Lange Zeit standen Antimalware-Produkte von Microsoft bei Administratoren in der Kritik. Die Integration in Windows ist zwar spätestens seit Defender absolut nahtlos, und auch in puncto Erkennungsqualität spielt die Software bereits lange in der ersten Liga. Es fehlten jedoch bisher die zentralen Verwaltungs- und Reporting-Möglichkeiten, wie die Admins sie von McAfee oder Trend Micro gewohnt sind. Mit "Defender for Endpoint" schließt Microsoft diese Lücke und weitet den Defender gleichzeitig auf andere Plattformen aus.
Trotz jahrelanger Bestnoten in gängigen Antimalware-Tests wurde Microsoft Defender (ursprünglich Windows Defender) von den Administratoren und Endbenutzern anfangs mit gemischten Gefühlen aufgenommen. Zum einen macht sich der Defender im Regelbetrieb kaum bemerkbar und unterscheidet sich in diesem Punkt stark von den Produkten des Wettbewerbs, die mit animierten Taskbar-Icons und Pop-up-Nachrichten auf ihre Tätigkeit aufmerksam machen. Das stimmt Endbenutzer und Verwalter kleiner IT-Umgebungen misstrauisch, die jeden einzelnen Computer genau beobachten. In größeren Organisationen vermissen die Administratoren zum anderen die grafischen Konsolen, mit denen sich Antimalware-Richtlinien zentral definieren und den Endgeräten zuweisen sowie die Bedrohungslagen mittels Dashboards auf einen Blick erfassen lassen.
Für die klassischen On-Premises-Kunden hat Defender zwar umfangreiche Konfigurationsmöglichkeiten durch Gruppenrichtlinien, die sich auch mit anderen Clientmanagement-Werkzeugen verteilen lassen, für die Visualisierung der Scan-Ergebnisse und der Updatestände der Scan-Engine muss jedoch der Microsoft Endpoint Configuration Manager (ehemals System Center Configuration Manager) zum Einsatz kommen. Dies hat einige Administratoren und IT-Verantwortliche in der Vergangenheit davon abgeschreckt, Defender in ihren Umgebungen zu implementieren.
Die Cloud ist die Antwort
Die Clouddienste von Microsoft bildeten von Anfang an die Grundlage für die gute Erkennungsleistung des Defender – schließlich läuft das Produkt auf Milliarden von Windows-PCs weltweit. Eine verdächtige Datei oder Aktivität, die von einem dieser Rechner zur weiteren Überprüfung in die Cloud hochgeladen wird, trägt zum Schutz aller anderen Defender-Nutzer bei. Auch der Fachpresse und den aufmerksamen Admins ist nicht entgangen, dass die Erkennungsrate des Defender deutlich besser ist, wenn der getestete Computer über einen Internet-Zugang verfügt.
Trotz jahrelanger Bestnoten in gängigen Antimalware-Tests wurde Microsoft Defender (ursprünglich Windows Defender) von den Administratoren und Endbenutzern anfangs mit gemischten Gefühlen aufgenommen. Zum einen macht sich der Defender im Regelbetrieb kaum bemerkbar und unterscheidet sich in diesem Punkt stark von den Produkten des Wettbewerbs, die mit animierten Taskbar-Icons und Pop-up-Nachrichten auf ihre Tätigkeit aufmerksam machen. Das stimmt Endbenutzer und Verwalter kleiner IT-Umgebungen misstrauisch, die jeden einzelnen Computer genau beobachten. In größeren Organisationen vermissen die Administratoren zum anderen die grafischen Konsolen, mit denen sich Antimalware-Richtlinien zentral definieren und den Endgeräten zuweisen sowie die Bedrohungslagen mittels Dashboards auf einen Blick erfassen lassen.
