Was ist Microsoft Defender für Cloud?

Microsoft Defender für Cloud ist eine CSPM- (Cloud Security Posture Management) und CWPP-Lösung (Cloud Workload Protection Platform) für alle Ihre Azure-, lokalen und Multicloudressourcen (Amazon AWS und Google GCP). Defender für Cloud erfüllt drei wichtige Anforderungen, wenn Sie die Sicherheit Ihrer Ressourcen und Workloads in der Cloud und lokal verwalten:

Grundlegendes zur Kernfunktionalität von Microsoft Defender für Cloud

  • Die Defender für Cloud-Sicherheitsbewertung bewertet kontinuierlich Ihren Sicherheitsstatus, sodass Sie neue Sicherheitsfälle verfolgen können und genau über den Fortschritt Ihrer Sicherheitsbemühungen informiert sind.
  • Defender für Cloud-Empfehlungen schützen Ihre Workloads mit schrittweisen Aktionen, die Ihre Workloads vor bekannten Sicherheitsrisiken schützen.
  • Defender für Cloud Warnungen schützen Ihre Workloads in Echtzeit, sodass Sie sofort reagieren und die Entwicklung von Sicherheitsereignissen verhindern können.

Eine schrittweise exemplarische Vorgehensweise für Defender für Cloud finden Sie in diesem interaktiven Tutorial.

Wenn Sie sich die Lehren aus der Praxis anschauen, können Sie von einem Cybersicherheitsexperten mehr über Defender für Cloud erfahren.

Schützen Ihrer Ressourcen und Nachverfolgen des Sicherheitsfortschritts

Die Features von Microsoft Defender für Cloud decken die zwei Grundpfeiler der Cloudsicherheit ab: Cloud Workload Protection Platform (CWPP) und Cloud Security Posture Management (CSPM).

CSPM – Beheben von Sicherheitsproblemen und Beobachten, ob sich Ihr Sicherheitsstatus verbessert

Defender für Cloud bietet folgende Funktionen für die Verwaltung des Sicherheitsstatus:

  • Leitfaden zur Härtung – für eine effiziente und effektive Verbesserung Ihrer Sicherheit.
  • Einblick – zum Verständnis Ihres aktuellen Sicherheitsstatus.

Defender für Cloud bewertet Ihre Ressourcen, Abonnements und Organisation kontinuierlich in Hinblick auf Sicherheitsprobleme und zeigt Ihren Sicherheitsstatus in der Sicherheitsbewertung an. Dabei handelt es sich um eine aggregierte Bewertung der Sicherheitsergebnisse, die Ihnen auf einen Blick Ihre aktuelle Sicherheitssituation mitteilen: je höher die Bewertung, desto geringer ist die ermittelte Risikostufe.

Wenn Sie Defender für Cloud zum ersten Mal öffnen, führt Defender für Cloud folgende Aufgaben durch:

  • Sicherheitsbewertung: Basierend auf einer Bewertung der verbundenen Ressourcen im Vergleich zur Microsoft-Benchmark für Cloudsicherheit wird eine Sicherheitsbewertung für Ihre Abonnements generiert. Anhand des Ergebnisses können Sie sich ein Bild von Ihrem Sicherheitsstatus machen, und über das Compliancedashboard können Sie Ihre Konformität mit dem integrierten Benchmark überprüfen. Wenn Sie die erweiterten Sicherheitsfeatures aktiviert haben, können Sie die Standards anpassen, die zur Bewertung Ihrer Konformität verwendet werden, und weitere Vorschriften (z. B. NIST und Azure CIS) oder organisationsspezifische Sicherheitsanforderungen hinzufügen. Sie können auch Empfehlungen anwenden und basierend auf den AWS Foundational Security Best Practices-Standards eine Bewertung erstellen.

    Sie können sich auch ausführlicher über die Sicherheitsbewertung informieren.

  • Empfehlungen zur Härtung: Basierend auf erkannten Fehlern in Sicherheitskonfigurationen und Schwachstellen werden Empfehlungen zur Härtung bereitgestellt. Verwenden Sie diese Sicherheitsempfehlungen, um den Sicherheitsstatus der Azure-, Hybrid- und Multicloudressourcen Ihrer Organisation zu verbessern.

