Neue Funktionen in Defender und Microsoft 365 für Schwachstellen-Management, Security-Analyse und gegen Ransomware

Business-Premium-Kunden konnten bereits in der Vergangenheit ihre mobilen Geräte mit Defender for Business schützen. Nun steht diese Funktion auch für Einzelkunden zur Verfügung. Eine Management-Lösung oder Add-ons für die Verwaltung von Mobilgeräten sind nicht erforderlich. Einzelheiten dazu liefert dieser Artikel auf Microsoft Learn.

Blockieren von Ransomware

Die Automatic Attack Disruption überträgt einige der Security-Funktionen von Microsoft 365 Defender auf Defender for Business. Insbesondere geht es darum, Ransomware- und andere Angriffe bereits in der Anfangsphase zu erkennen und kompromittierte Geräte selbständig abzuschalten, um eine Ausbreitung der Infektion innerhalb des Netzwerks zu verhindern.

Ziel ist es zudem, Administratoren und Sicherheits­experten in die Lage zu versetzen, den Vorfall zu untersuchen, eventuelle Sicherheits­lücken zu schließen und die betroffenen Assets schnell wieder online zu bringen.

Die neue Funktion ist sowohl in der Standalone-Version wie auch in M365 Business Premium von Defender for Business enthalten. Weitere Details findet man hier.

Sicherheitsberichte zu erkannten Bedrohungen

Auch die neuen Security Summary Reports sind sowohl in Defender for Business Standalone als auch in Business Premium verfügbar. Sie listen die von Defender for Business abgewehrten Bedrohungen auf, zeigen den Stand des Microsoft Secure Score und liefern Empfehlungen zur Verbesserung der Sicherheit.

Insgesamt bekommt der Administrator damit ein umfassendes Bild des aktuellen Sicherheitsstatus. Mehr dazu findet sich in Microsofts Dokumentation.

Streaming-APIs in Defender for Business

Weiterhin kündigte Microsoft eine öffentliche Preview der Streaming-API an. Sie richtet sich an Partner und Kunden, die ihr eigenes Security Operations Center aufbauen möchten. Dafür bietet der Hersteller unter anderem ein Streaming von Datei-, Registry-, Netzwerk- und Login-Events zum Azure Event Hub, zu Azure Storage und zu Microsoft Sentinel.

Im Handbuch für die API gibt es Schritt-für-Schritt-Anleitungen für die Konfiguration.

Wer mit dem Export von Rohdaten aus Defender for Endpoint vertraut ist, kann einfach das Microsoft 365 Defender-Portal aufrufen und dort auf Einstellungen => Microsoft 365 Defender => Streaming-API gehen. Dort gibt man die Konto­informationen für Azure Event Hub oder Azure Storage ein und wählt die Ereignistypen aus, die man exportieren möchte.

Neues bei Lighthouse

Microsoft 365 Lighthouse ist ein Kunden-Management-Tool für MSPs im Cloud-Solution-Provider-Programm. Zu den beliebtesten Funktionen zählen die Baselines, mit denen Partner den Mandanten ihrer Kunden einen standardisierten Satz von Einstellungen bereitstellen können.

Neu ist jetzt die Möglichkeit, die Baselines zu bearbeiten und an den eigenen Kundenstamm anzupassen. Auf diese Weise können Partner die Konfiguration bei den Mandanten ihrer Kunden kontinuierlich überwachen und bei Änderungen feststellen, wer sie wann und wo durchgeführt hat.

So lässt sich bei Fehl­konfigurationen schnell wieder der alte Zustand herstellen, außerdem können zukünftige Risiken minimiert werden.