Mit Microsoft 365 Defender und Threat Intelligence können Admins der Microsoft-Cloud-Lösung die Sicherheit der Benutzer und enthaltenen Ressourcen im Griff behalten und Bedrohungen erfolgreich erkennen, verhindern und abwehren. Der Beitrag zeigt die Möglichkeiten und Funktionen der Sicherheitslösung.
Wir zeigen die Möglichkeiten und Funktionen der Bedrohungsanalyse in Microsoft 365 Defender.
(Bild: peterschreiber.media - stock.adobe.com)
Microsoft 365 Defender ist der zentrale Einstiegspunkt, wenn es darum geht die Sicherheit in einem Microsoft 365-Abonnement zu gewährleisten und auf Bedrohungen zu reagieren oder diese frühzeitig zu erkennen. Microsoft 365 Defender wird über die Adresse https://security.microsoft.com erreicht. Hier stehen alle Einstellungsmöglichkeiten zur Verfügung, auch die Möglichkeiten von Microsoft 365 Threat Intelligence.
Angriffe erkennen und sich optimal auf Bedrohungen vorbereiten
Microsoft 365 Threat Intelligence bringt eine Bedrohungsanalyse in Microsoft 365, mit der Admins gezielt auf Bedrohungen reagieren können und diese frühzeitig erkennen. Im Fokus der Bedrohungsanalyse steht das Entwickeln von Plänen, mit denen sich Unternehmen auf Angriffe vorbereiten können, bevor diese überhaupt passieren. Microsoft 365 Threat Intelligence arbeitet mit dem Microsoft Intelligent Security Graph und kann auf dieser Basis auf eine breite Plattform an Informationen zum Erkennen von Angriffen zurückgreifen.
Mit dem Microsoft Intelligent Security Graph können über ein Dashboard und dem Threat Explorer der Überblick zur aktuellen Umgebung den vorhandenen Bedrohungen angezeigt und Analysen durchgeführt werden. Durch das System lassen sich zahlreiche Sensoren und andere Quellen auslesen und verarbeiten. Die gewonnenen Informationen können nicht nur analysiert werden, sondern es besteht auch die Möglichkeit Sicherheitstools wie Microsoft Defender for Endpoint anzubinden, um die angeschlossenen Geräte auch gleich noch abzusichern.
Microsoft Intelligent Security Graph wertet jede Sekunde hunderte Gigabyte an Daten aus, die auch von Microsoft zur Verfügung gestellt werden. Diese Daten gehen bei Microsoft auf Basis verschiedener Informationsquellen ein, zum Beispiel auch von Windows-PCs, bei denen die Übertragung von Bedrohungsdaten aktiviert ist. Die riesigen Mengen an Informationen, die Microsoft zur Verfügung stehen, lassen sich mit Microsoft 365 Threat Intelligence für den Schutz des eigenen Abonnements einbinden.
Nach dem Aufrufen von Microsoft 365 Defender sind im Bereich "Bedrohungsmanagement" die Funktionen von Microsoft 365 Threat Intelligence zu finden. Das Dashboard zeigt auf der rechten Seite verschiedene Kacheln an, welche Informationen zu den aktuellen Bedrohungen auflisten.
Über das Dashboard ist auch der Threat Explorer zu finden. Neben dem Link „Explorer“ bei „Bedrohungsmanagement“ zeigt das Dashboard auch zusammengefasste Informationen an, die ihren Ursprung vom Threat Explorer haben. Alle Daten des Threat Explorers können auch über die Adresse "security.microsoft.com/threatexplorer" erreicht werden.
Bei "Anzeigen" kann die Ansicht der einzelnen Threats und Informationen zu den Bedrohungen gefiltert werden. Die Anzeige ermöglicht auch die Filterung nach verschiedenen Kampagnen oder Phishing-Angriffen. Dazu zeigt der Explorer auch E-Mail-Header und Text der Malware-Mails an, die für eigene Analysen zum Einsatz kommen können. Dazu kann der Threat Explorer auch auf Daten aus Exchange Online zugreifen.
Parallel dazu können auf der rechten Seite der Ansicht auch Einstellungen für Microsoft Defender for Endpoints mit eingebunden werden. Wenn auf den angebundenen Endgeräten Microsoft Defender for Endpoint zum Einsatz kommt, können die Daten der Angriffe, welche die Endpunkte erkennen, ebenfalls in die Analyse des Threat Explorers eingebunden werden.
Bedrohungs-Tracker mit einbeziehen und Simulationen erstellen
Der Bedrohungs-Tacker von Microsoft 365 Threat Intelligence ist über die Adresse https://security.microsoft.com/threattracker erreichbar. Der Tracker zeigt Trends von Angriffen an und gibt auch Anleitungen, wie den Angriffen begegnet werden kann. Zusammen mit dem Explorer bietet der Threat Tracker wichtige Informationen, um auf drohende Angriffe optimal vorbereitet zu sein.
Das Angriffsimulationstraining ermöglicht es wiederum das Benutzerverhalten zu analysieren. Mit einer Simulation können Angriffe auf Benutzer simuliert und deren Verhalten in der Praxis untersucht werden. Gleichzeitig erhalten Benutzer die Information, wenn sie zum Beispiel auf einen Phishing-Angriff hereingefallen sind. Auf Basis der Simulationen kann Microsoft 365 Threat Intelligence auch Informationen und Tipps zur Verfügung stellen, wie sich das Netzwerk in Zukunft auf solche Vorfälle vorbereiten kann.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Für die einzelnen Angriffe stehen verschiedene Einstellungsmöglichkeiten und Informationen zur Verfügung. Bei "Übersicht" zeigt das Dashboard allgemeine Informationen zum Angriff an und welche Benutzer aktuell bereits am Angriff teilgenommen haben. Die Simulationen zeigen, wie Benutzer in der Praxis anfällig für Phishing sind und wie sich Angriffe auf das System auswirken. Nach der Simulation erhalten Admins einen Bericht, der sie auf tatsächliche Angriffe besser vorbereitet.