  • Analysieren und schützen Sie Ihre Angriffspfade über den Cloudsicherheitsgraphen. Dabei handelt es sich um eine graphbasierte Kontext-Engine innerhalb von Defender for Cloud. Er sammelt Daten aus Ihrer Multicloudumgebung und aus anderen Datenquellen. Beispiele wären etwa der Cloudressourcenbestand, Verbindungen und Lateral Movement-Möglichkeiten zwischen Ressourcen, Gefährdung durch das Internet, Berechtigungen, Netzwerkverbindungen, Sicherheitsrisiken und Ähnliches. Auf der Grundlage der gesammelten Daten wird ein Graph erstellt, der Ihre Multicloudumgebung darstellt.

    Die Angriffspfadanalyse ist ein graphbasierter Algorithmus zur Überprüfung des Cloudsicherheitsgraphen. Die Überprüfungen offenbaren Pfade, die von Angreifern ausgenutzt werden könnten, um in Ihre Umgebung einzudringen und Ihre wichtigen Ressourcen zu erreichen. Die Angriffspfadanalyse deckt solche Angriffspfade auf und informiert Sie anhand von Empfehlungen darüber, wie Sie die Probleme am besten behandeln, um den Angriffspfad zu unterbrechen und ein erfolgreiches Eindringen zu verhindern.

    Durch die Einbeziehung von Kontextinformationen Ihrer Umgebung wie Gefährdung durch das Internet, Berechtigungen, laterale Bewegung usw. Die Angriffspfadanalyse identifiziert Probleme, die in Ihrer Umgebung zu einer Sicherheitsverletzung führen können, und hilft Ihnen dabei, die höchsten Risiken zuerst zu beheben.

    Weitere Informationen zur Angriffspfadanalyse finden Sie hier.

Defender CSPM bietet zwei Optionen zum Schutz Ihrer Umgebungen und Ressourcen: eine kostenlose Option und eine Premium-Option. Es wird empfohlen, die Premium-Option zu aktivieren, um die vollständige Abdeckung und die Vorteile von CSPM zu erhalten. Sie können sich ausführlicher über die Vorteile von Defender Cloud Security Posture Management (CSPM) und die Unterschiede zwischen den beiden Plänen informieren.

CWP – Ermitteln eindeutiger Sicherheitsanforderungen für Workloads

Defender für Cloud stellt Sicherheitswarnungen auf der Grundlage von Microsoft Threat Intelligence bereit. Darüber hinaus bietet es eine Reihe von fortschrittlichen, intelligenten Schutzmaßnahmen für Ihre Workloads. Der Workloadschutz wird über Microsoft Defender-Pläne bereitgestellt, die auf die Ressourcentypen in Ihren Abonnements abgestimmt sind. Beispielsweise können Sie Microsoft Defender für Storage aktivieren, um über verdächtige Aktivitäten im Zusammenhang mit Ihren Speicherressourcen benachrichtigt zu werden.

Schützen aller Ihre Ressourcen unter einem Dach

Da es sich bei Defender für Cloud um einen nativen Azure-Dienst handelt, werden viele Azure-Dienste überwacht und geschützt, ohne dass eine Bereitstellung erforderlich ist. Sie können aber auch Ressourcen hinzufügen, die lokal oder in anderen öffentlichen Clouds vorhanden sind.

Bei Bedarf kann Defender für Cloud automatisch einen Log Analytics-Agent bereitstellen, um sicherheitsbezogene Daten zu sammeln. Bei Azure-Computern erfolgt die Bereitstellung direkt. Für Hybrid- und Multi-Cloud-Umgebungen werden die Microsoft Defender-Pläne mit Hilfe von Azure Arc auf Nicht-Azure-Computer ausgeweitet. Die CSPM-Features werden auf Multi-Cloud-Computer ausgeweitet, ohne dass Agents erforderlich sind (siehe Verteidigen von Ressourcen in anderen Clouds).

