Bearbeiten

Freigeben über

Erstellen der zweiten Verteidigungsebene mit Microsoft Defender XDR-Sicherheitsdiensten

Microsoft Defender für Office 365
Microsoft Defender für Cloud-Apps
Microsoft Defender for Identity
Microsoft 365
Microsoft Endpoint Manager

Lösungsmöglichkeiten

In diesem Artikel ist ein Lösungsvorschlag beschrieben. Ihr Cloudarchitekt kann diesen Leitfaden verwenden, um die Hauptkomponenten einer typischen Implementierung dieser Architektur zu visualisieren. Verwenden Sie diesen Artikel als Ausgangspunkt, um eine gut durchdachte Lösung zu entwerfen, die den spezifischen Anforderungen Ihrer Workload entspricht.

Viele Organisationen arbeiten in einer Hybridumgebung mit Ressourcen, die sowohl in Azure als auch lokal gehostet werden. Die meisten Azure-Ressourcen wie virtuelle Computer (VMs), Azure-Anwendungen und Microsoft Entra ID können mit den integrierten Sicherheitsdiensten von Azure gesichert werden.

Darüber hinaus abonnieren Organisationen häufig Microsoft 365, um Benutzern Anwendungen wie Word, Excel, PowerPoint und Exchange Online zur Verfügung zu stellen. Microsoft 365 bietet auch Sicherheitsdienste an, die verwendet werden können, um einige der am häufigsten verwendeten Azure-Ressourcen zusätzlich zu schützen.

Um Microsoft 365-Sicherheitsdienste effektiv nutzen zu können, ist es wichtig, wichtige Terminologie und die Struktur von Microsoft 365-Diensten zu verstehen. In diesem vierten Artikel in einer Reihe von fünf Themen werden diese Themen ausführlicher behandelt, die auf Konzepten basieren, die in früheren Artikeln behandelt werden, insbesondere:

Microsoft 365 und Office 365 sind Cloud-basierte Dienste, die den Anforderungen Ihrer Organisation an hohe Sicherheit, Zuverlässigkeit und verbesserte Benutzerproduktivität gerecht werden. Microsoft 365 umfasst Dienste wie Power Automate, Forms, Stream, Sway und Office 365. Office 365 umfasst insbesondere die bekannte Suite von Produktivitätsanwendungen. Weitere Informationen zu Abonnementoptionen für diese beiden Dienste finden Sie unter Microsoft 365- und Office 365-Planoptionen.

Abhängig von der Lizenz, die Sie für Microsoft 365 erwerben, können Sie auch die Sicherheitsdienste für Microsoft 365 erhalten. Diese Sicherheitsdienste werden als Microsoft Defender XDR bezeichnet, der mehrere Dienste bereitstellt:

  • Microsoft Defender für Endpunkt (MDE)
  • Microsoft Defender for Identity (MDI)
  • Microsoft Defender für Office (MDO)
  • Microsoft Defender for Cloud Apps (MDA)
  • „Microsoft Defender for Cloud-Apps”, auf die über „security.microsoft.com” zugegriffen wird, unterscheidet sich von „Microsoft Defender for Cloud”, bei der es sich um eine andere Sicherheitslösung handelt, auf die über „portal.azure.com” zugegriffen wird.

Das folgende Diagramm veranschaulicht die Beziehung von Lösungen und Hauptdiensten, die Microsoft 365 bietet, obwohl nicht alle Dienste aufgeführt sind.

Diagramm der Dienste und Produkte, die Teil von Microsoft 365 sind.

Mögliche Anwendungsfälle

Die Menschen sind oft verwirrt über die Sicherheitsdienste von Microsoft 365 und ihre Rolle in der IT-Cybersicherheit. Eine Hauptursache für diese Verwirrung ist die Ähnlichkeit der Namen, einschließlich einiger Azure-Sicherheitsdienste wie Microsoft Defender for Cloud (ehemals Azure Security Center) und Defender für Cloud Apps (ehemals Microsoft Cloud App Security).

