Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden Microsoft Sicherheitsdienste und ihre Zusammenarbeit als einheitliches System beschrieben, um Schutz über technologie-Säulen hinweg zu gewährleisten, die Identitäten, Geräte, Anwendungen, Daten, KI und Infrastruktur umfassen.
Moderne Unternehmenssicherheit wurde von umkreisbasiertem Schutz zu einem identitätsgesteuerten, cloudintegrierten Modell umgeleitet. Organisationen müssen Benutzer, Geräte, Anwendungen und Daten in hybriden und multicloud-Umgebungen schützen und sich kontinuierlich an sich entwickelnde Bedrohungen anpassen.
Microsoft bietet einen integrierten Satz cloudbasierter Dienste, die zusammenarbeiten, um Signale freizugeben, konsistente Richtlinien anzuwenden, Kontrollen durchzusetzen und Erkennung und Reaktion in der gesamten Umgebung zu koordinieren.
Sicherheitsergebnisse
Integrierte Microsoft Sicherheit liefert die folgenden Ergebnisse:
- Einheitliche Signalsichtbarkeit: Telemetrie wird kontinuierlich über Identitäten, Geräte, Anwendungen, Daten und Infrastruktur hinweg gesammelt und zentralisiert und in zentrale, umsetzbare Signale konvertiert.
- Identitätsgesteuerte Entscheidungsfindung: Zugriffs- und Durchsetzungsentscheidungen basieren auf Identität, Gerätezustand, Risikosignalen und Sitzungskontext.
- Konsistente Durchsetzung: Zero-Trust-Kontrollen werden beim Zugriff und während der Nutzung über Endpunkte, Cloud-Dienste und Anwendungen hinweg durchgesetzt.
- Integrierte Erkennung und Reaktion: Signale und Warnungen werden in allen Domänen korreliert, um Bedrohungen als einheitliche Vorgänge zu erkennen und darauf zu reagieren.
- Kontinuierliche Validierung und Verbesserung: Erkennungs- und Risikosignale fließen in politische Entscheidungen zurück, um den Schutz im Laufe der Zeit zu stärken.
Kernsicherheitsdienste
Zentrale Sicherheitsdienste erstrecken sich über mehrere Technologiesäulen, die jeweils Signale, Kontext und Durchsetzungsmechanismen plattformweit bereitstellen.
|
Säule Primärer Dienst |
Schutz | Primäres Portal |
|---|---|---|
|
Identität und Zugriff Microsoft Entra Microsoft Defender for Identity. |
Microsoft Entra steuert den Zugriff für Benutzer, Workloads und Anwendungen. Es wertet Identitäts-, Geräte- und Sitzungssignale aus, um Zugriffsentscheidungen zu treffen. Defender for Identity überwacht die Hybrididentitätsinfrastruktur, um Angriffe zu erkennen. |
Microsoft Entra Admin Center Microsoft Defender-Portal |
|
Geräte/Endpunkte Microsoft Defender für den Endpunkt Microsoft Intune |
Defender für Endpunkt sammelt Endpunkt-Telemetrie und erkennt Bedrohungen. Microsoft Intune bewertet die Gerätekonformität und setzt Richtlinien durch. |
Microsoft Defender-Portal Microsoft Intune Admin Center |
|
E-Mail und Zusammenarbeit Defender für Office 365 |
Schützt Exchange- und Zusammenarbeitsdienste (Microsoft Teams, SharePoint, OneDrive) vor Schadsoftware, schädlichen Links/Anlagen und geschäftlichen E-Mail-Kompromittierungen. | Microsoft Defender-Portal |
|
Daten Microsoft Purview |
Erzwingt Richtlinien zur Verhinderung von Datenverlust (Data Protection and Data Loss Prevention, DLP) über Endpunkte und Clouddienste hinweg. | Microsoft Purview Portal |
|
Infrastruktur-/Cloud-Workloads Microsoft Defender for Cloud |
