Vorbereiten der Bereitstellung von Microsoft Defender für Endpunkt
Gilt für:
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Die Bereitstellung von Defender für Endpunkt ist ein dreistufiger Prozess:
 Phase 1: Vorbereiten |
 Phase 2: Setup |
 Phase 3: Onboarding |
|---|---|---|
| Sie sind hier! |
Sie befinden sich derzeit in der Vorbereitungsphase.
Vorbereitung ist der Schlüssel zu einer erfolgreichen Bereitstellung. In diesem Artikel werden Sie zu den Punkten geführt, die Sie berücksichtigen müssen, während Sie sich auf die Bereitstellung von Defender für Endpunkt vorbereiten.
Projektbeteiligte und Genehmigung
Der folgende Abschnitt dient dazu, alle Projektbeteiligten zu identifizieren, die am Projekt beteiligt sind und die genehmigen, überprüfen oder auf dem Laufenden bleiben müssen.
Fügen Sie der nachstehenden Tabelle projektbeteiligte Personen hinzu, je nachdem, was für Ihre Organisation geeignet ist.
- SO = Projekt genehmigen
- R = Dieses Projekt überprüfen und Eingaben bereitstellen
- I = Über dieses Projekt informiert
| Name | Rolle | Aktion |
|---|---|---|
| Namen und E-Mail eingeben | Chief Information Security Officer (CISO)Ein leitender Vertreter, der als Sponsor innerhalb der Organisation für die neue Technologiebereitstellung fungiert. | Also |
| Namen und E-Mail eingeben | Head of Cyber Defense Operations Center (CDOC)Ein Vertreter des CDOC-Teams, der für die Definition der Ausrichtung dieser Änderung auf die Prozesse im Security Operations-Team der Kunden zuständig ist. | Also |
| Namen und E-Mail eingeben | SicherheitsarchitektEin Vertreter des Sicherheitsteams, der dafür zuständig ist, zu definieren, wie diese Änderung an der zentralen Sicherheitsarchitektur in der Organisation ausgerichtet ist. | R |
| Namen und E-Mail eingeben | Workplace ArchitectEin Vertreter des IT-Teams, der dafür verantwortlich ist, zu definieren, wie diese Änderung an der zentralen Arbeitsplatzarchitektur in der Organisation ausgerichtet ist. | R |
| Namen und E-Mail eingeben | SicherheitsanalystEin Vertreter des CDOC-Teams, der aus Sicherheitsgründen Eingaben zu den Erkennungsfunktionen, der Benutzererfahrung und der allgemeinen Nützlichkeit dieser Änderung bereitstellen kann. | I |
Umgebung
Dieser Abschnitt wird verwendet, um sicherzustellen, dass Ihre Umgebung von den Beteiligten tief verstanden wird, was dazu beitragen wird, potenzielle Abhängigkeiten und/oder Änderungen zu identifizieren, die in Technologien oder Prozessen erforderlich sind.
| Was | Beschreibung |
|---|---|
| Endpunktanzahl | Gesamtanzahl der Endpunkte nach Betriebssystem. |
| Serveranzahl | Gesamtanzahl der Server nach Betriebssystemversion. |
| Verwaltungsmodul | Name und Version des Verwaltungsmoduls (z. B. System Center Configuration Manager Current Branch 1803). |
| CDOC-Verteilung | CDOC-Struktur auf hoher Ebene (z. B. Auslagerung der Stufe 1 an Contoso, Stufe 2 und Stufe 3 im Eigenen, verteilt auf Europa und Asien). |
| Sicherheitsinformationen und -ereignis (SIEM) | SIEM-Technologie im Einsatz. |
Rollenbasierte Zugriffssteuerung
Microsoft empfiehlt die Verwendung des Konzepts der geringsten Rechte. Defender für Endpunkt nutzt integrierte Rollen in Azure Active Directory. Microsoft empfiehlt , die verschiedenen verfügbaren Rollen zu überprüfen und die richtige zu wählen, um Ihre Anforderungen für jede Persona für diese Anwendung zu erfüllen. Einige Rollen müssen möglicherweise vorübergehend angewendet und entfernt werden, nachdem die Bereitstellung abgeschlossen wurde.
| Personas | Rollen | Azure AD-Rolle (falls erforderlich) | Zuweisen zu |
|---|---|---|---|
| Sicherheitsadministrator | |||
| Sicherheitsanalyst | |||
| Endpunktadministrator | |||
| Infrastrukturadministrator | |||
| Geschäftsinhaber/Stakeholder | |||
Microsoft empfiehlt die Verwendung von Privileged Identity Management zum Verwalten Ihrer Rollen, um zusätzliche Überwachung, Kontrolle und Zugriffsüberprüfung für Benutzer mit Verzeichnisberechtigungen bereitzustellen.
Defender für Endpunkt unterstützt zwei Möglichkeiten zum Verwalten von Berechtigungen:
Grundlegende Berechtigungsverwaltung: Legen Sie Berechtigungen entweder auf vollzugriff oder schreibgeschützt fest. Benutzer mit den Rollen "Globaler Administrator" oder "Sicherheitsadministrator" in Azure Active Directory haben Vollzugriff. Die Rolle "Sicherheitsleseberechtigter" hat schreibgeschützten Zugriff und gewährt keinen Zugriff auf die Anzeige von Computern/Geräteinventaren.
Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC): Legen Sie präzise Berechtigungen fest, indem Sie Rollen definieren, azure AD-Benutzergruppen den Rollen zuweisen und den Benutzergruppen Zugriff auf Gerätegruppen gewähren. Weitere Informationen. siehe Verwalten des Portalzugriffs mithilfe der rollenbasierten Zugriffssteuerung.
