Wissen, was in Ihrem Netz vor sich geht

Endpoint Detection and Response (EDR) gehört in der Regel nicht zu den Tools, die kleinere Unternehmen vorweisen können. Defender for Business macht es einfacher, EDR auf vernünftige Weise und in einem erschwinglichen Paket zu implementieren. Mit einem Preis von 2,50 Euro pro Benutzer und Monat ersetzt Defender for Business Ihre klassische Antivirenlösung, die Sie eventuell in Ihrem Büro nutzen. Die Integration von Workstations ist einfach über ein Skript, Intune oder eine Gruppenrichtlinie möglich.

Wenn Sie also auf der Suche nach einer Möglichkeit sind, Sicherheitsprobleme in Ihrem Unternehmen besser zu untersuchen, sollten Sie diese Lösung in Betracht ziehen. Defender for Business ist für Unternehmen mit weniger als 300 Benutzern konzipiert. Größere Unternehmen können Defender for Endpoint wählen und sich dann je nach Bedarf für eine P1- oder P2-Lizenzierung entscheiden.

Wie bei jedem Tool zur Erkennung von Bedrohungen ist eine schnelle Bewertung der Warnmeldungen wichtig. Das hängt jedoch oft davon ab, wie gut Sie Ihr Netzwerk kennen. Ich weiß, dass Microsoft Defender for Business meinem Unternehmen mehr Schutz bietet. Das Tool zeigt mir aber auch, wie viel ich nicht über meine Softwareanbieter und deren Code weiß. Defender zeigt mir auf, wie viel mehr ich wissen muss, um zu verstehen, was in meinem Netzwerk vor sich geht.

Obwohl ich nicht für die Sicherheit eines Großunternehmens zuständig bin, habe ich genug von den Bedrohungen und Risiken für Großunternehmen mitbekommen, um zu verstehen, dass der Unterschied zwischen großen und kleinen Firmen oft nur in der Anzahl der Mitarbeiter, der Größe und dem Budget liegt. Für ein kleines Unternehmen ist es manchmal einfacher, einen grundliegenden Wechsel zu sichereren Lösungen vorzunehmen. Ein großes Unternehmen, das über alte Programme und Software verfügt, kann eine solche Umstellung nicht so leicht vollziehen.

Wegen der Branche, in der ich tätig bin, und dem US-Bundesstaat, in dem ich arbeite, bin ich ebenfalls verpflichtet, Sicherheitsverletzungen zu melden. Meine Schwäche ist dabei häufig, dass ich nicht über die gleichen Wissensressourcen wie ein großes Unternehmen verfüge. Ich habe forensische Kurse besucht und mich ausreichend mit der Windows-Registrierung befasst, um Computersysteme zu verstehen. Aber selbst mit diesen Informationen muss ich oft untersuchen, was in meinem Netzwerk vor sich geht, und zwar auf der Grundlage meiner direkten Kenntnisse über meine Systeme. Die Tatsache, dass ich weiß, was genau ich getan habe, hilft mir, die Warnungen und Informationen zu verstehen, die ich von Defender for Business erhalte.

Bewertung der Defender-Sicherheitswarnungen

Die Sicherheitswarnungen, die ich von meinen Systemen erhalte, werden oft durch meine Aktionen ausgelöst. Ich bin derjenige, der Software in meinem Netzwerk installiert und testet, also erhalte ich Warnungen, wenn ich etwas in meinem Netzwerk getan habe, das Defender for Business als verdächtig ansieht. Möglicherweise lade ich forensische Tools, die als potenziell bösartig gekennzeichnet sind, herunter und verwende sie oder auf meinem PC wird verdächtige Software entdeckt.

Entsprechend neugierig war ich, als ich neulich von Defender for Business die Meldung "Suspicious process injection observed" angezeigt bekam. Hier ist das Wissen darüber, was ich auf dem Rechner gemacht habe, sehr hilfreich und zeigt, warum man sich bei der Untersuchung der Warnungen fragen muss, was genau der Benutzer auf seinem Rechner gemacht hat.

