Microsoft Defender for Identity ist eine Lösung, die durch den Einsatz von Künstlicher Intelligenz (KI) und maschinellem Lernen Benutzerverhalten analysiert, um Bedrohungen frühzeitig zu erkennen und abzuwehren. Dieses Tool integriert Cloud-basierte Sicherheitslösungen mit On-Premises-Umgebungen.
Microsoft Defender for Identity bietet durch seine Funktionen eine umfassende Lösung zur Überwachung und Sicherung von Active Directory.
(Bild: Blue Planet Studio - stock.adobe.com)
Die Integration von Microsoft Defender for Identity beginnt mit der Installation eines Sensors auf dem Domain Controller in Active Directory. Dieser Sensor sammelt und analysiert Daten, um verdächtiges Verhalten zu identifizieren.
Nach der Installation des Sensors erfolgt die Konfiguration von Gruppenrichtlinien, um dem Dienstkonto die notwendigen Berechtigungen zuzuweisen. Dies geschieht durch die Anpassung der Sicherheitseinstellungen in der Standard-Domain-Controller-Richtlinie, insbesondere durch die Zuweisung der Berechtigung "Als Dienst anmelden" an das gruppenverwaltete Dienstkonto. Die Lösung kann drei Monate kostenlos für bis zu 25 Benutzern getestet werden. Neben der Absicherung von lokalen AD-Umgebungen, ist Defender for Identity auch ideal für Microsoft 365 und Szenarien mit Microsoft Azure.
Überwachung und Analysen mit Microsoft Defender for Identity
Sobald der Sensor von Microsoft Defender for Identity aktiv ist, liefert er kontinuierlich Daten an die zentrale Verwaltungsoberfläche der Cloudlösung. Diese Daten umfassen Informationen über Anmeldeaktivitäten, Netzwerkverkehr und andere sicherheitsrelevante Ereignisse. Defender for Identity verwendet diese Informationen, um potenzielle Bedrohungen zu erkennen und Warnungen zu generieren. Ein typisches Beispiel ist die Erkennung von "Adversary-in-the-Middle"-Angriffen, bei denen ein Angreifer versucht, zwischen die Kommunikation eines Benutzers und einer Ressource zu treten.
Zusammenarbeit mit Microsoft Sentinel
Die Integration mit Microsoft Sentinel ermöglicht eine erweiterte Überwachung und Analyse von Sicherheitsvorfällen. Sentinel sammelt Signale von verschiedenen Quellen, einschließlich Defender for Identity, und verwendet diese Daten, um umfassende Bedrohungsanalysen durchzuführen. Bei der Erkennung eines Angriffs visualisiert Sentinel den Vorfall in einer detaillierten Zeitachse, zeigt betroffene Benutzer und Geräte an und bietet Handlungsempfehlungen, um den Angriff zu unterbrechen und zukünftige Angriffe zu verhindern.
Defender for Identity bietet auch erweiterte Jagdfunktionen durch die Nutzung der KQL-Abfragen in Microsoft Defender. Diese Funktion ermöglicht es Sicherheitsteams, detaillierte Analysen durchzuführen und zusätzliche Informationen über verdächtige Aktivitäten zu sammeln. Das kann besonders nützlich sein, um komplexe Bedrohungen zu identifizieren und deren Ursprung und Auswirkungen zu verstehen.
Überwachung von Active Directory mit Microsoft Defender for Identity
Microsoft Defender for Identity bietet durch seine Funktionen eine umfassende Lösung zur Überwachung und Sicherung von Active Directory. Die Überwachung von AD ist aus mehreren Gründen wichtig. Erstens ist AD oft das primäre Ziel von Angriffen, da ein erfolgreicher Angriff auf AD einem Angreifer nahezu unbegrenzte Möglichkeiten zur Kompromittierung des gesamten Netzwerks bietet. Angreifer können administrative Rechte erlangen, sich lateral durch das Netzwerk bewegen und sensible Daten extrahieren oder Systeme kompromittieren. Zweitens dauert es nach aktuellen Statistiken nur wenige Minuten, bis ein Angreifer nach dem Erlangen eines Benutzerkontos ein Administratorkonto kompromittiert und möglicherweise Daten stehlen kann. Daher ist eine kontinuierliche Überwachung und sofortige Reaktion auf verdächtige Aktivitäten unerlässlich.