Verbessert den Sicherheitsstatus und bietet die Bedrohungserkennung über Cloud- und Hybridarbeitslasten hinweg. |
Microsoft Azure-Portal Microsoft Defender-Portal |
|
Netzwerke Azure Netzwerkdienste |
Segmentieren und schützen Sie Netzwerke. | Microsoft Azure-Portal |
|
SaaS/Cloud-Apps Microsoft Defender für Cloud-Apps |
Bietet Einblicke in die Nutzung von Cloud-Apps und überwacht Benutzeraktivitäten, um riskantes Verhalten zu erkennen. | Microsoft Defender-Portal |
|
Haltung/Risiko Microsoft Sicherheitsrisikomanagement |
Identifiziert, priorisiert und verringert Gefährdungen bei Identitäten, Geräten, Cloud-Ressourcen und Anwendungen. | Microsoft Defender-Portal |
|
Bedrohungserkennung/-reaktion Microsoft Defender XDR |
Korreliert Signale über Defender Dienste hinweg und erzeugt einheitliche Vorfälle zur Untersuchung und Reaktion. | Microsoft Defender Portal |
|
Sicherheitsvorgänge Microsoft Sentinel |
Aggregiert Telemetrie aus Microsoft- und Drittanbieterquellen für zentralisierte Analyse, Untersuchung und Reaktion. |
Microsoft Azure-Portal Microsoft Defender-Portal |
|
Entwickler-/App-Sicherheit Defender for DevOps (in Defender for Cloud) GitHub Advanced Security |
Sichert Code, Abhängigkeiten und Build-Pipelines und setzt Sicherheitsrichtlinien in DevOps-Workflows durch. |
Microsoft Defender-Portal GitHub-Schnittstelle |
Netzwerkschutzdienste
In der Tabelle werden Azure Netzwerkfunktionen und die direkte Integration in andere Sicherheitsdienste zusammengefasst. Dienste werden im Microsoft Azure-Portal konfiguriert.
| Dienstleistung | Schutz | Integration |
|---|---|---|
| Azure Firewall | Erzwingt IP-, Port- und Anwendungsregeln, um eingehenden und ausgehenden Datenverkehr über Subnetze, Das Internet und lokale Netzwerke zu steuern. Verwendet Microsoft Bedrohungserkennung, um bekannten bösartigen Datenverkehr zu blockieren. | Defender for Cloud wertet den Konfigurationsstatus aus. Diagnoseprotokolle werden in Azure Monitor/Log Analytics aufgenommen und von Microsoft Sentinel zur Erkennung und Korrelation analysiert. |
| Azure DDoS Protection | Mildert volumetrische, Protokoll- und Anwendungsschichtangriffe. Schützt über das Internet zugängliche Ressourcen in virtuellen Netzwerken (VNets) vor großen Überflutungsangriffen. | Metriken und Angriffstelemetrie werden in Azure Monitor/Log Analytics aufgenommen und können in Microsoft Sentinel analysiert werden. Defender for Cloud bietet Empfehlungen für Haltungen. |
| Azure VNet | Bietet Netzwerkisolation, Segmentierung und private IP-Adressierung für Azure Ressourcen. Ermöglicht die kontrollierte Konnektivität zwischen Diensten. | Defender for Cloud bewertet den Konfigurationszustand, einschließlich der Exposition, wie öffentliche Zugriffspfade. |
| Netzwerksicherheitsgruppen (NSGs) | Filtert Den Datenverkehr auf Subnetz- und Netzwerkschnittstellenebene mithilfe von Zulassungs-/Ablehnungsregeln. Beschränkt unerwünschten Datenverkehr auf Ressourcen. | NSG-Flussprotokolle (über Azure Monitor) können in Microsoft Sentinel zur Transparenz des Netzwerkverkehrs und zur Erkennung analysiert werden. Defender for Cloud wertet die NSG-Regelkonfiguration aus. |