Microsoft empfiehlt die Nutzung von RBAC, um sicherzustellen, dass nur Benutzer mit geschäftlicher Begründung auf Defender für Endpunkt zugreifen können.
Details zu Berechtigungsrichtlinien finden Sie hier: Erstellen von Rollen und Zuweisen der Rolle zu einer Azure Active Directory-Gruppe.
Die folgende Beispieltabelle dient zur Identifizierung der Cyber Defense Operations Center-Struktur in Ihrer Umgebung, die Ihnen dabei hilft, die für Ihre Umgebung erforderliche RBAC-Struktur zu ermitteln.
| Tier | Beschreibung | Berechtigung erforderlich |
|---|---|---|
| Ebene 1 | Lokales Sicherheitsbetriebsteam/IT-Team Dieses Team führt in der Regel Triages durch und untersucht Warnungen, die in ihrem Geolocation enthalten sind, und eskaliert in Fällen, in denen eine aktive Behebung erforderlich ist, zu Stufe 2. |
|
| Ebene 2 | Regionales Sicherheitsbetriebsteam Dieses Team kann alle Geräte für seine Region anzeigen und Wartungsaktionen ausführen. |
Daten anzeigen |
| Ebene 3 | Globales Sicherheitsbetriebsteam Dieses Team besteht aus Sicherheitsexperten und ist berechtigt, alle Aktionen aus dem Portal anzuzeigen und auszuführen. |
Daten anzeigen Warnungsuntersuchung Aktive Wartungsaktionen Warnungsuntersuchung Aktive Wartungsaktionen Verwalten von Portalsystemeinstellungen Sicherheitseinstellungen verwalten |
Annahmereihenfolge
In vielen Fällen verfügen Organisationen über vorhandene Endpunktsicherheitsprodukte. Das mindeste, was jede Organisation tun sollte, wäre eine Antivirenlösung gewesen. In einigen Fällen könnte eine Organisation aber auch bereits eine EDR-Lösung implantiert haben.
In der Vergangenheit war das Ersetzen einer Sicherheitslösung zeitaufwändig und aufgrund der engen Einbindung in die Anwendungsschicht- und Infrastrukturabhängigkeiten schwierig zu erreichen. Da Defender für Endpunkt jedoch in das Betriebssystem integriert ist, ist es jetzt einfach, Lösungen von Drittanbietern zu ersetzen.
Wählen Sie die Komponente von Defender für Endpunkt aus, die verwendet werden soll, und entfernen Sie die Komponenten, die nicht zutreffen. In der folgenden Tabelle ist die Reihenfolge aufgeführt, in der Microsoft empfiehlt, wie die Endpunktsicherheitssuite aktiviert werden soll.
| Komponente | Beschreibung | Rangfolge der Einführungsreihenfolge |
|---|---|---|
| Endpunkterkennungsantwort (Endpoint Detection & Response, EDR) | Defender für Endpunkt-Endpunkterkennungs- und -reaktionsfunktionen bieten erweiterte Angriffserkennungen, die nahezu in Echtzeit und umsetzbar sind. Sicherheitsanalysten können Benachrichtigungen effektiv priorisieren, Einblick in den gesamten Umfang einer Verletzung erhalten und Aktionen ergreifen, um Bedrohungen zu beheben. | 1 |
| Microsoft Defender Vulnerability Management (MDVM) | Defender Vulnerability Management ist eine Komponente von Microsoft Defender for Endpoint und bietet sowohl Sicherheitsadministratoren als auch Sicherheitsteams einen einzigartigen Wert, einschließlich:
|
2 |
| Schutz der nächsten Generation (NGP) | Microsoft Defender Antivirus ist eine integrierte Antischadsoftwarelösung, die Schutz der nächsten Generation für Desktops, tragbare Computer und Server bietet. Microsoft Defender Antivirus umfasst:
|
3 |
| Attack Surface Reduction (ASR) | Funktionen zur Verringerung der Angriffsfläche in Microsoft Defender for Endpoint helfen, die Geräte und Anwendungen in der Organisation vor neuen und neuen Bedrohungen zu schützen. Weitere Informationen. |
4 |
| Automatische Untersuchungskorrektur & (AIR) | Microsoft Defender for Endpoint verwendet automatisierte Untersuchungen, um die Anzahl der Warnungen, die einzeln untersucht werden müssen, erheblich zu reduzieren. Das Feature "Automatisierte Untersuchung" nutzt verschiedene Inspektionsalgorithmen und Prozesse, die von Analysten (z. B. Playbooks) verwendet werden, um Warnungen zu untersuchen und sofortige Abhilfemaßnahmen zu ergreifen, um Verstöße zu beheben. Auf diese Weise wird das Warnungsvolumen erheblich reduziert, sodass sich Sicherheitsexperten auf komplexere Bedrohungen und andere Initiativen mit hoher Wertschöpfung konzentrieren können. | Nicht zutreffend |
| Microsoft-Bedrohungsexperten (MTE) | Microsoft-Bedrohungsexperten ist ein verwalteter Suchdienst, der Security Operation Centers (SOCs) mit Überwachung und Analyse auf Expertenebene bereitstellt, um sicherzustellen, dass kritische Bedrohungen in ihren einzigartigen Umgebungen nicht übersehen werden. | Nicht zutreffend |
Nächster Schritt
Richten Sie Microsoft Defender for Endpoint Bereitstellung ein.