Die Verwirrung geht jedoch über die Terminologie hinaus. Einige Dienste bieten ähnliche Schutzmaßnahmen, aber für unterschiedliche Ressourcen. Beispielsweise schützen Defender for Identity und Azure Identity Protection identitätsbezogene Dienste, aber Defender for Identity sichert lokale Identitäten (über Active Directory-Domäne Services und Kerberos-Authentifizierung), während Azure Identity Protection Cloudidentitäten (über Microsoft Entra ID und OAuth-Authentifizierung) sichert.

In diesen Beispielen wird hervorgehoben, wie wichtig es ist, zu verstehen, wie sich Microsoft 365-Sicherheitsdienste von Azure-Sicherheitsdiensten unterscheiden. Durch dieses Verständnis können Sie Ihre Sicherheitsstrategie in der Microsoft-Cloud effektiver planen und gleichzeitig einen starken Sicherheitsstatus für Ihre IT-Umgebung beibehalten. Dieser Artikel soll Ihnen helfen, dies zu erreichen.

Das folgende Diagramm zeigt einen realen Anwendungsfall für Microsoft Defender XDR-Sicherheitsdienste. Es zeigt die Ressourcen, die Schutz benötigen, die Dienste, die in der Umgebung ausgeführt werden, und einige potenzielle Bedrohungen. Microsoft Defender XDR-Dienste befinden sich in der Mitte und schützen die Ressourcen der Organisation vor Bedrohungen.

Diagramm, das Bedrohungen, ihre Angriffsreihenfolge, die Zielressourcen und die Dienste von Microsoft Defender XDR, die Schutz bieten können, zeigt.

Aufbau

Microsofts Extended Detection and Response (XDR)-Lösung, bekannt als Microsoft Defender XDR, integriert mehrere Sicherheitstools und -dienste, um einheitlichen Schutz, Erkennung und Reaktion über Endpunkte, Identitäten, E-Mail, Anwendungen und Cloud-Umgebungen hinweg zu bieten. Es kombiniert erweiterte Bedrohungsintelligenz, Automatisierung und KI-gesteuerte Analysen, um komplexe Cyberbedrohungen in Echtzeit zu erkennen und darauf zu reagieren, sodass Sicherheitsteams Risiken schnell mindern und die Auswirkungen von Angriffen reduzieren können. Durch die Konsolidierung von Sicherheitsdaten aus verschiedenen Quellen hilft Microsoft Defender XDR Organisationen dabei, umfassende, optimierte Verteidigung in ihrer gesamten IT-Infrastruktur zu erreichen.

Das folgende Diagramm zeigt eine Ebene, die als DEFENDER bezeichnet wird, die die Microsoft Defender XDR-Sicherheitsdienste darstellt. Durch das Hinzufügen dieser Dienste zu Ihrer IT-Umgebung können Sie eine bessere Verteidigung für Ihre Umgebung erstellen. Die Dienste auf der Defender-Ebene können mit Azure-Sicherheitsdiensten arbeiten.

Diagramm der Dienste, Bedrohungen und Sicherheitsdiense, die Sie konfigurieren können, um einen Schutz für die Ressourcen in Ihrer IT-Umgebung zu bieten.

Laden Sie eine Visio-Datei dieser Architektur herunter.

©2021 The MITRE Corporation. Diese Arbeit wird reproduziert und mit der Erlaubnis der MITRE Corporation verteilt.

Workflow

  1. Microsoft Defender für den Endpunkt

    Microsoft Defender für Endpunkt ist eine Endpunktsicherheitsplattform auf Unternehmensniveau, die Organisationen dabei unterstützt, komplexe Bedrohungen zu vermeiden, zu erkennen, zu untersuchen und darauf zu reagieren. Er erstellt eine Ebene des Schutzes für VMs, die auf Azure und lokal ausgeführt werden. Weitere Informationen zum Schutz finden Sie unter Microsoft Defender für Endpunkt.

