Im vorangegangenen Artikel, der sich an kleinere Unternehmen richtet, haben wir die Umstellung auf die Cloud-Dienste von Office 365, den sicheren Zugriff und die Geräteverwaltung behandelt.
Microsoft 365 und Sicherheit: Welche Tools bietet es?
In diesem Artikel werden wir die bekanntesten Tools besprechen, die Microsoft für Sicherheit und Schutz verwendet.
Microsoft nennt seine gesamte Sicherheitssuite Advanced Threat Protection (ATP ) und umfasst Dutzende kleinerer und größerer Sicherheitstools. In diesem Artikel gehen wir daher nur auf die wichtigsten ein.
Microsoft Defender für O365
Ein grundlegendes Sicherheitstool zum Schutz von Dateifreigabeanwendungen wie Outlook, Teams und Sharepoint. Das Tool enthält eine Funktion für sichere Anhänge von Microsoft, die automatisch alle Dateien (Anhänge) überprüft, unabhängig davon, ob sie von außen oder intern von Kollegen stammen.
In der Praxis wird bei jeder gesendeten oder empfangenen Datei eine automatische Prüfung durchgeführt. Wenn das Tool feststellt, dass die Datei infiziert ist, wird sie sofort entfernt. Anschließend wird überprüft, ob andere Benutzer diese Datei ebenfalls erhalten haben. Ist dies der Fall, wird der Zugriff auf den Anhang blockiert und er wird unter Quarantäne gestellt.
Microsoft Safe Links funktioniert nach einem ähnlichen Prinzip. Wenn ein Benutzer einen Link zu einer Datei erhält, prüft O365 den Link und blockiert ihn, wenn er bösartigen Code enthält, um einen Angriff auf das Netzwerk zu verhindern. Microsoft 365 ATP umfasst auch Antiphishing oder Antimalware.
Erweiterter Schutz vor Bedrohungen durch Windows Defender
Dieses Tool schützt Endgeräte, auf denen ein Angreifer bösartigen Code ausführen könnte. Das Tool enthält den Windows Defender Smart Screen, der den Zugriff auf eine gefährliche Website oder den Download einer Datei verhindern kann.
Endpoint Protection wird verwendet, um Ihr Gerät zu schützen, wenn eine bösartige Datei bereits in das Gerät gelangt ist. Wenn ein Benutzer oder Angreifer eine infizierte Datei ausführen möchte, prüft Endpoint Protection die Datei und blockiert die Ausführung, wenn bösartiger Code entdeckt wird.
Endpoint Detection and Response behandelt Situationen, in denen eine bösartige Datei oder Anwendung bereits gestartet wurde. Das Tool analysiert das Verhalten der Datei oder Anwendung, bewertet deren Gefährlichkeit, leitet definierte Maßnahmen ein und gibt die Informationen an andere Endgeräte im Unternehmen weiter. Es nutzt unter anderem das maschinelle Lernen direkt in der Microsoft-Cloud. Microsoft sammelt Informationen von allen in Microsoft 365 registrierten Geräten, wertet die Daten aus und kann andere Nutzer rechtzeitig warnen.
Wie sieht das in der Praxis aus? Der Benutzer lädt die Datei herunter, die er öffnen möchte. Das Gerät sendet Informationen an die Microsoft-Cloud, die sofort prüft, ob es sich bei der Datei oder Anwendung um einen bösartigen Code handelt. Wenn Microsoft den Code nicht kennt, sendet es die Information an das Gerät, dass es sich um einen unbekannten Code handelt. Das Gerät führt dann grundlegende Tests mit maschinellem Lernen auf lokaler Ebene durch und sendet gleichzeitig das Codebeispiel an die Microsoft-Cloud, wo es weiter untersucht und getestet wird.
Wenn alles in Ordnung ist, erlaubt das System die Ausführung der Anwendung. Der gesamte Vorgang dauert nur wenige Sekunden, und der Benutzer weiß nicht einmal, was auf seinem Gerät passiert. Microsoft analysiert die Datei jedoch weiter, und wenn es später feststellt, dass sie riskant ist, sendet es Informationen über einen möglichen Angriff an das Gerät und blockiert, isoliert und sendet eine Warnung an alle Geräte im Unternehmen.
Azure Advanced Threat Protection (Azure ATP)
Auch Microsoft Defender for Identity genannt, kann es Angriffe auf ein internes Netzwerk verhindern oder abwehren, wenn ein Angreifer bereits in das Netzwerk eingedrungen ist. Dieses Tool erstellt Profile von Benutzern und von wo aus sie kommunizieren, oder unterscheidet ihre Zugriffsrechte auf das interne Netzwerk. Stellt es fest, dass das Gerät eines Benutzers übermäßig viele Anfragen stellt, z. B. unter einer anderen Identität an einen Domänencontroller, wertet es dieses Verhalten als Versuch, das Kennwort zu knacken und höhere Berechtigungen zu erlangen.