| Azure Web Application Firewall (WAF) | Schützt HTTP/HTTPS-Anwendungen mithilfe von OWASP-Regelsätzen. Verhindert häufige Webangriffe wie SQL-Einfügung und websiteübergreifendes Skripting (XSS). | WAF-Protokolle werden in Azure Monitor/Log Analytics aufgenommen und von Microsoft Sentinel analysiert. Defender for Cloud bewertet den WAF-Konfigurationsstatus. |
| Azure Front Door | Stellt einen globalen Einstiegspunkt für Webanwendungen mit Routing-, Beschleunigungs- und Edgesicherheitsfunktionen bereit. Lässt sich zum Schutz von Anwendungen mit einer WAF integrieren. | Diagnoseprotokolle (Front Door/WAF) werden in Log Analytics aufgenommen und von Microsoft Sentinel analysiert. Defender for Cloud wertet den Konfigurationsstatus aus. |
| Azure Application Gateway | Bietet regionalen Lastenausgleich mit integrierten Firewallfunktionen für Webanwendungen zum Schutz und Weiterleiten von Anwendungsdatenverkehr. | Zugriffs- und WAF-Protokolle werden in Log Analytics erfasst und von Microsoft Sentinel analysiert. Defender for Cloud wertet Konfigurationsstatus- und Belichtungseinstellungen aus. |
| Azure VPN Gateway | Bietet verschlüsselte IPsec/IKE-Konnektivität zwischen lokalen Umgebungen und Azure VNets. Schützt Daten während der Übertragung über öffentliche Netzwerke. | Verbindungs- und Tunnelprotokolle werden in Log Analytics aufgenommen und können in Microsoft Sentinel analysiert werden. Defender for Cloud wertet den Konfigurationsstatus aus, einschließlich der Verschlüsselungseinstellungen. |
| Azure ExpressRoute | Stellt private, dedizierte Konnektivität zwischen lokalen Umgebungen und Azure über das Microsoft Backbone bereit, um das öffentliche Internet zu vermeiden. | Betriebstelemetrie (z. B. BGP, Schaltkreisstatus) ist über Azure Monitor verfügbar und kann in Microsoft Sentinel analysiert werden. Defender for Cloud wertet den allgemeinen Konfigurationsstatus aus. |
| Azure Bastion | Bietet sicheren RDP- und SSH-Zugriff auf virtuelle Computer über einen Browser, wodurch die Notwendigkeit einer öffentlichen IP-Gefährdung beseitigt wird. | Diagnoseprotokolle werden in Log Analytics aufgenommen und von Microsoft Sentinel analysiert. Defender for Cloud bewertet reduzierte VMs, jedoch nicht direkt die Azure-Bastion-Konfiguration. |
| Azure Private Link | Bietet private Konnektivität zu Azure PaaS-Diensten und -Kundendiensten mit privaten IP-Adressen, wodurch die öffentliche Gefährdung beseitigt wird. | Dienstprotokolle (für Dienste, auf die über Private Link zugegriffen wird, z. B. Storage, SQL und Key Vault) werden in Log Analytics erfasst und von Microsoft Sentinel analysiert. Defender for Cloud bewertet, ob private Links verwendet werden, um die Exposition zu verringern. |
| Azure Network Watcher | Bietet Netzwerkdiagnosen, Überwachung und Transparenz auf Flow-Ebene für Azure-Ressourcen. | NSG-Flussprotokolle und Diagnosen werden in Log Analytics aufgenommen und können in Microsoft Sentinel analysiert werden. Defender for Cloud bewertet den zugrunde liegenden Konfigurationszustand der Ressource, z. B. NSG-Einstellungen, anstatt Network Watcher direkt zu bewerten. |
Sicherheitsworkflow
Sicherheitsdienste funktionieren als fortlaufende Pipeline. Signale werden kontinuierlich gesammelt, ausgewertet, erzwungen und verwendet, um Erkennung und Reaktion zu fördern.
