Advanced Threat Protection in Microsoft 365

In der O365 Plattform sind viele Security-Tools bereits enthalten, aber wenn Sie auf M365 E3 oder E5 umstellen, erschließen Sie sich eine ganze Reihe neuer, fortschrittlicher Funktionen zur Absicherung Ihres Unternehmens.

In diesem Artikel werden wir uns diese Tools ansehen, mit Ausnahme von Endpoint Manager, die wir hier behandelt haben, und Windows 11, das wir in diesem Artikel behandelt haben.

Fast alle auf M365 ausgerichteten Sicherheitsprodukte von Microsoft tragen die Marke Defender, und die zentrale Konsole dafür ist security.microsoft.com.

Hier finden Sie einen umfassenden Extended Detection and Response (XDR) Service, der Daten von E-Mails, Identitäten, Endpunkten und Cloud-Diensten sammelt und Sie vor Eindringlingen in Ihrem gesamten digitalen M365-System warnt.

Hier finden Sie eine Übersicht über die verschiedenen Defender Services:

• Microsoft Defender for Office 365 – Bietet Schutz für E-Mails, SharePoint Sites, OD4B und Teams
• Microsoft Defender for Identity – Es überwacht Ihr on-premises Active Directory (AD), lässt sich in Ihr SIEM-Tool (Security Information and Events Management) integrieren und warnt Sie vor Kontoverletzungen, Lateral-MovementAttacken und Angriffen auf AD.
• Microsoft Defender for Endpoint – Zentrale Verwaltung von Anti-Malware auf allen Endgeräten in Ihrer Umgebung (Windows, Linux, macOS, Android und iOS)
• Microsoft Defender for Cloud Apps – Ein Cloud App Security Broker (CASB) zur Verwaltung des Sicherheitsstatus für SaaS-Apps.

Microsoft bietet außerdem Microsoft Sentinel – ein cloudbasiertes SIEM; Microsoft Defender for Cloud (für Azure, AWS und GCP IaaS und PaaS Workloads) und Entra für Identitätsmanagement und schutz.

Microsoft Defender for Endpoint (MDE) ist eine umfassende Sicherheitslösung für Endpoint Detection and Response (EDR), die Verhaltensanalysen mit maschinellem Lernen (ML) für Windows, MacOS, Linux-Server, iOS- und Android-Geräte nutzt.

Sie inventarisiert die installierten Anwendungen (Windows und MacOS) und ermittelt über Threat and Vulnerability Management (TVM), welche Anwendungen die größten Risiken für Ihr Unternehmen darstellen.

MDE bietet außerdem Funktionen zur Verringerung der Angriffsfläche und Next-Generation-Protection sowie viele weitere Security-Funktionen. MDE ist mit M365 E5 / E5 Security oder als eigenständige Lizenz erhältlich.

Mit M365 E5 können Sie auf Defender for Identity (MDI) aufstocken, der Ihre Active Directory Domain Controller und Ihre Active Directory Federation Server mit „schlanken“ Agenten überwacht, der Rest wird vom Cloud Service übernommen.

Jeder Angreifer, der auf einem Gerät in Ihrem Netzwerk Fuß fasst, muss zunächst Zugang zu AD bekommen, um Seitwärtsbewegungen zur Erweiterung seiner Privilegien unternehmen zu können – MDI würde ihn dabei erwischen.

Früher, als Ihre Benutzer noch im Firmenbüro blieben, war alles, was Sie zu ihrem Schutz brauchten, eine gute Firewall. Aber in der heutigen Welt des “Arbeitens von überall aus, auf jedem Gerät” brauchen Sie eine neue Art von Tool, um sie zu schützen, einen Cloud Access Security Broker. Microsoft Defender for Cloud Apps (MDA) ist Teil von M365 E5 und schützt Ihre Benutzer in Echtzeit, wenn sie auf Cloud Services zugreifen.

