Schritt 2. Bereitstellen von Angriffserkennung und -reaktion
Als erster Schritt für die Erkennung und Reaktion auf Ransomware-Angriffe in Ihrem Microsoft 365-Mandanten wird dringend empfohlen, eine Testumgebung einzurichten, um die Features und Funktionen von Microsoft Defender XDR zu bewerten.
Weitere Informationen finden Sie in diesen Ressourcen.
Feature | Beschreibung | Wo soll ich beginnen? | So verwenden Sie es für Erkennung und Reaktion |
---|---|---|---|
Microsoft Defender XDR | Kombiniert Signale und orchestriert Funktionen in einer einzigen Lösung. Ermöglicht es Sicherheitsexperten, Bedrohungssignale zusammenzufügen und den gesamten Umfang und die Auswirkungen einer Bedrohung zu bestimmen. Automatisiert Aktionen, um den Angriff zu verhindern oder zu beenden und eine Selbstheilung betroffener Postfächer, Endpunkte und Benutzeridentitäten durchzuführen. |
Erste Schritte | Reaktion auf Vorfälle |
Microsoft Defender for Identity | Identifiziert, erkennt und untersucht erweiterte Bedrohungen, kompromittierte Identitäten und böswillige Insideraktionen, die auf Ihre Organisation abzielen, über eine cloudbasierte Sicherheitsschnittstelle und verwendet die Signale Ihres lokalen Active Directory Domain Services (AD DS). | Übersicht | Arbeit mit dem Microsoft Defender for Identity-Portal |
Microsoft Defender für Office 365 | Schützt Ihre Organisation vor böswilligen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit. Schützt vor Schadsoftware, Phishing, Spoofing und anderen Angriffstypen. |
Übersicht | Bedrohungssuche |
Microsoft Defender für Endpunkt | Ermöglicht die Erkennung und Reaktion auf erweiterte Bedrohungen über Endpunkte (Geräte) hinweg. | Übersicht | Erkennung und Reaktion am Endpunkt |
Microsoft Entra ID Protection | Automatisiert die Erkennung und Behebung identitätsbasierter Risiken und die Untersuchung dieser Risiken. | Übersicht | Risiko untersuchen |
Microsoft Defender for Cloud Apps | Ein Cloudzugriffssicherheitsbroker für die Ermittlung, Untersuchung und Governance auf allen Ihren Clouddiensten von Microsoft und Drittanbietern. | Übersicht | Untersuchen |
Hinweis
Alle diese Dienste erfordern Microsoft 365 E5 oder Microsoft 365 E3 mit dem Microsoft 365 E5 Security Add-On.
Verwenden Sie diese Dienste, um die folgenden gängigen Bedrohungen durch Ransomware-Angreifer zu erkennen und darauf zu reagieren:
Diebstahl von Anmeldeinformationen
- Microsoft Entra ID Protection
- Defender for Identity
- Defender for Office 365
Gerätekompromittierung
- Defender für Endpunkt
- Defender für Office 365
Eskalation von Berechtigungen
- Microsoft Entra ID Protection
- Defender for Cloud Apps
Verhalten bösartiger Apps
- Defender for Cloud Apps
Datenexfiltration, -löschung oder -uploading
- Defender for Office 365
- Defender for Cloud Apps mit Anomalieerkennungsrichtlinien
Die folgenden Dienste verwenden Microsoft Defender XDR und das zugehörige Portal (https://security.microsoft.com) als gängiger Bedrohungssammlungs- und Analysepunkt:
- Defender for Identity
- Defender for Office 365
- Defender für Endpunkt
- Defender for Cloud Apps
Microsoft Defender XDR kombiniert Bedrohungssignale in Warnungen und verbundene Warnungen zu einem Incident, sodass Ihre Sicherheitsanalysten die Phasen eines Ransomware-Angriffs schneller erkennen, untersuchen und beheben können.
Resultierende Konfiguration
Hier ist der Ransomware-Schutz für Ihren Mandanten für die Schritte 1 und 2.
Nächster Schritt
Fahren Sie mit Schritt 3 fort, um die Identitäten in Ihrem Microsoft 365-Mandanten zu schützen.