Microsoft 365 Threat Intelligence verstehen und produktiv nutzen (2)
Mit Microsoft 365 Threat Intelligence können Administratoren auf Funktionen aus der Microsoft-Cloud setzen, um Angriffe zu erkennen und zu bekämpfen. Bei Threat Intelligence handelt es sich per Definition um evidenzbasiertes Wissen, das Kontext, Mechanismen, Indikatoren, Implikationen und weitere Daten erfasst. Auf Basis dieser Daten lassen sich Vorgehensweisen erarbeiten, mit denen sich Attacken auf Netzwerke und Clouddienste verhindern lassen. Im zweiten Teil beschäftigen wir uns mit dem Praxiseinsatz des Threat Explorer und wie Sie damit Angriffe simulieren.
Threat Explorer in der Praxis
Mit dem Threat Explorer von Microsoft 365 Threat Intelligence lassen sich Bedrohungen und Angriffe in Echtzeit nachverfolgen. Der Explorer steht in der klassischen Ansicht über "protection.office.com" bei "Bedrohungsmanagement" zur Verfügung und in Microsoft 365 Defender mit dem Link "security.micro-soft.com/threatexplorer". Das Dashboard im Bedrohungsmanagement dient eher der Übersicht für Führungskräfte, während der Threat Explorer Sicherheitsanalysten und Admins dabei unterstützt, auf Bedrohungen zu reagieren.
Im oberen Bereich wählen Sie bei "Anzeigen" aus, wie Sie die Anzeige filtern möchten. Neben Schadsoftware stehen hier Filter auf Basis von Phishing und anderen Kampagnen zur Verfügung. Sie können sich an dieser Stelle auch gefundene Malware und E-Mails mit Schadsoftware anzeigen lassen. Neben E-Mails aus Exchange Online kann Threat Explorer auch Angriffe erkennen, die durch gespeicherte Dateien in Share-Point Online und OneDrive for Business gestartet wurden. Nutzen Sie auf den Clients den Defender-Virenscanner, zeigt Threat Explorer in den Informationen auch Malware-Angriffe auf den Endpunkten selbst. Neben Microsoft Defender for Endpoint kann das auch andere Security-Produkte umfassen, die auf die APIs von Microsoft 365 Threat Intelligence setzen.
Bestandteil von Microsoft 365 Threat Intelligence ist auch der sogenannte Bedrohungs-Tracker. Dieser ist im Dashboard von Microsoft 365 Defender verfügbar unter "security.microsoft.com/threattracker" oder im Office 365 Security & Compliance-Center. Allerdings leitet der Aufruf an dieser Stelle zum Bedrohungs-Tracker auf der Microsoft-365-Defender-Seite weiter. Hier können Sie aktuelle Malware-Angriffe einsehen und Trends erkennen. Außerdem erhalten Sie an der Stelle Ratschläge, wie Sie auf die Bedrohungen reagieren sollten.
Angriffe simulieren
Mit dem Angriffssimulationstraining können sich Unternehmen und Admins auf Angriffe vorbereiten und mit Bordmitteln von Microsoft 365 Threat Intelligence auf diese Attacken reagieren. Die Simulationen sollen zudem helfen, das Benutzerverhalten zu analysieren. Unternehmen erhalten dabei Empfehlungen, wie sie in Zukunft ihre IT-Umgebung sowie die Benutzer auf den Angriff vorbereiten und wie sie am besten auf Attacken reagieren. Auf der Registerkarte "Übersicht" erhalten Sie eine Zusammenfassung des simulierten Angriffes. Durch das Training lernen Administratoren wie auch Benutzer, wie Hacker vorgehen. Als Admin erkennen Sie an dieser Stelle wiederum, wie viele Benutzer anfällig für Attacken sind, wer an der Simulation teilgenommen hat und wie viele User die Schulung abgeschlossen haben.
Eine neue Simulation starten Sie am besten über den integrierten Assistenten. Dazu finden Sie bei Microsoft 365 Defender, wenn Sie über ein Abonnement mit Microsoft 365 Threat Intelligence verfügen, den Menüpunkt "Angriffssimulationstraining". Rufen Sie diesen auf, können Sie mit dem Menüpunkt "Simulationen" und "Eine Simulation starten" aus einer Liste von Angriffen auswählen. Nach der Auswahl der gewünschten Attacke selektieren Sie die Details. Sie können im Assistenten zum Beispiel die E-Mail als Angriffsvektor auswählen und die spezifische Art der Attacke. Danach geben Sie an, welche Benutzer bei der Simulation mitmachen und an Schulungen teilnehmen sollen. Nachdem die Simulation in wenigen Schritten ausgeführt ist, können Sie den Test starten. Es lassen sich in diesem Zusammenhang auch mehrere Simulationen gleichzeitig anstoßen. Alle Simulationen sind dann direkt auf der Hauptseite bei "Simulationen" zu sehen.
Sobald die Simulation beginnt, erhalten die Teilnehmer das entsprechende Dokument oder die E-Mail zugestellt. Die Simulation läuft über das produktive Postfach der Teilnehmer. Öffnen die Anwender das Dokument oder die URL, erhalten sie einen Hinweis, dass sie an einem Test teilgenommen haben. Der Angriff läuft natürlich einige Zeit und im Dashboard von "Angriffssimulationstraining" lassen sich erste Ergebnisse auslesen, sobald der Test beginnt.
ln/dr/Thomas Joos
Im dritten Teil der Workshopserie schildern wir, wie Sie proaktiv nach Bedrohungen suchen und automatisierte Prozesse zur Gefahrenabwehr planen. Im ersten Teil haben wir die Grundlagen des Bedrohungsmanagements erklärt und was es mit dem Intelligent Security Graph auf sich hat.