In diesem Fall habe ich eine Software installiert, die ich testen wollte. Eine der Funktionen der Software besteht darin, bessere Möglichkeiten zur Handhabung und Sortierung von Dateien und Bildern zu bieten. Dabei hat sie sich in den Datei-Explorer eingeschleust.

Diese Aktion wurde, wie oben gezeigt, als Schutzverletzung gekennzeichnet. Zunächst sah ich mir die Warnung an und fragte mich, welche bösartige Datei ich da heruntergeladen hatte. Sie hatte keine Virenwarnung ausgelöst, sondern nur eine Warnung vor einem ungewöhnlichen Vorfall. Dann zeigte Defender for Business genau an, auf welche Art und Weise sich die Software auf meinem System installiert hatte: Sie verwendete eine Datei namens "FileCenterInjector64.exe", um die Software in den auf meinem Rechner installierten Browsern sowie im Datei-Explorer zu installieren. Die vom Installationsprogramm durchgeführten Aktionen lösten auf dem System die Warnung über die verdächtige Prozessinjektion aus.

Herkömmliche forensische Tools erfassen oft nur einen bestimmten Zeitpunkt. In der Regel müssen Sie Protokolldateien, Registrierungsdateien und andere statische Beweise durchforsten und versuchen, eine fundierte Entscheidung darüber zu treffen, was mit dem System passiert ist. Diese statische Überprüfung des Systems erfordert oft eine gewisse Kenntnis darüber, was die Dateien hinterlassen und wie sie aussehen, um zu bestimmen, was auf dem System passiert ist.

Defender for Business beziehungsweise Defender for Endpoint erfasst die Aktionen und zeichnet sie in einem Portal zur späteren Überprüfung auf. In diesem Fall nahm die von mir installierte Software Änderungen an Dateien und Speicherorten vor, sodass ihr Verhalten verdächtig war. Als ich mir den Installationsort der Dateien und das Datum des Ereignisses ansah, erkannte ich, welche Software die Warnung ausgelöst hatte.

Dies zeigt, dass bei Untersuchungen die von den Tools gelieferten Beweise mit den Informationen, die man über das System hat, kombiniert werden müssen. Wenn Sie sicherstellen, dass die Endbenutzer nur zugelassene und geprüfte Software installieren, können Sie die Vorgänge auf Ihren Rechnern vollständig nachvollziehen. Defender löst automatisch Untersuchungen aus, wenn er ungewöhnliche Aktivitäten feststellt, aber Sie können die Untersuchung auch manuell auslösen.

Kennzeichnung verdächtiger E-Mail-Weiterleitungsregeln

Defender for Business/Endpoint sucht automatisch nach den typischen Methoden, mit denen Angreifer einen Benutzer attackieren. Als ich beispielsweise eine E-Mail-Weiterleitungsregel für ein freigegebenes Postfach einrichtete, sendete Defender eine Warnung zu diesem Vorgang.

Angreifer könnten eine Mailbox kompromittieren und dann E-Mail-Weiterleitungsregeln einrichten, um alle finanzbezogenen E-Mails direkt an den Angreifer und nicht an den betroffenen Benutzer zu senden. Bei E-Mail-Angriffen auf Unternehmen kann der Angreifer durch das Einrichten einer E-Mail-Weiterleitung Aktionen bei einer Drittbank oder einem Finanzinstitut durchführen, ohne das betroffene Unternehmen zu alarmieren. Dies ist so häufig vorgekommen, dass Microsoft nun eine Standardregel erstellt hat, die jegliche E-Mail-Weiterleitung unterbindet. Wenn Sie anschließend eine Regel zur Weiterleitung von E-Mails einrichten, löst dies eine Defender-Warnung aus, damit Sie untersuchen und überprüfen können, ob die Weiterleitungsregel beabsichtigt war. (mb)

Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation CSO.