  2. Microsoft Defender für Cloud-Apps

    Früher bekannt als Microsoft Cloud Application Security, Defender für Cloud-Apps ist ein Cloud Access Security Broker (CASB), der mehrere Bereitstellungsmodi unterstützt. Diese Modi umfassen Protokollsammlungen, API-Connectors und Reverseproxy. Er bietet umfassende Transparenz, Kontrolle über den Datenverkehr sowie anspruchsvolle Analysefunktionen zum Erkennen und Bekämpfen von Cyberbedrohungen für sämtliche Clouddienste von Microsoft und Drittanbietern. Er bietet Schutz und Risikominderung für Cloud-Apps und sogar für einige Apps, die lokal ausgeführt werden. Er bietet auch eine Schutzebene für Benutzer, die auf diese Apps zugreifen. Weitere Informationen finden Sie in der Übersicht zu Microsoft Defender für Cloud-Apps.

    Es ist wichtig, Defender für Cloud-Apps nicht mit Microsoft Defender für Cloud zu verwechseln, der Empfehlungen und eine Bewertung der Sicherheitshaltung von Servern, Apps, Speicherkonten und anderen Ressourcen, die in Azure, lokal und in anderen Clouds ausgeführt werden, bietet. Defender für Cloud konsolidiert zwei vorherige Dienste, Azure Security Center und Azure Defender.

  3. Microsoft Defender für Office

    Microsoft Defender für Office 365 schützt Ihre Organisation vor schädlichen Bedrohungen, die durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit entstehen. Er bietet Schutz für E-Mails und Zusammenarbeit. Abhängig von der Lizenz können Sie nach der Untersuchung, Suche und Reaktion nach der Verletzung sowie Automatisierung und Simulation (für Training) hinzufügen. Weitere Informationen zu Lizenzierungsoptionen finden Sie unter Übersicht über Microsoft Defender für Office 365-Sicherheit.

  4. Microsoft Defender for Identity

    Defender for Identity ist eine cloudbasierte Sicherheitslösung, die Signale Ihrer lokalen Active Directory-Instanz verwendet, um komplexe Bedrohungen, gefährdete Identitäten sowie schädliche Insideraktionen gegen Ihre Organisation zu identifizieren, zu erkennen und zu untersuchen. Er schützt Active Directory Domain Services (AD DS), die lokal ausgeführt werden. Obwohl dieser Dienst in der Cloud ausgeführt wird, funktioniert es, um Identitäten lokal zu schützen. Defender for Identity wurde früher als Azure Advanced Threat Protection bezeichnet. Weitere Informationen finden Sie unter Was ist Microsoft Defender for Identity?

    Wenn Sie Schutz für Identitäten benötigen, die von Microsoft Entra ID bereitgestellt werden und in der Cloud nativ ausgeführt werden, ziehen Sie Microsoft Entra ID Protection in Betracht.

  5. Intune (früher Teil des Microsoft Endpoint Manager

Microsoft Intune ist ein Cloud-basierter Dienst, der Unternehmen bei der Verwaltung und Sicherung ihrer Geräte, Anwendungen und Daten unterstützt. IT-Administratoren können damit kontrollieren, wie Unternehmensgeräte wie Laptops, Smartphones und Tablets genutzt werden, und so die Einhaltung von Sicherheitsrichtlinien sicherstellen. Mit Intune können Sie Gerätekonfigurationen erzwingen, Software bereitstellen, mobile Anwendungen verwalten und Unternehmensdaten mithilfe von Features wie bedingtem Zugriff und Remotezurücksetzung schützen. Es ist besonders nützlich, sichere Remotearbeit zu ermöglichen, sowohl unternehmenseigene als auch persönliche Geräte (BYOD) zu verwalten und die Datensicherheit auf verschiedenen Plattformen wie Windows, iOS, Android und macOS sicherzustellen.

