Fortgeschrittene Security in der Microsoft-Cloud und Forensik in Cloudlogs von M365 und Entra ID

• Du kennst fortgeschrittene Funktionen wie Identitätsschutz und Zugriffsüberprüfungen

• Du kannst einfache Sicherheitsvorfälle mit den Cloud-Logs in der Benutzeroberfläche und mit kostenlosen Tools analysieren

• Du hast einen Einstieg in Sentinel und Purview gefunden

Inhalt

Vorbeugen ist ideal, Erkennen von Angriffen ein Muss – denn irgendwann versagt auch der beste Schutz. Geschützte Umgebungen legen die Messlatte höher und verlangen den Angreifenden mehr Zeit und ein aufwendigeres Vorgehen ab, um an ihr Ziel zu gelangen. Das verschafft den Verteidigenden Gelegenheit, den laufenden Einbruch zu entdecken. Dabei helfen die integrierte Übersicht über Sicherheitsvorfälle im Defender XDR, seine automatischen Funktionen und die Möglichkeit zur proaktiven Suche nach Bedrohungen mit der erweiterten Defender-XDR-Suche.

Bei einem vermuteten Sicherheitsvorfall können Organisationen in eingebauten Logs nachsehen, was passiert ist, etwa den Entra-Anmeldeprotokollen, oder die Auswertung mit kostenlosen Drittwerkzeugen vereinfachen. Dabei ist es wichtig zu wissen, wie du angemessen auf einen Sicherheitsvorfall reagierst – und wann du externe Hilfe von Expertinnen und Experten in Anspruch nehmen sollten.

Abschließend erhältst du einen Einstieg in das Security Information and Event Management (SIEM) mit Sentinel und erfährst, wie du es enger an Defender XDR anbindest. Zusätzlich demonstriert unser Experte, wie du das Compliance-Werkzeug Purview mit Vertraulichkeitsbezeichnungen (Sensitivity Labels) so konfigurierst, dass es unbeabsichtigten Datenverlust verhindert und so zu echter Sicherheit beiträgt.

Zielgruppe

IT-Sicherheitsverantwortliche, Administratorinnen und Administratoren, die verstehen wollen, wie Angriffe gegen die Microsoft-Cloud funktionieren. Zudem solltest du deine Microsoft-365-Umgebung und den Identitätsdienst Entra ID mit kostenlosen Werkzeugen und kostenpflichtigen Microsoft-Diensten effizient vor echten Angreifern schützen wollen.

Voraussetzungen

Wissen auf dem Level eines Junior-System- oder Cloud-Administrators wird vorausgesetzt. Das umfasst auch erste Erfahrungen mit PowerShell unter Windows. Die grundsätzliche Ersteinrichtung und Administration von Microsoft 365 und dem Identitätsdienst Entra ID sollte bekannt und abgeschlossen sein.

Für eingebaute Sicherheitsfunktionen notwendig ist beispielsweise eine Lizenzierung nach Microsoft 365 Business Premium; idealerweise mit E5 Security, das inzwischen ergänzt werden kann.

Agenda

• Risikobasierte Erkennung durch Identitätsschutz (Identity Protection)

• Benutzerzugriffe mit Zugriffsüberprüfungen (Access Reviews) einhegen

• Einstieg in das Zusammenlaufen der Defender-Produkte in Defender XDR

• Cloudlogs von Microsoft 365 und Entra ID langfristig aufbewahren

• Angriffe selbst untersuchen, angemessen darauf reagieren und wissen, wann Sie Experten zu Rate ziehen müssen

• Incident-Reponse- und Forensik-Hilfswerkzeuge wie die Microsoft-Extractor-Suite und die Microsoft-Analyzer-Suite

• Einstieg in Security Information and Event Management (SIEM) mit Sentinel und dessen Anbindung an den Microsoft Defender

• Kurzer Abriss, wie das Compliance-Werkzeug Purview zu echter Security beitragen kann