Schützen Ihrer Azure-nativen Ressourcen

Defender für Cloud unterstützt Sie bei der Erkennung von Bedrohungen für:

  • Azure-PaaS-Dienste: Erkennen Sie Bedrohungen, die auf Azure-Dienste wie Azure App Service, Azure SQL, Azure Storage-Konten und weitere Datendienste abzielen. Sie können Ihre Azure-Aktivitätsprotokolle auch mithilfe der nativen Integration in Microsoft Defender für Cloud Apps (vormals bekannt als Microsoft Cloud App Security) auf Anomalien untersuchen.

  • Azure-Datendienste: Defender für Cloud umfasst Funktionen, mit denen Sie Ihre Daten automatisch in Azure SQL klassifizieren können. Sie können auch Bewertungen für potenzielle Sicherheitsrisiken für Azure SQL- und Storage-Dienste sowie Empfehlungen zu ihrer Entschärfung erhalten.

  • Netzwerke: Mit Defender für Cloud können Sie die Anfälligkeit für Brute-Force-Angriffe verringern. Wenn Sie den Zugriff auf VM-Ports einschränken, indem Sie den Just-In-Time-Zugriff auf VMs nutzen, können Sie die Sicherheit für Ihr Netzwerk erhöhen, weil unnötige Zugriffsvorgänge verhindert werden. Sie können für ausgewählte Ports Richtlinien für den sicheren Zugriff festlegen, damit der Zugriff nur für autorisierte Benutzer, zulässige IP-Quelladressen oder IP-Adressbereiche und einen begrenzten Zeitraum möglich ist.

Schützen Ihrer lokalen Ressourcen

Zusätzlich zum Schutz Ihrer Azure-Umgebung können Sie Ihrer Hybrid Cloud-Umgebung Defender für Cloud-Funktionen hinzufügen, um Ihre Nicht-Azure-Server zu schützen. Sie erhalten eine angepasste Threat Intelligence und priorisierte Warnungen Ihrer spezifischen Umgebung entsprechend, damit Sie sich auf das konzentrieren können, was für Sie am wichtigsten ist.

Um den Schutz auf lokale Computer auszuweiten, stellen Sie Azure Arc bereit und aktivieren die erweiterten Sicherheitsfunktionen von Defender für Cloud. Weitere Informationen finden Sie unter Hinzufügen eines Azure-fremden Computers mit Azure Arc.

Schutz von Ressourcen, die in anderen Clouds ausgeführt werden

Defender für Cloud kann Ressourcen in anderen Clouds (z. B. AWS und GCP) schützen.

Wenn Sie beispielsweise ein AWS-Konto (Amazon Web Services) mit einem Azure-Abonnement verbunden haben, können Sie die folgenden Schutzfunktionen aktivieren:

  • Die CSPM-Features von Defender für Cloud werden auf Ihre AWS-Ressourcen ausgeweitet. Dieser Plan ohne Agent bewertet Ihre AWS-Ressourcen gemäß AWS-spezifischen Sicherheitsempfehlungen und ist in Ihrer Sicherheitsbewertung enthalten. Die Ressourcen werden auch auf Einhaltung integrierter AWS-spezifischer Standards (AWS CIS, AWS PCI-DSS und AWS Foundational Security Best Practices) bewertet. Die Seite Bestandsverzeichnis von Defender für Cloud ist eine Multi-Cloud-Funktion, die Ihnen hilft, Ihre AWS-Ressourcen zusammen mit Ihren Azure-Ressourcen zu verwalten.
  • Mit Microsoft Defender für Kubernetes werden die Containerbedrohungserkennung und erweiterten Schutzmaßnahmen auf Ihre Amazon EKS Linux-Cluster ausgeweitet.
  • Microsoft Defender für Server stattet Ihre Windows- und Linux-EC2-Instanzen mit Bedrohungserkennung und erweiterten Schutzmaßnahmen aus. Dieser Plan umfasst die integrierte Lizenz für Microsoft Defender für Endpunkt, Sicherheitsbaselines und Bewertungen auf Betriebssystemebene, Überprüfungen zur Sicherheitsrisikobewertung, adaptive Anwendungssteuerung (AAC), Überwachung der Dateiintegrität (FIM) und mehr.

