System4u unterstützt seine Kunden im Bereich Digital Workspace. Die ordnungsgemäße Verknüpfung von Technologien ist eine Garantie für eine gut funktionierende und sichere IT-Umgebung für Unternehmen.
Der erweiterte Angriffsschutz von Microsoft 365 – Advanced Threat Protection (ATP ) – besteht aus 3 grundlegenden Teilen, die Gegenstand des heutigen Artikels sind.
Der erste Teil, über den wir sprechen werden, ist Microsoft Defender für O365. Dieser wird verwendet, um die zentralen Microsoft File-Sharing-Tools zu schützen, d.h. E-Mail, Microsoft Teams, Sharepoint. Microsoft Safe Attachments schützt Dateien (Anhänge), die der Benutzer von außen oder von Kollegen erhält.
In der Praxis lässt sich dies so beschreiben, dass eine automatische Prüfung der gesendeten oder empfangenen Datei durchgeführt wird und, wenn sich herausstellt, dass es sich um eine “infizierte” Datei handelt, diese Datei automatisch entfernt wird. Außerdem wird geprüft, ob diese Datei an andere Benutzer im Unternehmen gesendet wurde, und wenn dies der Fall ist, kann Microsoft Defender dafür sorgen, dass der Zugriff auf den Anhang blockiert und in die so genannte “infizierte” Datei eingefügt wird. Quarantäne.
Ein anderes Tool, Microsoft Safe Links, funktioniert nach einem ähnlichen Prinzip. Wenn ein Benutzer einen Link zu einer Datei erhält, kann O365 den Link prüfen und, wenn es feststellt, dass er bösartigen Code enthält, die Datei auch blockieren und einen Angriff auf das Netzwerk verhindern. Microsoft 365 ATP umfasst auch Antifishing- und Antimalware-Schutz, der auch von den Lösungen anderer Anbieter bekannt ist.
Windows Defender Advanced Threat Protection. Dieses zusätzliche Sicherheitstool von Microsoft schützt genau die Endgeräte, auf denen ein Angreifer bösartigen Code ausführen kann. Auch hier gibt es mehrere Komponenten, wie z. B. Windows Defender Smart Screen, eine Technologie, die den Zugriff auf eine gefährliche Website auf dem Gerät blockieren oder das lokale Herunterladen einer Datei auf das Gerät verhindern kann.
Endpoint Protection, ein weiterer Teil von Microsoft Defender, wird verwendet, um Ihr Gerät zu schützen, wenn eine bösartige Datei bereits in das Gerät gelangt ist. Der Benutzer oder Angreifer möchte die infizierte Datei auf dem Gerät ausführen, und Endpoint Protection prüft die Datei oder Anwendung und blockiert den Prozess, wenn es bösartigen Code entdeckt.
Endpoint Detection and Response korrigiert den nächsten Schritt, wenn eine gefährliche heruntergeladene Datei oder Anwendung bereits auf dem Gerät ausgeführt wird. Dieses Tool kann das Verhalten einer solchen Datei oder Anwendung rückwirkend analysieren, den bösartigen Code bewerten, Maßnahmen auf dem Gerät ergreifen und die Informationen an andere Endgeräte im Unternehmen weitergeben. Es nutzt maschinelles Lernen, das in der Microsoft-Cloud stattfindet. Microsoft sammelt Informationen von allen in Microsoft 365 registrierten Geräten und wertet die Daten aus, um potenzielle Angriffe zu verhindern.
Wie wird der Endpunktschutz in der Praxis umgesetzt? Der Benutzer lädt die Datei, die er öffnen möchte, auf das Gerät herunter. Das Gerät sendet Informationen an die Microsoft-Cloud, die sofort prüft, ob es sich bei der Datei oder Anwendung um einen bösartigen Code handelt. In einer Situation, in der Microsoft nichts über einen solchen Code weiß, sendet es die Information an das Gerät, dass es sich um einen unbekannten Code handelt. Die Appliance führt dann grundlegende Tests mit Hilfe von maschinellem Lernen auf lokaler Ebene durch. Gleichzeitig wird das Codebeispiel zur weiteren Untersuchung und Prüfung an die Microsoft-Cloud gesendet. Wenn die Anwendung auch in diesem Stadium nicht als bösartiger Code erkannt wird, kann sie ausgeführt werden. Dieser Vorgang dauert nur wenige Sekunden, und der Benutzer ist sich praktisch nicht bewusst, was auf seinem Gerät geschieht. Auf Seiten von Microsoft ist die Analyse noch nicht abgeschlossen und das Codebeispiel wird weiter untersucht. Wenn festgestellt wird, dass ein Risiko besteht, wird die Information über den möglichen Angriff erneut an das Gerät gesendet und die Datei vollständig blockiert, isoliert und die Information an alle anderen Geräte im Unternehmen weitergeleitet.
