Angriffe in der gesamten Microsoft 365 Umgebung stoppen

Microsoft 365 Defender

Der Microsoft 365 Defender ist eine vereinheitlichte Enterprise-Defense-Suite, die Erkennung, Prävention, Untersuchung und Reaktionen auf Endpunkte, Identitäten, E-Mails und Anwendungen systemweit koordiniert, um integrierten Schutz vor komplexen Angriffen zu bieten. Kurz gesagt ist der Microsoft 365 Defender eine Lösung, die viele Themen vereint und unter anderem Erkennung von und Reaktion auf Angriffe ermöglicht.

 

Kilian Hartig im Interview

Kilian Hartig | Cyber Security Analyst

Kilian Hartig ist seit 2021 als Security Operations Center Analyst Teil des Antares Blue Teams. Er ist für die Überwachung und Analyse von Sicherheitsvorfällen verantwortlich. Dazu gehören neben der Überwachung von Netzwerk- und Sicherheitsprotokollen auch die Identifizierung von Bedrohungen und das Management von EDR-Lösungen.

Seine Ausbildung hat er zunächst an der FH Oberösterreich in Hagenberg absolviert, 2021 hat er den Bachelorstudiengang "Sichere Informationssysteme" abgeschlossen. Um seine Kenntnisse auf diesem Gebiet zu erweitern, studiert Kilian zurzeit berufsbegleitend an der FH St. Pölten im Master-Studiengang "Information Security".


Welche Komponenten vereint der Microsoft 365 Defender, ist das nicht einfach nur ein Antiviren-Programm?

KH: "Der Microsoft 365 Defender hat heute nur mehr wenig damit zu tun, was allgemein als "der Windows Defender“ bekannt ist. Natürlich hat sich auch letzterer in den vergangenen Jahren stark weiterentwickelt und bietet für Privatpersonen einen ausreichenden Basisschutz. Im Enterprise-/Unternehmensumfeld ist die signaturbasierte Erkennung von bösartiger Software lange nicht mehr ausreichend. Daher vereint der Microsoft 365 Defender folgende Produkte und Lösungen:


Wie sieht die Architektur des Microsoft 365 Defender aus?

KH: "Das folgende Diagramm veranschaulicht die Architektur des Microsoft 365 Defender und gibt einen Überblick über die wichtigsten Komponenten und Integrationen.

Der Microsoft 365 Defender sammelt Signale von allen Defender-Komponenten und teilt diese mit dem gesamten Defender-Ökosystem, welches die erhaltenen Informationen nutzt, um Folgendes bereitzustellen:

  • Eine vereinheitlichte Incident queue.
  • Automatisierte Reaktion, um einen Angriff zu stoppen.
  • Selbstheilung für gefährdete Ressourcen wie Benutzeridentitäten, Mailboxen und Geräte.
  • Bedrohungsübergreifende Suche.
  • Analyse von Bedrohungen."


Was wird schlussendlich durch den Microsoft 365 Defender geschützt?

KH: "Microsoft Defender for Endpoint ist eine EDR-Plattform, die es ermöglicht, in einem Unternehmensnetzwerk advanced threats zu erkennen, zu untersuchen, präventiv zu verhindern und auf das Auftreten angemessen zu reagieren. Seine Funktionen sind in die Azure-Cloud-Dienste von Microsoft und in das Windows 10/11-Betriebssystem integriert.

Die wichtigsten Funktionen von Microsoft Defender for Endpoint:

  • Endpoint behavioral sensors sammeln Informationen zum Verhalten vom Windows 10-Betriebssystem. Die Daten werden verarbeitet und an eine private, isolierte Cloud-Instanz von Microsoft Defender for Endpoint übertragen.
  • Cloud Security Analytics nutzt Device-Learning und Big Data, um Signale in Detektion und Informationen umzuwandeln, und bietet empfohlene Reaktionen auf Bedrohungen.
  • Threat intelligence - Sicherheitsteams generieren Bedrohungsdaten, indem sie Erkenntnisse von Microsoft mit Informationen von Dritten kombinieren. Defender for Endpoint nutzt diese Informationen, um Techniken, Verfahren und Tools von Angreifern zu identifizieren. Sobald die Lösung diese Angriffsindikatoren in den gesammelten Sensordaten feststellt, generiert sie Warnmeldungen.