Für die klassischen On-Premises-Kunden hat Defender zwar umfangreiche Konfigurationsmöglichkeiten durch Gruppenrichtlinien, die sich auch mit anderen Clientmanagement-Werkzeugen verteilen lassen, für die Visualisierung der Scan-Ergebnisse und der Updatestände der Scan-Engine muss jedoch der Microsoft Endpoint Configuration Manager (ehemals System Center Configuration Manager) zum Einsatz kommen. Dies hat einige Administratoren und IT-Verantwortliche in der Vergangenheit davon abgeschreckt, Defender in ihren Umgebungen zu implementieren.
Die Cloud ist die Antwort
Die Clouddienste von Microsoft bildeten von Anfang an die Grundlage für die gute Erkennungsleistung des Defender – schließlich läuft das Produkt auf Milliarden von Windows-PCs weltweit. Eine verdächtige Datei oder Aktivität, die von einem dieser Rechner zur weiteren Überprüfung in die Cloud hochgeladen wird, trägt zum Schutz aller anderen Defender-Nutzer bei. Auch der Fachpresse und den aufmerksamen Admins ist nicht entgangen, dass die Erkennungsrate des Defender deutlich besser ist, wenn der getestete Computer über einen Internet-Zugang verfügt.
Threat-Intelligence-Dienste aus der Public Cloud sind also für den erfolgreichen Betrieb des Microsoft Defender essenziell. Daher ist Microsofts Entscheidung nachvollziehbar, die Konfigurations- und Reporting-Schnittstellen von Defender ebenfalls in der eigenen Cloud anzusiedeln. Mit diesem Vorgehen ist Microsoft übrigens in bester Gesellschaft. Alle führenden Anbieter von Antimalware-Produkten lagern die als "Extended Detection & Response" (XDR) angebotene Intelligenz in die Cloud aus, um Erkenntnisse aus verschiedenen, weltweit verteilten Quellen optimal zusammenführen zu können. Auch bieten Hersteller wie Trend Micro oder McAfee ihre zentralen Management-Komponenten inzwischen wahlweise aus der Cloud an.
In Umgebungen, die auf Microsoft 365 für die Lizenzierung und Verwaltung ihrer Endgeräte und Applikationen setzen, ist Defender for Endpoint eine der vier Komponenten des "Microsoft 365 Defender" – neben "Office 365 Defender", "Defender for Identity" und "Cloud App Security". Kunden ohne eine M365-Subscription können Defender for Endpoint auch einzeln benutzerbasiert lizenzieren.
So umfassend schützt Defender for Endpoint
Defender for Endpoint ist viel mehr als nur der lokale Antiviren-Agent, den jeder Windows-10-Nutzer kennt. Das Herzstück des umfassenden Schutzes vor Bedrohungen ist der Security-Center-Tenant. Diesem sind geschützte User, Geräte und Dienste Ihrer Organisation zugeordnet. Alle Informationen über Geräte, installierte Anwendungen, ausgeführte Prozesse und entdeckte Bedrohungen werden in einem dem Tenant exklusiv zugeordneten Datenspeicher aufbewahrt und können nicht von anderen Kunden oder Microsoft-Mitarbeitern eingesehen werden. Durch Machine Learning destillierte und von kunden- oder personenbezogenen Zusammenhängen befreite Analyseergebnisse fließen in die Intelligenz von Defender ein und sorgen dafür, dass die Erkennungsalgorithmen von Defender ständig verbessert werden.
Für den Zugriff auf die Defender-for-Endpoint-Features dient das Admin-Portal "https://securitycenter.windows.com", das auf manchen M365- und Azure-Webseiten noch unter "Microsoft Defender ATP" läuft. Im Juli 2021 wurde dieses Portal mit dem zu Microsoft 365 gehörenden Portal "https://security.microsoft.com" zusammengeführt. Von diesem Portal aus erhalten Sie Zugriff auf die nachfolgenden Defender-Funktionen.
