Microsoft Defender for ...

Seit Jahrzehnten schützen wir unsere OnPremises Systeme mit Firewalls, Virenscanner, IDS-Systemen und mit der Verlagerung verschiedener Dienste in die Cloud Cloud muss nun der Cloud-Anbieter einen Teil der Funktionen übernehmen. Das betrifft nicht nur den Schutz und das Scannen von in der Cloud abgelegten Daten sondern auch übertragenen Informationen und aktiven Schutz gegen Angriffe und die Bewertung der Sicherheit. Microsoft ist hier nicht untätig und hat die Produktreihe lange als "Advanced Threat Protection - ATP" geführt. Mittlerweile gibt es noch weitere Produkte und der neue Gruppenname ist nun "Microsoft Defender". Unter dem Namen "Microsoft Defender" kennen viele Administratoren und Anwender den Desktop Virenscanner.

Übersicht

Ich versuche hier die verschiedenen Produkte und ihren Einsatzbereich zu aufzulisten.

Produkt Lizenz (Stand 19.3.2022) Einsatzbereich

Microsoft Defender for Office 365
https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/overview

  • EOP
  • Plan1
  • Plan2

Wem der "normale" Spam- und Virenschutz von Exchange Online Protection nicht reicht, kann mit "Microsoft Defender for Office 365" weitere Schutzoptionen aktivieren.

Microsoft Defender for Identity
https://docs.microsoft.com/en-us/defender-for-identity/what-is

Microsoft Defender for Identity
https://www.microsoft.com/en-us/security/business/threat-protection/identity-defender

  • M365 E5
  • EMS E5
  • Einzelprodukt über Marketplace

Überwacht diverse Aktivitäten im lokalen Active Directory mit einem Agent auf jedem Domain Controller und ggfls. ADFS-Server, um Angriffe und ungewöhnliche Vorgänge zu protokollieren.

Microsoft Defender for Endpoint
https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint

  • Endpoint Plan1
  • Endpoint Plan2

Enterprise Schutz für Clients. Quasi die "Unternehmensversion" des klassischen Windows Virenscanners mit erweitertem Funktionsumfang.

Erkennung und Reaktion auf Bedrohungen: Azure Sentinel und Microsoft 365 Defender
https://www.youtube.com/watch?v=5kGN6qvj5i8

Microsoft Defender for Business
https://docs.microsoft.com/de-de/microsoft-365/security/defender-business/mdb-overview
  • M365 Business Premium

Vergleichbar zum "Microsoft Defender for Endpoint" aber für Kunden von M365 Business (bis 300 Anwender)

Vergleichen von Microsoft Defender for Business mit Microsoft Defender für Endpunktpläne 1 und 2
https://docs.microsoft.com/de-de/microsoft-365/security/defender-business/compare-mdb-m365-plans?view=o365-worldwide#compare-microsoft-defender-for-business-to-microsoft-defender-for-endpoint-plans-1-and-2

Enterprise Grade Protection for Small & Medium Businesses | Microsoft Defender for Business
https://www.youtube.com/watch?v=umhUNzMqZto

 

Microsoft Defender for Endpoint Server

  • Mind. 50 Defender for Endpoint erforderlich
  • (EA/EAS/SCE)

Damit bekommt auch ihre Windows Server einen Malware-Scanner für Dateien aber auch Prozesse.

Microsoft Defender for Cloud Apps
https://docs.microsoft.com/en-us/defender-cloud-apps/what-is-defender-for-cloud-apps

  • M365 E5
  • M365 E5 Security
  • M365 E5 Compliance
  • EMS E5

 

Microsoft Defender for Cloud
https://docs.microsoft.com/en-us/azure/defender-for-cloud/defender-for-cloud-introduction

Microsoft Defender for Cloud pricing
https://azure.microsoft.com/en-us/pricing/details/defender-for-cloud/

Der frühere Name für dieses Produkt war "Azure Security Center" und "Azure Defender". Ein wichtiger Aspekt ist der "Security Score", mit dem Sie sehr schnell die Sicherheit bewerten können.

Microsoft Defender for Cloud ist Quasi der Überbegriff für die weiteren Defender-Dienste in der Cloud.

Microsoft Defender for SQL
Microsoft Defender for Azure SQL database servers
Microsoft Defender for SQL servers on machines
https://docs.microsoft.com/en-us/azure/defender-for-cloud/defender-for-sql-introduction

13,49€/Instanz

Überwacht die SQL-Server und Datenbankzugriffe, um "suspekte" Aktionen zu melden. Zudem werden die Server auf Sicherheitslücken überwacht.

