Ungewöhnliche Prozesse am Endgerät.
Defender for Endpoint
Endpoint Detection and Response erkennt Verhalten am Gerät.
Überwachung und Reaktion
Sicherheitsereignisse werden erfasst, protokolliert, erkannt, analysiert, beantwortet und nachverfolgt.
Aufgabenstellung
Die richtigen Defender- und Entra-Werkzeuge hängen davon ab, ob Mail, Endpoint, Identität oder Cloud-App betroffen ist.
Die Lösungen sind direkt sichtbar, damit die Seite als ruhiges Nachschlagewerk funktioniert.
Kernwissen
- Zugriffskette: Erfassung, Protokollierung, Detektion, Analyse, Reaktion, Nachverfolgung.
- Defender XDR korreliert Signale über mehrere Sicherheitsprodukte hinweg.
- Nachbereitung verbessert Policies, Playbooks und Awareness.
Lösungen zu Aufgabe 06
Phishing-Vorfall in sechs Schritten
| Aufgabe | Lösung |
|---|---|
| Erfassung | Phishing-Mail, Link-Klick und anschließende Anmeldung werden als Ereignisse sichtbar. |
| Protokollierung | Defender for Office 365, Entra Sign-In Logs und Defender XDR erfassen die Signale. |
| Detektion | Safe Links und Entra Identity Protection erkennen Risiko wie atypische Anmeldung. |
| Analyse | Mail-, User-, IP-, Geräte- und Standortdaten werden korreliert. |
| Reaktion | Konto sperren, Session beenden, Passwort und MFA zurücksetzen, Mail entfernen. |
| Nachverfolgung | Incident dokumentieren, Awareness und Anti-Phishing-Policies verbessern. |
Welcher Defender greift?
Anmeldung aus ungewöhnlichem Land.
Microsoft Entra Identity Protection
Identity Protection bewertet Anmelderisiken wie Atypical Travel.
Vorfall -> Werkzeug
| Aufgabe | Lösung |
|---|---|
| Phishing-Mail mit Link | Defender for Office 365 |
| Anomale Prozesse am Laptop | Defender for Endpoint |
| Login aus Anonymous IP | Entra Identity Protection |
| Massen-Download aus SharePoint | Defender for Cloud Apps |