Threat & Vulnerability Management
Zum Gefahren- und Schwachstellenmanagement erhalten Sie ein Dashboard, das unter anderem den "Secure Score" Ihres gesamten Endgeräte-Parks anzeigt, eine Risikoeinschätzung für die Anfälligkeit Ihrer Organisation gegenüber Cyberbedrohungen. Defender bewertet dabei nicht nur Microsoft-Produkte, sondern auch andere installierte Anwendungen, die es auf den Endgeräten entdeckt hat. Stellt es unsichere oder veraltete Versionen der Software fest, senkt Defender den Score und gibt im Dashboard den entsprechenden Hinweis. Auch Konfigurationen von Windows, Office und nicht zuletzt des Defender-Agenten selbst werden untersucht und bewertet. So hat jede Virenscan-Ausnahme, die Sie global auf alle Endgeräte ausrollen, das Potenzial, Ihren Secure Score zu senken.
Zu jeder festgestellten Schwachstelle zeigt das Portal Empfehlungen zur Behebung an. Stellt eine gefundene Schwachstelle eine offiziell anerkannte Sicherheitslücke dar, listet das Portal ihre CVE-Nummer auf und verlinkt auf die Bewertungs- und Behebungsseite des Herstellers. Eine sehr hilfreiche Übersicht ist die "Event-Timeline", auf der Sie erkennen, wann genau eine bestimmte Schwachstelle in Ihrer Umgebung aufgetaucht ist und wann sie durch Updates oder Konfigurationsänderungen geschlossen wurde.
Attack Surface Reduction
Dieses Feature verwaltet diejenigen Konfigurationen Ihrer Endgeräte, die die Anfälligkeit der Systeme für Bedrohungen selbst dann wirkungsvoll reduzieren, wenn dort Windows-Patches fehlen oder falsch konfigurierte Third-Party-Produkte installiert sind. Dazu gehören neben Application Control, basierend auf WDAC und AppLocker, auch die "Attack Surface Reduction Rules" (früher als "EMET" [1] bekannt) und weitere Vorrichtungen, die die Ausnutzung bereits vorhandener Konfigurationen und Berechtigungen für zerstörerische Zwecke erschweren.
Das Network-Protection-Feature erweitert den aus Internet Explorer und Edge bekannten SmartScreen zum Webschutz auf beliebige Netzwerkaufrufe durch beliebige Anwendungen. Für dieses Feature muss der geschützte Rechner über eine Internetverbindung verfügen.
Next Generation Antivirus
Grundsätzlich ist es Ihnen überlassen, mit welchem Produkt Sie den klassischen Virenschutz auf Ihren Endpoints abbilden, sofern es sich um eine Software handelt, die von Microsoft für Defender for Endpoints zertifiziert wurde. In Kombination mit dem Defender for Endpoint bietet der auf jedem modernen Windows-System vorinstallierte Defender-Antivirus jedoch deutliche Vorteile. Microsoft selbst listet in [2] elf Gründe dafür auf, warum Defender das optimale Antivirus für Defender for Endpoint ist. Zumindest einige dieser Argumente wie das "Signal Sharing" und die Richtlinienverwaltung sind absolut stichhaltig.
Neben der Verwaltung der Schutzfunktionen bietet das Portal auch den Zugriff auf einige der nachfolgend aufgeführten Features, die der Behandlung bereits festgestellter Angriffsversuche dienen.
Endpoint Detection & Response
Dieser Bereich des Portals ist die primäre Werkbank Ihres Sicherheitsteams, wenn es darum geht, das Ausmaß eines Security Incidents zu bestimmen und angemessen darauf zu reagieren. Die Reaktionen können ein gefährdetes Endgerät oder eine als Bedrohung vermutete Datei betreffen. So unterbinden Sie mit einem Mausklick die Ausführung eines verdächtigen Programms in der gesamten Umgebung, bis die Detailuntersuchung ergeben hat, dass das File keine Gefahr darstellt.
Eines der wichtigsten Features von EDR ist die Sandbox, die Microsoft "Detonation Chamber" nennt. Sollte eine ausführbare Datei in Verdacht geraten, zerstörerischen Payload zu beinhalten, können Sie diese in die "Explosionskammer" schicken, wo sie ihre Sprengkraft entfalten kann, ohne einen echten Schaden anzurichten. Ein weiteres einzigartiges Feature von EDR ist nützlich, wenn Sie einen anderen Viren-scanner als Microsoft Defender auf Ihren Endpoints einsetzen. "EDR in Block Mode" erzwingt die Aktionen, die Ihr Security-Team als Reaktion auf bestimmte Bedrohungen festgelegt hat, auch wenn der eingesetzte Virenscanner diese Bedrohungen noch nicht erkannt hat oder für den konkreten Fall eine andere Reaktion vorsieht.
