Evaluieren und Microsoft Defender XDR

Gilt für:

  • Microsoft Defender XDR

Funktionsweise dieser Artikelreihe

Diese Artikelreihe soll Sie durch den gesamten Prozess der Einrichtung einer XDR-Testumgebung führen, sodass Sie die Features und Funktionen von Microsoft Defender XDR bewerten und sogar die Evaluierungsumgebung direkt in die Produktion hochstufen können, wenn Sie bereit sind.

Wenn Sie noch nicht über XDR nachdenken, können Sie diese 7 verknüpften Artikel überprüfen, um ein Gefühl dafür zu erhalten, wie umfassend die Lösung ist.

Microsoft Defender XDR ist eine Microsoft XDR-Cybersicherheitslösung.

Microsoft Defender XDR ist eine xDR-Lösung (eXtended Detection and Response), die automatisch Signal-, Bedrohungs- und Warnungsdaten aus Ihrer gesamten Microsoft 365-Umgebung sammelt, korreliert und analysiert, einschließlich Endpunkt, E-Mail, Anwendungen und Identitäten. Es nutzt künstliche Intelligenz (KI) und Automatisierung, um Angriffe automatisch zu stoppen und betroffene Ressourcen in einen sicheren Zustand zu versetzen.

Stellen Sie sich XDR als nächsten Schritt in der Sicherheit vor, indem Sie Endpunkte (Endpunkterkennung und -reaktion oder EDR), E-Mail, App und Identitätssicherheit an einem Ort vereinheitlichen.

Microsoft-Empfehlungen zum Auswerten von Microsoft Defender XDR

Microsoft empfiehlt, ihre Auswertung in einem vorhandenen Produktionsabonnement von Office 365 zu erstellen. Auf diese Weise erhalten Sie sofort Einblicke in die Praxis und können Einstellungen optimieren, um gegen aktuelle Bedrohungen in Ihrer Umgebung zu arbeiten. Nachdem Sie Erfahrung gesammelt haben und mit der Plattform vertraut sind, können Sie einfach jede Komponente einzeln in die Produktion hochstufen.

Die Anatomie eines Cyber-Sicherheitsangriffs

Microsoft Defender XDR ist eine cloudbasierte, einheitliche Unternehmensverteidigungssuite vor und nach sicherheitsrelevanten Sicherheitsverletzungen. Es koordiniert Prävention, Erkennung, Untersuchung und Reaktion über Endpunkte, Identitäten, Apps, E-Mails, kollaborative Anwendungen und alle ihre Daten hinweg.

In dieser Abbildung ist ein Angriff im Gange. Phishing-E-Mails gelangen im Posteingang eines Mitarbeiters in Ihrem organization, der unwissentlich die E-Mail-Anlage öffnet. Dadurch wird Schadsoftware installiert, die zu einer Kette von Ereignissen führt, die mit dem Diebstahl vertraulicher Daten enden können. In diesem Fall ist jedoch Defender for Office 365 in Betrieb.

Die verschiedenen Angriffsversuche

In der Abbildung sehen Sie Folgendes:

  • Exchange Online Protection, Teil von Microsoft Defender for Office 365, kann die Phishing-E-Mail erkennen und Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verwenden, um sicherzustellen, dass sie niemals im Posteingang eintreffen.
  • Defender for Office 365 verwendet sichere Anlagen, um die Anlage zu testen und festzustellen, ob sie schädlich ist, sodass die eintreffende E-Mail entweder vom Benutzer nicht umsetzbar ist, oder Richtlinien verhindern, dass die E-Mail überhaupt eintrifft.
  • Defender für Endpunkt verwaltet Geräte, die eine Verbindung mit dem Unternehmensnetzwerk herstellen, und erkennt Geräte- und Netzwerksicherheitsrisiken, die andernfalls ausgenutzt werden könnten.
  • Defender for Identity nimmt plötzliche Kontoänderungen wie Rechteausweitung oder laterale Verschiebung mit hohem Risiko zur Kenntnis. Außerdem wird über leicht ausgenutzte Identitätsprobleme wie die uneingeschränkte Kerberos-Delegierung zur Korrektur durch das Sicherheitsteam berichtet.
  • Microsoft Defender for Cloud Apps erkennt anomales Verhalten wie unmögliches Reisen, Zugriff auf Anmeldeinformationen und ungewöhnliche Download-, Dateifreigabe- oder E-Mail-Weiterleitungsaktivitäten und meldet diese an das Sicherheitsteam.