Weitere Informationen zum Verbinden Ihrer AWS- und GCP-Konten mit Microsoft Defender für Cloud.

Schließen von Sicherheitslücken, bevor sie ausgenutzt werden

Hervorhebung der Bewertungsfunktionen von Microsoft Defender für Cloud

Defender für Cloud umfasst als Bestandteil der erweiterten Sicherheitsfunktionen Lösungen zur Sicherheitsrisikobewertung für Ihre VMs, Containerregistrierungen und SQL Server-Instanzen. Einige der Scanner werden über Qualys betrieben. Sie benötigen weder eine Qualys-Lizenz noch ein Qualys-Konto – die Abwicklung erfolgt nahtlos in Defender für Cloud.

Microsoft Defender für Server umfasst eine automatische, native Integration in Microsoft Defender für Endpunkt. Weitere Informationen erhalten Sie unter Schützen Sie Ihre Endpunkte mithilfe der in Defender für Cloud integrierten EDR-Lösung: Microsoft Defender für Endpunkt. Wenn diese Integration aktiviert ist, haben Sie Zugriff auf die Sicherheitsrisikobewertung durch das Bedrohungs- und Sicherheitsrisikomanagement von Microsoft. Weitere Informationen finden Sie unter Untersuchen Sie Schwachstellen mit dem Bedrohungs- und Schwachstellenmanagement von Microsoft Defender for Endpoint.

Überprüfen Sie die Ergebnisse dieser Sicherheitsrisikoüberprüfungen, und ergreifen Sie direkt aus Defender für Cloud entsprechende Maßnahmen. Mit diesem umfassenden Ansatz wird Defender für Cloud zu einer zentralen Schnittstelle für sämtliche Maßnahmen zum Schutz Ihrer Cloud.

Weitere Informationen finden Sie auf den folgenden Seiten:

Durchsetzen Ihrer Sicherheitsrichtlinie von oben nach unten

Hervorhebung der Sicherheitsfunktionen von Microsoft Defender für Cloud

Es ist eine grundlegende Sicherheitsanforderung, dass Sie Ihre Workloads kennen und für deren Schutz sorgen. Der erste Schritt hierbei ist, maßgeschneiderte Sicherheitsrichtlinien aufzustellen. Da die Richtlinien in Defender für Cloud auf Azure Policy-Kontrollen basieren, können Sie vom vollen Funktionsumfang und der Flexibilität einer erstklassigen Richtlinienlösung profitieren. In Defender für Cloud können Sie Ihre Richtlinien so festlegen, dass sie für Verwaltungsgruppen, abonnementübergreifend und sogar für einen gesamten Mandanten ausgeführt werden.

Defender für Cloud erkennt fortlaufend neue Ressourcen, die in Ihren Workloads bereitgestellt werden, und prüft, ob sie in Übereinstimmung mit den Best Practices für die Sicherheit konfiguriert sind. Falls nicht, werden sie markiert, und Sie erhalten eine nach Prioritäten geordnete Liste mit Empfehlungen zur Bereinigung. Mithilfe der Empfehlungen können Sie die Angriffsfläche jeder einzelnen Ressource verringern.

Die Liste der Empfehlungen wird durch die Microsoft-Benchmark für Cloudsicherheit aktiviert und unterstützt. Diese von Microsoft verfasste Benchmark, die auf allgemeinen Complianceframeworks basiert, begann mit Azure und bietet nun eine Reihe von Richtlinien für bewährte Sicherheits- und Compliancemethoden für verschiedene Cloudumgebungen. Weitere Informationen finden Sie in der Einführung zur Microsoft-Benchmark für Cloudsicherheit.

Dadurch können Sie mithilfe von Defender für Cloud nicht lediglich Sicherheitsrichtlinien festlegen, sondern außerdem Standards für die sichere Konfiguration Ihrer gesamten Ressourcen anwenden.

Beispiel für eine Defender für Cloud-Empfehlung

Damit Sie besser nachvollziehen können, wie wichtig die einzelnen Empfehlungen für den gesamten Sicherheitsstatus sind, werden die Empfehlungen von Defender für Cloud in Sicherheitskontrollen gruppiert, und jedem Sicherheitskontrollelement wird eine Sicherheitsbewertung hinzugefügt. Dies ist ein entscheidender Faktor beim Priorisieren Ihrer Sicherheitsmaßnahmen.