Azure Advanced Threat Protection (Azure ATP) oder Microsoft Defender for Identity können Angriffe auf das interne Netzwerk verhindern und abwehren, wenn ein Angreifer bereits in das Netzwerk eingedrungen ist. Dieses Tool erstellt ein Profil der Benutzer und der Orte, von denen aus sie kommunizieren, und unterscheidet ihre Zugriffsrechte auf das interne Netzwerk. Wenn es feststellt, dass viele verschiedene Anfragen vom Gerät eines Nutzers kommen, darunter z. B. Anfragen unter einer anderen Identität als der des Domänencontrollers stellt, könnte er dieses Verhalten als Versuch werten, das Kennwort zu knacken und erhöhte Rechte innerhalb der Organisation zu erlangen.
In der Praxis funktioniert das so, dass der Azure ATP-Sensor, der auf dem Domänencontroller oder als eigenständige Lösung installiert ist, alle Informationen sammelt, die auf dem Domänencontroller eingehen. Die Analyse der Netzwerkkommunikation findet auf L7 statt und dank dieser können wir zum Beispiel direkt in die Kerbros-Tickets sehen. Wir wissen, von wo und welcher Benutzer den Zugang zu einer bestimmten Anwendung anfordert oder ob er den Zugang für einen anderen Benutzer anfordert. Diese Informationen werden zur Erstellung von Nutzerprofilen verwendet, einschließlich eines Modells ihres üblichen Verhaltens.
Die IP-Auflösungsfunktion erstellt eine Karte der Geräte einschließlich ihrer IP-Adresse und Funktion auf der Grundlage von ATP-Daten. Dies wird z. B. verwendet, wenn ein Angreifer von der IP-Adresse eines PCs aus eine Anfrage zur Replikation von Daten an einen Domänencontroller sendet – Replikationsbefehle werden nur zwischen Domänencontrollern ausgetauscht und kommen niemals von Endstationen. Ein solches Verhalten kann wiederum als riskant und als möglicher Versuch gewertet werden, Informationen über das Netz des Kunden zu erhalten.
Alle Daten des Azure ATP-Sensors werden in der Microsoft-Cloud und nur innerhalb Ihres Tenants verarbeitet. Mit der Datenverarbeitung in der Cloud steht eine nahezu unbegrenzte Leistung für die Analyse der gesammelten Daten zur Verfügung. Das Ergebnis ist eine Echtzeitverarbeitung und -berichterstattung über potenzielle Bedrohungen.
In den vorangegangenen Schritten haben wir die notwendigen Informationen erhalten, ein Profil der Nutzer erstellt und können nun ihr abnormales Verhalten überwachen. Wenn, zum Beispiel. Anfragen zur fehlgeschlagenen Authentifizierung anderer Benutzer kommen von dem Endgerät, an dem ein Benutzer arbeitet. Auch hier sehen wir einen Versuch, die Passwörter anderer Benutzer im Netzwerk zu erraten und einen möglichen Angriff.
Natürlich ist es möglich, Warnungen für verdächtige Aktivitäten im Netzwerk zu generieren und Details in der Verwaltungskonsole anzuzeigen. Es ist auch möglich, Azure ATP mit Windows Defender ATP zu verbinden, um einen umfassenden Überblick über einen potenziellen Angriff über die Zeitachse zu erhalten.
Ein weiterer Dienst ist Microsoft Cloud App Security. Dieses Tool kann andere Cloud-Dienste schützen. Es analysiert die Netzwerkkommunikation, indem es eine Sonde auf der Firewall oder dem Proxy-Server installiert, um so genannte. Schatten-IT, d. h. ob Nutzer Anwendungen verwenden, die nicht unter ihrer Kontrolle stehen, oder ob sie Daten auf inoffiziellem Wege austauschen, z. B. über Dropbox oder andere Mittel.
Sie können die Bewertungen der Apps, die Sie gefunden haben, im Microsoft Cloud App Catalog einsehen , der eine von Microsoft zusammengestellte Liste von Apps enthält (derzeit gibt es etwa 15.000 Apps). Anträge können dann aufgrund einer negativen Bewertung gesperrt werden.