Advanced Hunting
Dieses Feature erlaubt dem Forensik-Team das Durchsuchen von Ereignisdaten, die alle Defender-Komponenten gesammelt haben. Die Ereignisse werden sechs Monate lang innerhalb des Tenants aufbewahrt und erlauben so das nachträgliche Aufarbeiten eines Incidents. Die Suche basiert, wie die meisten Protokollsuchen in der Microsoft-Cloud, auf der Kusto-Abfragesprache [3]. Das Portal beinhaltet einen grafischen Kusto-Editor mit Syntax-Hervorhebung und eine große, ständig wachsende Sammlung an Beispielabfragen, die Einblicke in verschiedene bekannte Angriffsszenarien bieten.
Automated Investigation & Response
Automated Investigation & Response, kurz AIR, basiert sowohl auf der Erfahrung menschlicher Analysten des Microsoft-Security-Teams als auch auf einer selbstlernenden KI. Wird eine automatisierte Untersuchung angefordert, probiert die AIR-Engine im Hintergrund mehrere Untersuchungsszenarien durch, die in der Vergangenheit bei Bedrohungen mit ähnlichen Ausgangsdaten zum Erfolg geführt haben. Ist eine mögliche Bereinigungsaktion für die eingereichte Bedrohungslage berechnet, entscheidet die Automatisierungsebene, ob diese Aktion tatsächlich zum Einsatz kommen soll. Die Automatisierungsebenen rangieren von "keine Aktion vornehmen" über "Bestätigung anfordern" bis hin zu "vollständig automatisiert".
Die Ebene können Sie pro Computergruppe im Defender-for-Endpoint-Portal vergeben und so für Testgeräte und Maschinen mit besonderem Schutzbedarf eine aggressivere Behandlung festlegen als etwa bei Computern in der Produktionssteuerung, wo ein unterbrechungsfreier Betrieb wichtiger ist als das Ausschließen jedes Verdachts auf eine Bedrohung. Nach Abschluss einer automatisierten Untersuchung erhalten Sie einen Statusbericht, der detaillierte Informationen zum Anlass, Verlauf und Ergebnis der Untersuchung beinhaltet.
Microsoft Threat Experts
Wenn die Defender-Technik mit ihrem Latein am Ende ist und das Know-how und die Intuition eines menschlichen Experten gefordert sind, bietet das Defender-Portal auch die Interaktion mit Microsoft-Threat-Experts an. Nicht jeder Defender-for-Endpoint-Kunde ist berechtigt, den Service zu nutzen, und Microsoft legt die Zugangsvoraussetzungen auch nicht offen. Vielmehr werden Sie aufgefordert, vor der Beantragung des Zugangs mit Ihrem Account-Team bei Microsoft in Verbindung zu treten und abzuklären, ob Ihre Organisation berechtigt ist. Für die Kunden, denen der Zugang zu Threat Experts gewährt wird, ist dieser Zusatzservice kostenfrei. Threat Experts besteht aus zwei separaten Diensten, die jeweils beantragt werden müssen – "Targeted Attack Notification" und "Experts on demand":
- Im Rahmen der "Targeted Attack Notification" gewähren Sie dem Security-Team von Microsoft Zugang zu den von Defender gesammelten Informationen und Live-Statusdaten. Das Microsoft-Team führt proaktiv Untersuchungen durch, um die schlimmsten Bedrohungen möglichst frühzeitig zu erkennen, und sendet Ihnen Benachrichtigungen, falls eine Bedrohung festgestellt wurde. Die Benachrichtigungen erscheinen im Defender-Portal ("Alerts"-Pop-up und "Incidents"-Seite) und werden auch über die Management-APIs des Defender-for-Endpoint-Dienstes ausgelöst. Sie können außerdem eine E-Mail-Benachrichtigung einrichten.
