Pilot- und Bereitstellungs-Microsoft Defender XDR

Gilt für:

  • Microsoft Defender XDR

Diese Artikelreihe führt Sie durch den gesamten Prozess der Pilotierung der Komponenten von Microsoft Defender XDR in Ihrem Produktionsmandanten, damit Sie deren Features und Funktionen bewerten und dann die Bereitstellung in Ihrem organization abschließen können.

Eine eXtended-Lösung zur Erkennung und Reaktion (XDR) ist ein Schritt nach vorn in der Cybersicherheit, da sie die Bedrohungsdaten von Systemen übernimmt, die einmal isoliert wurden, und diese vereinheitlicht, damit Sie Muster erkennen und schneller auf mutmaßliche Cyberangriffe reagieren können.

Microsoft Defender XDR:

  • Eine XDR-Lösung, die die Informationen zu Cyberangriffen für Identitäten, Endpunkte, E-Mails und Cloud-Apps an einem Ort kombiniert. Es nutzt künstliche Intelligenz (KI) und Automatisierung, um einige Arten von Angriffen automatisch zu stoppen und betroffene Ressourcen in einen sicheren Zustand zu versetzen.

  • Ist eine cloudbasierte, einheitliche Unternehmensverteidigungssuite vor und nach sicherheitsrelevanten Sicherheitsverletzungen. Es koordiniert Prävention, Erkennung, Untersuchung und Reaktion über Identitäten, Endpunkte, E-Mails, Cloud-Apps und deren Daten hinweg.

  • Trägt zu einer starken Zero Trust Architektur bei, indem Bedrohungsschutz und -erkennung bereitgestellt werden. Es hilft, geschäftliche Schäden durch eine Sicherheitsverletzung zu verhindern oder zu reduzieren. Weitere Informationen finden Sie unter Implementieren von Bedrohungsschutz und XDR-Geschäftsszenario im Microsoft Zero Trust Adoption Framework.

Microsoft Defender XDR Komponenten und Architektur

In dieser Tabelle sind die Komponenten von Microsoft Defender XDR aufgeführt.

Komponente Beschreibung Weitere Informationen
Microsoft Defender for Identity Verwendet Signale von Ihrer lokales Active Directory Domain Services (AD DS) und Active Directory-Verbunddienste (AD FS) (AD FS), um erweiterte Bedrohungen, kompromittierte Identitäten und schädliche Insideraktionen zu identifizieren, zu erkennen und zu untersuchen. organization. Was ist Microsoft Defender for Identity?
Exchange Online Protection Der native cloudbasierte SMTP-Relay- und Filterdienst, der Ihre organization vor Spam und Schadsoftware schützt. Übersicht über Exchange Online Protection (EOP) – Office 365
Microsoft Defender für Office 365 Schützt Ihre organization vor böswilligen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit. Microsoft Defender for Office 365 – Office 365
Microsoft Defender für Endpunkt Eine einheitliche Plattform für Geräteschutz, Erkennung nach Sicherheitsverletzungen, automatisierte Untersuchung und empfohlene Reaktion. Microsoft Defender for Endpoint – Windows-Sicherheit
Microsoft Defender for Cloud Apps Eine umfassende saaS-übergreifende Lösung, die tiefe Transparenz, starke Datenkontrollen und einen verbesserten Bedrohungsschutz für Ihre Cloud-Apps bietet. Was ist Defender für Cloud-Apps?
Microsoft Entra ID Protection Wertet Risikodaten von Milliarden von Anmeldeversuchen aus und verwendet diese Daten, um das Risiko jeder Anmeldung bei Ihrem Mandanten zu bewerten. Diese Daten werden von Microsoft Entra ID verwendet, um den Kontozugriff zuzulassen oder zu verhindern, je nachdem, wie Richtlinien für bedingten Zugriff konfiguriert sind. Microsoft Entra ID Protection ist von Microsoft Defender XDR getrennt und in Microsoft Entra ID P2-Lizenzen enthalten. Was ist Identity Protection?

Diese Abbildung zeigt die Architektur und Integration von Microsoft Defender XDR Komponenten.

Ein Diagramm, das die allgemeine Architektur von Microsoft Defender XDR zeigt.