Funktionalitäten von Microsoft Defender for Identity
Microsoft Defender for Identity, früher bekannt als Azure Advanced Threat Protection (Azure ATP) und davor Microsoft Advanced Threat Analytics (ATA), bietet eine Vielzahl von Funktionen zur Sicherung von Active Directory:
Benutzer- und Entitätsverhaltensanalyse (UEBA): Das Tool überwacht kontinuierlich das Verhalten von Benutzern und Entitäten und erstellt Basislinien für normales Verhalten. Abweichungen von diesen Basislinien werden als potenzielle Sicherheitsvorfälle gekennzeichnet.
Erstellung von Berichten: Defender for Identity identifiziert potenzielle Schwachstellen und Fehlkonfigurationen in AD, wie ungesicherte LDAP-Verbindungen, und bietet Empfehlungen zur Verbesserung der Sicherheitslage.
Angriffserkennung: Das Tool erkennt eine Vielzahl von Angriffsmethoden, darunter Brute-Force-Angriffe, Pass-the-Hash, Golden Tickets und Skeleton Keys. Es bietet detaillierte Berichte über die Angriffskette und ermöglicht es Sicherheitsteams, den gesamten Verlauf eines Angriffs nachzuvollziehen.
Integration und Automatisierung: Microsoft Defender for Identity integriert sich nahtlos in die Microsoft 365 Defender Suite und ermöglicht eine automatisierte Reaktion auf erkannte Bedrohungen. Dies umfasst die Möglichkeit, betroffene Konten zu deaktivieren oder Passwörter zurückzusetzen, um die Ausbreitung eines Angriffs zu stoppen.
Die Bereitstellung von Microsoft Defender for Identity beginnt mit der bereits erwähnten Installation von Sensoren auf Domain Controllern. Diese Sensoren sammeln und analysieren kontinuierlich Daten, um verdächtiges Verhalten zu erkennen. Microsoft Defender for Identity ist ein integraler Bestandteil der Extended Detection and Response (XDR)-Lösung von Microsoft. Diese Lösung kombiniert Daten aus verschiedenen Quellen wie Defender for Endpoint, Defender for Office und Microsoft Sentinel, um ein umfassendes Sicherheitsbild zu erstellen. Durch die Integration von Cloud- und On-Premises-Sicherheitslösungen bietet Defender for Identity eine ganzheitliche Sicht auf die Sicherheitslage und unterstützt Unternehmen dabei, sowohl aktuelle als auch zukünftige Bedrohungen effektiv zu managen und abzuwehren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Microsoft Defender for Identity verwalten
Nach dem Buchen des Dienstes, oder dem Abschluss einer Testumgebung, kann Microsoft Defender for Identity im Microsoft Defender Admin Center verwaltet werden. Dieses steht über die URL security.microsoft.com zur Verfügung. Lizenzen für die Absicherung der Benutzer können direkt im Microsoft 365 Admin Center (admin.microsoft.com) bei "Abrechnung -> Ihre Produkte -> Microsoft Defender for Identity -> Lizenzen zuweisen" an die einzelnen Benutzer gebunden werden.
