Microsoft Defender ist eine IT Sicherheitsplattform, die tief in Microsoft 365 und Azure integriert ist. Sie umfasst verschiedene Produkte und Dienste, die Organisationen vor Cyberbedrohungen schützen. Mit einer umfassenden Sichtbarkeit sowie Fähigkeiten zur Erkennung, Reaktion und Prävention bietet Microsoft Defender Schutz für Endpunkte, Identitäten, Cloud-Anwendungen, E-Mails und Dokumente. Darüber hinaus unterstützt Microsoft Defender die Umsetzung einer Zero-Trust-Strategie, die auf dem Prinzip der minimalen Rechtevergabe basiert und den Zugriff auf Ressourcen nur bei Bedarf gewährt. In diesem Artikel werden die verschiedenen Produkte und Anwendungsfälle von Microsoft Defender vorgestellt sowie die wichtigsten Funktionen und Vorteile jedes Produkts zusammengefasst.
Abgrenzung
Microsoft Defender sollte nicht mit Windows Defender Antivirus verwechselt werden, der als integrierte Antivirensoftware auf Windows-Geräten vorinstalliert ist und Schutz gegen Malware bietet. Im Gegensatz dazu bildet Microsoft Defender eine erweiterte Sicherheitsplattform, die verschiedene Sicherheitsprodukte und -dienste beinhaltet und weit über den Funktionsumfang des Windows Defender Antivirus hinausgeht, indem es umfassendere Kontroll-, Sichtbarkeits- und Automatisierungsmaßnahmen anbietet sowie Endpunkte und Cloud-Anwendungen absichert, Identitätsmanagement unterstützt und bei der Einhaltung von Compliance hilft. Die folgende Tabelle zeigt die Unterschiede:
Funktion | Windows Defender Antivirus | Microsoft Defender |
Antiviren- und Anti-Malware-Schutz | Ja | Ja (durch Microsoft Defender for Endpoint) |
Schwachstellen- und Fehlkonfigurationsschutz | Nein | Ja (durch Microsoft Defender for Endpoint und Microsoft Defender for Cloud Apps) |
Identitäts- und Zugriffsschutz | Nein | Ja (durch Microsoft Defender for Identity und Microsoft Cloud App Security) |
E-Mail- und Dokumentenschutz | Nein | Ja (durch Microsoft Defender for Office 365) |
Compliance- und Risikomanagement | Nein | Ja (durch Microsoft Compliance Manager und Microsoft Information Protection) |
Bedrohungserkennung und -reaktion | Nein | Ja (durch Microsoft Sentinel und Microsoft Threat Experts) |
M365 und Azure Integration und Automatisierung | Eingeschränkt | Ja (durch Microsoft Secure Score und Microsoft Power Automate) |
Zero Trust Strategie
Zero Trust ist ein Sicherheitskonzept, das davon ausgeht, dass jede Ressource, Identität oder Anfrage potenziell kompromittiert ist und daher ständig überprüft werden muss. Microsoft 365 und Azure unterstützen die Zero Trust-Strategie, indem sie eine Reihe von Microsoft Defender-Produkten anbieten, die unterschiedliche Workloads schützen können, wie z.B. Endpunkte, E-Mails, Identitäten, Cloud-Anwendungen, Datenbanken, Netzwerke und IoT-Geräte. Diese Produkte ermöglichen es den Organisationen, ihre Umgebungen zu segmentieren und zu isolieren, verdächtige Aktivitäten zu erkennen und zu blockieren, Sicherheitsrichtlinien und Zugriffsregeln durchzusetzen und schnell auf Vorfälle zu reagieren.
