Microsoft 365 Threat Protection

 In Office 365, Security

Microsoft investiert jährlich über eine Milliarde US Dollar in die Sicherheit, beschäftigt mehr als 3500 Sicherheitsbeauftragte und entwickelt den immer komplexer werdenden modernen Arbeitsplatz zu einem sicheren Ort für Benutzer.

Microsoft Intelligent Security Graph

Für die Teams bei Microsoft (sowohl im Betrieb als auch in der Entwicklung) beginnt Sicherheit mit dem Microsoft Intelligent Security Graph. Es ist die Plattform, die Microsoft-Sicherheitsprodukte und -dienste antreibt, indem sie erweiterte Analysen verwendet, um Informationen über Bedrohungen und Sicherheitshinweise von Microsoft und Partnern zu verknüpfen, um Cyberbedrohungen zu erkennen und zu mindern.

Die Intelligenz im Intelligent Security Graph stammt von Verbraucher- und kommerziellen Diensten, die Microsoft weltweit betreibt, wie Windows, Office 365 und Azure, wie unten dargestellt. Überall auf den globalen Microsoft  Services scannt Microsoft jeden Monat

  • 400 Milliarden E-Mail-Nachrichten auf Phishing und Malware,
  • verarbeitet 450 Milliarden Authentifizierungen,
  • führt mehr als 18 Milliarden Webseiten-Scans durch und
  • scannt mehr als 1,2 Milliarden Geräte nach Bedrohungen,
  • fast 2,6 Milliarden monatliche einzigartige Scans.
  • Dabei sind mehr als 200 Cloud-Dienste. Wichtig ist, dass diese Daten immer strikte Datenschutz- und Compliance-Grenzen durchlaufen, bevor sie für die Sicherheitsanalysen verwendet werden.
MSFT Intelligent Security Graph

Den modernen Arbeitsplatz schützen

Der moderne Arbeitsplatz ist für das Arbeiten auf mobilen Geräten ausgelegt. Wichtige und sensible Daten wie die Identitäten der Mitarbeiter, Unternehmensanwendungen, Office Anwendungen und andere unternehmenskritische Daten sind von dort aus zugänglich. Daher muss bei der heutigen Arbeitsweise besonders auf die IT-Sicherheit geachtet, Bedrohungen aufgedeckt und Übergriffe abgewehrt werden. Aber es gibt nicht nur einen einzigen Weg für mögliche Cyber Crime Aktivitäten, sondern leider mehrere Angriffsflächen. Beispiele hierfür sind: der Missbrauch von Identitäten bei der Anmeldung im Firmennetzwerk, Phishing durch E-Mail-Anhänge oder gefährliche Links.

Kein einzelner Dienst oder eine einzige Software kann auf allen Angriffsflächen einen Komplettschutz bieten. Deshalb hat Microsoft seine Threat Protection so entwickelt, dass die verschiedenen Angriffsflächen auf mögliche Bedrohungen geprüft und analysiert werden.

Schädliche Ransomware erkennen mit Microsoft 365

Folgende Sicherheitsschranken müsste die Ransomware überwinden, da alle diese Bestandteile von Microsoft 365 (was ja bekanntlich seit der letzten Ignite aus Office 365 und EMS (Enterprise Mobility Suite) kombiniert wurde) Ihre Sicherheit überwachen:

  • Windows Defender Advanced Threat Protection
  • Azure Advanced Threat Protection
  • Microsoft Cloud App Security
  • Azure Security Cener
  • Office 365 Advanced Threat Protection
  • Office 365 Threat Intelligence

Die Sicherheitstechnologien in Microsoft 365 setzen sich aus verschiedenen Services der einzelnen Komponenten zusammen. Auf Infrastrukturebene kommt das Azure Security Center  zum Tragen. Die eingesetzten Geräte werden mit Windows Defender Advanced Threat Protection überwacht. Anwendungen und Daten werden von Exchange Online Protection und Office 365 ATP sowie Office 365 Threat Intelligence und Microsoft Cloud App Security kontrolliert. Die Identität eines Anwenders wird bei der Anmeldung mit Azure Active Directory, Azure ATP und Microsoft Cloud App Security überprüft.