Microsoft Defender for Storage
https://docs.microsoft.com/en-us/azure/defender-for-cloud/defender-for-storage-introduction

?

 

Microsoft Defender for servers
https://docs.microsoft.com/en-us/azure/defender-for-cloud/defender-for-servers-introduction

?

 

Microsoft Defender for Containers
https://docs.microsoft.com/en-us/azure/defender-for-cloud/defender-for-containers-introduction

6,18€/vKern/Monat

 

Microsoft Defender for App Service
https://docs.microsoft.com/en-us/azure/defender-for-cloud/defender-for-app-service-introduction

13,13€/AppService/Monat

 

Microsoft Defender for Key Vault
https://docs.microsoft.com/en-us/azure/defender-for-cloud/defender-for-key-vault-introduction

0,02€/10000 Transaktionen

 

Microsoft Defender for Resource Manager
https://docs.microsoft.com/en-us/azure/defender-for-cloud/defender-for-resource-manager-introduction

Siehe Defender for Cloud

 

Microsoft Defender for DNS
https://docs.microsoft.com/en-us/azure/defender-for-cloud/defender-for-dns-introduction

0,61€/1Mio Anfragen

Überwacht ausgehende DNS-Abfragen ihrer Azure-Services um Unregelmäßigkeiten zu erkennen, z.B. besonders viele Abfragen, die einen Hinweis auf einen DNS-Tunnel sein könnten oder generell die abgefragten DNS-Namen, die vielleicht als C&C-Server aufgefallen sind

Microsoft Defender for open-source relational databases
https://docs.microsoft.com/en-us/azure/defender-for-cloud/defender-for-databases-introduction

13,49€/Instanz

Versucht in Azure als PaaS-gehostete PostgreSQL, MySQL, MariaDB-Datenbanken auf suspekte Aktivitäten zu Überwachen.

Microsoft Defender for Azure Cosmos DB
https://docs.microsoft.com/en-us/azure/defender-for-cloud/concept-defender-for-cosmos

?

Die Azure Cosmos DB Dienste generieren laufend Telemetrie-Dsaten, die für manuelle Analysen gespeichert werden. Mit Microsoft Defender for Azure Cosmos DB werden diese Daten kontinuierlich evaluiert, um Alarme zu generieren.

Microsoft Defender for IoT
https://docs.microsoft.com/en-us/azure/defender-for-iot/overview

126€/100 Geräte/Monat
1,52€/100 Geräte/Jahr

Früherer Name "Azure Defender for IoT".

Microsoft Defender for Kubernetes

Abgekündigt

 

Microsoft Defender for ACR

Abgekündigt

 

Microsoft Defender für Resource Manager
Microsoft Defender for ARM
https://docs.microsoft.com/de-de/azure/defender-for-cloud/defender-for-resource-manager-introduction

 

 

Microsoft Defender for Key Vault
https://docs.microsoft.com/en-us/azure/defender-for-cloud/defender-for-key-vault-introduction

 

 

Microsoft Defender for App Service
https://docs.microsoft.com/en-us/azure/defender-for-cloud/defender-for-app-service-introduction

 

 

Einschätzung

Ich bin hin- und hergerissen. Auf der einen Seite kann ich ja verstehen, dass Microsoft etwas Geld dazuverdienen will. Auf der anderen Seite hat es natürlich einen fahlen Beigeschmack, wenn die meisten Systeme heute schon Telemetriedaten liefern oder einen Basisschutz (EOP, Defender-AV) liefern aber erst mit einer Zusatzlizenz erweiterte Funktionen verfügbar werden. Das durchaus interessante "Microsoft Defender for Identity" zur Überwachung lokaler Active Directory DCs ist sogar nur in der EMS E5/ M365 E5-Lizenz enthalten und anscheinend nicht losgelöst zu kaufen.

Bei Sicherheit geht es ja um grundlegende Schutzfunktionen, von denen nicht nur der Kunde/Käufer etwas hat, sondern auch der Hoster. Schließlich könnte eine korrumpierte Instanz auch den Hoster in Verruf bringen. Aber natürlich kann er dem Kunden mehr Bandbreite, mehr CPU-Last und mehr Storage auch in Rechnung stellen.

Wer die Sicherheit der eigenen Systeme und genutzter Plattformen erhöhen muss, kann mit Defender für fast jede Workload einen Baustein dazu lizenzieren. Die Kosten-Nutzen-Rechnung müssen Sie selbst anstellen.

Weitere Links