Microsoft Defender Produkte und Anwendungsfälle
Microsoft Defender umfasst die folgenden Produkte und Dienste, die jeweils einen spezifischen Aspekt der Sicherheit einer Organisation abdecken:
Defender for Endpoint
Microsoft Defender for Endpoint ist ein cloudbasierter Service mit einem auf dem Kundenendgerät installierten Client, der vor Malware und anderen Angriffen schützt. Er erkennt, analysiert und reagiert auf Bedrohungen mithilfe von Verhaltenserkennung, maschinellem Lernen und KI, um ungewöhnliche Aktivitäten und Verdächtiges zu erkennen und zu unterbinden. In Kombination mit dem Security Admin Center verfügt Microsoft Defender for Endpoint über weitreichende Funktionen zur Untersuchung und Reaktion, die es ermöglichen, Sicherheitsrisiken zu isolieren, zu beheben und zu eliminieren. Das Tool ist kompatibel mit einer Vielzahl von Betriebssystemen, darunter Windows, Linux, macOS, iOS und Android.
Betriebssystem | Minimale Version |
Windows | Windows 10 (1607+) Windows 11, Windows Server 2012+ |
Linux | RHEL 7.2+, CentOS Linux 7.2+, Ubuntu 16 LTS oder höher LTS, SLES 12+, Debian 9+, Oracle Linux 7.2+ |
macOS | macOS Mojave (10.14) oder höher |
iOS | iOS 11 oder höher |
Android | Android 8.0 oder höher |
Defender for Office 365
Microsoft Defender for Office 365 erweitert den Schutz von Microsoft 365 Services, indem es E-Mails und Dokumente gegen Cybergefahren wie Phishing, Malware und Ransomware schützt. Dies beinhaltet Abwehrmechanismen wie die Vorabüberprüfung von E-Mail-Anlagen und versendeten Links, Filter gegen Spam, Malware, Phishing sowie Identitätsdiebstahl. Das Tool bietet auch fortschrittliche Funktionen zur Bedrohungserkennung, -analyse und -reaktion und sichert E-Mails und Dokumente in verschiedenen Applikationen ab, darunter Outlook, Exchange, Teams, SharePoint, OneDrive und Viva Engage.
Defender for Identity
Microsoft Defender for Identity: Dieser in der Cloud gehostete Service bietet Schutz für Identitäten und Berechtigungsnachweise gegen Cyberbedrohungen wie kompromittierte Zugangsdaten und Angriffe basierend auf Identitätsdiebstahl, wie Pass-the-Hash oder Pass-the-Ticket. Eine Pass-the-Hash-Attacke ist eine Art von Cyberangriff, bei dem ein Angreifer einen “gehashten” Benutzeranmeldedaten stiehlt und diesen verwendet, um eine neue Benutzersitzung im selben Netzwerk zu erstellen. Im Gegensatz zu anderen Angriffen auf Anmeldeinformationen muss der Angreifer das Passwort nicht kennen oder knacken, um Zugriff auf das System zu erhalten. Stattdessen nutzt er die gespeicherte Version des Passworts, um sich zu authentifizieren und Zugriff zu erlangen.
Eine Pass-the-Ticket-Attacke ist eine Technik, bei der Angreifer gestohlene Kerberos-Tickets verwenden, um sich ohne das Passwort des Benutzers zu authentifizieren. Diese Tickets ermöglichen es den Angreifern, auf Netzwerkressourcen wie Dateifreigaben und andere Computer zuzugreifen, als wären sie der legitime Benutzer.
Microsoft Defender for Identity nutzt die Security Logs von Active Directory Domain Controllern on-premises, um Nutzerverhalten und Entitätsaktionen zu überwachen und zu analysieren. Dadurch können ungewöhnliche Aktivitäten aufgespürt werden, einschließlich auffälliger Anmeldeaktivitäten, unbefugter Erweiterung von Zugriffsrechten, lateralen Bewegungen im Netzwerk und Datenentwendung. Zusätzlich stellt Microsoft Defender for Identity Werkzeuge für die Untersuchung und Reaktion bereit, die es ermöglichen, Bedrohungen effizient zu identifizieren, zuzuordnen und abzuwehren.