Defender für Cloud-Sicherheitsbewertung

Erweitern von Defender für Cloud mit Defender-Plänen und externer Überwachung

Hervorhebung der Verteidigungsfunktionen von Microsoft Defender für Cloud

Sie können den Defender für Cloud-Schutz wie folgt erweitern:

  • Erweiterte Funktionen zum Schutz vor Bedrohungen für VMs, SQL-Datenbanken, Container, Webanwendungen, Ihr Netzwerk und vieles mehr: Zu den Schutzfunktionen gehören die Sicherung der Verwaltungsports Ihrer VMs mit Just-in-Time-Zugriff und adaptiver Anwendungssteuerung zur Erstellung von Positivlisten für Apps, die auf Ihren Rechnern ausgeführt bzw. nicht ausgeführt werden dürfen.

Die Defender-Pläne von Microsoft Defender für Cloud ermöglichen einen umfassenden Schutz der Compute-, Daten- und Dienstebenen Ihrer Umgebung:

Verwenden Sie die Kacheln für erweiterte Funktionen im Dashboard für den Workloadschutz, um die einzelnen Schutzmaßnahmen zu überwachen und zu konfigurieren.

Tipp

Azure Defender für IoT ist ein separates Produkt. Alle Details dazu finden Sie in der Einführung zu Azure Defender für IoT.

  • Sicherheitswarnungen: Wenn Defender für Cloud in einem der Bereiche Ihrer Umgebung eine Bedrohung erkennt, wird eine Sicherheitswarnung generiert. Diese Warnungen beschreiben Details zu den betroffenen Ressourcen, empfohlene Problembehandlungsschritte sowie in einigen Fällen eine Option, mit der eine Logik-App als Reaktion ausgelöst werden kann. Sie können Warnungen exportieren – unabhängig davon, ob sie von Defender für Cloud generiert oder über ein integriertes Sicherheitsprodukt in Defender für Cloud empfangen wurden. Befolgen Sie die Anweisungen unter Streamen von Warnungen an eine SIEM-, SOAR- oder IT-Dienstverwaltungslösung, um die Warnungen nach Microsoft Sentinel, ein Drittanbieter-SIEM-System oder ein beliebiges anderes externes Tool zu exportieren. Der Bedrohungsschutz von Defender für Cloud umfasst eine Fusion-Schrittfolgenanalyse, bei der Warnungen in Ihrer Umgebung basierend auf einer Cyber-Kill-Chain-Analyse automatisch korreliert werden. Dadurch können Sie den gesamten Verlauf eines Angriffs, seinen Ausgangspunkt und die Auswirkungen auf Ihre Ressourcen besser nachvollziehen. Die von Defender für Cloud unterstützten Kill-Chain-Absichten basieren auf Version 9 der MITRE ATT&CK-Matrix.

Weitere Informationen

Hilfreiche Informationen finden Sie auch in den folgenden Blogs:

Nächste Schritte

  • Zum Einstieg in Defender für Cloud benötigen Sie ein Microsoft Azure-Abonnement. Falls Sie kein Abonnement besitzen, können Sie sich für ein kostenloses Konto registrieren.

  • Der kostenlose Plan von Defender für Cloud wird für alle vorhandenen Azure-Abonnements aktiviert, wenn Sie die Defender für Cloud-Seiten im Azure-Portal zum ersten Mal aufrufen, oder wenn die Aktivierung programmgesteuert über die REST-API erfolgt. Sie müssen die erweiterten Sicherheitsfeatures aktivieren, um erweiterte Funktionen für die Sicherheitsverwaltung und Bedrohungserkennung nutzen zu können. Diese Features sind in den ersten 30 Tagen kostenlos. Weitere Informationen erhalten Sie in der Preisübersicht.

  • Wenn Sie bereit sind, die erweiterten Sicherheitsfunktionen jetzt zu aktivieren, führt Sie der Schnellstart: Aktivieren der erweiterten Sicherheitsfeatures durch die einzelnen Schritte.