Der Microsoft 365 Defender ist eine vereinheitlichte Enterprise-Defense-Suite, die Erkennung, Prävention, Untersuchung und Reaktionen auf Endpunkte, Identitäten, E-Mails und Anwendungen systemweit koordiniert, um integrierten Schutz vor komplexen Angriffen zu bieten. Kurz gesagt ist der Microsoft 365 Defender eine Lösung, die viele Themen vereint und unter anderem Erkennung von und Reaktion auf Angriffe ermöglicht.
Kilian Hartig | Cyber Security Analyst
Kilian Hartig ist seit 2021 als Security Operations Center Analyst Teil des Antares Blue Teams. Er ist für die Überwachung und Analyse von Sicherheitsvorfällen verantwortlich. Dazu gehören neben der Überwachung von Netzwerk- und Sicherheitsprotokollen auch die Identifizierung von Bedrohungen und das Management von EDR-Lösungen.
Seine Ausbildung hat er zunächst an der FH Oberösterreich in Hagenberg absolviert, 2021 hat er den Bachelorstudiengang "Sichere Informationssysteme" abgeschlossen. Um seine Kenntnisse auf diesem Gebiet zu erweitern, studiert Kilian zurzeit berufsbegleitend an der FH St. Pölten im Master-Studiengang "Information Security".
Welche Komponenten vereint der Microsoft 365 Defender, ist das nicht einfach nur ein Antiviren-Programm?
KH: "Der Microsoft 365 Defender hat heute nur mehr wenig damit zu tun, was allgemein als "der Windows Defender“ bekannt ist. Natürlich hat sich auch letzterer in den vergangenen Jahren stark weiterentwickelt und bietet für Privatpersonen einen ausreichenden Basisschutz. Im Enterprise-/Unternehmensumfeld ist die signaturbasierte Erkennung von bösartiger Software lange nicht mehr ausreichend. Daher vereint der Microsoft 365 Defender folgende Produkte und Lösungen:
Wie sieht die Architektur des Microsoft 365 Defender aus?
KH: "Das folgende Diagramm veranschaulicht die Architektur des Microsoft 365 Defender und gibt einen Überblick über die wichtigsten Komponenten und Integrationen.
Der Microsoft 365 Defender sammelt Signale von allen Defender-Komponenten und teilt diese mit dem gesamten Defender-Ökosystem, welches die erhaltenen Informationen nutzt, um Folgendes bereitzustellen:
Was wird schlussendlich durch den Microsoft 365 Defender geschützt?
KH: "Microsoft Defender for Endpoint ist eine EDR-Plattform, die es ermöglicht, in einem Unternehmensnetzwerk advanced threats zu erkennen, zu untersuchen, präventiv zu verhindern und auf das Auftreten angemessen zu reagieren. Seine Funktionen sind in die Azure-Cloud-Dienste von Microsoft und in das Windows 10/11-Betriebssystem integriert.
Die wichtigsten Funktionen von Microsoft Defender for Endpoint:
Microsoft Defender for Cloud Apps hilft beim Schutz von Daten, die zwischen Cloud-Anwendungen und der Umgebung fließen. Defender for Cloud Apps sammelt Signale von Cloud-Applikationen, um die Daten zu schützen, die zwischen der Unternehmensumgebung und den Apps fließen.
Microsoft Defender for Office 365 schützt vor verschiedenen Bedrohungen, die von Links (URLs), Tools für die Zusammenarbeit und E-Mail-Nachrichten ausgehen. Er sammelt Signale von diesen Aktivitäten und teilt sie mit dem Microsoft 365 Defender-Ökosystem. Die Lösung ist mit Exchange Online Protection (EOP) integriert, um alle eingehenden E-Mails und Anhänge zu schützen.
Microsoft Defender for Identity hilft beim Schutz von Identitäten in hybriden Umgebungen. Der Dienst sammelt und verwendet Signale von Servern, auf denen Active AD FS und Active AD DS vor Ort ausgeführt werden. Er kann zum Schutz vor Akteuren beitragen, die versuchen sich in der Umgebung auszubreiten, indem sie kompromittierte Accounts verwenden. Der Defender for Identity kann auch mit Azure AD Identity Protection integriert werden, um Anmeldungsrisiken zu bewerten und conditional access policies zu implementieren."
Wie funktionieren diese Technologien im Zusammenspiel bei einem Phishing Angriff?
KH: "Die folgende Abbildung zeigt die üblichen Schritte eines Phishing-Angriffs. Ein solcher Angriff beginnt in der Regel mit einer Phishing-E-Mail, die im Posteingang eines bestimmten Benutzers (meistens eines Mitarbeiters des Unternehmens) eintrifft. Der Benutzer ist sich des bösartigen Inhalts nicht bewusst, öffnet den E-Mail-Anhang und installiert versehentlich bösartige Software (Malware) auf seinem Gerät.