In der Praxis funktioniert es so, dass ein Azure ATP-Sensor, der auf einem Domänencontroller oder als eigenständige Lösung installiert ist, alle Informationen sammelt, die auf dem Domänencontroller eingehen. Durch die Analyse des Netzwerkverkehrs können Sie feststellen, wo und welcher Benutzer den Zugriff auf eine bestimmte Anwendung oder den Zugriff für einen anderen Benutzer anfordert. Diese Informationen werden zur Erstellung von Nutzerprofilen verwendet, einschließlich eines Modells ihres üblichen Verhaltens.
IP Resolution erstellt eine Karte der Geräte, einschließlich ihrer IP-Adressen und Funktionen, basierend auf Azure ATP-Daten. Dies können Sie sich zunutze machen, wenn z. B. ein Angreifer von der IP-Adresse eines PCs aus eine Anforderung zur Replikation von Daten an einen Domänencontroller sendet – Replikationsbefehle werden nur zwischen Domänencontrollern ausgetauscht und kommen niemals von Endstationen. Das System wird daher ein solches Verhalten als riskant einstufen und rechtzeitig entsprechende Maßnahmen ergreifen.
Alle Azure ATP-Sensordaten werden in der Microsoft-Cloud und nur innerhalb Ihrer Organisation verarbeitet. Mit der Datenverarbeitung in der Cloud steht eine nahezu unbegrenzte Leistung für die Analyse der gesammelten Daten zur Verfügung. Das Ergebnis ist eine Echtzeitverarbeitung und -berichterstattung über potenzielle Bedrohungen.
Ein weiteres Beispiel aus der Praxis. Wenn das Endgerät, an dem ein Benutzer arbeitet, Anfragen zur erfolglosen Authentifizierung anderer Benutzer erhält, wertet das System dies wiederum als Versuch, die Kennwörter anderer Benutzer zu erraten, und als möglichen Angriff.
Darüber hinaus können Sie Azure ATP mit Windows Defender ATP verbinden, um einen umfassenden Überblick über einen potenziellen Angriff über die Zeitachse zu erhalten.
Microsoft Cloud App Sicherheit
Dieses Tool schützt andere Cloud-Dienste. Es analysiert die Netzwerkkommunikation, indem es eine Sonde auf einer Firewall oder einem Proxy-Server installiert, um so genannte Schatten-IT aufzuspüren. Das heißt, ob die Nutzer Anwendungen verwenden, die sie nicht kontrollieren, oder ob sie Daten auf inoffiziellem Weg, z. B. über Dropbox, austauschen.
Wenn es eine solche App „im Schatten“ findet, können Sie ihre Bewertung im Microsoft Cloud App Catalog sehen, in dem etwa 15.000 Apps aufgeführt sind. Sie können die App dann anhand der Bewertung sperren.
Das Tool kann auch abnormales Benutzerverhalten auswerten, z. B. das Herunterladen großer Mengen von Dateien aus dem Cloud-Speicher auf einen lokalen Computer. In diesem Fall können Sie den Benutzer ausschalten und seinen Zugang sperren. Es hilft auch beim Schutz vor Ransomware.
Azure Privileged Identity Management (Azure AD PIM)
Verwenden Sie dieses Tool, um Benutzerrechte für den Zugriff auf das Unternehmensnetzwerk festzulegen. Insbesondere werden Angriffe auf Benutzer mit den höchsten Privilegien verhindert, so dass ein Angreifer nicht in den Besitz der höchsten globalen Administratorrechte gelangen kann.
Azure AD PIM kann auch rechtzeitig Berechtigungen hinzufügen. Jeder Benutzer hat Standardberechtigungen, und nur wenn er höhere Berechtigungen benötigt, fordert er diese an. Nach einer bestimmten Zeit werden seine Berechtigungen wieder auf den Standardbenutzer übertragen. Bei der Zuweisung von Rollen und Berechtigungen kann dann eine Multifaktor-Authentifizierung oder die Genehmigung durch einen anderen Benutzer erforderlich sein.
Microsoft Identity Protection ist ebenfalls mit dem Identitätsschutz verbunden. Dieses Tool bewertet das Risiko von Benutzern, die sich bei Microsoft 365 anmelden. Wenn sie sich beispielsweise aus einem anonymisierten Netz, von einem nicht standardmäßigen Zeitpunkt und Ort oder von einer IP-Adresse aus melden, über die infizierte Computer normalerweise kommunizieren, wird die Anmeldung blockiert oder ein zusätzlicher Authentifizierungsfaktor erzwungen.
Die Liste der Sicherheitsanwendungen ist nicht endgültig, sie zeigt lediglich die Optionen auf, die Sie bei der Bereitstellung von Microsoft 365 haben. Aufgrund der Robustheit und Komplexität der Tools empfehlen wir, Microsoft 365 mit einem zertifizierten Partner zu implementieren. In der Tschechischen Republik ist dies z.B. das in Brünn ansässige Unternehmen System4u ( ), das als Microsoft Gold Partner über umfangreiche Erfahrungen mit diesem Thema verfügt.
