Mit Defender XDR AD und lokale Endpunkte sichern
Wer eine XDR-Strategie aufbaut, benötigt ein Fundament aus Säulen. Zwei davon sind: Absicherung und Härtung von Endpoints und der Schutz der Identitäten im AD.
- Aaron Siller
Die IT-Sicherheit war lange Zeit vor allem eins: reaktiv. Während Endpoint Detection and Response (EDR) als Antwort auf schwache Virenscanner entstand, entwickelten sich Identitätsdienste häufig in getrennten Zuständigkeiten. Diese Trennung führt in der Praxis zu einer lückenhaften Übersicht der aktuellen Sicherheitslage.
Ein SIEM (Security Information and Event Management) versucht, diese Lücke durch das Zusammenführen von Logdaten zu schließen. Es stößt bei der Analyse von Daten in Echtzeit aber teilweise an seine Grenzen. Die Verzögerung zwischen dem Dateneingang und der Aufbereitung kann eine sofortige Reaktion auf schnelle Angriffe erschweren.
- Der Defender XDR bricht bestehende Datensilos auf, indem er Signale von Endpunkten und Identitäten direkt miteinander verknüpft und diese selbst auswertet oder an ein SIEM weiterreicht.
- Zur Abwehr komplexer Angriffe prĂĽft der Microsoft Defender for Identity die wichtigsten Server direkt auf Protokollebene, sucht dabei gezielt nach bekannten Bedrohungsmustern und schĂĽtzt hoch privilegierte Accounts.
- Eine widerstandsfähige Basis benötigt automatisierte Dienstkonten (gMSAs) sowie den Einsatz digitaler Köder (Honeytokens), um Angriffsversuche im Netzwerk frühzeitig zu bemerken.
- ASR-Regeln verringern die Angriffsfläche und sichern Endpoints ab.
Hier setzt XDR (Extended Detection and Response) an. Das Ziel: Datensilos aufbrechen und Informationen aus unterschiedlichen Bereichen direkt miteinander verbinden. Die Tabelle „EDR, SIEM und XDR – eine Übersicht“ fasst einige Kriterien zusammen und zeigt die Unterschiede.
Das war die Leseprobe unseres heise-Plus-Artikels "Mit Defender XDR AD und lokale Endpunkte sichern". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