Phishing-Angriffe simulieren und Benutzerverhalten analyisieren
Das Erstellen einer Simulation erfolgt über einen Assistenten, der bei "Angriffsimulationstraining" gestartet wird. Mit "Simulationen" und "Eine Simulation starten" kann aus einer Liste von verschiedenen Angriffen ausgewählt werden. Hier kann der Diebstahl von Anmeldedaten genauso analysiert werden, wie die Übertragung von Malware oder andere Angriffe.
Nach der Auswahl des Angriffes kann ausgewählt werden, welche Benutzer in den Fokus des Angriffs genommen werden sollen. Diese Benutzer erhalten eine Phsishing-Mail und reagieren genauso wie bei einem echten Angriff. Nur ist der Angriff simuliert und Microsoft 365 Threat Intelligence analysiert die Aktionen des Benutzers. Es ist auch möglich mehrere Simulationen auf einmal zu starten. Alle gestarteten Simulationen sind auf der Startseite zu finden.
Klickt ein Anwender auf einen Link im simulierten Angriff, erhält er eine Information darüber, dass er auf einen Phishing-Angriff hereingefallen ist. So lernen Anwender sich beim Erhalten von Phishing-E-Mails richtig zu verhalten und Admins können gleichzeitig analysieren, wie sich Benutzer bei einer bestimmten Art von Angriffen verhalten.
Threat Hunting mit Microsoft 365 Threat Intelligence
Das Threat Hunting ist ein wichtiger Bestandteil von Microsoft 365 Threat Intelligence. Diese Funktion in Microsoft 365 ermöglicht das Entdecken von Angriffen, die durch andere Maßnahmen nicht identifiziert wurden. Wenn Angreifer keine Spuren hinterlassen, kann Threat Hunting auf Basis von maschinellem Lernen verhaltensbasierte Analysen durchführen und dadurch Angriffe einfacher erkennen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/10/ba/10bae076405664ebd82e96c36e36a3e8/0128826249v2.jpeg "In Mittelfranken wurde das IT-Netzwerk der Kreisklinik Roth Ziel eines Hackerangriffs, was kurzzeitig zur Schließung der Notaufnahme führte. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/9a/c99a8808294a5aafcf9b076f7e8f9f1e/0122470970v1.jpeg "Der Microsoft Patchday im Januar 2026 zeigt erneut eine starke Konzentration auf lokale Rechteausweitungen und komplexe Angriffsketten, die Speicherlecks, Kernel-Bugs und Virtualisierungskomponenten kombinieren. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/b1/04b1d6bf801ccd26ef735a77ff1ce662/0128685991v2.jpeg "Ab sofort können sich Schülerinnen und Schüler für die Hacking Challenge der TH Augsburg anmelden. Die Challenge beginnt am 3. Februar. (Bild: © Seventyfour - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b3/48/b348b5b4c3b5253cd22f69cbca436295/0128830451v1.jpeg "Über Untergrundforen und soziale Netzwerke verbreiten Kriminelle angebliche Datenleaks, auch wenn keine aktuellen Systeme kompromittiert wurden. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/6c/676c57a5470e5ab12edf5da910455703/0128870241v1.jpeg "2026 wird zum Stresstest für Security-Teams, denn Cyberangriffe werden noch raffinierter. IT-Entscheider müssen sich auf den Ernstfall vorbereiten und überzeugende Talentstrategien entwickeln. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/84/97/8497fa2dcd66e5ba4bc948fc1360528f/0104891003.jpeg "Mit Microsoft 365 Defender können Unternehmen auf Bedrohungen reagieren und die Sicherheit von Identitäten, Daten, Geräten, Apps und Infrastruktur verwalten. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/e6/b2e6d9dd5cb17b102c810ce20c110804/0105074059.jpeg "Im Dashboard von Microsoft 365 Threat Intelligence lässt sich eine Zusammenfassung der Angriffe anzeigen.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/c3/66/c3665a4e24fd34b059e8a1ec62de3115/0105074056.jpeg "Der Threat Explorer kann auch Daten aus Microsoft Defender für Endpoints auslesen und analysieren.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/e1/0f/e10f7708923370844bf98f0f51337494/0105074058.jpeg "Öffnen Anwender einen gefährlichen Link oder eine Malware im Text, erhalten Sie eine Information.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/bd/d8/bdd85e68b469c1a85e6ae8603503839a/0105074063.jpeg "Microsoft 365 Defender bietet eine Vielzahl an Schutzmechanismen für Microsoft 365. Dazu gehört auch Microsoft 365 Threat Intelligence.(Bild: Joos)")
:quality(80)/images.vogel.de/vogelonline/bdb/1951700/1951732/original.jpg "HTML Smuggling umgeht Sicherheitslösungen im Netzwerk. Dazu wird schädlicher HTML-Code hinter der Firewall und im Browser von Anwendern generiert. (Myst - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/86/8e/868e628c7e5d149511cc2ff39ffbd497/0122772618v2.jpeg "Microsoft Security Exposure Management integriert Daten aus Microsoft- und Drittanbieter-Tools, liefert kontinuierliche Angriffsflächenanalyse per Exposure Graph und ermöglicht automatisiertes Schwachstellenmanagement. (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/cf/63cf12cec8d640fada674a3efbad87c3/0124017609v2.jpeg "Das Open-Source-SIEM Wazuh verfügt über einen riesigen Funktionsumfang, aber ein gewöhnungsbedürftiges Interface. (Bild: ZinetroN - stock.adobe.com)")