Sicherheit in der Microsoft-Cloud verwalten und Bedrohungen beherrschen Microsoft 365 Threat Intelligence verstehen und produktiv nutzen

Von Thomas Joos

Anbieter zum Thema

Mit Microsoft 365 Defender und Threat Intelligence können Admins der Microsoft-Cloud-Lösung die Sicherheit der Benutzer und enthaltenen Ressourcen im Griff behalten und Bedrohungen erfolgreich erkennen, verhindern und abwehren. Der Beitrag zeigt die Möglichkeiten und Funktionen der Sicherheitslösung.

Wir zeigen die Möglichkeiten und Funktionen der Bedrohungsanalyse in Microsoft 365 Defender.
Wir zeigen die Möglichkeiten und Funktionen der Bedrohungsanalyse in Microsoft 365 Defender.
(Bild: peterschreiber.media - stock.adobe.com )

Microsoft 365 Defender ist der zentrale Einstiegspunkt, wenn es darum geht die Sicherheit in einem Microsoft 365-Abonnement zu gewährleisten und auf Bedrohungen zu reagieren oder diese frühzeitig zu erkennen. Microsoft 365 Defender wird über die Adresse https://security.microsoft.com erreicht. Hier stehen alle Einstellungsmöglichkeiten zur Verfügung, auch die Möglichkeiten von Microsoft 365 Threat Intelligence.

Angriffe erkennen und sich optimal auf Bedrohungen vorbereiten

Microsoft 365 Threat Intelligence bringt eine Bedrohungsanalyse in Microsoft 365, mit der Admins gezielt auf Bedrohungen reagieren können und diese frühzeitig erkennen. Im Fokus der Bedrohungsanalyse steht das Entwickeln von Plänen, mit denen sich Unternehmen auf Angriffe vorbereiten können, bevor diese überhaupt passieren. Microsoft 365 Threat Intelligence arbeitet mit dem Microsoft Intelligent Security Graph und kann auf dieser Basis auf eine breite Plattform an Informationen zum Erkennen von Angriffen zurückgreifen.

Mit dem Microsoft Intelligent Security Graph können über ein Dashboard und dem Threat Explorer der Überblick zur aktuellen Umgebung den vorhandenen Bedrohungen angezeigt und Analysen durchgeführt werden. Durch das System lassen sich zahlreiche Sensoren und andere Quellen auslesen und verarbeiten. Die gewonnenen Informationen können nicht nur analysiert werden, sondern es besteht auch die Möglichkeit Sicherheitstools wie Microsoft Defender for Endpoint anzubinden, um die angeschlossenen Geräte auch gleich noch abzusichern.

Microsoft Intelligent Security Graph wertet jede Sekunde hunderte Gigabyte an Daten aus, die auch von Microsoft zur Verfügung gestellt werden. Diese Daten gehen bei Microsoft auf Basis verschiedener Informationsquellen ein, zum Beispiel auch von Windows-PCs, bei denen die Übertragung von Bedrohungsdaten aktiviert ist. Die riesigen Mengen an Informationen, die Microsoft zur Verfügung stehen, lassen sich mit Microsoft 365 Threat Intelligence für den Schutz des eigenen Abonnements einbinden.

Bildergalerie
Bildergalerie mit 6 Bildern

Der Microsoft 365 Threat Management Explorer

Nach dem Aufrufen von Microsoft 365 Defender sind im Bereich "Bedrohungsmanagement" die Funktionen von Microsoft 365 Threat Intelligence zu finden. Das Dashboard zeigt auf der rechten Seite verschiedene Kacheln an, welche Informationen zu den aktuellen Bedrohungen auflisten.

Über das Dashboard ist auch der Threat Explorer zu finden. Neben dem Link „Explorer“ bei „Bedrohungsmanagement“ zeigt das Dashboard auch zusammengefasste Informationen an, die ihren Ursprung vom Threat Explorer haben. Alle Daten des Threat Explorers können auch über die Adresse "security.microsoft.com/threatexplorer" erreicht werden.

