Microsoft Defender und Microsoft Entra ID: Ihre Verbündeten im Kampf gegen Cyber-Bedrohungen
Die Implementierung eines Tools, das uns hilft, Bedrohungen mit integrierten Sicherheitslösungen einen Schritt voraus zu sein, kann der entscheidende Faktor sein, wenn es darum geht, den Ruf eines Unternehmens zu wahren und Sicherheitsverletzungen zu vermeiden. Genau das versprechen Microsoft Defender und Azure Active Directory, zwei der besten Sicherheitssysteme auf dem Markt, die zu Ihrem besten Verbündeten werden.
Azure Active Directory
Azure Active Directory oder Azure AD wurde umbenannt in Microsoft Enter ID, mit den gleichen Funktionen wie bisher und neuen Innovationen. Dieser Dienst schützt Unternehmen mit einer Identitäts- und Zugriffsmanagementlösung, die Mitarbeiter, Kunden und Partner mit ihren Anwendungen, Geräten und Geschäftsdaten verbindet.
Sie stützt sich auf drei Hauptsäulen:
- Sicherer adaptiver Zugriff: schützt den Zugriff auf Ressourcen und Daten durch starke Authentifizierung und adaptive Zugriffsrichtlinien.
- Smooth user experience: bietet eine schnelle und einfache Anmeldung in einer Multi-Cloud-Umgebung, die die Produktivität erhöht und Zeit bei der Passwortverwaltung spart.
- Unified Identity Management: Ermöglicht die Verwaltung von Identitäten und den Zugriff auf alle Anwendungen an einem zentralen Ort.
Umfassende Möglichkeiten
Dieser Dienst bietet darüber hinaus spezifische Funktionen, die die wichtigsten Nutzeranfragen abdecken, wie:
- Anwendungsintegration und Single Sign-On (SSO): vereinfacht den Zugriff auf Anwendungen von jedem Ort und Gerät aus.
- Multifaktor-Authentifizierung und kein Passwort:Daten- und Anwendungsschutz, dennoch benutzerfreundlich.
- Zugriffskontrolle:Zugriffskontrollen werden zum Schutz von Organisationen eingesetzt.
- Identitätsschutz: automatisiert identitätsbasierte Risikoerkennung und -korrektur.
- Privileged Identity Management: stärkt die Sicherheit von privilegierten Konten.
- Endbenutzer-Selbstbedienung: Mitarbeiter können ihre eigene Identität mit Selbstbedienungsportalen sicher verwalten.
- Unified Management Centre: Verwalten Sie alle Identitäts- und Netzwerkzugangslösungen vertraulich und von einer Stelle aus.
Microsoft Defender
Dieser Dienst bietet umfassende Funktionen zur Abwehr, Erkennung und Reaktion auf Bedrohungen. Zu den beiden wichtigsten gehören Microsoft 365 Defender und Microsoft Defender for Cloud.
Microsoft 365 Defender
Dieses Tool erweitert die Verteidigung um Sichtbarkeit, Untersuchung und Reaktion auf Angriffsverfahren mit einer branchenführenden erweiterten Erkennungs- und Reaktionslösung (XDR).
Schwerpunkt auf der Verbesserung der Sichtbarkeit bei der Erkennung ausgefeilter Angriffe und der Bereitstellung beschleunigter und automatisierter Reaktionen in:
- Hotspots: erkennt und schützt Hotspot-Geräte und Netzwerkgeräte.
- Identitäten: verwaltet und schützt hybride Identitäten und vereinfacht den Benutzerzugang.
- Cloud-Anwendungen: bietet Sichtbarkeit und Bedrohungserkennung für alle Cloud-Dienste und -Anwendungen.
- E-Mail- und Kollaborations-Tools: schützt diese beiden Güter vor fortgeschrittenen Bedrohungen wie Phishing.
Es ist ein sehr nützliches Tool, da es unter anderem domänenübergreifende Angriffe verhindert, vorrangige Vorfälle in einem einzigen Fenster anzeigt, um Verwirrung zu vermeiden, automatisierte Untersuchungsfunktionen nutzt, um schnellere Antworten zu liefern, betroffene Anlagen automatisch repariert oder nach domänenübergreifenden Bedrohungen sucht.
Microsoft Defender für die Cloud
In einer weitgehend hybriden Umgebung ist der Schutz der Cloud eine Notwendigkeit geworden. Defender for Cloud bietet native Sicherheit, stärkt die Sicherheitslage, schützt Workloads vor Bedrohungen und hilft bei der Entwicklung sicherer Anwendungen. Sus funcionales principales son:
- Security Posture Monitoring: kontinuierliche Bewertungen, integrierte Testbeds oder Empfehlungen zur Verbesserung der Sicherheitslage in der Cloud.
- Angriffspfadanalyse: empfiehlt Verfahren für die Einhaltung der zugewiesenen Kontrollen für die Multicloud-Sicherheit.