Defender for Cloud Apps
Microsoft Defender for Cloud Apps ist ein cloudbasiertes Sicherheitstool, das grundlegend für die Umsetzung der Zero-Trust-Sicherheitsstrategie ist. Dieser Service schützt Cloudanwendungen und beugt so Datenverlusten, Shadow IT, unsicheren Einstellungen sowie anderen Gefahren vor. Es nutzt Netzwerk- und Anwendungssignale zur Überwachung und Regulierung von Datenbewegungen und Benutzeraktivitäten. Microsoft Defender for Cloud Apps klassifiziert, verschlüsselt und sichert sensible Informationen, um Datenlecks zu verhindern. Darüber hinaus erkennt und kontrolliert es nicht autorisierte Cloud-Dienste, indem es deren Einsatz und assoziierte Risiken einschätzt. Unzureichende Konfigurationen identifiziert und korrigiert diese Lösung ebenso durch die Prüfung und Justierung der Sicherheits- und Compliance-Einstellungen bei Cloud-Diensten. Mit Unterstützung für über 16.000 Cloudanwendungen, darunter Microsoft 365, Salesforce, Dropbox, Box, Google Workspace und AWS, bietet Microsoft Defender for Cloud Apps einen weitreichenden Schutz.
Defender for Cloud
Microsoft Defender for Cloud: Ein cloudbasierter Dienst, der die Sicherheit von Cloud-Infrastrukturen wie Microsoft Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP) verbessert, indem er Schwachstellen, Fehlkonfigurationen, Angriffe und Compliance-Verstöße erkennt und behebt. Der Dienst nutzt Signale aus den Cloud-Plattformen, um die Sicherheitslage und das Risiko von Ressourcen wie virtuellen Maschinen, Netzwerken, Speichern, Containern und Serverless-Funktionen zu bewerten und zu optimieren. Darüber hinaus bietet Microsoft Defender for Cloud automatisierte Reaktions- und Abhilfemaßnahmen, die Bedrohungen effizient isolieren, blockieren und beheben können. Der Dienst unterstützt sowohl öffentliche als auch private Cloud-Szenarien, einschließlich hybrider und Multi-Cloud-Umgebungen.
Microsoft Sentinel
Microsoft Sentinel ist ein SIEM-Dienst (Security Information and Event Management), der in der Cloud entwickelt wurde und Daten aus Microsoft Defender sowie anderen Quellen aggregiert, um Sicherheitsbedrohungen zu identifizieren und Maßnahmen einzuleiten. Mit Einsatz von künstlicher Intelligenz, maschinellem Lernen und automatisierten Prozessen hilft Microsoft Sentinel dabei, Bedrohungen zu filtern, zu analysieren und anzugehen. Es ermöglicht zudem einen zentralen Überblick über die Sicherheitslage eines Unternehmens durch das Erstellen von Dashboards, Berichten und Alarmierungen. Microsoft Sentinel zeichnet sich durch seine Skalierbarkeit, Kosteneffizienz und einfache Implementierung aus und erfordert dabei keine eigene Hardware oder zusätzlichen Wartungsaufwand.
Übersichtstabelle der Microsoft Defender Produkte
Produkt | Schutzziel | Hauptfunktionen | Hauptvorteile |
Microsoft Defender for Endpoint | Endpunkte | Bedrohungs- und Schwachstellenerkennung und -reaktion; Angriffsflächenreduzierung; automatisierte Untersuchung und Abhilfe; | Erhöht die Sicherheit und Resilienz der Endpunkte; reduziert die Angriffsfläche und das Risiko; beschleunigt die Reaktionszeit und die Behebung; verbessert die Sichtbarkeit und das Verständnis; unterstützt verschiedene Betriebssysteme |
Microsoft Defender for Office 365 | E-Mails und Dokumente | Bedrohungsschutz; sichere Anhänge; sichere Links; Anti-Spam; Anti-Malware; Anti-Phishing; Anti-Impersonation; ATP; Bedrohungsanalyse; Bedrohungsuntersuchung und -reaktion | Schützt die E-Mails und Dokumente vor Phishing, Malware, Ransomware und anderen Bedrohungen; reduziert die Wahrscheinlichkeit von Datenverlusten und Kompromittierungen; verbessert die Sicherheits- und Compliance-Posture; schützt die E-Mails und Dokumente in verschiedenen Anwendungen |