Bei "Anzeigen" kann die Ansicht der einzelnen Threats und Informationen zu den Bedrohungen gefiltert werden. Die Anzeige ermöglicht auch die Filterung nach verschiedenen Kampagnen oder Phishing-Angriffen. Dazu zeigt der Explorer auch E-Mail-Header und Text der Malware-Mails an, die für eigene Analysen zum Einsatz kommen können. Dazu kann der Threat Explorer auch auf Daten aus Exchange Online zugreifen.

Parallel dazu können auf der rechten Seite der Ansicht auch Einstellungen für Microsoft Defender for Endpoints mit eingebunden werden. Wenn auf den angebundenen Endgeräten Microsoft Defender for Endpoint zum Einsatz kommt, können die Daten der Angriffe, welche die Endpunkte erkennen, ebenfalls in die Analyse des Threat Explorers eingebunden werden.

Bedrohungs-Tracker mit einbeziehen und Simulationen erstellen

Der Bedrohungs-Tacker von Microsoft 365 Threat Intelligence ist über die Adresse https://security.microsoft.com/threattracker erreichbar. Der Tracker zeigt Trends von Angriffen an und gibt auch Anleitungen, wie den Angriffen begegnet werden kann. Zusammen mit dem Explorer bietet der Threat Tracker wichtige Informationen, um auf drohende Angriffe optimal vorbereitet zu sein.

Das Angriffsimulationstraining ermöglicht es wiederum das Benutzerverhalten zu analysieren. Mit einer Simulation können Angriffe auf Benutzer simuliert und deren Verhalten in der Praxis untersucht werden. Gleichzeitig erhalten Benutzer die Information, wenn sie zum Beispiel auf einen Phishing-Angriff hereingefallen sind. Auf Basis der Simulationen kann Microsoft 365 Threat Intelligence auch Informationen und Tipps zur Verfügung stellen, wie sich das Netzwerk in Zukunft auf solche Vorfälle vorbereiten kann.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Für die einzelnen Angriffe stehen verschiedene Einstellungsmöglichkeiten und Informationen zur Verfügung. Bei "Übersicht" zeigt das Dashboard allgemeine Informationen zum Angriff an und welche Benutzer aktuell bereits am Angriff teilgenommen haben. Die Simulationen zeigen, wie Benutzer in der Praxis anfällig für Phishing sind und wie sich Angriffe auf das System auswirken. Nach der Simulation erhalten Admins einen Bericht, der sie auf tatsächliche Angriffe besser vorbereitet.

Phishing-Angriffe simulieren und Benutzerverhalten analyisieren

Das Erstellen einer Simulation erfolgt über einen Assistenten, der bei "Angriffsimulationstraining" gestartet wird. Mit "Simulationen" und "Eine Simulation starten" kann aus einer Liste von verschiedenen Angriffen ausgewählt werden. Hier kann der Diebstahl von Anmeldedaten genauso analysiert werden, wie die Übertragung von Malware oder andere Angriffe.

Bildergalerie
Bildergalerie mit 6 Bildern

Nach der Auswahl des Angriffes kann ausgewählt werden, welche Benutzer in den Fokus des Angriffs genommen werden sollen. Diese Benutzer erhalten eine Phsishing-Mail und reagieren genauso wie bei einem echten Angriff. Nur ist der Angriff simuliert und Microsoft 365 Threat Intelligence analysiert die Aktionen des Benutzers. Es ist auch möglich mehrere Simulationen auf einmal zu starten. Alle gestarteten Simulationen sind auf der Startseite zu finden.

Klickt ein Anwender auf einen Link im simulierten Angriff, erhält er eine Information darüber, dass er auf einen Phishing-Angriff hereingefallen ist. So lernen Anwender sich beim Erhalten von Phishing-E-Mails richtig zu verhalten und Admins können gleichzeitig analysieren, wie sich Benutzer bei einer bestimmten Art von Angriffen verhalten.

Threat Hunting mit Microsoft 365 Threat Intelligence

Das Threat Hunting ist ein wichtiger Bestandteil von Microsoft 365 Threat Intelligence. Diese Funktion in Microsoft 365 ermöglicht das Entdecken von Angriffen, die durch andere Maßnahmen nicht identifiziert wurden. Wenn Angreifer keine Spuren hinterlassen, kann Threat Hunting auf Basis von maschinellem Lernen verhaltensbasierte Analysen durchführen und dadurch Angriffe einfacher erkennen.

(ID:48401950)