Microsoft 365 Security Services

Häufig verwendet Ransomware eine Brute-Force-Passwortmethode, um sich unentdeckt quasi seitlich durch ein Netzwerk zu bewegen. Ein Brute-Force-Passwortangriff kann mehrere Login-Versuche brauchen, bis ein korrektes Passwort für die Anmeldung an einem Konto gefunden ist.  Diese Versuche werden von Azure ATP entdeckt und mit Windows Defender ATP geteilt, so dass das anormale Verhalten als Ransomware eingestuft wird und dadurch ein weiterer Zugriff bzw. Download auf ein Gerät blockiert werden.

Mit Azure ATP können Analysten die Art von Angriffen und Methoden untersuchen, die Angreifer verwenden, um privilegierten Zugriff auf Benutzeridentitäten zu erhalten und eine klare Angriffs- und Ereigniszeitachse bereitzustellen. Während Azure ATP auf Netzwerkebene Anomalien erkennt, kann Microsoft Cloud App Security ein anormales Datei- und Benutzerverhalten in nativen Microsoft-Cloud-Apps wie Office 365 sowie Cloud-Anwendungen von Drittanbietern erkennen.

Zur Erkennung von Ransomware-Angriffen identifiziert Microsoft Cloud App Security Verhaltensmuster, die die Ransomware-Aktivität widerspiegeln wie z.B. eine hohe Rate von Datei-Uploads oder das Löschen von Dateien, gekoppelt mit Threat-Intelligence-Funktionen, wie die Analyse und Erkennung bekannter Ransomware-Erweiterungen.

Microsoft Cloud App Security nutzt UEBA (User and Entity Behavior Analytics) in Kombination mit Machine Learning Funktionen, die bestimmte Verhaltensauffälligkeiten sofort erkennen können.

Erfahren Sie im nächsten Blogbeitrag mehr darüber, wie Microsoft Cloud App Security und Azure ATP zusammenarbeiten, um einen tatsächlichen Ransomware-Angriff zu erkennen.

Umfassenderer Schutz mit Office 365 Advanced Threat Protection

Hier sehen Sie ausgewählte Funktionen von Office 365 Advanced Threat Protection und Exchange Online Protection im Vergleich.

Feature   Advanced Threat Protection    Exchange Online Protection
Sichere Links

Ja

Nein

Sichere Anlagen

Ja

Nein

Spoofing Intelligence

Ja

Nein

Quarantäne

Ja

Ja

Erweiterte Anti-Phishing-Funktionen

Ja

Nein

Beachten Sie: Die ATP „Sichere Links“-Funktionen sowie die weiteren ATP Features, die in der obigen Tabelle gelistet sind, sind nur in Advanced Threat Protection verfügbar, der in Office 365 Enterprise E5 enthalten ist. Wenn Ihre Organisation ein anderes Office 365 Enterprise-Abonnement verwendet, kann Advanced Threat Protection als Add-On erworben werden. (Als globaler Administrator wählen Sie im Office 365 Admin Center die Option Abrechnung> Abonnements hinzufügen.) Weitere Informationen finden Sie unter Office 365 Security & Compliance Center.

Stellen Sie sicher, dass Ihre Organisation die neueste Version von Office 365 ProPlus unter Windows verwendet, um die erweiterten ATP Safe Links-Funktionen zu nutzen.

Wie erhalten Sie Advanced Threat Protection?

In folgenden Plänen ist es bereits enthalten:

  • Office 365 Enterprise E5
  • Office 365 Education A5

Sie können ATP als Add-On zu folgenden Exchange Online Plänen und weiteren Office 365 Abonnements hinzufügen:

  • Exchange Online Plan 1
  • Exchange Online Plan 2
  • Exchange Online-Kiosk
  • Exchange Online Protection
  • Office 365 Business Essentials
  • Office 365 Business Premium
  • Office 365 Enterprise E1
  • Office 365 Enterprise E3
  • Office 365 Enterprise F1
  • Office 365 A1
  • Office 365 A3

Wünschen Sie eine orientierende Beratung für den Microsoft 365 und Office 365 Lizenzdschungel? Kontaktieren Sie uns einfach!

Recent Posts
Kontaktformular

Wir werden Sie so schnell wie möglich kontaktieren.

Start typing and press Enter to search