Microsoft Defender for Endpoint

Portrait von Martin Schmidli
Von Martin Schmidli

Sie blicken in den Rückspiegel, machen korrekt den Seitenblick und trotzdem wird es beim Abbiegen plötzlich brandgefährlich – ein E-Bike ist im toten Winkel angebraust. Ein ähnliches Szenario kann in Ihrer Unternehmens-IT schneller auftreten, als Sie denken. Wir erklären Ihnen, wie sie tote Blickwinkel und blinde Flecken besser aufspüren und überblicken. 

Warum sollten Sie einen Blick auf Microsoft Defender for Endpoint werfen? 

Microsoft Defender for Endpoint (ehemals Microsoft Defender Advanced Threat Protection) ist eine cloudbasierte Plattform, welche es ermöglicht, Bedrohungen für Informatik-Systeme zu erkennen, zu verhindern, Zwischenfälle zu untersuchen und entsprechende Gegenmassnahmen einzuleiten.  

Microsoft Defender for Endpoint (MDE) ist die zentrale Anlaufstelle für gerätespezifische Sicherheitsvorfälle und Sicherheitslücken. Sicherheitsmeldungen, beispielsweise von Microsoft Defender Antivirus, werden zentral gesammelt, analysiert und anschliessend wird darauf reagiert. Ausserdem zeigt ein zentrales Dashboard dem Administrator jederzeit einen schnellen Überblick über die aktuelle Bedrohungslage im Unternehmen.  

dashbord

MDE unterstützt alle gängigen Plattformen, die wir heute in einem KMU Umfeld antreffen. Windows (Clients und Server), Mobile (iOS, Android) sowie macOS und Linux können in das System eingebunden werden. Nebst klassischen Geräten mit Windows oder sonstigen Betriebssystemen können wir ebenso Netzwerkgeräte wie beispielsweise Switches und Firewalls bekannter Hersteller einbinden und deren Sicherheitslücken analysieren lassen. So werden blinde Flecken in der Unternehmenssicherheit schnell aufgespürt und beseitigt. 

Kannibalisiert MDE meine bereits eingesetzte Antivirenlösung? 

Nein. MDE bietet viel Flexibilität und ergänzt die eingesetzte Antivirenlösung. So bietet sich dem Administrator eine zentrale Übersicht an Sicherheitsvorfällen, welche Endgeräte melden. Mithilfe des Dashboards erhält die IT-Abteilung eine Liste der Vorfälle, kann den Gesundheitszustand des Systems prüfen und Aktionen auf dem Endgerät ausführen. Eine mögliche Aktion ist beispielsweise der Start eines Gerätechecks oder die komplette Isolation des Systems aus dem Netzwerk, wenn der Verdacht aufkommt, dass das Gerät kompromittiert ist. 

MDE setzt nicht voraus, dass ein Unternehmen Microsoft Defender Antivirus als Antiviren-Lösung einsetzt. Microsoft empfiehlt aber ganz klar die Kombination der beiden Lösungen, da diese Systeme optimal aufeinander abgestimmt wurden. 

Mehr Informationen zu dieser Kombination finden Sie auf der Website von Microsoft.

Welche Schwachstellen werden in meinem System erkannt? 

Ist ein Gerät eingebunden, analysiert MDE die jeweiligen Schwachstellen des Systems. Diese reichen vom fehlenden Windows Update Patch über eine in einem Programm existierende Sicherheitslücke (Log4j) bis hin zum Erkennen, dass eine nicht optimale Konfiguration des Systems vorliegt. Beispielsweise wenn SMBv1 noch aktiviert ist.  

SicherheitsempfehlungGenerierte Sicherheitsempfehlungen aus dem Dashboard für die Clients.

Mitgeliefert werden die entsprechenden CVE IDs (Common Vulnerabilities and Exposures). Aufgrund dieser Erkennung gibt das System Empfehlungen ab, was der Administrator unternehmen kann, um diese Sicherheitslücken zu schliessen. Einige Sicherheitslücken kann das System sogar selbstständig schliessen. Ein Klick auf „Remediation“ im Portal genügt und MDE versucht das Problem mittels von Microsoft definierten Prozessen zu beheben. 

Handlungsempfehlung

Detailbeschreibung des CVE im Dashboard mit Empfehlungen für den Administrator. 