In dieser Abbildung:

  • Microsoft Defender XDR kombiniert die Signale aller Defender-Komponenten, um XDR domänenübergreifend bereitzustellen. Dies umfasst eine einheitliche Incidentwarteschlange, automatisierte Reaktion auf das Beenden von Angriffen, Selbstreparatur (für kompromittierte Geräte, Benutzeridentitäten und Postfächer), bedrohungsübergreifende Suche und Bedrohungsanalysen.
  • Microsoft Defender für Office 365 schützt Ihre Organisation vor bösartigen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit. Es teilt Signale, die sich aus diesen Aktivitäten ergeben, mit Microsoft Defender XDR. Exchange Online Protection (EOP) ist integriert, um end-to-End-Schutz für eingehende E-Mails und Anlagen bereitzustellen.
  • Microsoft Defender for Identity sammelt Signale von AD DS-Domänencontrollern und Servern, auf denen AD FS und AD CS ausgeführt werden. Es verwendet diese Signale, um Ihre Hybrididentitätsumgebung zu schützen, einschließlich schutz vor Hackern, die kompromittierte Konten verwenden, um sich seitlich über Arbeitsstationen in der lokalen Umgebung zu bewegen.
  • Microsoft Defender for Endpoint sammelt Signale von Und schützt Geräte, die von Ihrem organization verwaltet werden.
  • Microsoft Defender for Cloud Apps sammelt Signale aus der Verwendung von Cloud-Apps durch Ihre organization und schützt Daten, die zwischen Ihrer IT-Umgebung und diesen Apps fließen, einschließlich sanktionierter und nicht sanktionierter Cloud-Apps.
  • Microsoft Entra ID Protection wertet Risikodaten aus Milliarden von Anmeldeversuchen aus und verwendet diese Daten, um das Risiko jeder Anmeldung bei Ihrem Mandanten zu bewerten. Diese Daten werden von Microsoft Entra ID verwendet, um den Kontozugriff basierend auf den Bedingungen und Einschränkungen Ihrer Richtlinien für bedingten Zugriff zuzulassen oder zu verhindern. Microsoft Entra ID Protection ist von Microsoft Defender XDR getrennt und in Microsoft Entra ID P2-Lizenzen enthalten.

Microsoft Defender XDR-Komponenten und SIEM-Integration

Sie können Microsoft Defender XDR Komponenten in Microsoft Sentinel oder einen generischen SIEM-Dienst (Security Information and Event Management) integrieren, um die zentralisierte Überwachung von Warnungen und Aktivitäten von verbundenen Apps zu ermöglichen.

Diagramm, das Microsoft Defender XDR Integration in SIEM zeigt.

Microsoft Sentinel ist eine cloudnative Lösung, die SIEM- und Sicherheitsorchestrierungs-, Automatisierungs- und Reaktionsfunktionen (SECURITY Orchestration, Automation, and Response, SOAR) bereitstellt. Zusammen stellen Microsoft Sentinel- und Microsoft Defender XDR-Komponenten eine umfassende Lösung bereit, die Organisationen beim Schutz vor modernen Angriffen hilft.

Microsoft Sentinel enthält Connectors für Microsoft Defender Komponenten. Auf diese Weise erhalten Sie nicht nur Einblick in Ihre Cloud-Apps, sondern auch komplexe Analysen, um Cyberbedrohungen zu identifizieren und zu bekämpfen und zu steuern, wie Ihre Daten übertragen werden. Weitere Informationen finden Sie unter Übersicht über Microsoft Defender XDR und Microsoft Sentinel Integrationsschritte und Integrationsschritte für Microsoft Sentinel und Microsoft Defender XDR.

Weitere Informationen zu SOAR in Microsoft Sentinel (einschließlich Links zu Playbooks im Microsoft Sentinel GitHub-Repository) finden Sie unter Automatisieren der Reaktion auf Bedrohungen mit Playbooks in Microsoft Sentinel.

Informationen zur Integration in SIEM-Systeme von Drittanbietern finden Sie unter Generische SIEM-Integration.

Microsoft Defender XDR und ein Beispiel für einen Cyber-Sicherheitsangriff

Dieses Diagramm zeigt einen häufigen Cyberangriff und die Komponenten von Microsoft Defender XDR, die bei der Erkennung und Behebung dieses Angriffs helfen.

Ein Diagramm, das die verschiedenen Versuche eines Cyber-Sicherheitsangriffs zeigt.

Der Cyberangriff beginnt mit einer Phishing-E-Mail, die im Posteingang eines Mitarbeiters in Ihrem organization eingeht, der die E-Mail-Anlage unwissentlich öffnet. Diese Anlage installiert Schadsoftware, die zu einer Kette von Angriffsversuchen führen kann, die zum Diebstahl vertraulicher Daten führen können.

