Die richtigen Grundlagen für effektives Monitoring

Wenn Sie sich dafür entscheiden, Ihre Netzwerke und Systeme mit einem Security Monitoring Service rund um die Uhr auf Cyberbedrohungen und -angriffe überwachen zu lassen, profitieren Sie vom Fachwissen und Erfahrungsschatz unseres Expertenteams. Zum Einsatz kommen dabei auch moderne XDR-Technologien, welche ein effektives und vollumfängliches Monitoring möglich machen. Hier erfahren Sie, welche drei Microsoft-Sicherheitsprodukte dafür entscheidend sind und wie sie konkret zur Absicherung Ihrer IT beitragen.

KMU haben unterschiedliche Business- oder Enterprise-Lizenzen von Microsoft abonniert. Oft stellen wir fest, dass wichtige Schutzmechanismen fehlen oder nur teilweise vorhanden sind. Damit wir unseren MDR-Service (Managed Detection and Response) vollumfänglich erbringen und ein hohes Sicherheitsniveau gewährleisten können, sind drei Lizenzen besonders wichtig – sie bilden die Grundlagen für unseren Service:

• Microsoft Entra ID P2
• Microsoft Defender for Office 365 P2
• Microsoft Defender for Endpoint P2

Warum genau diese drei Lizenzen unerlässlich sind und welchen Mehrwert sie für den Schutz Ihrer IT-Infrastruktur bieten, zeigen wir Ihnen im Folgenden anhand von praxisnahen Beispielen.

Mit Microsoft Entra ID verwalten Sie Benutzeridentitäten zentral in der Cloud und steuern den Zugriff auf Microsoft- und Drittanbieter-Dienste. Diese Lösung schützt Ihre Ressourcen und Daten durch sichere Authentifizierung und intelligente, risikobasierte Zugriffsrichtlinien. Dabei sind folgende drei Features echte Pluspunkte:

Identity Protection: Das A und O der digitalen Identitätssicherheit

Diese Funktion hilft, digitale Identitäten aktiv vor Diebstahl und Missbrauch zu schützen, indem sie verdächtige Aktivitäten mithilfe von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) erkennt und automatisierte Sicherheitsmassnahmen auslöst.

Verdächtige Aktivitäten sind z.B.

• Impossible Travel: Ein Nutzer meldet sich innerhalb kurzer Zeit aus zwei weit entfernten Ländern in Ihrem Unternehmensnetzwerk an. Da die Distanz nicht mit einem normalen Flug zurückgelegt werden kann, stuft das System dies als riskant ein.

• Risky Users: Ein Benutzer meldet sich aus einem ungewöhnlichen oder riskanten Land an, in dem er normalerweise nicht arbeitet. Identity Protection bewertet dies als verdächtige Aktivität.

• Anonymous IP Address Usage: Ein Benutzer meldet sich mit seinem Unternehmensaccount über einen Anonymisierungsdienst an. Da Angreifer oft solche Dienste nutzen, um ihre Identität zu verschleiern, stuft Identity Protection diese Anmeldung als riskant ein.

All diese Risiken lösen eine Warnmeldung und je nach Richtlinie unterschiedliche Reaktionen aus (automatisch und/oder manuell): Zugriff blockieren, Multi-Faktor-Authentifizierung (MFA) verlangen, Kennwortänderung erzwingen etc. Die Daten aus Identity Protection können zur Archivierung, zur weiteren Untersuchung und für den Abgleich mit anderen Vorkommnissen in andere Tools exportiert werden.

Extra-Tipp: Hier finden Sie eine Übersicht der Risiken, die Microsoft Entra Identity Protection erkennt und bewertet.

Privileged Identity Management (PIM): Der Schlüssel zu sicheren Administrator-Zugriffen

PIM hilft, privilegierte Zugriffe zu steuern und aktiv vor Missbrauch oder unbefugter Nutzung zu schützen. Da dauerhafte Admin-Rechte ein hohes Risiko bedeuten, werden administrative Rechte nur bei Bedarf vergeben. Die Aktivierung wird überwacht und automatisierte Sicherheitsmassnahmen wie Genehmigungsprozesse oder Multi-Faktor-Authentifizierung werden ausgelöst.

PIM schützt vor:

• Kompromittierten Admin-Accounts: Wenn sich ein Angreifer Zugang zu einem Admin-Konto verschafft (z. B. durch Phishing), kann er sich mit PIM nicht sofort in der internen Umgebung ausbreiten.

• Missbrauch durch Insider: Admins oder andere privilegierte Nutzer können nicht ohne Nachweis oder Genehmigung kritische Änderungen vornehmen. Jede Aktivierung wird protokolliert.