Sag nicht, dein System sei sicher, wenn du nicht weisst, was es überhaupt beschützt 

Im Security Engineering Umfeld gibt es einen wichtigen Grundsatz, den ein Unternehmen befolgen sollte: Will man sein IT-System schützen, muss zuerst klar sein was es alles zu schützen gibt. Konkret muss ein Administrator wissen, welche Geräte sich im Netzwerk befinden und welchen Softwarestand diese aufweisen. 

Ein manuell geführtes IT-Inventar stösst in einem KMU schnell an seine Grenzen. Sofort geht ein Switch vergessen oder das neuste Softwareupdate wird nicht vermerkt. Abhilfe schafft hier ein automatisierter Prozess. 

Nebst einem ungenügenden Inventar kommt es leider immer wieder zu einer Art «Schatten-IT». Schatten-IT beschreibt Hardware und Software, welche nicht von der Informatik-Abteilung der jeweiligen Firma beschafft und verwaltet wird. Die Erfahrung zeigt, dass dies auch in grösseren Unternehmen (Mitarbeiteranzahl 500+) passieren kann. Die angeschaffte Hardware oder auch Software schafft es dann selten in das IT-Inventar, oft hat die Informatik-Abteilung keinerlei Wissen über die Beschaffung. Dieser Fakt erschwert es, bei neuen bekannten Sicherheitslücken zu reagieren. Die Geräte sind nicht zentral verwaltet, das Inventar ist ungenügend oder nicht mehr aktuell. Wie sollen wir also diese Systeme aktualisieren und schützen? 

MDE greift genau diesen Punkt auf und ermöglicht es mit einem Netzwerk-Scan, solche nicht verwalteten Systeme aufzuspüren. Der Administrator kann im zentralen Dashboard einen Suchlauf starten. Durch das Hinterlegen von beispielsweise SNMP-Anmeldedaten können wir Drucker, Firewalls und Switches einbinden. MDE analysiert hier die Zielsysteme analog den Computern und gibt Empfehlungen ab. MDE unterstützt hier eine lange Liste an bekannten Herstellern darunter Cisco (IOS) und HP (Aruba, ProCurve). 

Umfassend und doch übersichtlich 

Microsoft ergänzt die MDE Plattform sehr schnell mit Informationen zu den neusten bekannten Sicherheitslücken. Ein zentrales Dashboard ermöglicht es dem Administrator auf einen Blick zu sehen, ob es Systeme gibt, die aktuell bedroht sind. Kommt es zu globalen Sicherheitsvorfällen, wie es bei der kürzlich bekanntgewordenen Lücke «Log4j» der Fall war, schaltet Microsoft separate Reports und Warnhinweise auf.  

Die Systeme erhalten jeweils eine Sicherheitsbewertung. Aufgrund dieses Rankings wird sehr schnell ersichtlich, wo es noch Verbesserungspotenzial gibt. Ähnlich dem Microsoft 365 Tenant Secure Score gibt es im Security-Center-Umfeld den Exposure Score, wo das Unternehmen eine aktuelle Bewertung in verschiedenen Kategorien wie beispielsweise Netzwerk und Identity erhält. 

MDE als mächtiges Tool für einen Sicherheitsüberblick 

Mit Microsoft Defender for Endpoint hat Microsoft ein unglaublich mächtiges Tool geschaffen. Die Daten, welche von den Endgeräten gesammelt werden, werden in Echtzeit analysiert und entsprechende Massnahmen werden sofort eingeleitet. Durch die Entdeckungsmassnahmen können alle IT-Systeme eingebunden werden, damit man sich schnell einen Überblick über die IT-Landschaft verschaffen kann. Schwachstellen werden erkannt und Massnahmen zu deren Behebung werden aufgeführt. Die Planung und der Schutz der Umgebung werden dadurch vereinfacht.  

Die SmartIT setzt Microsoft Endpoint for Defender beim Managed Service „SmartWorkplace Cloud“ ein. In der Ausprägung „Professional“ nutzen wir MDE, um Ihren Arbeitsplatz noch sicherer zu machen. Zwischenfälle werden von unseren Technikern analysiert und aufgrund der Schwachstellenanalysen werden unsere Sicherheitsprofile nach und nach verbessert. 

Detailliertere Informationen zu unserem SmartWorkplace-Angebot finden Sie unter: https://www.smartit.ch/portfolio/smartworkplace 

Brauchen Sie Unterstützung bei der Einführung von MDE? Zögern Sie nicht, uns zu kontaktieren. Durch den Einsatz bei unseren bestehenden Kunden (Client & Server) können wir Sie bei allen Fragen rund um MDE unterstützen.