Microsoft Defender for Cloud Apps hilft beim Schutz von Daten, die zwischen Cloud-Anwendungen und der Umgebung fließen. Defender for Cloud Apps sammelt Signale von Cloud-Applikationen, um die Daten zu schützen, die zwischen der Unternehmensumgebung und den Apps fließen.

Microsoft Defender for Office 365 schützt vor verschiedenen Bedrohungen, die von Links (URLs), Tools für die Zusammenarbeit und E-Mail-Nachrichten ausgehen. Er sammelt Signale von diesen Aktivitäten und teilt sie mit dem Microsoft 365 Defender-Ökosystem. Die Lösung ist mit Exchange Online Protection (EOP) integriert, um alle eingehenden E-Mails und Anhänge zu schützen.

Microsoft Defender for Identity hilft beim Schutz von Identitäten in hybriden Umgebungen. Der Dienst sammelt und verwendet Signale von Servern, auf denen Active AD FS und Active AD DS vor Ort ausgeführt werden. Er kann zum Schutz vor Akteuren beitragen, die versuchen sich in der Umgebung auszubreiten, indem sie kompromittierte Accounts verwenden. Der Defender for Identity kann auch mit Azure AD Identity Protection integriert werden, um Anmeldungsrisiken zu bewerten und conditional access policies zu implementieren."


Wie funktionieren diese Technologien im Zusammenspiel bei einem Phishing Angriff?

KH: "Die folgende Abbildung zeigt die üblichen Schritte eines Phishing-Angriffs. Ein solcher Angriff beginnt in der Regel mit einer Phishing-E-Mail, die im Posteingang eines bestimmten Benutzers (meistens eines Mitarbeiters des Unternehmens) eintrifft. Der Benutzer ist sich des bösartigen Inhalts nicht bewusst, öffnet den E-Mail-Anhang und installiert versehentlich bösartige Software (Malware) auf seinem Gerät.

Sobald die Malware installiert ist, versucht sie, die Aktionen auszuführen, für die sie programmiert wurde, z.B. den Diebstahl vertraulicher Daten. Microsoft 365 Defender kann diesen Angriff jedoch in verschiedenen Phasen mit Hilfe seiner Verteidigungssuite erkennen und verhindern. Hier sind die wichtigsten Funktionen, die Defender for Office 365 zum Schutz vor Phishing-Angriffen einsetzt:

  • Exchange Online-Protection ist Teil von Defender for Office 365 und zielt darauf ab, Phishing-E-Mails zu erkennen. Mithilfe von Mailflow-Regeln stellt sie sicher, dass eine Phishing-E-Mail nicht im Posteingang ankommt, und blockiert den Phishing-Angriff, bevor er die Benutzer täuschen kann.
  • Sichere Anhänge (Defender for Office 365) testet Anhänge auf ihre Sicherheit. Wenn die Funktion feststellt, dass der Anhang schädlich ist, erlaubt sie dem Benutzer nicht, Aktionen mit der E-Mail durchzuführen. Alternativ dazu können Richtlinien verhindern, dass die E-Mail im Posteingang ankommt.
  • Defender for Endpoint erkennt und verhindert die Installation der Malware signaturbasiert sowie verhaltensbasiert in Kombination mit Threat Intelligence. Ebenso kann hiermit die weitere Ausbreitung der Malware im Netzwerk und auf Geräten erkannt und durch die Isolation der betroffenen Geräte verhindert werden.
  • Defender for Identity kann plötzliche Veränderungen des Nutzerverhaltens im Netzwerk erkennen. Ebenso kann hier die laterale Ausbreitung eines Angreifers über mehrere Accounts hinweg entdeckt werden.
  • Microsoft Defender für Cloud-Apps kann anomales Verhalten erkennen und diese Ereignisse an das SOC-Team melden. Abnormale Aktivitäten, wie der Zugriff auf Anmeldeinformationen, unmögliche Reisen sowie ungewöhnliche Downloads und Dateifreigaben werden erkannt. Darüber hinaus können auch anormale E-Mail-Weiterleitungsaktivitäten festgestellt und alarmiert werden."


Welche Vorteile bietet der Microsoft Defender und wie profitiert der Anwender davon?

