Mrz112021
SIEM

Hintergrund

Aus der Produktperspektive ist der Microsoft 365 Defender Teil des Microsoft Defender XDR (Extended Detection & Response)-Portfolios, das in zwei verschiedene Lösungen unterteilt ist: Microsoft 365 Defender und Azure Defender. Welche Rolle spielt Sentinel in der Security Produktlinie?

Microsoft M365 Defender
Kurz gesagt: M365 Defender schützt M365-Workloads und Azure Defender schützt Azure-Workloads, On-Premises & Ressourcen in 3rd-Party-Clouds (Threat Protection).

Re-Branding der Produktnamen

Bevor wir fortfahren, wollen wir uns mit den neuen Namen der M365-Sicherheitslösungen vertraut machen, die auf der Microsoft Ignite 2020 angekündigt wurden. Der Name Microsoft Cloud App Security (MCAS) bleibt derselbe wie vor dem Re-Branding.

Neuer Name – Vorheriger Name
  • Microsoft 365 Defender Microsoft Bedrohungsschutz (MTP)
  • Defender for Endpoint (DFE) Microsoft Defender Advanced Threat Protection (MDATP)
  • Defender für Identität (DFI) Azure Erweiterter Bedrohungsschutz (Azure ATP)
  • Defender für O365 (DFO) Office 365 Erweiterter Bedrohungsschutz (O365 ATP)
  • Cloud-App-Sicherheit (MCAS) Cloud-App-Sicherheit (MCAS)

Welche Lösung sollte verwendet werden?
Microsoft investiert stark in beide Lösungen, M365 Defender, Extended Detection and Response (XDR) und Azure Sentinel, das Cloud-native SIEM sowie M365 Sentinel. In der Microsoft-Cloud-Umgebung kommen beide Lösungen, Microsoft 365 Defender & Azure Sentinel, zum Einsatz.

Microsoft 365 Defender

Microsoft: „Microsoft 365 Defender ist eine einheitliche Pre- und Post-Breach-Enterprise-Defense-Suite, die Erkennung, Vorbeugung, Untersuchung und Reaktion über Endpunkte, Identitäten, E-Mails und Anwendungen hinweg koordiniert, um einen integrierten Schutz gegen anspruchsvolle Angriffe zu bieten.

Es ist die nächste Stufe der M365-Sicherheit und die perfekte Lösung, wenn es um Identitäten, Endpunkte und SaaS-Anwendungen geht. Sie bietet Funktionen wie:

  • Ein einheitliches Portal für das Incident Management
  • Verwaltung der Sicherheitslage
  • Automatische Heilung
  • Domänenübergreifender aktiver Schutz
  • Threat Hunting-Funktionen
  • Vereinheitlichte Bedrohungserkennung und -analyse
  • Brandneue APIs

Microsoft Defender 365-Suite schützt:

  • Endpunkte mit Microsoft Defender für Endpoint – Microsoft Defender für Endpoint ist eine einheitliche Endpunkt-Plattform für präventiven Schutz, Erkennung von Bedrohungen nach einem Einbruch, automatische Untersuchung und Reaktion.
  • E-Mail und Zusammenarbeit mit Microsoft Defender für Office 365 – Defender für Office 365 schützt das Unternehmen vor bösartigen Bedrohungen, die von E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit ausgehen.
  • Identitäten mit Microsoft Defender für Identity und Azure AD Identity Protection – Microsoft Defender für Identity nutzt Active Directory-Signale, um fortschrittliche Bedrohungen, kompromittierte Identitäten und bösartige Insider-Aktionen, die sich gegen Ihr Unternehmen richten, zu identifizieren, zu erkennen und zu untersuchen.
  • Anwendungen mit Microsoft Cloud App Security – Microsoft Cloud App Security ist eine umfassende SaaS-übergreifende Lösung, die tiefe Transparenz, starke Datenkontrollen und verbesserten Bedrohungsschutz für Ihre Cloud-Anwendungen bietet.
  • Mit App Connectors können Sie Daten von Drittanbieter-Apps wie AWS, Google, Box usw. in MCAS aufnehmen.
  • Es ist auch die einzige Lösung, die Sie für die Verwaltung von Vorfällen/Warnungen verwenden können, die nativ Alarmstatusänderungen zurück zur Quelle selbst synchronisiert (in einigen Szenarien). Außerdem investiert Microsoft stark in die Entwicklung des M365 Defender und des zugehörigen Portals (security.microsoft.com portal), was bedeutet, dass weitere Integrationen hinzukommen werden.

Sie fragen sich vielleicht, wie es mit der Azure-Sicherheit aussieht? Derzeit ist das Azure Security Center (zusammen mit dem Azure Defender) der Ort für das Azure-Sicherheitsmanagement und der M365 Defender hat keine Integration damit. Aber wenn man sich die Microsoft-Blogs von 2018 anschaut, war das Infrastrukturmanagement eine der Kernkomponenten in M365 Defender (damals Microsoft Threat Protection aka MTP). Überraschend wäre, wenn die Integration von Azure Security Center in naher Zukunft angekündigt wird, aber es könnte auch sein, dass dieser Tag nie kommt.

Azure Defender

M365 Defender ist kein SIEM , Azure Sentinel M365 Sentinel bietet hingegen die SIEM Funktionalitäten.

m365 sentinel

Azure Sentinel ist wie das ‚Sahnehäubchen‘ im Microsoft Security Portfolio, die Lösung, die alle Quellen miteinander verbindet, einschließlich Microsoft Cloud-Lösungen, Netzwerkgeräte, Datenquellen von Drittanbietern, On-Prem-Zubehör und diese zusammenfasst.

Wann macht Sentinel Sinn, wenn ich bereits M365 Defender und/oder andere Security Lösungen habe? Warum brauche ich M365 Sentinel?

Wie bereits geschrieben, ist M365 Defender kein SIEM. Auch wenn sich einige Funktionen überschneiden, so bietet Azure Sentinel doch viele Funktionen, die Sie mit dem M365 Defender nicht erzielen, wie z. B:

  • Langzeitspeicherung für Protokolle
  • Die Datenaufbewahrung von Log Analytics beträgt 730 Tage, mehr als bei allen anderen Sicherheitslösungen
  • Datenexport aus Log Analytics verfügbar
  • Bedrohungsjagd

Kurz gesprochen bietet Ihnen Sentinel einen Überblick über alle Ihre Security Lösungen, Sie erhalten alle Vorfälle auf einen Blick, können schnell und zielgerichtet auf Bedrohungen und Angriffe reagieren.

Warum eine SIEM Lösung wie Sentinel oder z.B. empow, graylog oder ähnliche sinnvoll ist, erklären wir Ihnen gerne kostenfrei und unverbindlich.

Über scale2gether

scale2gether berät Unternehmen bei Ihrer IT und Digitalisierungsstrategie. Über 30 Jahre Erfahrung im Bereich IT-Infrastruktur, IT-Security, Cloud & Digitalisierung helfen Ihnen dabei die richtige Entscheidung zu treffen.

scale2gether ist Ihr Partner für empow SIEM in Deutschland, Österreich und der Schweiz