Beschreiben von Microsoft Defender für Endpunkt

  • 4 Minuten

Microsoft Defender for Endpoint ist eine Plattform, die Unternehmensnetzwerke beim Schutz von Endpunkten wie Laptops, Smartphones, Tablets, PCs, Zugriffspunkten, Routern und Firewalls unterstützt. Dazu werden anspruchsvolle Bedrohungen verhindert, erkannt, untersucht und es wird auf diese Bedrohungen reagiert. Microsoft Defender for Endpoint bettet Technologie ein, die in Windows 10 und andere Lösungen sowie in Microsoft Cloud Services integriert ist. Diese Technologie umfasst:

  • Endpunktverhaltenssensoren, die in Windows 10 und andere Lösungen eingebettet sind und die Signale vom Betriebssystem erfassen und verarbeiten.
  • Cloudsicherheitsanalysen, die Verhaltenssignale in Erkenntnisse, Erkennungen und empfohlene Reaktionen auf komplexe Bedrohungen übersetzen.
  • Threat Intelligence, mit der Defender for Endpoint die Tools, Techniken und Verfahren von Angreifern identifizieren und Warnungen generieren kann, wenn sie in den erfassten Sensordaten erkannt werden.

Diagramm mit den Komponenten von Microsoft Defender Endpoint.

Microsoft Defender für Endpunkt umfasst Folgendes:

  • Kern-Sicherheitsrisikomanagement in Defender: Die integrierten Kernfunktionen für das Sicherheitsrisikomanagement verwenden einen risikobasierten Ansatz für die Ermittlung, Bewertung, Priorisierung und Behebung von Sicherheitsrisiken und Fehlkonfigurationen von Endpunkten.
  • Verringerung der Angriffsfläche: Die Funktionen zur Verringerung der Angriffsfläche stellen die erste Verteidigungsebene im Stapel bereit. Indem sichergestellt wird, dass die Konfigurationseinstellungen ordnungsgemäß festgelegt sind und Exploit-Entschärfungstechniken angewendet werden, können die Funktionen Angriffen entgegenwirken. Diese Funktionen umfassen auch Netzwerkschutz und Webschutz, die den Zugriff auf schädliche IP-Adressen, Domänen und URLs regeln.
  • Schutz der nächsten Generation: Der Schutz der nächsten Generation wurde entwickelt, um alle Arten von neu auftretenden Bedrohungen abzufangen. Zusätzlich zu Microsoft Defender Antivirus bieten die Schutzdienste der nächsten Generation die folgenden Funktionen:
    • Verhaltensbasierter, heuristischer Virenschutz in Echtzeit.
    • Von der Cloud bereitgestellter Schutz, darunter eine fast sofortige Erkennung und Blockierung neuer und neu auftretender Bedrohungen.
    • Dedizierte Schutz- und Produktupdates, darunter Updates, mit denen Microsoft Defender Antivirus auf dem neuesten Stand gehalten wird.
  • Endpunkterkennung und -antwort: Bietet fortschrittliche Angriffserkennungen, die in nahezu Echtzeit erfolgen und handlungsrelevant sind. Sicherheitsanalysten können Warnungen priorisieren, das gesamte Ausmaß einer Sicherheitsverletzung sehen und Maßnahmen ergreifen, um Bedrohungen abzuwenden.
  • Automatisierte Untersuchung und Behebung (Automated Investigation and Remediation, AIR): Die Technologie für die automatisierte Untersuchung verwendet verschiedene Überprüfungsalgorithmen und basiert auf Prozessen, die von Sicherheitsanalysten verwendet werden. AIR-Funktionen wurden entwickelt, um Warnungen zu untersuchen und sofortige Maßnahmen zum Beheben von Verletzungen zu ergreifen. AIR-Funktionen verringern den Umfang an Warnungen erheblich, sodass sich Sicherheitsexperten auf komplexere Bedrohungen und andere Initiativen mit hoher Wertschöpfung konzentrieren können.
  • Microsoft Secure Score für Geräte: Mithilfe von Microsoft Secure Score für Geräte können Sie den Sicherheitsstatus Ihres Unternehmensnetzwerks dynamisch bewerten, ungeschützte Systeme identifizieren und empfohlene Maßnahmen zur Verbesserung der Gesamtsicherheit Ihrer Organisation umsetzen.
  • Microsoft Threat Experts: Microsoft Threat Experts ist ein verwalteter Dienst für die Bedrohungssuche. Er bietet proaktive Suche, Priorisierung sowie zusätzlichen Kontext und Einblicke, die es SOCs (Security Operations Centers) ermöglichen, Bedrohungen schnell und präzise zu erkennen und darauf zu reagieren.
  • Verwaltung und APIs: Defender for Endpoint bietet ein API-Modell, das Entitäten und Funktionen über ein standardmäßiges Microsoft Entra ID-basiertes Authentifizierungs- und Autorisierungsmodell verfügbar macht.