Es ist auch möglich, abnormales Nutzerverhalten auszuwerten, wenn z. B. eine große Anzahl von Dateien aus dem Cloud-Speicher auf den lokalen Computer heruntergeladen wird. In diesem Fall kann der Benutzer angerufen werden. den Zugang abschneiden und blockieren. Länger kann beim Schutz vor Ransomware helfen.
Ein weiteres Tool, dieses Mal für den Identitätsschutz, ist Azure Privileged Identity Management (Azure AD PIM). Mit diesem Tool können Sie den Umfang der Benutzerrechte für den Zugriff auf das Unternehmensnetzwerk festlegen. Damit sollen Angriffe auf Benutzer mit den höchsten Privilegien verhindert werden, so dass ein Angreifer z. B. nicht in den Besitz von globale Administrator-Rechte. Azure AD PIM kann Berechtigungen “just in time” hinzufügen. So hat jeder Benutzer eine Standardberechtigung, und wenn er eine höhere Berechtigung benötigt, fordert er sie nur in diesem Moment an, und nach einer bestimmten Zeit wird diese Berechtigung automatisch wieder in die Berechtigung des Standardbenutzers umgewandelt. So kann beispielsweise bei der Zuweisung von Rollen und Berechtigungen eine Multifaktor-Authentifizierung oder die Genehmigung durch einen anderen Benutzer erforderlich sein.
Ein weiteres Tool für den Identitätsschutz ist Microsoft Identiti Protection. Dieses Tool bewertet das Risiko von Benutzern, die sich bei Microsoft 365-Diensten anmelden. Wenn sie sich beispielsweise aus einem anonymisierten Netzwerk, einem nicht standardisierten geografischen Gebiet, zu einer ungewöhnlichen Zeit oder von einer IP-Adresse, von der aus infizierte Computer kommunizieren, melden, wird die Anmeldung blockiert oder ein zusätzlicher Authentifizierungsfaktor erzwungen.
Verwaltung von Microsoft 365 und Windows 10
Wenn das Unternehmen Microsoft 365-Dienste nutzt, wird empfohlen, Microsoft Intune für die Massenverwaltung von Mobilgeräten zu verwenden . Wenn ein Unternehmen SCCM (Configuration Manager) für die Verwaltung von Windows-Geräten verwendet und Hunderte oder Tausende von Geräten hat, ist es schwierig, schnell zur Intune-Verwaltung überzugehen. Um diesen Übergang reibungslos, nahtlos und schrittweise zu gestalten, müssen Sie lediglich Intune und SCCM miteinander verbinden. Diese Verbindung aktiviert
Co-Management und Unternehmensgeräte werden von zwei Systemen gleichzeitig verwaltet, ohne dass es zu Konflikten zwischen diesen Systemen kommt.
Dank der Co-Verwaltung können Sie einzelne Verwaltungsbereiche schrittweise von SCCM zu Intune migrieren. Eine Voraussetzung für die gemeinsame Verwaltung ist die Synchronisierung und Registrierung von Geräten in Azure AD. Danach werden die Geräte automatisch in Microsoft Intune aktiviert, wobei in der ersten Phase die Geräte nur auditiert werden können, bevor die schrittweise Umstellung aller wieder in Conditional Access Policies zum Zugriff auf MS365-Dienste genutzt werden kann.
Der Hauptgrund für den Wechsel zu Microsoft Intune ist die Lage in der Cloud
und Erreichbarkeit zu jeder Zeit und von jedem Ort aus. Dadurch wird sichergestellt, dass die Konfiguration immer auf dem neuesten Stand ist.
und Sicherheit auf Windows 10-Geräten.
Für die Co-Management-Lizenzierung benötigen Sie Microsoft Azure AD Premium P1 und Microsoft Intune-Lizenzen, die beide in Microsoft Enterprise and Security enthalten sind oder separat erworben werden können.
Ein weiterer Grund, Windows 10-Geräte mit Microsoft 365-Tools zu verwalten, ist die einfache und automatische Erstkonfiguration neuer Geräte mit Microsoft Autopilot. Mit diesem Tool wird sichergestellt, dass das Gerät beim ersten Start für die Verwaltung in MS Intune aktiviert wird, wodurch die erforderlichen Konfigurationen und Anwendungen auf das Gerät übertragen werden. Das Ergebnis ist ein in wenigen Minuten einsatzbereites Gerät, ohne dass eine Erstkonfiguration durch den IT-Support erforderlich ist.
Die Autoren des Papiers:
Roman Přikryl, Systemarchitekt