| Pipeline | Action | Wichtige Aktivität |
|---|---|---|
| Phase 1: Signalsammlung | Sicherheitsdienste generieren Telemetrie über Identitäten, Geräte, Anwendungen und Infrastruktur hinweg. | - Defender for Endpoint erfasst Telemetriedaten von Geräten. - Microsoft Intune bewertet die Gerätekompatibilität. – Defender für Identität überwacht lokale Identitätsaktivitäten. - Defender for Cloud Apps überwacht SaaS-Aktivitäten. - Defender for Cloud überwacht die Konfiguration und Aktivität von Infrastruktur/Workload. |
| Phase 2: Richtlinienentscheidungen | Signale werden ausgewertet, um Zugriffsbedingungen und Kontrollaktionen zu bestimmen. | Microsoft Entra Conditional Access wertet Identitätsrisiko, Gerätevertrauensstellung, Standort und Sitzungskontext aus. |
| Phase 3: Kontrolle der Durchsetzung | Sicherheitskontrollen werden auf Identitäts-, Geräte-, Sitzungs-, Daten- und Netzwerkebenen angewendet. | Zu den Erzwingungspunkten gehören: - Bedingter Zugriff (MFA/Einschränkungen) - Intune (Gerätekompatibilität) -Defender for Cloud Apps (Sitzungssteuerung) - Microsoft Purview (DLP) - Azure Netzwerk (Konnektivitätseinschränkungen). |
| Phase 4: Erkennung und Reaktion | Signale und Warnungen werden korreliert, um Bedrohungen zu erkennen, zu untersuchen und zu beheben. | Microsoft Defender XDR korreliert Signale aller Defender Produkte in einheitliche Vorfälle. Microsoft Sentinel zentralisiert Protokolle, Vorfälle, Suche und Sicherheits-Orchestrierung, Automatisierung und Reaktion (SOAR) in der gesamten Umgebung – einschließlich Drittanbieterquellen. |
| Rückkopplungsschleife | Erkennungsergebnisse fließen zurück in Richtlinienentscheidungen, um den Schutz kontinuierlich zu verbessern. | Risiko- und Bedrohungssignale informieren Echtzeitrichtlinienupdates und ermöglichen adaptiven und automatisierten Schutz. |
Integration des Sicherheitsdiensts
Microsoft Sicherheitsdienste werden durch mehrere Abläufe integriert, die als zusammenhängende Pipeline ausgeführt werden und ein kontinuierliches Schutzsystem bilden.
- Signale (Telemetrie) erfassen Aktivitäten über Identitäten, Geräte, Anwendungen und andere Ressourcen hinweg.
- Der Kontext (Identität, Gerätestatus und Datenklassifizierung) erweitert Signale, um Genauigkeit und Entscheidungsfindung zu verbessern.
- Mit der Richtlinie wird definiert, welche Zugriffsberechtigungen zulässig oder blockiert werden, basierend auf ausgewerteten Bedingungen.
- Aktionen erzwingen Entscheidungen durch automatisierte Steuerelemente und Reaktionen.
Während Signale die Plattform durchlaufen, werden sie angereichert, anhand von Richtlinien bewertet und es werden Maßnahmen ergriffen, wodurch ein kontinuierlicher Zyklus aus Schutz und Reaktion entsteht.
Wie Dienste integriert werden
In der Tabelle wird zusammengefasst, wie Sicherheitsdienste Signale und Kontext von jedem Benutzer nutzen und was sie ausgeben und welche Aktionen ausgeführt werden.
| Dienstleistung | Verbraucht | Ausgaben |
|---|---|---|
| Microsoft Entra-ID |
Signale: Authentifizierungsaktivität (Anmeldungen, Risikoereignisse). Gerätekompatibilitätsstatus aus Microsoft Intune. Context: Gerätekontext für Zugriffsentscheidungen von Defender für Endpunkt. Sitzungskontext für Zugriffsentscheidungen von Defender for Cloud Apps. |
Aktionen: Entscheidungen für bedingten Zugriff (Zulassen, Blockieren, Einschränken, Erfordern von Steuerelementen). |
| Microsoft Intune |
Signale: Inventar verwalteter Geräte, Gerätezustand, Konformitätsstatus. Context: Identitätszuordnung aus Microsoft Entra ID. |
Outputs: Gerätekompatibilitätsstatus für Microsoft Entra ID. Geräteüberwachungsprotokolle zum Microsoft Sentinel. |
| Microsoft Purview |
Signals: Unternehmensdaten in Microsoft 365, SaaS-Apps und lokalen Systemen. Kontext: Datenklassifizierung (Vertraulichkeitsbezeichnungen, Inhaltsüberprüfung, Benutzeraktivität). |