Der Katalog mit über 31.000 verschiedenen Cloud Services bietet der IT-Abteilung die Möglichkeit, Schatten-IT (Cloud Services, die Benutzer ohne Wissen der IT-Abteilung nutzen) in Ihrer gesamten Benutzerbasis zu entdecken und zu verwalten.

Aber wo fangen Sie an? Woher wissen Sie, was am wichtigsten ist und worauf Sie achten müssen? Und wo in all den verschiedenen Portalen (oder in der PowerShell) müssen Sie die einzelnen Einstellungen konfigurieren?

Die Antworten auf diese Fragen finden Sie im Secure Score (Sicherheitsbewertung), der jetzt Teil des Security Portals ist. Hier sehen Sie einen Gesamtbewertung für Ihren Tenant (für Identitäts-/Daten-/ Geräte-/Apps- und Infrastruktur-Kontrollsysteme) und können ihn mit dem globalen Durchschnitt von M365, dem Durchschnitt Ihrer Branche und von Unternehmen derselben Größe vergleichen.

Je mehr Sicherheitsmaßnahmen Sie implementieren, desto höher wird Ihr Score (das kann 24-48 Stunden dauern), und Sie können Ihre Fortschritte auf der Registerkarte Verlauf verfolgen. Secure Score ist der BESTE Ort, um mit der Verbesserung der Security Ihres Tenants zu beginnen.

Ich möchte noch eine weitere Maßnahme (abgesehen von MFA) hervorheben, die Ihnen einen schnellen Erfolg bei der Verbesserung der allgemeinen Sicherheit bringt – die Blockierung der Legacy-Authentifizierung.

Denn selbst wenn Sie MFA aktiviert haben, können Angreifer immer noch mit einem Benutzernamen und einem Kennwort über ältere Protokolle, die MFA nicht unterstützen, auf die Konten Ihrer Benutzer zugreifen.

Um zu untersuchen, ob es legitime Verbindungen gibt, die diese älteren Protokolle verwenden (die aktualisiert oder von Ihrer Richtlinie zum Blockieren der LegacyAuthentifizierung ausgenommen werden müssen), gehen Sie zum Azure AD-Portal, klicken Sie unter Überwachung auf Anmeldungen, klicken Sie auf Filter hinzufügen, wählen Sie Client-App, klicken Sie dann auf “Keine ausgewählt” und fügen Sie alle 13 Legacy-Verbindungsoptionen hinzu.

Hier sehen Sie einen Tenant mit aktivierter MFA, aber noch aktivierter Legacy-Authentifizierung mit zahlreichen fehlgeschlagenen Zugriffsversuchen.

Wenn Sie sicher sind, dass es keinen legitimen Bedarf für die Legacy-Authentifizierung gibt, verwenden Sie CA-Richtlinien, um sie zu blockieren.

Das Konzept des Secure Score hat sich auch auf andere Teile von M365 ausgeweitet. Im Compliance Manager gibt es den Compliance Score, der anzeigt, wie konform Ihr Unternehmen mit regulatorischen Rahmenwerken ist, die Sie einhalten müssen.

Microsoft hat vor kurzem Hunderte von zusätzlichen Vorschriften aus der ganzen Welt hinzugefügt, um Ihnen zu helfen, Ihre Compliance zu überblicken und Benutzern Aufgaben zuzuweisen, um die Compliance zu erreichen und zu halten.

Die Verwaltung der Einhaltung von ComplianceVorgaben für Ihre SharePoint- und OneDrive-Sites und deren Sicherheitsstatus bzw.

Freigabeeinstellungen mit den integrierten Tools ist eine frustrierende Aufgabe, da sie über mehrere Portale verteilt sind.

Im Gegensatz dazu bietet der 365 Permission Manager von Hornetsecurity ein übersichtliches Dashboard mit einem Überblick über die Einstellungen für jede Site in Ihrem Tenant, der Möglichkeit zur Anwendung und Durchsetzung von Compliance-Richtlinien, die Behebung von Compliance-Verstößen, die Anzeige aller Zugriffe eines bestimmten Benutzers, die Erstellung von Berichten und vieles mehr.