- "Experts on demand" erlaubt Ihnen, Fragen zu den entdeckten Bedrohungen mittels eines Webformulars an das Microsoft-Security-Team zu richten. Auch hier erteilen Sie Microsoft durch die Freischaltung des Dienstes Zugang zu den Detaildaten Ihrer Defender-for-Endpoint-Instanz.
Anbindung an Drittanbieter-Tools
Wie jeder andere Clouddienst lebt auch Defender for Endpoint nicht isoliert auf einer Insel, sondern profitiert von der Integration mit anderen Microsoft-Produkten, Partner-Services oder kundeneigenen Entwicklungen. So ist es beispielsweise ein mehr als legitimer Wunsch, durch Defender for Endpoint gesammelte Ereignisdaten in ein Drittanbieter-SIEM-System einfließen zu lassen, das bereits Systeme abdeckt, die über keine Microsoft-Integration verfügen. In vielen Organisationen ist es Vorschrift, dass bei einem Security Incident ein Ticket in dem hauseigenen Ticketsystem eröffnet wird. Und viele Tenants in der Microsoft-Cloud werden nicht durch ihre jeweiligen Inhaber verwaltet, sondern durch spezialisierte Dienstleister. Diese sind ihren Kunden Rechenschaft über das Geschehen in deren Tenants schuldig.
Um diese und weitere Anwendungsfälle abzubilden, ist ein Webportal denkbar ungeeignet. Daher stellt Defender for Endpoint einige APIs zur Verfügung, um eine Drittanbieter-Integration zu ermöglichen. Die APIs sind in [4] dokumentiert und ermöglichen Zugriff auf die Daten- und Steuerungsschnittstelle (Graph-API), auf die Rohdaten (Raw-Data-Streaming-API) und auf die SIEM-Events (SIEM-REST-API). Den API-Zugriff müssen Sie in Ihrem Azure-AD freischalten. Dafür sollten Sie idealerweise geeignete Rollen definieren, um externen Integrationen genau die Rechte einzuräumen, die sie benötigen.
In der Dokumentation zu den Defender-APIs erhalten Sie eine Auflistung der unterstützten Partner-Anwendungen. Dort finden sich SIEM-Produkte wie Splunk oder IBM QRadar, Automatisierungsanbieter wie RAPID7 oder ServiceNOW sowie Threat-Intelligence- und Network-Security-Größen wie Palo Alto Networks. Auch Microsoft-eigene Dienste wie Azure Sentinel und PowerAutomate sind gelistet.
Defender in Betrieb nehmen
Um Defender for Endpoint in Betrieb zu nehmen, müssen Sie zunächst einmal das Portal freischalten. Falls Sie bereits über ein Microsoft-365-Abonnement verfügen, hat Microsoft dies im Zuge der Einrichtung Ihres Tenants für Sie weitestgehend erledigt. Erweitern Sie hingegen einen Office-365-Tenant oder eine reine Azure- oder Intune-Bereitstellung um Defender for Endpoint, müssen Sie zuerst die entsprechende Lizenz erwerben und mindestens eine Defender-for-Endpoint-Lizenz einem User zuweisen. Begeben Sie sich anschließend in das Defender-Admin-Portal, wird er für Ihren Tenant eingerichtet. Dieser Vorgang kann durchaus einige Zeit in Anspruch nehmen und endet mit der Aufforderung, den ersten Computer zu onboarden. Sie können diesen Schritt überspringen und das Onboarding später durchführen.
Je nach Ihrem bisherigen Clientmanagement und der zu erfassenden Plattform stehen für das Onboarding neuer Endgeräte mehrere Verfahren zur Auswahl. Diese laufen im Wesentlichen darauf hinaus, dass Sie entweder ein Skript ausführen oder die native MDM-Schnittstelle des jeweiligen Endgerätes bemühen.