Ein weiterer Dienst, der Teil von Endpoint Manager war, ist der Configuration Manager, eine lokale Verwaltungslösung, mit der Sie Client- und Server-Computer verwalten können, die sich in Ihrem Netzwerk befinden und direkt oder über das Internet verbunden sind. Sie können Cloudfunktionen aktivieren, um Configuration Manager in Intune, Microsoft Entra ID, Defender für Endpunkt und andere Clouddienste zu integrieren. Nutzen Sie ihn zum Bereitstellen von Apps, Softwareupdates und Betriebssystemen. Sie können auch Konformität überwachen, in Echtzeit Clientcomputer abfragen und Aktionen auf diese anwenden und vieles mehr. Weitere Informationen zu allen verfügbaren Diensten finden Sie unter Übersicht über Microsoft Endpoint Manager.

Angriffsreihenfolge von Beispielbedrohungen

Die im Diagramm benannten Bedrohungen folgen einer allgemeinen Angriffsreihenfolge:

  1. Ein Angreifer sendet eine Phishing-E-Mail mit Schadsoftware, die an sie angefügt ist.

  2. Ein Endbenutzer öffnet die angefügte Schadsoftware.

  3. Die Schadsoftware wird im Back-End installiert, ohne dass der Benutzer dies bemerkt.

  4. Die installierte Schadsoftware stiehlt die Anmeldeinformationen einiger Benutzer.

  5. Der Angreifer verwendet die Anmeldeinformationen, um Zugriff auf vertrauliche Konten zu erhalten.

  6. Wenn die Anmeldeinformationen Zugriff auf ein Konto bieten, das über erhöhte Berechtigungen verfügt, kompromittiert der Angreifer zusätzliche Systeme.

Das Diagramm zeigt auch in der Ebene mit der Bezeichnung DEFENDER, welche Microsoft Defender XDR-Dienste diese Angriffe überwachen und verringern können. Dies ist ein Beispiel dafür, wie Defender eine zusätzliche Sicherheitsebene bereitstellt, die mit Azure-Sicherheitsdiensten funktioniert, um zusätzlichen Schutz der Ressourcen zu bieten, die im Diagramm angezeigt werden. Weitere Informationen dazu, wie potenzielle Angriffe Ihre IT-Umgebung gefährden, finden Sie im zweiten Artikel in dieser Serie, Zuordnen von Bedrohungen für Ihre IT-Umgebung. Weitere Informationen zu Microsoft Defender XDR finden Sie unter Microsoft Defender XDR.

Zugreifen und Verwalten von Microsoft Defender XDR-Sicherheitsdiensten

Das folgende Diagramm zeigt, welche Portale derzeit und ihre Beziehungen miteinander verfügbar sind. Zum Zeitpunkt der Aktualisierung dieser Artikel sind einige dieser Portale möglicherweise bereits veraltet.

Ein Diagramm, dass die aktuelle Beziehung von Portalen mit Diensten zeigt.

Security.microsoft.com ist derzeit das wichtigste verfügbare Portal, da es Funktionen von Microsoft Defender for Office 365 (1), Defender for Endpoint (2), Defender for Office (3), Defender for Identity (5), Defender for Apps (4) und auch für Microsoft Sentinel bereitstellt.

Es ist wichtig zu erwähnen, dass Microsoft Sentinel einige Features aufweist, die weiterhin nur im Azure-Portal (portal.azure.com) ausgeführt werden.

Schließlich bietet endpoint.microsoft.com Funktionen hauptsächlich für Intune und Configuration Manager, aber auch für andere Dienste, die Teil von Endpoint Manager sind. Da security.microsoft.com und endpoint.microsoft.com Sicherheitsschutz für Endpunkte bereitstellen, gibt es viele Interaktionen zwischen ihnen (9), um eine hervorragende Sicherheitsposition für Ihre Endpunkte zu bieten.