• Fehlbedienung und menschliche Fehler: Da Admin-Rechte nur bei Bedarf aktiv sind, verhindert PIM, dass jemand aus Versehen falsche Konfigurationen oder Löschungen vornimmt.

Pluspunkt: Diese Nachvollziehbarkeit und Kontrolle über privilegierte Zugriffe wird in vielen Sicherheits- und Datenschutzstandards (z. B. ISO 27001, NIS2, CIS Controls) gefordert.

Conditional Access (CA): Mehr Kontrolle, weniger Risiko

Auch diese Sicherheitsfunktion erlaubt den Zugriff auf Anwendungen und Daten nur unter bestimmten Bedingungen. Unternehmen können damit Richtlinien definieren, die z. B. den Standort, das Gerät, das Risiko des Anmeldeversuches oder die Authentifizierungsmethode berücksichtigen.

• Beispiel Standort: Der Zugriff auf Unternehmensdaten wird nur aus dem Firmennetzwerk bzw. via geschützten Fernzugriff (VPN) erlaubt.

• Beispiel Gerät: Eine Anmeldung ins Netzwerk ist nur von verwalteten, sicheren Firmenlaptops möglich. Zugriffsversuche von anderen Geräten werden blockiert.

• Beispiel Authentifizierung: Ein Zugriff auf hochsensible Anwendungen wie Finanz- oder HR-Systeme ist nur mit MFA möglich.

Schützen Sie Ihre Outlook-E-Mails und kollaborativen Tools wie Microsoft Teams vor Phishing, Schadcode, Ransomware und gezielten Angriffen. Die P2-Version bietet Dank automatisierter Bedrohungserkennung und tiefgehender (KI-)Analysen einen hohen proaktiven Schutz vor gezielten und komplexen Angriffen.

Die wichtigsten Vorteile des Defender for Office 365 Plan 2 sind:

Advanced-Anti-Phishing: Intelligente Bedrohungserkennung auf höchstem Niveau

Phishing-Angriffe gehören zu den grössten Bedrohungen für Unternehmen. Moderne, fortschrittliche Angriffe umgehen die klassischen Schutzmassnahmen. Das Advanced Anti-Phishing-Feature schützt Unternehmen, indem es Absenderverhalten analysiert, betrügerische Domains erkennt und vor verdächtigen E-Mails warnt – bevor sie Schaden anrichten.

Typische Phishing-Szenarien, die mit Advanced-Anti-Phishing erkannt werden können:

• Gefälschte CEO-Mail, z.B. Business Email Compromise (BEC): Ihre Buchhaltung erhält eine E-Mail von Ihrem vermeintlichen Geschäftsführer mit der Bitte um eine dringende Überweisung an einen Lieferanten. Die Absenderadresse wirkt auf den ersten Blick legitim, aber Advanced Anti-Phishing erkennt die Täuschung anhand von Verhaltensmustern und warnt den Empfänger.

• Login-Falle durch gefälschte Microsoft-365-Seite: Eine Mitarbeiterin erhält eine E-Mail mit dem Hinweis, dass ihr Microsoft 365-Passwort bald abläuft. Der enthaltene Link führt auf eine täuschend echt nachgebaute Anmeldeseite. Das System erkennt den Betrug, da die Domain nicht mit den echten Microsoft-Servern übereinstimmt, und blockiert die Nachricht.

• Lieferantenbetrug durch manipulierte Rechnungen: Ein Unternehmen erhält eine Rechnung eines angeblichen Lieferanten mit geänderter Bankverbindung. Advanced Anti-Phishing erkennt, dass sich die E-Mail-Domäne nur minimal von der echten unterscheidet (z.B. @muster-firma.com anstatt @musterfirma.com) und verhindert so, dass Gelder an Cyberkriminelle fliessen.

Campaign-View: Bedrohungskampagnen erkennen, verstehen und abwehren

Die Campaign View ist eine Funktion zur Analyse und Nachverfolgung von gezielten Phishing- und Malware-Kampagnen. Sie nutzt grosse Datenmengen aus der ganzen Microsoft-365-Sicherheitsinfrastruktur, um Angriffskampagnen auf Ihre Organisation frühzeitig zu identifizieren.

Die wichtigen Funktionen der Campaign View:

• Angriffswege nachvollziehen: Campaign View zeigt, welche Benutzer in der Organisation betroffen sind, wie viele E-Mails zugestellt oder blockiert wurden und welche Schutzmechanismen gegriffen haben.

• Indikatoren der Kampagne: Sicherheitsverantwortliche können Details wie Absender, Links, Anhänge und Taktiken der Angreifer einsehen.