Die traurige Wahrheit ist, dass die meisten kleinen bis mittleren Unternehmen nicht annähernd genug der Funktionen implementieren, für die sie bereits bezahlt haben, und selbst große Unternehmen haben Schwierigkeiten, diese Schutzfunktionen für alle ihre Benutzer zu implementieren.

Das liegt zum Teil an der inhärenten Komplexität vieler nativer Sicherheitsfunktionen von Microsoft – erinnern Sie sich an das Sprichwort “Komplexität ist der Feind der Sicherheit”. Deshalb wenden sich viele Unternehmen an Sicherheitslösungen von Drittanbietern wie Hornetsecurity, die ihnen dabei helfen, wichtige Sicherheitsfunktionen leichter zugänglich zu machen und die Komplexität zu reduzieren.

Andererseits ist die Vernachlässigung der Security auch auf eine gewisse Nachlässigkeit zurückzuführen, die daher rührt, dass in vielen Unternehmen immer noch eine Denkweise aus der On-premisesÄra vorherrscht, in der man dachte, dass (fast) alles schon mit einer Firewall erledigt sei – und die IT-Abteilungen sich schon darum kümmern würden.

Die Welt ist heute eine andere: Wir müssen verstehen, dass die Verantwortung für die Security in unser aller Händen liegt und dass unsere CyberVerteidigungskette nur so stark sein kann wie ihr schwächstes Glied.

Denken Sie über Security Awareness Trainings für Ihre Mitarbeiter nach, denn sie sind unerlässlich, um das Risiko von Cyberangriffen zu verringern, Datenschutzverletzungen zu verhindern und die Einhaltung von Compliance-Vorschriften zu gewährleisten.

Es befähigt die Mitarbeiter, Sicherheitsbedrohungen zu erkennen und darauf zu reagieren, fördert eine starke Sicherheitskultur und schützt sowohl die Vermögenswerte als auch den Ruf des Unternehmens. Letztendlich führt die Investition in Awareness-Training zu Kosteneinsparungen und einer sichereren digitalen Umgebung.

Um Ihre Microsoft 365-Umgebung richtig zu schützen, nutzen Sie die einzigartigen Dienste von Hornetsecurity:

• 365 Total Protection
• 365 Total Backup
• 365 Permission Manager
• 365 Total Protection Compliance & Awareness
• 365 Total Protection Enterprise Backup

Besuchen Sie jetzt unseren Hornetsecurity-Blog, um über die neuesten M365 Artikel und Praktiken auf dem Laufenden zu bleiben.

Falls Ihnen der Gedanke nicht behagt, für die zugrundeliegende Plattform von Microsoft und dann noch einmal für die zusätzlichen Sicherheitsfunktionen von Microsoft zu zahlen, sollten Sie eine Lösung eines Drittanbieters für Ihre M365 Sicherheits- und Compliance-Anforderungen in Betracht ziehen.

Hornetsecurity bietet verschiedene Pläne mit leistungsstarkem Advanced Threat Protection für Ihre E-Mails, Data Loss Prevention (DLP), Security Awareness Service (Phishing-Simulationen und Awareness-Training für Endbenutzer), E-MailVerschlüsselung, E-Mail-Archivierung und mehr.

Hornetsecurity bietet auch ein kostenloses E-Book an, das sich auf die Absicherung eines Microsoft 365 Tenants konzentriert: The Microsoft 365 Security Checklist.

Darin werden alle Security-Einstellungen und -Konfigurationen behandelt, die Sie für jede M365-Lizenz kennen müssen, um Ihre Umgebung richtig abzusichern, und es wird ausführlicher auf die tatsächlichen Einstellungen eingegangen als hier beschrieben.