Sobald die Malware installiert ist, versucht sie, die Aktionen auszuführen, für die sie programmiert wurde, z.B. den Diebstahl vertraulicher Daten. Microsoft 365 Defender kann diesen Angriff jedoch in verschiedenen Phasen mit Hilfe seiner Verteidigungssuite erkennen und verhindern. Hier sind die wichtigsten Funktionen, die Defender for Office 365 zum Schutz vor Phishing-Angriffen einsetzt:
Welche Vorteile bietet der Microsoft Defender und wie profitiert der Anwender davon?
KH: "Die oben genannten Produkte und Lösungen werden im Microsoft 365 Defender zusammengefügt und erlauben einem SOC-Analysten die Bestimmung der Auswirkung einer Bedrohung auf mehreren Ebenen. Experten können erkennen, wie die Bedrohung in die Organisation gelangen konnte und welche Bereiche betroffen sind. Ebenso erhalten sie die Möglichkeit, auf diese Bedrohung angemessen reagieren zu können und das vom Endpunkt bis hin zur Cloud-Applikation. Der Vorteil des Defender liegt darin, viele Datenquellen zu vereinen und diese in durchsuchbarer Form zur Verfügung zu stellen. Dies ermöglicht es einem Sicherheitsexperten neben den erzeugten Alarmen auch den Kontext des Angriffs auf Organisationsebene zu verstehen.
Der Anwender profitiert besonders davon, dass Microsoft 365 Defender viele Funktionalitäten vereint, die sonst oftmals in verschiedenen Produkten gesondert betrachtet werden. Dies kann durch Ersetzen bestehender Produkte zu Kosteneinsparungen führen und ebenso die Handhabung und das Monitoring wesentlich vereinfachen."
Werden die gesammelten Daten verschlüsselt gespeichert und übertragen?
KH: "Prinzipiell verfügen die Rechenzentren von Microsoft über diverse Zertifizierungen wie der ISO 27001, 27018, 27017, 27701 sowie SOC 1, 2 und 3. Außerdem verfügen einzelne Services über spezifische Cloud Zertifizierungen, genauere Details dazu finden Sie hier.
Bei Defender for Endpoint umfasst die Verschlüsselung ruhende Daten, die Verschlüsselung während der Übertragung und die Schlüsselverwaltung mit Key Vault. Dabei werden laut Microsoft in allen Szenarien die Daten mit mindestens 256-Bit-AES-Verschlüsselung verschlüsselt.
Bei Defender for Cloud Apps sind die Angaben von Microsoft nicht so spezifisch. Microsoft verwendet Verschlüsselungstechnologien, um die Daten während der Ruhe in einer Microsoft-Datenbank zu schützen und wenn sie zwischen Benutzergeräten und Defender für Cloud Apps-Rechenzentren wechseln. Darüber hinaus wird die gesamte Kommunikation zwischen Defender für Cloud Apps und verbundenen Apps mit HTTPS verschlüsselt. Hierbei setzt Microsoft bei der Verschlüsselung auf Transport Layer Security (TLS)-Protokolle 1.2+, kann dessen durchgängigen Einsatz aufgrund von Inkompatibilitäten mit Clientanwendungen und Browsern jedoch nicht garantieren."
Wie wird der Microsoft 365 Defender im ANLX-Cloud SOC eingebunden?
KH: "Der Microsoft 365 Defender wird vom ANLX-Cloud SOC als Datenquelle für das Security Orchestration Automation and Response (SOAR) System verwendet. Die Daten bilden die Grundlage für die Automatisierung von Use-Cases, die durch die SOC-Analysten definiert werden. Hierbei werden unter anderem die automatisierte Anreicherung der Informationen aus dem Microsoft 365 Defender mit Kontextinformationen ermöglicht, um die Triage von Alerts teilweise automatisiert durchführen zu können."
Wie wird der Microsoft 365 Defender in den Vulnerability Lifecycle Manager (VLM) eingebunden?
KH: "Mit dem Defender Vulnerability Management können das SOC- und Operations-Team Workflow-Lücken und kritische Sicherheitsrisiken sowie Fehlkonfigurationen in der Organisation erkennen und beheben.
Dabei werden folgende Technologien verwendet:
Der Vulnerability Lifecycle Manager (VLM) ermöglicht es, all diese Funktionalitäten in einen geregelten Workflow zu implementieren und das Assessment in ein Management überzuleiten. Er bezieht dabei seine Daten aus der API, welche von Microsoft zur Verfügung gestellt wird. Der VLM ermöglicht sowohl die Auswertung, als auch die grafische Darstellung der Schwachstellen in einem Dashboard, sowie die Gruppierung der Schwachstellen nach Geräten, Windows-Patches und Software-Schwachstellen. Somit wird eine bessere Übersicht über die Schwachstellen im Organisationskontext gegeben und die strukturierte und priorisierte Behebung von Schwachstellen ermöglicht."