In der Abbildung sehen Sie Folgendes:

  • Exchange Online Protection, Teil Microsoft Defender for Office 365, kann die Phishing-E-Mail erkennen und Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verwenden, um sicherzustellen, dass sie nie im Posteingang eines Benutzers eintrifft.
  • Defender for Office 365 verwendet sichere Anlagen, um die Anlage zu testen und festzustellen, ob sie schädlich ist, sodass die eintreffende E-Mail entweder vom Benutzer nicht umsetzbar ist, oder Richtlinien verhindern, dass die E-Mail überhaupt eintrifft.
  • Defender für Endpunkt erkennt Sicherheitsrisiken für Geräte und Netzwerke, die andernfalls für Geräte ausgenutzt werden können, die von Ihrem organization verwaltet werden.
  • Defender for Identity nimmt plötzliche Änderungen des lokalen Benutzerkontos wie Rechteausweitung oder laterale Verschiebung mit hohem Risiko zur Kenntnis. Es wird auch über leicht ausgenutzte Identitätsprobleme wie die uneingeschränkte Kerberos-Delegierung zur Korrektur durch Ihr Sicherheitsteam gemeldet.
  • Microsoft Defender for Cloud Apps erkennt anomales Verhalten wie unmögliches Reisen, Zugriff auf Anmeldeinformationen und ungewöhnliche Download-, Dateifreigabe- oder E-Mail-Weiterleitungsaktivitäten und meldet diese an Ihr Sicherheitsteam.

Pilot- und Bereitstellungsprozess für Microsoft Defender XDR

Microsoft empfiehlt, die Komponenten von Microsoft 365 Defender in der folgenden Reihenfolge zu aktivieren.

Ein Diagramm, das den Pilot- und Bereitstellungsprozess für Microsoft Defender XDR zeigt.

Phase Link
A. Starten des Pilotprojekts Starten des Pilotprojekts
B. Pilot und Bereitstellung Microsoft Defender XDR Komponenten - Pilot und Bereitstellung von Defender for Identity

- Pilot und Bereitstellung von Defender for Office 365

- Pilotversuch und Bereitstellung von Defender für Endpunkt

- Pilot und Bereitstellung von Microsoft Defender for Cloud Apps
C. Untersuchen und Reagieren auf Bedrohungen Üben der Untersuchung und Reaktion auf Vorfälle

Diese Reihenfolge ist darauf ausgelegt, den Nutzen der Funktionen schnell zu nutzen, je nachdem, wie viel Aufwand normalerweise erforderlich ist, um die Funktionen bereitzustellen und zu konfigurieren. Beispielsweise können Defender for Office 365 in kürzerer Zeit konfiguriert werden, als zum Registrieren von Geräten in Defender für Endpunkt benötigt wird. Priorisieren Sie die Komponenten, um Ihre Geschäftsanforderungen zu erfüllen.

Starten des Pilotprojekts

Microsoft empfiehlt Ihnen, ihr Pilotprojekt in Ihrem vorhandenen Produktionsabonnement von Microsoft 365 zu starten, um sofort einblicke in die Praxis zu erhalten, und Sie können einstellungen so optimieren, dass sie gegen aktuelle Bedrohungen in Ihrem Microsoft 365-Mandanten geeignet sind. Nachdem Sie Erfahrung gesammelt haben und mit der Plattform vertraut sind, erweitern Sie einfach die Verwendung jeder Komponente einzeln auf eine vollständige Bereitstellung.

Eine Alternative besteht darin, Ihre Microsoft Defender XDR Testumgebung einzurichten. Diese Umgebung zeigt jedoch während der Pilotphase keine echten Cybersicherheitsinformationen wie Bedrohungen oder Angriffe auf Ihren Microsoft 365-Produktionsmandanten an, und Sie können keine Sicherheitseinstellungen aus dieser Umgebung in Ihren Produktionsmandanten verschieben.

Verwenden von Microsoft 365 E5 Testlizenzen

Wenn Sie nicht über Microsoft 365 E5 verfügen und Microsoft 365 E5 Testlizenzen für Ihr Pilotprojekt nutzen möchten:

  1. Melden Sie sich bei Ihrem vorhandenen Microsoft 365-Mandantenverwaltungsportal an.

  2. Wählen Sie im Navigationsmenü Dienste kaufen aus.

  3. Wählen Sie im Abschnitt Office 365 unter Office 365 E5 Lizenz die Option Details aus.

    Screenshot der Schaltfläche

  4. Wählen Sie Kostenlose Testversion starten aus.

    Screenshot der Schaltfläche

  5. Bestätigen Sie Ihre Anforderung, und wählen Sie Jetzt testen aus.

    Screenshot der Schaltfläche

Ihr Pilotprojekt mit Microsoft 365 E5 Testlizenzen in Ihrem vorhandenen Produktionsmandanten ermöglicht Es Ihnen, alle Sicherheitseinstellungen und -methoden beizubehalten, wenn die Testversion abläuft und Sie gleichwertige Lizenzen erwerben.

Nächster Schritt

Diagramm: Microsoft Defender for Identity im Pilot- und Bereitstellungsprozess Microsoft Defender XDR.

Weitere Informationen finden Sie unter Pilot- und Bereitstellungs-Microsoft Defender for Identity.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.