Microsoft Defender for Identity (ehemals ATA) - Erkennen von Cyberangriffen

Einführung und Grundlagen

• Überblick über die Bedrohungserkennung und den Schutz von Identitäten
• Einführung in Microsoft Defender for Identity und dessen Funktionsweise
• Unterschiede zwischen Microsoft Defender for Identity und Microsoft ATA: Weiterentwicklungen und neue Funktionen

Aktuelle Entwicklungen und Bedrohungslandschaft

• Trends bei Cyberangriffen auf Identitäten und Netzwerke
• Beispiele realer Angriffe wie Pass-the-Hash und Golden Ticket
• Bedeutung von Identity Threat Detection & Response (ITDR) für die Cybersicherheit

Architektur und Funktionsweise von Microsoft Defender for Identity

• Überblick über die Architektur und Funktionsweise von Defender for Identity
• Integration von SIEM- und SOAR-Lösungen
• Komponenten von Defender for Identity: Sensoren, Cloud-Integration und Datenfluss

Planung und Vorbereitung

• Planung der Kapazitäten für Defender for Identity
• Erstellen von Sicherheitsgruppen und Zuweisung von Rollen
• Überblick über Lizenzierungsoptionen: Microsoft 365 E5 und eigenständige Lizenzen

Bereitstellung von Microsoft Defender for Identity

• Optionen zur Bereitstellung: Hybrid- und Cloud-only-Umgebungen
• Voraussetzungen: Netzwerk- und Serveranforderungen
• Schritte zur Installation von Sensoren und Konfiguration der Cloud-Anbindung

Konfiguration und Integration

• Sammlung und Analyse von Telemetriedaten
• Einrichtung der Windows-Ereignisweiterleitung
• Integration mit VPNs und SIEM-Systemen
• Anpassung der Richtlinien für Benutzer- und Administratorüberwachung

Angriffserkennung in der Praxis

• Identifizierung verdächtiger Aktivitäten in der Defender-Konsole
• Nutzung von Sicherheitswarnungen und Bedrohungseinblicken zur Erkennung von Mustern
• Analyse von Angriffen wie seitlichem Bewegungsangriff, Aufklärung und Diebstahl von Anmeldedaten

Arbeiten mit Sicherheitsvorfällen

• Verwaltung und Bearbeitung von verdächtigen Aktivitäten
• Anpassung von Ansichten und Dashboards in der Konsole
• Nutzung von Playbooks für automatisierte Reaktionen in Microsoft Sentinel

Berichtsgenerierung und Analyse

• Erstellen und Herunterladen von manuellen Berichten
• Konfiguration geplanter Berichterstellungen
• Integration von Power BI für weitergehende Analysen und Visualisierungen

Wartung und Problembehandlung

• Optimierung der Konfiguration von Defender for Identity
• Zertifikatmanagement für Sensoren und Cloud-Dienste (SSL/TLS)
• Backup- und Wiederherstellungsstrategien für Konfigurations- und Telemetriedaten
• Notfallwiederherstellung nach Systemausfällen

Best Practices und Zukunftsperspektiven

• Empfehlungen für die Implementierung und kontinuierliche Überwachung
• Integration von Defender for Identity mit anderen Microsoft-Sicherheitslösungen (z. B. Defender for Endpoint, Microsoft Sentinel)
• Ausblick auf zukünftige Entwicklungen im Bereich ITDR und Identitätssicherheit