- Workload-Schutz: Kritische Risiken durch kontextbezogene Bedrohungsanalyse priorisieren.
- Vulnerability Scanning: hilft, Workloads vor Malware und anderen Bedrohungen zu schützen.
- DevOps-Transparenz: erkennt effektiv Schwachstellen mit oder ohne Agenten, um Agilität und umfassenden Schutz zu bieten.
- Compliance: beschleunigt die Behebung kritischer Codeprobleme.
Das reduziert Risiken durch kontextbezogenes Sicherheitsmanagement, verhindert, erkennt und reagiert schnell auf Bedrohungen und vereinheitlicht das DevOps-Sicherheitsmanagement.
Bedrohungsabbildung in der IT-Umgebung
Wir von Plain Concepts helfen Ihnen, Ihre Umgebung vor Bedrohungen zu schützen, indem wir ein Zero Trust der mehrere Schritte umfasst.
In einer ersten Verteidigungslinie werden wir versuchen, die folgenden Elemente zu schützen:
- Rot
- Infrastruktur und Endgeräte
- Anwendungen und Daten
- Identity
Hierfür werden wir Dienste wie: Azure security Benchmark, Azure FW, DDOS, Bastion, Keyvault, Frontdoor, MFA, PIM, ID Protection, etc.
Als zweite Verteidigungslinie werden wir uns auf die Sicherheitsdienste von Microsoft 365 Defender verlassen. Dieser integrierte Bedrohungsschutz für Ihr Unternehmen würde etwa so aussehen:
Microsoft Defender für die Cloud
Wie bereits erwähnt, handelt es sich bei Microsoft Defender um eine XDR-Lösung (eXtended Detection and Response), auf die wir uns bei der Erstellung einer Poc.
Zunächst werden wir mit der Erstellung der Evaluierungsumgebung beginnen, die Server bestimmen, die Teil davon sein werden, und entscheiden, welcher Plan unseren Bedürfnissen am besten entspricht. Sobald dieser Schritt abgeschlossen ist, werden wir Log Analytics aktivieren, um Daten für die Agenten zu sammeln.
Von hier aus können wir unsere Server über das Azure-Portal oder mit Azure Arc verbinden und die Schwachstellenanalyse durchführen. Dann wird es möglich sein, in den verschiedenen Szenarien zu validieren:
- Reduzierte Angriffsfläche
- Integration mit EDR-Lösung
- Vulnerability Assessment
Identitätsschutz
Bei der Eingabe in unseren PoC Azure AD Identity Protection ermöglicht uns das Tool, 3 wichtige Aufgaben zum Schutz unserer Identität durchzuführen:
- Automatisierung der Erkennung und Behebung von identitätsbasierten Risiken
- Risiken mit Portaldaten untersuchen
- Exportiere diese Daten in unser SIEM
Wenn wir unsere Architektur nach den obigen Schritten eingerichtet haben, können wir:
- Öffentlichen MX-Eintrag prüfen und verifizieren
- Audit akzeptierte Domains
- Audit-Eingangsstecker
- Gruppen für Pilot einstellen
- Schutz konfigurieren (vordefinierte Sicherheitsrichtlinien aktivieren)
- Ergebnisse überwachen
Defender für Endpunkte
An dieser Stelle werden wir den Lizenzstatus überprüfen und die Geräte einbeziehen, die wir für eines der verfügbaren Tools halten. Wenn wir Intune haben, wäre dies der optimale Weg, um das Onboarding durchzuführen.
Von hier aus werden wir eine Gruppe mit den Pilotgeräten erstellen; wir werden sowohl das Geräteinventar als auch das Dashboard für Bedrohungen und Schwachstellen überprüfen und die verfügbaren Simulationen durchführen.
Defender für Cloud-Anwendungen
Ein weiteres zu schützendes Gut wären Anwendungen, bei denen wir damit beginnen, uns mit dem Defender for Cloud Apps-Port zu verbinden, ihn mit Defender for Endpoint zu integrieren und den Defender for Cloud Apps-Protokollsammler auf FWs und Proxys einzusetzen.
Schließlich werden wir das Cloud Discovery Dashboard überprüfen, um zu sehen, welche Anwendungen in unserer Organisation verwendet werden.
Forschung, Reaktion und Produktionsanlauf
In dieser Phase werden wir die von Microsoft bereitgestellten Tools verwenden, um unsere Sicherheit zu testen.
Für die Produktionsfreigabe eines Defender-Piloten müssen wir:
- Prüfen Sie, ob wir die notwendige Lizenzierung haben
- Eliminieren Sie andere redundante Sicherheitslösungen
- Erweiterung des Anwendungsbereichs der definierten Richtlinien
- Erweiterung des Geltungsbereichs von Gruppen auf alle anderen Benutzer in der Organisation
