Microsoft Defender for Endpoint

Schwachstellen- und Bedrohungs-Management

Auf den Endpunkten wird eine Software-Inventarisierung durchgeführt. Diese Informationen werden dazu verwendet, Schwachstellen und Sicherheitslücken im Zusammenhang mit den installierten Anwendungen zu erkennen, ebenso wie fehlende Sicherheitsupdates. Darüber hinaus erfolgt eine Priorisierung dieser Schwachstellen.

Verringerung der Angriffsfläche

Hierbei wird überprüft, ob die Konfigurationen der Systeme richtig festgelegt sind. Netzwerkschutz und Webschutz sorgen dafür, dass der Zugriff auf schädliche IP-Adressen, Domänen und URLs reglementiert ist. Die Anwendungssteuerung stellt sicher, dass nur als vertrauenswürdig eingestufte Applikationen ausgeführt werden dürfen.

Schutzmechanismen der nächsten Generation

Hierbei führt Defender for Endpoint kontinuierliche Scans durch, um Bedrohungen zu erkennen und zu blockieren. Dazu gehört ein verhaltensbasierter, heuristischer und Echtzeit-Virenschutz für Windows 10, Windows Server 2016 und Windows Server 2019.

Endpunkteerkennung und -reaktion (Endpoint Detection and Response, EDR)

Dabei werden von Defender for Endpoint Benachrichtigungen beziehungsweise Vorfälle gruppiert, wenn die gleichen Angriffsmethoden erkannt werden. Diese Art der Aggregation erleichtert Sicherheitsexperten die Priorisierung, Untersuchung und Reaktion auf Bedrohungen.

Automatische Untersuchung und Problembehebung

Endpunkte im Netzwerk erzeugen unter Umständen eine Vielzahl von Sicherheitswarnungen. Microsoft Defender for Endpoint nutzt eine Funktion, um diese Anzahl zu reduzieren und die wirklich relevanten Warnungen herauszufiltern. Wenn eine Benachrichtigung als relevant ausgelöst wird, kann eine automatische Untersuchung erfolgen. Wird beispielsweise eine böswillige Datei entdeckt, überprüft die automatische Untersuchung auch, ob diese Datei auf anderen Rechnern vorhanden ist. Wenn dem so ist, werden diese Rechner der Untersuchung hinzugefügt. Das Beheben des Problems kann dann von den Admins in verschiedenen Abstufungen geregelt werden.

Secure Score

Microsoft Defender for Endpoint bewertet die aktuelle Sicherheitskonfiguration und erstellt daraus einen Konfigurationswert. Dabei erhalten Administratoren Hinweise, wie sie diese Sicherheitsbewertung verbessern können.

Microsoft Bedrohungsexperten (Microsoft Threat-Experten)

Dieser verwaltete Suchdienst kann Unternehmen dabei unterstützen, Angriffe zu erkennen und zu priorisieren. Hier wird quasi ein Security Operations Center (SOC) mit Überwachung und Analyse auf Expertenebene bereitgestellt. Anwenderunternehmen können je nach Einrichtung Sicherheitsexperten von Microsoft einbinden.

Verwaltung und APIs

Für viele der Funktionen von Microsoft Defender for Endpoint sind APIs (Programmierschnittstellen) verfügbar, um die Lösung in die Abläufe des eigenen Unternehmens zu integrieren. Wird beispielsweise eine SIEM-Lösung (Security Information and Event Management) eingesetzt, kann diese über eine API auf Ergebnisse von Microsoft Defender for Endpoint zugreifen.

Integration mit anderen Microsoft-Produkten

Microsoft Defender for Endpoint arbeitet mit anderen Microsoft-Sicherheitslösungen zusammen beziehungsweise lässt sich integrieren, als da wären: Azure Security Center, Microsoft Defender for Identity, Microsoft Defender for Office 365, Intune, Skype for Business und Microsoft Cloud App Security.