Im Microsoft Defender Admin Center (security.microsoft.com) erfolgt die weitere Einrichtung des Dienstes über "Einstellungen -> Identitäten". Im ersten Schritt legt der Assistent einen Arbeitsbereich für Microsoft Defender for Identity an. Die Verwaltung des Dienstes lässt sich dann an dieser Stelle erledigen. Hier kann man im Anschluss über "Sensor Hinzufügen" auch das Installationsprogramm für Windows-Server herunterladen. Es kann eine Weile dauern, bis alle Bereiche des Dienstes eingerichtet sind. Erst wenn der Schlüssel für den jeweiligen Sensor vorhanden ist, kann der Sensor auf einem Domänencontroller installiert werden. Auf dem Domänencontroller ist für den Betrieb des Dienstes ein Group Managed Service Account (GMSA) notwendig. In den Gruppenrichtlinien muss darüber hinaus noch bei der Standard-Richtlinie für Domänencontroller ein Eintrag erfolgen. Die Einstellungen sind im verlinkten Text zu finden.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/45/d7/45d7645b047826541f3c6a673e30c5a7/0120517944v2.jpeg "Microsoft Defender for Identity lässt sich direkt im Microsoft 365 Admin Center buchen und hier lassen sich auch Lizenzen zuweisen.(Bild: Microsoft / Joos)")
:quality(80)/p7i.vogel.de/wcms/91/18/911855e989c48a657904f655f6e52b5d/0120517941v2.jpeg "Zuweisen von Lizenzen für die Verwendung von Microsoft Defender for Identity.(Bild: Microsoft / Joos)")
:quality(80)/p7i.vogel.de/wcms/28/5f/285fd812dc8814ab6a92f4af75bedbed/0120517943v2.jpeg "Die Verwaltung von Microsoft Defender for Identity erfolgt im Microsoft Defender Admin Center.(Bild: Microsoft / Joos)")
:quality(80)/p7i.vogel.de/wcms/bd/ca/bdcab3acad951512e17a9a6de21d139e/0120517942v2.jpeg "Einrichten von Microsoft Defender for Identity im Microsoft Defender Admin Center.(Bild: Microsoft / Joos)")
:quality(80)/p7i.vogel.de/wcms/4d/5c/4d5c866a342740ebd31929c994e4c17f/0118693876v2.jpeg "Mit Microsoft Entra ID Protection lassen sich Benutzerkonten in Azure AD/Entra ID vor Phishishing-Angriffen, unberechtigten Zugriffen und anderen Risiken schützen. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/31/6931be0911c17aed55cedaf1829e7463/0116151366.jpeg "Mit Azure Backup ist es möglich, komplette Server mit allen Daten und inklusive Active-Directory-Datenbanken in die Cloud zu sichern – und das bis zu drei Mal täglich. (Bild: © Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2a/74/2a744a860c59c0f48135973a2749cd83/0120155257v2.jpeg "Microsoft Entra Permissions Management überwacht und steuert Berechtigungen in Cloud-Infrastrukturen und erkennt dort automatisch überflüssige und exzessive Berechtigungen. (Bild: Rawf8 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/7a/1b7a95b4cf69e0eda16d22095d5a2148/0120083922v1.jpeg "Mit Microsoft Entra Verified ID können Benutzer ihre digitalen Identitäten in verschiedenen Kontexten nutzen, zum Beispiel bei Bewerbungen über LinkedIn oder zur schnellen Genehmigung von Anwendungszugriffen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ed/48/ed486a0822a9f675e1d04c36be3a1c15/0124316844v1.jpeg "Die PowerShell bietet Administratoren eine flexible Möglichkeit, die Überwachungsrichtlinien für Defender for Identity effizient zu verwalten und sicherzustellen, dass alle sicherheitsrelevanten Ereignisse im Active Directory erfasst werden.
(Bild: Vittaya_25 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/a2/4fa237fbb0c6f003308eff09e0adce6e/0124369870v1.jpeg "Überwachung und Sicherheit im Active Directory: Durch Gruppenrichtlinien und Tools wie auditpol.exe lassen sich Benutzeraktionen, Richtlinienänderungen und Zugriffe auf Domänencontroller detailliert nachverfolgen – ein zentraler Baustein zum Schutz vor unbefugten Eingriffen. (Bild: KI-generiert)")