

Mehr Informationen, einen Austausch oder konkrete Unterstützung im Projekt?

Anfrage senden

Nach oben scrollen