Microsoft Defender XDR Exposure Management – Schutz Ihrer kritischen Assets
Viele Unternehmen werden von der schieren Aufgaben-Menge aus dem Schwachstellenmanagement überwältigt und wissen gar nicht, wo sie anfangen sollen. Mit dem Defender XDR Exposure Management lässt sich der Fokus auf das legen, was wirklich zählt: Die wichtigsten Geräte und Identitäten in der Umgebung. Defender XDR Exposure Management ermöglicht es, kritische Entitäten im Netz zu identifizieren und mittels einer übersichtlichen Angriffspfad-Karte darzustellen, welche Wege ein Angreifer nutzen könnte, um diese Entitäten zu kompromittieren.
Exposure Management ermöglicht Wechsel der Sichtweise
Um wirklich resilient gegen Angriffe zu sein, ist es sinnvoll, die Perspektive des Angreifers einzunehmen und mögliche Angriffspfade zu schließen, damit diese nicht von einem tatsächlichen Angreifer ausgenutzt werden. Ein Angriffspfad beschreibt dabei einen Weg von einer Entität, beispielsweise einem Client-Gerät, auf dem hochprivilegierte Konten angemeldet waren über „Sprungserver“ (Stichwort: Lateral Movement) bis hin zu kritischen Ressourcen wie Domain-Controllern.
Defender XDR Exposure Management berechnet auf Basis von bekannten Informationen auf Defender 365 Produkten und einer Klassifizierung automatisiert Angriffspfade und ermöglicht eine direkte Ansicht der aufgedeckten Pfade, die ein Angreifer verwenden könnte.
Analyse und Schließen von Angriffspfaden
Durch die Möglichkeit, unterschiedliche Gruppierungen zu wählen und nach diversen Parametern zu filtern, ist eine hohe Flexibilität in der Analyse gegeben. Die Ansicht unten zeigt eine beispielhafte Gruppierung nach Pfadziel (= dem höchsten erreichbaren Gerät oder Benutzer) für besonders kritische Entitäten, im Screenshot zum Beispiel einem Domain Controller mit Kritikalität „Very High“ oder „Tier 0“.
Die Angriffspfade lassen sich einzeln veranschaulichen und analysieren. Im Beispiel sehen Sie im nächsten Screenshot eine virtuelle Maschine mit kritischen Sicherheitslücken, auf der ein Domainadministrator-Konto angemeldet war. Dadurch wäre es gegebenenfalls möglich, die Sicherheitslücke auszunutzen, um das Konto zu kompromittieren und der Angreifer hätte ein gültiges Konto für die Authentifizierung am Domaincontroller (in der Abbildung rechts mit der Krone als kritischer Server markiert):
Angriffspfade in Kontext setzen und analysieren
Die dynamische Angriffskarte lässt Security Experten schnell in die Detailanalyse einsteigen, um beispielsweise Konten und Gruppen zu identifizieren, die ebenfalls auf der betroffenen VM angemeldet waren (rot umrandet). Außerdem können Sie durch einen Klick auf die ursprüngliche VM weitere Details anzeigen lassen, wie beispielsweise die kritischen Sicherheitslücken (blau umrandet):
Doch welche Assets sind für uns wirklich schützenswert? Dabei hilft Ihnen Microsoft, diese an die Anforderungen Ihres Unternehmens anzupassen.
Einstufung der kritischen Ressourcen mit flexiblen Abfragen
Die Einstufung der Ressourcen erfolgt in vier „Criticality Levels“ von „Very High / Tier0“ bis „Low / Tier3“. In den Einstellungen können Sie die einzelnen Kritikalitätsgruppen anzeigen und bearbeiten und eigene Gruppen mit unternehmensspezifischen Ressourcen erstellen. Im Beispiel sehen Sie die von Microsoft automatisch erstellte Klassifizierung für Entra ID Connect (früher Azure AD Connect Server), die automatisch als „High / Tier1“ eingestuft werden. Diese Einstufung können Sie nach Ihrem Bedarf anpassen.
Beim Erstellen eigener Kritikalitätsgruppen können Sie auf eine Vielzahl von Parametern zugreifen, darunter Gerätenamen, Domänen, Geräte-Schwachstellen und die Analyse der angemeldeten Benutzer. Kombinieren Sie diese Parameter flexibel mit UND/ODER Kombinationen, um die gewünschten Ressourcen einfach zu kategorisieren.
Schließen von Schwachstellen und Korrigieren von Fehlkonfigurationen
Das Exposure Management identifiziert also die kritischen Ressourcen des Unternehmens und schützt sie zusammen mit verbundenen Ressourcen, die ein Angreifer ausnutzen könnte. Administratoren sehen dabei sofort, welche Geräte kritische Schwachstellen haben und welche Konfigurationen von den Sicherheitsanforderungen der Organisation abweichen. Durch die Einbindung in das Advanced Hunting des Defender for Endpoint ist es auch möglich, fortgeschrittenere Abfragen für weiteren Kontext abzusetzen.
Microsoft Security Workshop
Im Microsoft Security Workshop richten wir das Exposure Management mit Ihnen ein und unterstützen Sie bei der Verwaltung.