Unterstützung anderer Betriebssysteme
Das Endpoint-Management aus der Microsoft-Cloud (Microsoft Endpoint Manager und/oder Intune) beschränkt sich schon lange nicht mehr auf die eigene Betriebssystem-Plattform. macOS- und Linux-Clients sowie Smartphones und Tablets unter iOS, iPadOS oder Android lassen sich mithilfe der Endpoint-Management-Plattform ausrollen, verwalten und mit Anwendungen versehen.
Defender for Endpoint kann diese Betriebssysteme wirkungsvoll gegen Malware absichern und die dort auftretenden bösartigen Aktivitäten in die gesamte Bedrohungserkennung Ihres Tenants einfließen lassen. Unterstützt werden derzeit:
- macOS 10.14 und neuer einschließlich Big Sur
- iOS 11.0 und neuer
- iPadOS 1.1.15010101 und neuer
- Android 6.0 und höher
- RHEL, Oracle Linux und CentOS 7.2 und höher
- Ubuntu 16.04 und neuer, allerdings nur LTS-Versionen
- Debian 9 und höher
- SLES 12 und höher
Allerdings zielt der Schutz von Linux-Maschinen derzeit ausschließlich auf Server ab und muss daher separat lizenziert werden. Die benutzerbasierte Lizenzierung des Defender for Endpoint greift hier nicht.
Die Bereitstellung des Malware-Schutzes auf mobilen Endgeräten erfolgt mittels App (Apple und Android) oder durch das Enrollen des Endgerätes in das Azure-AD (nur Apple). Für Linux ist der Rollout deutlich komplexer, er ist für die unterstützten Distributionen unter [5] dokumentiert. Auch die Verwaltung des Defender folgt auf Linux teilweise noch anderen Regeln – so ist die Konfiguration beispielsweise nur lokal möglich und die im Portal erstellten Policies haben keine Auswirkungen.
Eine weitere Besonderheit des Defender-Schutzes auf Linux in Enterprise-Umgebungen ist seine Kommunikation mit der Cloud. Oft kommt hier ein Proxy zum Einsatz. Damit der Defender-Agent mit der Microsoft-Cloud kommunizieren kann, muss dieser Proxy statisch eingetragen sein und den Verbindungsaufbau ohne Authentifizierung ermöglichen. Auch transparente Proxies werden unterstützt, nicht jedoch WPAD- oder proxy.pac-basierte Konfigurationen.
Für eine ganzheitliche Malware-Schutz-Strategie ist es essentiell, dass der Schutz der Infrastruktur-Server mit dem der Endpoints koordiniert ist. So lassen sich Virenausbrüche viel besser erkennen und frühzeitig eindämmen.
Microsoft Defender for Endpoint bietet die Integration der Infrastruktur-Server unter Windows und Linux in den zentralen Malwareschutz über den Microsoft-Dienst "Azure Defender for Servers". Alternativ bietet auch der Dienst "Azure Security Center with Azure Defender" diese Option. Um den Serverschutz in Anspruch nehmen zu können, müssen Microsoft-Kunden über mindestens 50 Lizenzen verfügen, die zur Nutzung des Defender for Endpoint berechtigen. Die Anzahl der Server, die sich lizenzieren lassen, ist nicht begrenzt. Defender unterstützt alle Windows-Server-Versionen ab 2008 R2. Die Onboarding-Prozeduren für Windows Server 2019 und der Vorgängerversionen sind unterschiedlich. Eine detaillierte Beschreibung der Vorgehensweise finden Sie unter [6].
Fazit
Defender for Endpoint bietet einen umfassenden Antimalware-Schutz auf allen Ebenen und auf einer Vielzahl von Betriebssystemen und Geräten. Dabei finden nicht nur die laufenden Prozesse und Programme, sondern der gesamte Softwarepark sowie die Konfiguration der Endgeräte Berücksichtigung. Auch das Nutzerverhalten wird in Echtzeit analysiert und bei Verfügbarkeit mit anderen Diensten wie etwa Office 365 korreliert. Am besten entfaltet Defender for Endpoint seine Wirkung als Teil einer Microsoft-365-Bereitstellung.