Outputs: Warnungen zum Schutz vor Insiderrisiken und Datenverlust (Data Loss Protection, DLP) für Defender XDR. Compliance- und Überwachungsprotokolle zum Microsoft Sentinel. Aktionen: DLP-Durchsetzung für Endpunkte (Defender for Endpoint) und Sitzungen (Defender for Cloud Apps). |
| Defender für Endpunkt |
Signale: Endpunkt-Telemetrie (Prozess, Datei, Netzwerkaktivität). Context: Microsoft Entra ID (Identitätskontext). Microsoft Intune (Gerätezustand). Microsoft Purview (DLP-Richtlinien). |
Ausgaben: Endpunktwarnungen und Telemetrie an Defender XDR und Microsoft Sentinel. Aktionen: Endpunkterzwingung (Geräteisolation, Blockieren, Wartung). |
| Defender for Identity | Signals: Active Directory Identitätssignale. | Output: Identitäts-Bedrohungswarnungen für Defender XDR und Microsoft Sentinel. |
| Defender for Cloud Apps |
Signale: SaaS-App-Aktivität (Cloudnutzung). Netzwerk- und Shadow-IT-Telemetrie von Defender for Endpoint. Context: Sitzungs- und Authentifizierungskontext aus Microsoft Entra ID. DLP-Richtlinien aus Microsoft Purview. |
Outputs: Cloud-App benachrichtigt Defender XDR und Microsoft Sentinel. Aktionen: Sitzungserzwingung (Blockieren, Überwachen, Zugriff einschränken). |
| Defender for Cloud |
Signals: Informationen zum Ressourcenvorgang aus Azure. Server-/Workload-Telemetrie von Defender for Endpoint. Kontext: Ressourcenkonfiguration und -haltung. |
Outputs: Sicherheitswarnungen und Sicherheitsstatuseinblicke für Defender XDR und Microsoft Sentinel. |
| Microsoft Security Exposure Management |
Signals: Geräterisikobewertungen von Defender for Endpoint. Erkenntnisse zum Ressourceninventar, Sicherheitsstatus, zur Exposition und zur Angriffsfläche der Cloud aus Defender for Cloud. Identitätsbestand und Risikosignale von Microsoft Entra. SaaS-App-Bestand, Risiko und Nutzungskontext aus Defender for Cloud Apps. Kontext: Einheitliche Exposition und Risikokorrelation. |
Outputs: Expositionserkenntnisse und Risikokorrelationen zu Microsoft XDR und Microsoft Sentinel. |
| Defender XDR | Signals: Warnungen von Defender für Endpunkte (Geräte), Defender for Identity (Identitätssignale), Defender for Office 365 (E-Mail und Zusammenarbeit), Defender for Cloud Apps (SaaS/App-Aktivität). Zusätzliche Signale von Microsoft Purview (DLP, Insider-Risiko, Datenklassifizierung), Microsoft Entra ID Protection (Identitätsrisikosignale) und Defender for Cloud (Workload/Cloud-Haltung). |
Ausgaben: Korrelierte Warnmeldungen und Vorfälle an Microsoft Sentinel. Aktionen: Automatisierte domänenübergreifende Antwort. |
| Microsoft Sentinel | Signals: Warnungen, Protokolle, Telemetrie aus Defender XDR, Microsoft Purview, Clouddiensten und anderen Quellen von Drittanbietern. |
Ausgaben: Analysen, Untersuchungen und Vorfälle. Aktionen: Automatisierte Reaktion mithilfe von Playbooks. |
| Microsoft Security Copilot |
Signals: Vorfälle und Warnungen von Microsoft Sentinel und Defender XDR. Context: Vertraulicher Daten- und Insider-Risikokontext aus Microsoft Purview. Expositionskontext von Microsoft Security Exposure Management. |
Ausgaben: Untersuchungszusammenfassungen, Empfehlungen, KI-gesteuerte Erkenntnisse. Actions: Geführte Antwortaktionen, die durch Microsoft Sentinel- und Defender XDR-Workflows geleitet werden. |
Nächste Schritte
- Um mit einer Zero Trust Assessment Ihres aktuellen Sicherheitsstatus zu beginnen.
- Folgen Sie unserem strukturierten Adoptionsmodell, um mit Zero Trust Einführung zu beginnen.
- Erfahren Sie mehr über wichtige Sicherheitsergebnisse für Führungskräfte mit unseren Geschäftsszenarien zur Einführung. Beginnen Sie mit derImplementierung technischer Lösungen für Geschäftslösungen und Technologiepfeiler wie Daten und Geräte.