Defender for Enterprise

In diesem 4-tägigen Intensivkurs wenden wir das neue Zero Trust Model für Microsoft 365 in einem Hybrid-Azure-Tenant praktisch an, wobei der Schwerpunkt auf den vielfältigen Einsatzmöglichkeiten des Microsoft Defenders für ein umfassendes Sicherheitsmonitoring liegt. Durch Cloud-Technologien und die verstärkte Arbeit im Homeoffice hat sich die Arbeitsweise der Benutzer grundlegend verändert. In der Regel handelt es sich um Hybrid Worker, die von überall über das Internet auf Unternehmensdaten zugreifen.

Microsoft bietet verschiedene Technologien zur Zero Trust Protection, darunter das Microsoft Defender-Ökosystem, welches sich für alle Sicherheitszonen eines Tenants einsetzen lässt.

Das Microsoft Defender-Ökosystem liefert einen umfassenden Überblick über den Sicherheitsstatus Ihrer Cloud- und On-Premises-Ressourcen und unterstützt gleichzeitig die Absicherung von Multi-Cloud- und Hybridumgebungen.Endpoint Security

Die Windows-Geräte müssen Entra ID Joined (EIDJ) oder Hybrid Entra ID Joined (HEIDJ) sein, damit sie über Azure AD verwaltet werden können. Zusätzlich müssen sie in Intune enrolled sein, um das Onboarding zu Microsoft Defender for Endpoint über ein Device Configuration Profile zu ermöglichen.

Bei der RAMP-Strategie unterscheidet die Device Security von Microsoft ähnlich wie im ESAE-Modell – drei Sicherheitsstufen:

1.           Enterprise Security / Device          Baseline Security     (vglb. ESAE Tier 2)2.           Specialized Security / Device        Enhanced Security  (vglb. ESAE Tier 1)3.           Privileged Security / Device          Strongest Security   (vglb. ESAE Tier 0)

Defender for Identity und Entra ID Protection

Zu Beginn einer Zero Trust Security-Implementierung muss die Authentifizierung zum Tenant als erste Sicherheitsmaßnahme abgesichert werden. Jeder Benutzer sollte sich über Multi-Factor Authentication (MFA) von einem sicheren Windows 10/11-Client aus anmelden.

Moderne Enterprise-Umgebungen bestehen häufig aus einer Kombination von On-Premises und Cloud-Komponenten. Defender for Identity nutzt Daten aus der gesamten Infrastruktur einschließlich Domänencontrollern, ADFS und PKI (AD CS) und liefert so einen vollständigen Überblick über die Identitätslandschaft.

Defender for Identity-Sensoren überwachen standardmäßig den Datenverkehr der Domänencontroller. Für ADFS– und PKI-Server muss der jeweils passende Sensortyp installiert werden, um eine vollständige Überwachung sicherzustellen.

Defender for Endpoint

Defender for Endpoint ermöglicht die Überwachung von Geräten und schützt sie vor Angriffen aus dem internen Netzwerk sowie aus dem Internet. Mit Advanced Hunting lassen sich Bedrohungen detailliert analysieren. Zudem bewertet die Lösung das Risiko einzelner Geräte und gibt Empfehlungen zur Reduzierung, etwa durch aktivierte Sicherheitsfunktionen wie Antivirus, Antimalware, BitLocker und Firewall.

Defender for Cloud Apps

Intune kann nicht alle Apps in einem Tenant vollständig verwalten. Defender for Cloud Apps schließt diese Lücke, indem es über Cloud Discovery alle genutzten Anwendungen sichtbar macht (Shadow IT). Als Cloud Access Security Broker (CASB) überwacht und steuert es den Zugriff von Apps auf Daten. In Verbindung mit Entra Conditional Access und Conditional Access App Control können Zugriffssitzungen gezielt über Session- und Access-Policies gesteuert und überwacht werden.

Defender for Office 365

Mit Exchange Online Protection (EOP) werden eingehende E-Mails auf Spam, Phishing, Malware, Bulk-Mail und Spoofing geprüft und bei Bedarf in Quarantäne verschoben oder blockiert.

Microsoft Defender for Office 365 P1 (MDO P1) bietet erweiterten Schutz durch Safe Attachments, Safe Links und Real Time Detection von Inhalten.

Der MDO P2-Plan liefert den höchsten Schutz mit Threat Explorer, Attack Simulation Training sowie Automated Investigation and Response (AIR) für automatische Analysen und Gegenmaßnahmen.

Defender for Cloud

Microsoft Defender for Cloud ist eine Cloud Native Application Protection Platform (CNAPP), die verschiedene Sicherheitstools bündelt, um Anwendungen und Ressourcen zu schützen – unabhängig davon, ob sie in Cloud-, Multi-Cloud-, On-Premises- oder Hybridumgebungen betrieben werden.

Zu den zentralen Komponenten von Defender for Cloud als CNAPP gehören unter anderem:

• Defender for Server
• Defender for Containers
• Defender for Resource Manager
• Defender for Storage
• Defender for Databases
• Defender for Key Vault

Im Kurs werden wir stellvertretend einige dieser Komponenten praktisch behandeln!

Sentinel

Microsoft Sentinel ist eine cloudnative SIEM-Lösung, die Sicherheit für Multi-Cloud- und Multi-Platform-Umgebungen bietet. Sie ermöglicht zentrale Bedrohungserkennung, Untersuchung, Reaktion und proaktives Hunting, alles in einer einheitlichen Ansicht.

Sentinel sammelt Daten überall dort, wo sie entstehen: von Benutzern, Geräten, Anwendungen und der Infrastruktur, sowohl On-Premises als auch in Multi-Cloud-Umgebungen.

Die Lösung bündelt, speichert und analysiert diese Daten im großen Maßstab und bildet damit die Grundlage für erweiterte Analysen, KI-gestützte Erkenntnisse und proaktive Abwehrmaßnahmen.