MDR für Microsoft 365

MDR Funktionen für Microsoft 365

Warum ist ein MDR für Microsoft 365 notwendig?

Bei einer modernen Cloud-basierten Infrastruktur kann ein einziger gestohlener Zugangscode oder ein kompromittiertes Konto für einen Cyberangriff verwendet werden. Einfache und allgegenwärtige Bedrohungen wie Business Email Compromise und damit verbundener Betrug kosten mittlerweile mehr als Ransomware-Angriffe. Durch das Auffinden verdächtiger Anmeldungen oder Aktivitäten wie neuer Mail-Weiterleitungskonfigurationen kann ein bevorstehender Einbruch identifiziert werden, bevor
Schaden angerichtet werden kann.

Allerdings ist es nicht immer einfach kompromittierte Konten zu finden und darauf zu reagieren. Automatisierungen oder KI-Tools erzeugen zu viele Fehlalarme und erfordern zu viel Verwaltung. Eine vollständig verwaltete Erkennung und Reaktion kann sich für Unternehmen als zu kostspielig erweisen und Warnungen können trotzdem übersehen werden. Wer fleißig genug ist seine eigenen Erkennungsregeln und -skripte zu erstellen, wird schnell mit der Menge an Warnungen
überfordert sein.

Warum ist ein MDR für Microsoft 365 notwendig?

MDR für M365 beginnt mit der Zusammenstellung von Azure-Benutzer-, Mandanten- und Anwendungsdaten, die mit zusätzlichen organischen und externen Bedrohungs-Feeds angereichert werden.

Im Laufe der Zeit wird aus den angereicherten Daten ein Verhaltensfingerabdruck erstellt, der die Genauigkeit der Erkennung verbessert. Diese Daten werden von einem ThreatOps-Team verwendet, um verdächtiges Verhalten oder gefährliche Bedrohungen zu erkennen, zu analysieren, zu melden und Abhilfemöglichkeiten bereitzustellen.

VERDÄCHTIGE ANMELDUNGEN

Die verdächtige Anmeldeidentifizierung sucht nach „unmöglichen und unwahrscheinlichen Reisen“. Dies ist eine der grundlegendsten Anomalieerkennungen, die verwendet wird, um anzuzeigen, dass ein Benutzer kompromittiert ist. Die Logik hinter unmöglicher Reise ist einfach. Wenn derselbe Benutzer sich aus zwei verschiedenen Ländern verbindet und die Zeit zwischen diesen Verbindungen nicht mit herkömmlichen Flugreisen zurückgelegt werden kann, handelt es sich um unmögliche Reise.

Verdächtige Mail-Weiterleitungskonfiguration

Angreifer können kompromitierte Benutzerkonten für verschiedene böswillige Zwecke verwenden, darunter das Lesen von E-Mails im Posteingang eines Benutzers, das Weiterleiten von E-Mails an externe Empfänger und das Senden von Phishing-E-Mails. Der Zielbenutzer ist sich möglicherweise nicht bewusst, dass seine E-Mails weitergeleitet werden. Dies ist eine sehr gängige Taktik, die Angreifer verwenden, wenn Benutzerkonten kompromittiert sind.

ZUGRIFFSAKTIVITÄT

Hacker benötigen häufig Zugriff auf Systeme, die für die von ihnen kompromittierten Konten nicht verfügbar oder ungenutzt sind. Neuartiger oder unbefugter Zugriff auf Anwendungen, Dateien oder Daten kann ein wichtiger Hinweis auf ein kompromittiertes Konto sein.

ÄNDERUNGEN DER BERECHTIGUNGEN

Angreifer müssen häufig die Berechtigungen für das kompromittierte Konto oder andere ändern, hinzufügen oder verändern. Berechtigungsänderungen können die Gewährung von Berechtigungen auf hoher Ebene, zusätzlichen Postfachzugriff, das Erstellen neuer Konten, die Deaktivierung der MFA und mehr umfassen.

KONTOISOLIERUNG

Wenn ein Konto kompromittiert und von einem Hackern abgerufen wird, muss der Zugriff sofort gesperrt werden. Mithilfe der Kontoisolierung kann das MDR ein Konto deaktivieren und es von allen Anwendungen oder Geräten abmelden.

Bedrohungsabwehr rund um die Uhr

Bedrohungen können zu jeder Tages- und Nachtzeit auftreten, aber Angreifer zielen auf die Zeit außerhalb der Arbeitszeiten und Feiertage ab, um ihre Opfer zu überraschen. Das rund um die Uhr verfügbare MDR-Team von Sicherheitsexperten überprüft ständig Vorfälle, entfernt Fehlalarme, untersucht Vorfälle und gibt Anweisungen zur Behebung. Keine vagen Warnungen mehr.

Weitere Beiträge

MDR für Microsoft 365

12. Februar 2025

Bei einem modernen IT-System kann ein einziger gestohlener Zugangscode oder ein kompromittiertes Konto für einen Cyberangriff verwendet werden.

Windows 10 auf Windows 11 Upgrade

22. Januar 2025

Wir befinden uns im letzten Support-Jahr für Windows 10. Windows 11 kann auf PCs ausgeführt werden, die die Hardware-Mindestanforderungen erfüllen. Erfahren Sie mehr zum kostenlosen Upgrade auf Windows 11.

Benötigen Sie Unterstützung vom Spezialisten?

Haben Sie Fragen zu diesem Thema? Als erfahrener IT-Dienstleister beraten wir seit vielen Jahren Kunden bei allen IT-Herausforderungen.

Unverbindlich beraten lassen
Bild von Geschäftsführer und Vertriebsleiter Moritz Descher im Büro in Kirchheim unter Teck.

Moritz Drescher

Leiter Vertrieb