Microsoft Defender for Identity | Identitäten und Zugriffsrechte | Identitäts- und Zugriffsschutz; Anomalie- und Bedrohungserkennung; Untersuchungs- und Reaktionsfunktion; Identitätsverwaltung; Passwortloser Zugriff; bedingter Zugriff; MFA; PIM | Schützt die Identitäten und Zugriffsrechte vor identitätsbasierten Angriffen; reduziert die Angriffsfläche und das Risiko von Identitätsdiebstahl; verbessert die Sicherheit und das Vertrauen der Benutzer; ermöglicht eine Zero-Trust-Strategie |
Microsoft Defender for Cloud Apps | Cloudanwendungen | Datenschutz; Schatten-IT-Management; CSPM; CASB; Datenklassifizierung; Datenverschlüsselung; DLP; Richtlinienverwaltung; Bedrohungserkennung und -reaktion | Schützt die Cloudanwendungen vor Datenverlust, Schatten-IT, unsicheren Konfigurationen und anderen Bedrohungen; reduziert die Exposition und das Risiko der Cloudanwendungen; verbessert die Sicherheits- und Compliance-Posture; unterstützt mehr als 16.000 Cloudanwendungen |
Microsoft Defender for Vulnerability Management | Endpunkte und Cloudanwendungen | Schwachstellen- und Fehlkonfigurationserkennung, -priorisierung und -behebung; Schwachstellenbewertung; Schwachstellenberichterstattung; Schwachstellenbenachrichtigung | Schützt die Endpunkte und Cloudanwendungen vor Schwachstellen und Fehlkonfigurationen; reduziert die Exposition und das Risiko; verbessert die Sicherheits- und Compliance-Posture; nutzt die Signale aus Microsoft Defender for Endpoint und Microsoft Defender for Cloud Apps |
Defender for Cloud | Azure, AWS und Google Cloud | Schützt die Cloud-Infrastruktur und -Dienste vor Bedrohungen, Angriffen und Fehlkonfigurationen | bietet Sicherheitsüberwachung und -verwaltung für Azure, AWS und Google Cloud; bietet kontinuierliche Compliance-Bewertung und -Erzwingung für mehrere Standards und Vorschriften; nutzt die Signale aus Azure Defender und Azure Security Center, Stärkt die Cloud-Sicherheit und -Compliance; verhindert Datenlecks, Ausfälle und Ransomware-Angriffe;
|
Fazit
Microsoft Defender ist eine umfassende Plattform, die verschiedene Produkte und Dienste integriert, um Organisationen effektiv vor Cyberbedrohungen zu schützen. Sie bietet durchgehende Sichtbarkeit, Erkennung, Reaktion und Prävention für Endpunkte, Identitäten, Cloud-Anwendungen, E-Mails und Dokumente. Ein zentraler Bestandteil dieser Plattform ist Defender Antivirus, ein leistungsstarker und intelligenter Antiviren-Dienst, der Endpunkte vor Bedrohungen wie Malware, Ransomware und Spyware schützt.
Mit Microsoft Defender können Organisationen eine Zero-Trust-Strategie implementieren, die auf dem Prinzip der minimalen Rechtevergabe basiert und den Zugriff auf Ressourcen nur bei Bedarf gewährt. Ergänzend dazu dient Microsoft Sentinel als cloud-nativer SIEM-Dienst, der Daten aus Microsoft Defender und anderen Quellen sammelt, analysiert und korreliert, um Sicherheitsvorfälle zu erkennen und darauf zu reagieren.
In diesem Blog wurden die verschiedenen Produkte und Anwendungsfälle von Microsoft Defender vorgestellt, begleitet von einer Übersichtstabelle, die die wichtigsten Funktionen und Vorteile jedes Produkts zusammenfasst. Wir empfehlen, Microsoft Defender und Microsoft Sentinel zu implementieren, um die Sicherheit und Resilienz ihrer Organisation zu erhöhen und sich effektiv vor den ständig wachsenden Cyberbedrohungen zu schützen.