Defender for Endpoint
Für die einen ist es der "feuchte Traum des Innenministers", für den anderen das Schreckgespenst einer Orwellschen Totalüberwachung. Mit Windows Defender kann jeder Windows PC recht gut gegen Viren geschützt werden. Sobald aber die Zusatzfunktion "Defender ATP" aktiviert wurde, mutiert das Modul zu einer umfangreichen Analyse, Report und Schutzfunktion.
Hinweis: Windows Defender gibt es als Plan1 und Plan2 separat zu kaufen und ist in Microsoft 365 E3 (Plan 1) und E5 (Plan 2) enthalten
Für Firmen imt 300 oder weniger Benutzern
ist Defender for Business interessant.
Microsoft Defender
for ...
- Introducing Microsoft Defender for
Endpoint Plan 1
https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/introducing-microsoft-defender-for-endpoint-plan-1/ba-p/2636641 - Microsoft Defender for Endpoint Plan 1
Now Generally Available
https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/microsoft-defender-for-endpoint-plan-1-now-generally-available/ba-p/2966231 - Microsoft Defender Antivirus
compatibility with other security products
https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-antivirus-compatibility?view=o365-worldwide
Erkennung und Reaktion
auf Bedrohungen: Azure
Sentinel und Microsoft 365
Defender
https://www.youtube.com/watch?v=5kGN6qvj5i8
Was kommt dazu?
Die Basisfunktion des Virenschutz bleibt natürlich erhalten. Aber schon bei den Pattern-Updates, die wie bisher per Windows Update kommen, sehen Sie ein Unterschied in der Benennung:
Der Name "Security Intelligence" ist ein Hinweis darauf, dass hier nicht nur der einfache "Defender" seine Arbeit tut. Im Hintergrund überwacht Defender ATP nicht nur Dateisysteme auf Viren sondern.
- Analysiert den Start von Prozessen
- Erfasst Netzwerkübertragungen
- Kann Netzwerkübertragungen blocken
Lizenzbedarf
Die Funktion Windows Defender ATP ist Bestandteil von folgenden Paketen:
- Microsoft 365 E5
- Microsoft 365 E5 Security AddOn
- Windows 365 E5
Es gibt auch eine Test-Version
https://www.microsoft.com/de-de/microsoft-365/windows/microsoft-defender-atp
Auswerten
Die Daten der Clients werden zu Microsoft übertragen und sind über unterschiedliche URLs zu erreichen. Über die Cloud App Security unter https://portal.cloudappsecurity.com/#/dashboard erreichen Sie den Einstiegpunkt. Die Daten sind natürlich auch in anderen Portalen wie https://securitycenter.windows.com/. Links sehe Sie die Vorfilterung nach Apps, IP-Adresse, Benutzer oder Computer. Das Dashboard zeigt einen Überblick über alle Clients.
Wenn Sie dann z.B. über "Machines" einen bestimmten Computer auswählen, sehen Sie sehr genau, welcher Datenmengen übertragen wurden.
Über "Apps" können sie auch die Ziele analysieren. Microsoft liefert hier sogar einen "Score" zu den verschiedenen Cloud-Diensten mit. Schließlich ist dies auch eine Möglichkeit gegen eine "Schatten IT" vorzugehen. Es gibt durchaus Gründe, warum Benutzer verschiedene Dienste nicht verwenden dürfen:
Über die Aktionen kann der Administrator hier auch direkt eine App verbieten.
Beachten Sie, dass das englische "Sanctioned" nicht mit dem deutschen "sanktionieren" verwechselt werden darf. Die Bedeutung ist gerade umgekehrt "Sanctioned" bedeutet "heiligen", d.h. zulassen.
Einschätzung
Zwei Herzen schlagen in meiner Brust. Jede Erfassung von Daten hilft natürlich bei der Suche nach Fehlern und Missbrauch und unterstützen bei Einbrüchen die Verfolgung von Spuren und Eingrenzung der betroffenen Systeme. In gewissen Umfeldern sind solche Protokolle sogar zwingend. Aber selbst eine "normale" Firma hat durch "Defender ATP" und die Cloud neue Möglichkeiten, die bislang allein aufgrund dem Aufwand für eigene Server und den Betrieb nicht umgesetzt wurden.
Es bleibt aber die Herausforderung genau zu steuern, wer diese Werkzeuge denn anwendet. Microsoft nutzt diese Daten im Verbindung mit dem Security Center um auf Probleme und Events mit entsprechenden Details aufwarten zu können. Es bedarf aber schon speziell geschulter und unterwiesener Personen, damit die Daten nicht falsch verwendet werden. Ich bin sicher, dass auch Mitbestimmungsorgane nicht nicht außenvorgelassen werden.
Aus meiner Sicht ist Defender ATP kein Spielzeug sondern ein effektives und erforderliches Arbeitsmittel, um die Sicherheit eines Netzwerk besser zu erreichen. Es funktioniert ohne Mithilfe von Switches, Routern, Firewall auch i Homeoffice und kleinen Niederlassungen
Aber aus meiner Sicht fehlt noch eine wichtige Funktion, die mit Office 365 und anderen Cloud-Diensten sehr nützlich wäre Es reicht nicht nur die Dienste, IP-Adressen und das Volumen zu erfassen. Mich würde insbesondere die Latenzzeit interessieren, d.h. wie lange sind die Daten zur Cloud unterwegs sind. So könnte man "langsame" Verbindungen und Standorte viel einfacher ermitteln.
Weitere Links
- Endpoint Security
- https://portal.cloudappsecurity.com/#/dashboard
-
M365 Defender
https://Aka.ms/m365d -
Microsoft Defender Antivirus compatibility with other
security products
https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-antivirus-compatibility?view=o365-worldwide - Microsoft Defender Advanced Threat
Protection
https://www.microsoft.com/en-us/microsoft-365/windows/microsoft-defender-atp - Introducing Microsoft Defender for Endpoint Plan 1
https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/introducing-microsoft-defender-for-endpoint-plan-1/ba-p/2636641 - Microsoft Defender for Endpoint Plan 1 Now Generally Available
https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/microsoft-defender-for-endpoint-plan-1-now-generally-available/ba-p/2966231 - Microsoft Defender Advanced Threat
Protection
https://docs.microsoft.com/de-de/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection - IT-Sicherheit für alle Plattformen:
Windows Defender ATP für Linux, MacOS, iOS
und Android verfügbar
https://news.microsoft.com/de-de/windows-defender-atp/ - Microsoft soll Linux-Version von Windows
Defender ATP für 2020 planen
https://www.heise.de/security/meldung/Microsoft-soll-Linux-Version-von-Windows-Defender-ATP-fuer-2020-planen-4584609.html - BLOCK IT - URL und Domain Blocking mit
Microsoft DefenderATP (MDATP) oder Microsoft
Cloud App Security (MCAS)
https://emptydc.com/2020/01/27/block-it/
BSI: Die Lage der IT-Sicherheit in Deutschland 2018
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2018.pdf?__blob=publicationFile&v=6