Microsoft Defender XDR Komponenten schützen Geräte, Identitäten, Daten und Anwendungen

Microsoft Defender XDR besteht aus diesen Sicherheitstechnologien, die zusammen arbeiten. Sie benötigen nicht alle diese Komponenten, um von den Funktionen von XDR und Microsoft Defender XDR zu profitieren. Sie werden durch die Verwendung von ein oder zwei ebenfalls Gewinne und Effizienz erzielen.

Komponente Beschreibung Referenzmaterial
Microsoft Defender for Identity Microsoft Defender for Identity verwendet Active Directory-Signale, um erweiterte Bedrohungen, kompromittierte Identitäten und schädliche Insideraktionen zu identifizieren, zu erkennen und zu untersuchen, die gegen Ihre organization gerichtet sind. Was ist Microsoft Defender for Identity?
Exchange Online Protection Exchange Online Protection ist der native cloudbasierte SMTP-Relay- und Filterdienst, der Ihre organization vor Spam und Schadsoftware schützt. Übersicht über Exchange Online Protection (EOP) – Office 365
Microsoft Defender für Office 365 Microsoft Defender for Office 365 schützt Ihre organization vor böswilligen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit. Microsoft Defender for Office 365 – Office 365
Microsoft Defender für Endpunkt Microsoft Defender for Endpoint ist eine einheitliche Plattform für Geräteschutz, Erkennung nach Sicherheitsverletzungen, automatisierte Untersuchung und empfohlene Reaktion. Microsoft Defender for Endpoint – Windows-Sicherheit
Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps ist eine umfassende saaS-übergreifende Lösung, die umfassende Transparenz, starke Datenkontrollen und einen verbesserten Bedrohungsschutz für Ihre Cloud-Apps bietet. Was ist Defender für Cloud-Apps?
Microsoft Entra ID Protection Microsoft Entra ID Protection wertet Risikodaten von Milliarden von Anmeldeversuchen aus und verwendet diese Daten, um das Risiko jeder Anmeldung bei Ihrer Umgebung zu bewerten. Diese Daten werden von Microsoft Entra-ID verwendet, um den Kontozugriff zuzulassen oder zu verhindern, je nachdem, wie Richtlinien für bedingten Zugriff konfiguriert sind. Microsoft Entra ID Protection wird separat von Microsoft Defender XDR lizenziert. Es ist in Microsoft Entra ID P2 enthalten. Was ist Identity Protection?

Microsoft Defender XDR Architektur

Das folgende Diagramm veranschaulicht die allgemeine Architektur für wichtige Microsoft Defender XDR Komponenten und Integrationen. In dieser Artikelreihe werden ausführliche Architekturen für jede Defender-Komponente und Anwendungsszenarien erläutert.

Eine allgemeine Architektur des Microsoft Defender-Portals

In dieser Abbildung:

  • Microsoft Defender XDR kombiniert die Signale aller Defender-Komponenten, um eine domänenübergreifende erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) bereitzustellen. Dies umfasst eine einheitliche Incidentwarteschlange, automatisierte Reaktion auf das Beenden von Angriffen, Selbstreparatur (für kompromittierte Geräte, Benutzeridentitäten und Postfächer), bedrohungsübergreifende Suche und Bedrohungsanalysen.
  • Microsoft Defender für Office 365 schützt Ihre Organisation vor bösartigen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit. Es teilt Signale, die sich aus diesen Aktivitäten ergeben, mit Microsoft Defender XDR. Exchange Online Protection (EOP) ist integriert, um end-to-End-Schutz für eingehende E-Mails und Anlagen bereitzustellen.
  • Microsoft Defender for Identity sammelt Signale von Servern, auf denen Active Directory-Verbunddienste (AD FS) und lokales Active Directory Domain Services (AD DS) ausgeführt werden. Es verwendet diese Signale, um Ihre Hybrididentitätsumgebung zu schützen, einschließlich schutz vor Hackern, die kompromittierte Konten verwenden, um sich seitlich über Arbeitsstationen in der lokalen Umgebung zu bewegen.
  • Microsoft Defender for Endpoint sammelt Signale von und schützt Geräte, die von Ihrem organization verwendet werden.
  • Microsoft Defender for Cloud Apps sammelt Signale aus der Verwendung von Cloud-Apps durch Ihre organization und schützt Daten, die zwischen Ihrer Umgebung und diesen Apps fließen, einschließlich sanktionierter und nicht sanktionierter Cloud-Apps.
  • Microsoft Entra ID Protection wertet Risikodaten von Milliarden von Anmeldeversuchen aus und verwendet diese Daten, um das Risiko jeder Anmeldung bei Ihrer Umgebung zu bewerten. Diese Daten werden von Microsoft Entra-ID verwendet, um den Kontozugriff zuzulassen oder zu verhindern, je nachdem, wie Richtlinien für bedingten Zugriff konfiguriert sind. Microsoft Entra ID Protection wird separat von Microsoft Defender XDR lizenziert. Es ist in Microsoft Entra ID P2 enthalten.

