Defender for Enterprise
Zero Trust Model – Entra ID Protection – Microsoft Defender – Endpoint Security – Defender Ökosystem
Zielgruppe:
Das Seminar richtet sich besonders an Enterprise- und Domain Administratoren sowie IT-Sicherheitsverwantwortliche, die eine hochsichere Microsoft 365 Infrastruktur nach dem Zero Trust-Model und dem 3-Tier Security aufbauen möchten.
Voraussetzungen:
Zu empfehlen sind gute Kenntnisse in Cloud Technologie oder ein Besuch der Kurse Exchange Online, Windows Hello for Business oder Intune for Enterprise.
Zertifikat:
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.
Kursdokumentation:
Die digitale Kursdokumentation erhalten die Teilnehmer einen Werktag vor Kursbeginn. Diese ist im Kurspreis inbegriffen. Auf Wunsch kann gegen einen Aufpreis von 300,– € zzgl. MwSt. zusätzlich eine Printversion dazugebucht werden.
Schulungszeiten:
Tag 1: 09:00–17:00 Uhr / Tag 2–3: 08:30–17:00 Uhr / Tag 4: 08:30–13:00 Uhr
Defender for Enterprise Intensivkurs im Detail
In diesem 4-tägigen Intensivkurs wenden wir das neue Zero Trust Model für Microsoft 365 in einem Hybrid-Azure-Tenant praktisch an, wobei der Schwerpunkt auf den vielfältigen Einsatzmöglichkeiten des Microsoft Defenders für ein umfassendes Sicherheitsmonitoring liegt. Durch Cloud-Technologien und die verstärkte Arbeit im Homeoffice hat sich die Arbeitsweise der Benutzer grundlegend verändert. In der Regel handelt es sich um Hybrid Worker, die von überall über das Internet auf Unternehmensdaten zugreifen.
Microsoft bietet verschiedene Technologien zur Zero Trust Protection, darunter das Microsoft Defender-Ökosystem, welches sich für alle Sicherheitszonen eines Tenants einsetzen lässt.
Das Microsoft Defender-Ökosystem liefert einen umfassenden Überblick über den Sicherheitsstatus Ihrer Cloud- und On-Premises-Ressourcen und unterstützt gleichzeitig die Absicherung von Multi-Cloud- und Hybridumgebungen.
Endpoint Security
Die Windows-Geräte müssen Entra ID Joined (EIDJ) oder Hybrid Entra ID Joined (HEIDJ) sein, damit sie über Azure AD verwaltet werden können. Zusätzlich müssen sie in Intune enrolled sein, um das Onboarding zu Microsoft Defender for Endpoint über ein Device Configuration Profile zu ermöglichen.
Bei der RAMP-Strategie unterscheidet die Device Security von Microsoft ähnlich wie im ESAE-Modell – drei Sicherheitsstufen:
1. Enterprise Security / Device Baseline Security (vglb. ESAE Tier 2)
2. Specialized Security / Device Enhanced Security (vglb. ESAE Tier 1)
3. Privileged Security / Device Strongest Security (vglb. ESAE Tier 0)
Defender for Identity und Entra ID Protection
Zu Beginn einer Zero Trust Security-Implementierung muss die Authentifizierung zum Tenant als erste Sicherheitsmaßnahme abgesichert werden. Jeder Benutzer sollte sich über Multi-Factor Authentication (MFA) von einem sicheren Windows 10/11-Client aus anmelden.
Moderne Enterprise-Umgebungen bestehen häufig aus einer Kombination von On-Premises und Cloud-Komponenten. Defender for Identity nutzt Daten aus der gesamten Infrastruktur einschließlich Domänencontrollern, ADFS und PKI (AD CS) und liefert so einen vollständigen Überblick über die Identitätslandschaft.
Defender for Identity-Sensoren überwachen standardmäßig den Datenverkehr der Domänencontroller. Für ADFS– und PKI-Server muss der jeweils passende Sensortyp installiert werden, um eine vollständige Überwachung sicherzustellen.
Defender for Endpoint
Defender for Endpoint ermöglicht die Überwachung von Geräten und schützt sie vor Angriffen aus dem internen Netzwerk sowie aus dem Internet. Mit Advanced Hunting lassen sich Bedrohungen detailliert analysieren. Zudem bewertet die Lösung das Risiko einzelner Geräte und gibt Empfehlungen zur Reduzierung, etwa durch aktivierte Sicherheitsfunktionen wie Antivirus, Antimalware, BitLocker und Firewall.
Defender for Cloud Apps
Intune kann nicht alle Apps in einem Tenant vollständig verwalten. Defender for Cloud Apps schließt diese Lücke, indem es über Cloud Discovery alle genutzten Anwendungen sichtbar macht (Shadow IT). Als Cloud Access Security Broker (CASB) überwacht und steuert es den Zugriff von Apps auf Daten. In Verbindung mit Entra Conditional Access und Conditional Access App Control können Zugriffssitzungen gezielt über Session- und Access-Policies gesteuert und überwacht werden.
Defender for Office 365
Mit Exchange Online Protection (EOP) werden eingehende E-Mails auf Spam, Phishing, Malware, Bulk-Mail und Spoofing geprüft und bei Bedarf in Quarantäne verschoben oder blockiert.
Microsoft Defender for Office 365 P1 (MDO P1) bietet erweiterten Schutz durch Safe Attachments, Safe Links und Real Time Detection von Inhalten.
Der MDO P2-Plan liefert den höchsten Schutz mit Threat Explorer, Attack Simulation Training sowie Automated Investigation and Response (AIR) für automatische Analysen und Gegenmaßnahmen.
Defender for Cloud
Microsoft Defender for Cloud ist eine Cloud Native Application Protection Platform (CNAPP), die verschiedene Sicherheitstools bündelt, um Anwendungen und Ressourcen zu schützen – unabhängig davon, ob sie in Cloud-, Multi-Cloud-, On-Premises- oder Hybridumgebungen betrieben werden.
Zu den zentralen Komponenten von Defender for Cloud als CNAPP gehören unter anderem:
- Defender for Server
- Defender for Containers
- Defender for Resource Manager
- Defender for Storage
- Defender for Databases
- Defender for Key Vault
Im Kurs werden wir stellvertretend einige dieser Komponenten praktisch behandeln!
Sentinel
Microsoft Sentinel ist eine cloudnative SIEM-Lösung, die Sicherheit für Multi-Cloud- und Multi-Platform-Umgebungen bietet. Sie ermöglicht zentrale Bedrohungserkennung, Untersuchung, Reaktion und proaktives Hunting, alles in einer einheitlichen Ansicht.
Sentinel sammelt Daten überall dort, wo sie entstehen: von Benutzern, Geräten, Anwendungen und der Infrastruktur, sowohl On-Premises als auch in Multi-Cloud-Umgebungen.
Die Lösung bündelt, speichert und analysiert diese Daten im großen Maßstab und bildet damit die Grundlage für erweiterte Analysen, KI-gestützte Erkenntnisse und proaktive Abwehrmaßnahmen.