• Reaktionsmöglichkeiten: Auf Basis der Kampagnenanalyse können Administratoren Massnahmen ergreifen, z. B. schädliche E-Mails unter Quarantäne stellen oder betroffene Benutzer informieren.

Attack Simulation Training: Ihr Team als menschliche Firewall

Die Attack Simulation Training-Funktion dient dazu, Sicherheitsbewusstsein zu schärfen und Benutzer auf gezielte Phishing- und Social-Engineering-Angriffe vorzubereiten. Hier sind die Kernpunkte:

• Angepasste Angriffe: Admins können realistische Phishing-Angriffe nachstellen, um zu testen, wie Mitarbeitende darauf reagieren. Zu diesem Zweck kann die Organisation eigene Phishing-Szenarien erstellen oder aus einer Bibliothek vorgefertigter Angriffe auswählen.

• Verhaltensanalyse und Schulung: Es wird erfasst, wer auf Phishing-Links klickt, sensible Daten eingibt oder Anhänge öffnet. Nutzer, die auf eine simulierte Phishing-Mail hereinfallen, erhalten direkt gezielte Sicherheitstrainings.

• Berichte und Insights: Detaillierte Analysen zeigen Schwachstellen in der Security Awareness auf und helfen, Massnahmen zu verbessern.

Microsoft Defender for Endpoint schützt Endgeräte und Server vor Cyberangriffen, erkennt Bedrohungen in Echtzeit und stoppt Angriffe frühzeitig. Die Lösung bietet zentrale Überwachung, Schwachstellenmanagement und Gerätekontrolle. Die P2-Version erweitert den Schutz um tiefgreifende Analysen, automatisierte Reaktionen und stellt Funktionen für die Intervention und für forensische Untersuchungen bereit. Zwei nützliche Funktionen:

Defender Timeline: Nachverfolgung von Ereignissen

Die Timeline ist eine detaillierte, chronologische Ereignisübersicht für ein bestimmtes Gerät. Sie erfasst sicherheitsrelevante Aktivitäten (Events) und ermöglicht es IT-Teams, Bedrohungen zu analysieren und ihren Ursprung im System zurückzuverfolgen.

Was zeigt die Timeline?

• Prozess- und Dateiaktivitäten (z. B. gestartete Programme, geänderte Dateien)
• Benutzeranmeldungen (lokal und remote)
• Netzwerkverbindungen (einschliesslich verdächtiger Verbindungen)
• Registry-Änderungen und Service-Installationen
• Sicherheitswarnungen und erkannte Bedrohungen

Defender empfiehlt geeignete Massnahmen oder führt diese automatisch durch – z. B. durch Sperren verdächtiger Sitzungen, Blockieren schädlicher Verbindungen oder Löschen von Malware.

Advanced Hunting: Rohdaten unter der Lupe

Advanced Hunting ist ein leistungsstarkes, abfragebasiertes Tool zur Bedrohungssuche. Es ermöglicht die proaktive, individuelle und gezielte Untersuchung von Netzwerkereignissen über verschiedene Microsoft-Sicherheitslösungen hinweg.

Untersuchungsbeispiele:

IT-Sicherheit ist kein Flickenteppich – einzelne Massnahmen reichen nicht aus, um Unternehmen effektiv vor Cyberangriffen zu schützen.

Unser MDR-Service entfaltet seinen vollen Mehrwert, wenn die richtigen Grundlagen vorhanden sind. Genau deshalb bestehen wir auf die Kombination von Microsoft Entra ID P2, Microsoft Defender for Office 365 P2 und Microsoft Defender for Endpoint P2.

Sie bilden die essenzielle Sicherheitsbasis:

• Entra ID P2 schützt Identitäten und bietet eine leistungsstarke Zugriffsverwaltung.

• Defender for Office 365 P2 sichert E-Mails und Tools zur Kollaboration mit KI-gestützter Bedrohungserkennung und effektiven Abwehrmassnahmen vor Phishing und gezielten Angriffen.

• Defender for Endpoint P2 sorgt für umfassendenEndgeräteschutz durch proaktive Bedrohungserkennung, automatisierte Reaktionen und forensische Analysen zur schnellen Schadensbegrenzung.

Mit diesen Analyse- und Interventionswerkzeugen können wir den Zugriff auf Ihre Systeme und Netze systematisch überwachen, typische Sicherheitsvorfälle rechtzeitig erkennen und im Ernstfall schnell und entschlossen handeln.

Lassen Sie uns gemeinsam dafür sorgen, dass Ihre IT-Umgebung bestmöglich geschützt ist.

Gerne geben wir Ihnen persönlich Auskunft: Ihre Ansprechpartner