Microsoft SIEM und SOAR können Daten aus Microsoft Defender XDR

Zusätzliche optionale Architekturkomponenten, die in dieser Abbildung nicht enthalten sind:

  • Detaillierte Signaldaten aus allen Microsoft Defender XDR Komponenten können in Microsoft Sentinel integriert und mit anderen Protokollierungsquellen kombiniert werden, um vollständige SIEM- und SOAR-Funktionen und -Erkenntnisse zu bieten.
  • Weitere Informationen zur Verwendung von Microsoft Sentinel, einem Azure SIEM mit Microsoft Defender XDR als XDR, finden Sie in diesem Übersichtsartikel und den Schritten zur Integration von Microsoft Sentinel und Microsoft Defender XDR.
  • Weitere Informationen zu SOAR in Microsoft Sentinel (einschließlich Links zu Playbooks im Microsoft Sentinel GitHub-Repository) finden Sie in diesem Artikel.

Der Evaluierungsprozess für Microsoft Defender XDR Cyber Security

Microsoft empfiehlt, die Komponenten von Microsoft 365 in der dargestellten Reihenfolge zu aktivieren:

Ein allgemeiner Evaluierungsprozess im Microsoft Defender-Portal

In der folgenden Tabelle wird diese Abbildung beschrieben.

Seriennummer Schritt Beschreibung
1 Erstellen Sie die Evaluierungsumgebung In diesem Schritt wird sichergestellt, dass Sie über die Testlizenz für Microsoft Defender XDR verfügen.
2 Aktivieren von Defender for Identity Überprüfen Sie die Architekturanforderungen, aktivieren Sie die Auswertung, und führen Sie Tutorials zum Identifizieren und Beheben verschiedener Angriffstypen durch.
3 Aktivieren von Defender for Office 365 Stellen Sie sicher, dass Sie die Architekturanforderungen erfüllen, aktivieren Sie die Auswertung, und erstellen Sie dann die Pilotumgebung. Diese Komponente enthält Exchange Online Protection, sodass Sie beide hier tatsächlich auswerten.
4 Aktivieren von Defender für Endpunkt Stellen Sie sicher, dass Sie die Architekturanforderungen erfüllen, aktivieren Sie die Auswertung, und erstellen Sie dann die Pilotumgebung.
5 Aktivieren von Microsoft Defender for Cloud Apps Stellen Sie sicher, dass Sie die Architekturanforderungen erfüllen, aktivieren Sie die Auswertung, und erstellen Sie dann die Pilotumgebung.
6 Untersuchen und Reagieren auf Bedrohungen Simulieren Sie einen Angriff, und beginnen Sie mit der Verwendung von Funktionen zur Reaktion auf Vorfälle.
7 Höherstufen der Testversion in die Produktion Stufen Sie die Microsoft 365-Komponenten einzeln in die Produktion hoch.

Diese Reihenfolge wird häufig empfohlen und ist so konzipiert, dass der Nutzen der Funktionen schnell genutzt wird, je nachdem, wie viel Aufwand normalerweise erforderlich ist, um die Funktionen bereitzustellen und zu konfigurieren. Beispielsweise können Defender for Office 365 in kürzerer Zeit konfiguriert werden, als zum Registrieren von Geräten in Defender für Endpunkt benötigt wird. Natürlich sollten Sie die Komponenten priorisieren, um Ihre geschäftlichen Anforderungen zu erfüllen, und können diese in einer anderen Reihenfolge aktivieren.

Zum nächsten Schritt wechseln

Erfahren Sie mehr über die Microsoft Defender XDR Evaluierungsumgebung und/oder erstellen Sie sie.

Tipp

Möchten Sie mehr erfahren? Interagieren Sie mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.