KH: "Die oben genannten Produkte und Lösungen werden im Microsoft 365 Defender zusammengefügt und erlauben einem SOC-Analysten die Bestimmung der Auswirkung einer Bedrohung auf mehreren Ebenen. Experten können erkennen, wie die Bedrohung in die Organisation gelangen konnte und welche Bereiche betroffen sind. Ebenso erhalten sie die Möglichkeit, auf diese Bedrohung angemessen reagieren zu können und das vom Endpunkt bis hin zur Cloud-Applikation. Der Vorteil des Defender liegt darin, viele Datenquellen zu vereinen und diese in durchsuchbarer Form zur Verfügung zu stellen. Dies ermöglicht es einem Sicherheitsexperten neben den erzeugten Alarmen auch den Kontext des Angriffs auf Organisationsebene zu verstehen.

Der Anwender profitiert besonders davon, dass Microsoft 365 Defender viele Funktionalitäten vereint, die sonst oftmals in verschiedenen Produkten gesondert betrachtet werden. Dies kann durch Ersetzen bestehender Produkte zu Kosteneinsparungen führen und ebenso die Handhabung und das Monitoring wesentlich vereinfachen."


Werden die gesammelten Daten verschlüsselt gespeichert und übertragen?

KH: "Prinzipiell verfügen die Rechenzentren von Microsoft über diverse Zertifizierungen wie der ISO 27001, 27018, 27017, 27701 sowie SOC 1, 2 und 3. Außerdem verfügen einzelne Services über spezifische Cloud Zertifizierungen, genauere Details dazu finden Sie hier.

Bei Defender for Endpoint umfasst die Verschlüsselung ruhende Daten, die Verschlüsselung während der Übertragung und die Schlüsselverwaltung mit Key Vault. Dabei werden laut Microsoft in allen Szenarien die Daten mit mindestens 256-Bit-AES-Verschlüsselung verschlüsselt.

Bei Defender for Cloud Apps sind die Angaben von Microsoft nicht so spezifisch. Microsoft verwendet Verschlüsselungstechnologien, um die Daten während der Ruhe in einer Microsoft-Datenbank zu schützen und wenn sie zwischen Benutzergeräten und Defender für Cloud Apps-Rechenzentren wechseln. Darüber hinaus wird die gesamte Kommunikation zwischen Defender für Cloud Apps und verbundenen Apps mit HTTPS verschlüsselt. Hierbei setzt Microsoft bei der Verschlüsselung auf Transport Layer Security (TLS)-Protokolle 1.2+, kann dessen durchgängigen Einsatz aufgrund von Inkompatibilitäten mit Clientanwendungen und Browsern jedoch nicht garantieren."


Wie wird der Microsoft 365 Defender im ANLX-Cloud SOC eingebunden?

KH: "Der Microsoft 365 Defender wird vom ANLX-Cloud SOC als Datenquelle für das Security Orchestration Automation and Response (SOAR) System verwendet. Die Daten bilden die Grundlage für die Automatisierung von Use-Cases, die durch die SOC-Analysten definiert werden. Hierbei werden unter anderem die automatisierte Anreicherung der Informationen aus dem Microsoft 365 Defender mit Kontextinformationen ermöglicht, um die Triage von Alerts teilweise automatisiert durchführen zu können."


Wie wird der Microsoft 365 Defender in den Vulnerability Lifecycle Manager (VLM) eingebunden?

KH: "Mit dem Defender Vulnerability Management können das SOC- und Operations-Team Workflow-Lücken und kritische Sicherheitsrisiken sowie Fehlkonfigurationen in der Organisation erkennen und beheben.

Dabei werden folgende Technologien verwendet:

  • Asset discovery & inventory
  • Vulnerability & configuration assessment
  • Risk-based intelligent prioritization
  • Remediation and tracking

Der Vulnerability Lifecycle Manager (VLM) ermöglicht es, all diese Funktionalitäten in einen geregelten Workflow zu implementieren und das Assessment in ein Management überzuleiten. Er bezieht dabei seine Daten aus der API, welche von Microsoft zur Verfügung gestellt wird. Der VLM ermöglicht sowohl die Auswertung, als auch die grafische Darstellung der Schwachstellen in einem Dashboard, sowie die Gruppierung der Schwachstellen nach Geräten, Windows-Patches und Software-Schwachstellen. Somit wird eine bessere Übersicht über die Schwachstellen im Organisationskontext gegeben und die strukturierte und priorisierte Behebung von Schwachstellen ermöglicht."

Profitieren Sie von unserem Insiderwissen im Bereich Netzwerk & IT-Sicherheit.
Mit unserem Newsletter erhalten Sie Informationen zu aktuellen Themen, Lösungen und Terminen aus erster Hand!

Newsletter abonnieren