Komponenten

Die Beispielarchitektur in diesem Artikel verwendet die folgenden Azure-Komponenten:

  • Microsoft Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst. Mit Microsoft Entra ID können Benutzer*innen auf externe Ressourcen wie Microsoft 365, das Azure-Portal oder Tausende andere SaaS-Anwendungen zugreifen. Es hilft ihnen auch, auf interne Ressourcen zuzugreifen, z. B. auf Anwendungen im Intranet Ihres Unternehmens.

  • Azure Virtual Network ist der Grundbaustein für Ihr privates Netzwerk in Azure. Virtual Network ermöglicht zahlreichen Azure-Ressourcen die sichere Kommunikation mit dem Internet und lokalen Netzwerken sowie eine sichere Kommunikation der Ressourcen untereinander. Virtual Network bietet ein virtuelles Netzwerk, das von der Infrastruktur von Azure profitiert, z. B. Skalierung, Verfügbarkeit und Isolation.

  • Azure Load Balancer ist ein äußerst leistungsfähiger Lastenausgleichsdienst(eingehend und ausgehend) der Ebene 4 mit niedriger Latenz für alle UDP- und TCP-Protokolle. Er ist für die Verarbeitung von Millionen von Anforderungen pro Sekunde konzipiert und stellt sicher, dass Ihre Lösung hochverfügbar ist. Azure Load Balancer ist zonenredundant und gewährleistet Hochverfügbarkeit über mehrere Verfügbarkeitszonen hinweg.

  • Virtuelle Computer sind eine von mehreren bedarfsgesteuerten, skalierbaren Computerressourcen, die von Azure angeboten werden. Mit einem virtuellen Azure-Computer (VM) erhalten Sie eine flexible Virtualisierung, ohne Zeit und Mittel für den Kauf und die Verwaltung der physischen Hardware aufwenden zu müssen, auf der der virtuelle Computer ausgeführt wird.

  • Azure Kubernetes Service (AKS) ist ein vollständig verwalteter Kubernetes-Dienst für die Bereitstellung und Verwaltung von containerisierten Anwendungen. AKS bietet serverloses Kubernetes, CI/CD-Funktionen (Continuous Integration/Continuous Delivery) sowie Sicherheit und Governance auf Unternehmensniveau.

  • Azure Virtual Desktop ist ein der Cloud ausgeführter Dienst für die Desktop- und App-Virtualisierung.

  • Web-Apps ist ein HTTP-basierter Dienst zum Hosten von Webanwendungen, REST-APIs und mobilen Back-Ends. Sie können in Ihrer bevorzugten Sprache entwickeln und Anwendungen ausführen und skalieren, um sowohl Windows- als auch Linux-basierte Umgebungen zu vereinfachen.

  • Azure Storage ist hoch verfügbar, massiv skalierbare, dauerhafte und sichere Speicherung für verschiedene Datenobjekte in der Cloud, einschließlich Objekt, Blob, Datei, Datenträger, Warteschlange und Tabellenspeicher. Alle Daten, die in ein Azure-Speicherkonto geschrieben werden, werden vom Dienst verschlüsselt. Bei Azure Storage können Sie genau steuern, wer Zugriff auf Ihre Daten hat.

  • Azure SQL-Datenbank ist eine vollständig verwaltete PaaS-Datenbank-Engine, bei der die meisten Funktionen für die Datenbankverwaltung ohne Benutzereingriff erfolgen, z. B. Upgrades, Patches, Sicherungen und Überwachung. Sie bietet diese Funktionen ohne Benutzerbeteiligung. SQL-Datenbank bietet eine Reihe von integrierten Sicherheits- und Konformitätsfeatures, mit der Sie Ihre Anwendung an Sicherheits- und Konformitätsanforderungen anpassen können.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

Andere Mitwirkende:

Nächste Schritte

Weitere Informationen zu dieser Referenzarchitektur finden Sie in den anderen Artikeln in dieser Serie: