Microsoft Defender XDR Exposure Management – Schutz Ihrer kritischen Assets

Autor: Jonathan BrockhausenConsultant Microsoft Security–Auf LinkedIn vernetzen

Viele Unternehmen werden von der schieren Aufgaben-Menge aus dem Schwachstellenmanagement überwältigt und wissen gar nicht, wo sie anfangen sollen. Mit dem Defender XDR Exposure Management lässt sich der Fokus auf das legen, was wirklich zählt: Die wichtigsten Geräte und Identitäten in der Umgebung. Defender XDR Exposure Management ermöglicht es, kritische Entitäten im Netz zu identifizieren und mittels einer übersichtlichen Angriffspfad-Karte darzustellen, welche Wege ein Angreifer nutzen könnte, um diese Entitäten zu kompromittieren.

Exposure Management ermöglicht Wechsel der Sichtweise

Um wirklich resilient gegen Angriffe zu sein, ist es sinnvoll, die Perspektive des Angreifers einzunehmen und mögliche Angriffspfade zu schließen, damit diese nicht von einem tatsächlichen Angreifer ausgenutzt werden. Ein Angriffspfad beschreibt dabei einen Weg von einer Entität, beispielsweise einem Client-Gerät, auf dem hochprivilegierte Konten angemeldet waren über „Sprungserver“ (Stichwort: Lateral Movement) bis hin zu kritischen Ressourcen wie Domain-Controllern.

Defender XDR Exposure Management berechnet auf Basis von bekannten Informationen auf Defender 365 Produkten und einer Klassifizierung automatisiert Angriffspfade und ermöglicht eine direkte Ansicht der aufgedeckten Pfade, die ein Angreifer verwenden könnte.

Analyse und Schließen von Angriffspfaden

Durch die Möglichkeit, unterschiedliche Gruppierungen zu wählen und nach diversen Parametern zu filtern, ist eine hohe Flexibilität in der Analyse gegeben. Die Ansicht unten zeigt eine beispielhafte Gruppierung nach Pfadziel (= dem höchsten erreichbaren Gerät oder Benutzer) für besonders kritische Entitäten, im Screenshot zum Beispiel einem Domain Controller mit Kritikalität „Very High“ oder „Tier 0“.

Übersicht der Angriffspfade im Netzwerk, die potenzielle Wege für Angreifer aufzeigen

Die Angriffspfade lassen sich einzeln veranschaulichen und analysieren. Im Beispiel sehen Sie im nächsten Screenshot eine virtuelle Maschine mit kritischen Sicherheitslücken, auf der ein Domainadministrator-Konto angemeldet war. Dadurch wäre es gegebenenfalls möglich, die Sicherheitslücke auszunutzen, um das Konto zu kompromittieren und der Angreifer hätte ein gültiges Konto für die Authentifizierung am Domaincontroller (in der Abbildung rechts mit der Krone als kritischer Server markiert):

Detailansicht eines Angriffspfades, der die verbundenen Konten und kritischen Schwachstellen hervorhebt.

Angriffspfade in Kontext setzen und analysieren

Die dynamische Angriffskarte lässt Security Experten schnell in die Detailanalyse einsteigen, um beispielsweise Konten und Gruppen zu identifizieren, die ebenfalls auf der betroffenen VM angemeldet waren (rot umrandet). Außerdem können Sie durch einen Klick auf die ursprüngliche VM weitere Details anzeigen lassen, wie beispielsweise die kritischen Sicherheitslücken (blau umrandet):

Kritische Sicherheitslücken auf einer sensiblen VM stellen ein hohes Risiko für die Sicherheit der Umgebung dar.

Doch welche Assets sind für uns wirklich schützenswert? Dabei hilft Ihnen Microsoft, diese an die Anforderungen Ihres Unternehmens anzupassen.

Einstufung der kritischen Ressourcen mit flexiblen Abfragen

Die Einstufung der Ressourcen erfolgt in vier „Criticality Levels“ von „Very High / Tier0“ bis „Low / Tier3“. In den Einstellungen können Sie die einzelnen Kritikalitätsgruppen anzeigen und bearbeiten und eigene Gruppen mit unternehmensspezifischen Ressourcen erstellen. Im Beispiel sehen Sie die von Microsoft automatisch erstellte Klassifizierung für Entra ID Connect (früher Azure AD Connect Server), die automatisch als „High / Tier1“ eingestuft werden. Diese Einstufung können Sie nach Ihrem Bedarf anpassen.

Eine Reihe von Klassifizierungen wird schon von Microsoft vordefiniert, eigene Anpassungen sind möglich.

Beim Erstellen eigener Kritikalitätsgruppen können Sie auf eine Vielzahl von Parametern zugreifen, darunter Gerätenamen, Domänen, Geräte-Schwachstellen und die Analyse der angemeldeten Benutzer. Kombinieren Sie diese Parameter flexibel mit UND/ODER Kombinationen, um die gewünschten Ressourcen einfach zu kategorisieren.

Schließen von Schwachstellen und Korrigieren von Fehlkonfigurationen

Das Exposure Management identifiziert also die kritischen Ressourcen des Unternehmens und schützt sie zusammen mit verbundenen Ressourcen, die ein Angreifer ausnutzen könnte. Administratoren sehen dabei sofort, welche Geräte kritische Schwachstellen haben und welche Konfigurationen von den Sicherheitsanforderungen der Organisation abweichen. Durch die Einbindung in das Advanced Hunting des Defender for Endpoint ist es auch möglich, fortgeschrittenere Abfragen für weiteren Kontext abzusetzen.

Microsoft Security Workshop

Im Microsoft Security Workshop richten wir das Exposure Management mit Ihnen ein und unterstützen Sie bei der Verwaltung.

Jetzt Angebot für Workshop anfragen!

Microsoft Defender XDR Exposure Management – Schutz Ihrer kritischen Assets

Exposure Management ermöglicht Wechsel der Sichtweise

Analyse und Schließen von Angriffspfaden

Angriffspfade in Kontext setzen und analysieren

Einstufung der kritischen Ressourcen mit flexiblen Abfragen

Schließen von Schwachstellen und Korrigieren von Fehlkonfigurationen

Microsoft Security Workshop

Weitere News zu diesem Thema

Defender External Attack Surface Management: So verwalten Sie externe Ressourcen

Cyberangriff Beispiel – detaillierte Analyse eines echten Angriffs

Power Platform Governance – so vermeiden Sie Chaos und Risiken

Unternehmen

Kompetenzen

News

Letzte News