Microsoft Defender for Endpoint lässt sich auch in verschiedene Komponenten der Microsoft Defender-Suite sowie in andere Microsoft-Lösungen wie Intune und Microsoft Defender for Cloud integrieren.

Microsoft Defender for Endpoint ist in Form von zwei Plänen verfügbar: Defender for Endpoint Plan 1 und Plan 2. Informationen zu den Inhalten der beiden Pläne finden Sie im Dokument „Vergleich der Pläne für Microsoft Defender for Endpoint“, das in der Zusammenfassung und in der Einheit zu Ressourcen verlinkt ist.

Microsoft Defender for Endpoints im Microsoft Defender-Portal

Microsoft Defender for Endpoints funktioniert über das Microsoft Defender-Portal. Das Defender-Portal ist die Startseite für die Überwachung und Verwaltung der Sicherheit Ihrer Microsoft-Identitäten, -Daten, -Geräte und -Apps sowie der Infrastruktur, sodass Sicherheitsadministratoren ihre Sicherheitsaufgaben an einem zentralen Ort ausführen können.

Der Endpunktknoten im linken Navigationsbereich des Microsoft Defender-Portals enthält Folgendes:

  • Sicherheitsrisikomanagement: Verwalten von Sicherheitsrisiken und anderen Risikoquellen auf Geräten. Von hier aus können Sie auf das Dashboard für das Bedrohungs- und Sicherheitsrisikomanagement, auf Empfehlungen, Wartung, Schwachstellen und vieles mehr zugreifen. Weitere Details zu Microsoft Defender Vulnerability Management finden Sie in einer nachfolgenden Einheit dieses Moduls.
  • Partner und APIs: Hier können Sie verbundene Anwendungen und API-Explorer auswählen.
    • Verbundene Anwendungen: Die Seite „Verbundene Anwendungen“ enthält Informationen zu den Microsoft Entra-Anwendungen (SaaS-Anwendungen, die mit Microsoft Entra ID vorinstalliert sind), die mit Microsoft Defender for Endpoint in Ihrer Organisation verbunden sind.
    • API-Explorer: Defender for Endpoint macht einen Großteil seiner Daten und Aktionen über eine Reihe von programmgesteuerten APIs verfügbar. Diese APIs ermöglichen es Ihnen, Workflows zu automatisieren und Innovationen basierend auf Defender for Endpoint-Funktionen zu automatisieren. Der Microsoft Defender for Endpoint-API-Explorer ist ein Tool, mit dem Sie verschiedene Defender for Endpoint-APIs interaktiv erkunden können. Sie können den API-Explorer verwenden, um Microsoft Defender for Endpoint-Funktionen zu testen, indem Sie Beispielabfragen ausführen oder Ihre eigene API-Abfrage erstellen und testen.
  • Konfigurationsverwaltung: Definieren von Endpunktrichtlinien und Nachverfolgen der Bereitstellung.

Einstellungen, Berechtigungen, Incidents und Warnungen, Berichte und andere Features sind ebenfalls über das Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie in der Einheit „Beschreiben des Microsoft Defender-Portals“ in diesem Modul.