Zum Inhalt springen
sw
en

Tippe um zu suchen

IT-Security (Business)

Microsoft 365 Defender – Grundlagen

Microsoft 365 Defender (Defender XDR) verstehen: Komponenten, Secure Score, Incidents, Defender for Office 365 und Endpoint-Onboarding fuer KMU.

10 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Was ist Microsoft 365 Defender?

Microsoft 365 Defender – seit 2024 offiziell umbenannt zu Microsoft Defender XDR (Extended Detection and Response) – ist die zentrale Security-Plattform fuer alle Microsoft-365-Umgebungen. Du erreichst das Portal unter security.microsoft.com.

Der entscheidende Punkt: Defender XDR ist kein einzelnes Produkt, sondern ein Dach ueber mehrere Sicherheitsdienste, die ihre Signale zusammenfuehren und korrelieren. Wo frueher jeder Dienst seine eigenen Alerts produzierte, siehst du heute im Defender-Portal einen zusammengefassten Incident mit allen beteiligten Entitaeten – User, Gerät, E-Mail, Cloud-App.

Fuer den IT-Allrounder im KMU bedeutet das: Ein einziger Ort fuer Sicherheitsvorfaelle, anstatt zwischen drei verschiedenen Portalen zu wechseln.

Die fuenf Komponenten im Ueberblick

DienstSchuetztKernfunktion
Defender for Endpoint (MDE)Windows, macOS, Linux, MobileEDR – Endgeraete ueberwachen, Angriffe erkennen und eindaemmen
Defender for Office 365 (MDO)E-Mail, SharePoint, OneDrive, TeamsPhishing-Schutz, Safe Links, Safe Attachments
Defender for Identity (MDI)Active Directory / Entra IDAngriffserkennung auf Identitaetsinfrastruktur
Defender for Cloud Apps (MDA)SaaS-Apps (Salesforce, Dropbox, etc.)Shadow IT erkennen, Datenschutz-Policies
Defender Vulnerability ManagementEndgeraeteSchwachstellen und Fehlkonfigurationen auf Endpoints

Das Defender-Portal navigieren

Unter security.microsoft.com findest du die wichtigsten Bereiche:

BereichInhalt
Incidents & AlertsAlle aktiven Sicherheitsvorfaelle (korreliert ueber alle Dienste)
Hunting > Erweiterte SucheKQL-Abfragen ueber alle Rohdaten (Emails, Logins, Prozesse, …)
Aktionen & UebermittlungenDateien/URLs zur Analyse einreichen, isolierte Geraete freigeben
Secure ScoreBewertung der Sicherheitskonfiguration, 0–100 %
Richtlinien & RegelnAnti-Phishing, Safe Links, Safe Attachments, Anti-Spam
GeraeteinventarAlle ongeboardeten Endgeraete mit Risikobewertung
IdentitaetenUser-Risikosignale aus Entra ID und MDI
BerichteE-Mail-Fluss, Endpoint-Status, Erkennungen

Secure Score – Sicherheitslage auf einen Blick

Der Secure Score bewertet deine Konfiguration auf einer Skala von 0 bis 100 %. Er ist dein wichtigster Einstiegspunkt, wenn du den Defender zum ersten Mal einrichtest.

Wie er funktioniert:

  • Microsoft prueft deine Konfiguration gegen einen Katalog von Best-Practice-Empfehlungen
  • Jede aktive Massnahme (z.B. MFA aktiviert, Safe Attachments eingeschaltet) gibt Punkte
  • Zu jeder Empfehlung gibt es eine direkte Anleitung und einen Link zur Umsetzung

Typische Quick-Wins in einem frischen Tenant:

  1. MFA fuer alle Admins erzwingen (meist hoeher gewichtet als alles andere)
  2. Legacy-Authentifizierung blockieren (Conditional Access Policy)
  3. Defender for Office 365 Preset Security Policy aktivieren
  4. Privileged Identity Management (PIM) fuer Admin-Rollen einschalten
  5. DKIM und DMARC fuer die eigene Domain konfigurieren

Incidents und Alerts verstehen

Defender XDR fasst zusammengehoerende Alerts zu einem Incident zusammen. Das ist der grosse Vorteil gegenueber einzelnen Produktwarnungen: Du siehst auf einen Blick, was zusammengehoert.

Beispiel: Ein User klickt auf einen Phishing-Link (MDO-Alert) → loggst du dich von einem unbekannten Land ein (Entra ID Alert) → Powershell wird auf dem Gerät ausgefuehrt (MDE-Alert). Defender verknuepft alle drei zu einem Incident und zeigt den Angriffspfad.

Alert-Schweregrade:

SchweregradBedeutungTypische Reaktionszeit
InformationalKein Schaden, zur Kenntnis nehmenKeine sofortige Aktion
LowPotenziell verdaechtig, kein akuter SchadenPruefen wenn Zeit
MediumErfordert UntersuchungInnerhalb des Tages
HighAktiver Angriff oder Datenverlust moeglichSofort

Incident-Workflow im KMU-Alltag:

1. Incident im Portal oeffnen
2. Angriffspfad (Attack Story) pruefen: welche Entitaeten betroffen?
3. Betroffene Geraete / User pruefen
4. Automatische Ermittlung (AIR) pruefen – hat Defender schon etwas isoliert?
5. Manuelle Gegenmassnahmen ergreifen falls noetig
6. Incident kommentieren und schliessen

Automated Investigation and Response (AIR)

Defender kann Vorfaelle nicht nur erkennen, sondern auch automatisch untersuchen und Massnahmen vorschlagen. Das nennt sich AIR (Automated Investigation and Response).

Was AIR tun kann:

  • Gerät automatisch isolieren (nur Defender-Kommunikation bleibt aktiv)
  • Schadhafte Dateien unter Quarantaene stellen
  • Boeswillige E-Mails soft-deleten (aus Postfaechern entfernen)
  • Indicators of Compromise (IoCs) als Blocker hinzufuegen

Defender for Office 365 – E-Mail-Schutz konfigurieren

Das ist der Bereich, den du im KMU am haeufigsten anfassen wirst. Alle Richtlinien findest du unter: security.microsoft.comE-Mail & ZusammenarbeitRichtlinien & RegelnBedrohungsrichtlinien

Anti-Phishing Policy

Schuetzt vor Absender-Impersonation (jemand gibt sich als Chef aus) und Domain-Spoofing.

Wichtige Einstellungen:

  • Benutzerimpersonationsschutz: Trage E-Mail-Adressen von Fuehrungskraeften und wichtigen Personen ein
  • Domainimpersonationsschutz: Eigene Domains und wichtige Partner-Domains eintragen
  • Mailbox Intelligence: Lernt aus bisherigen Kommunikationsmustern (wer schreibt wem?)
  • Phishing-Schwellenwert: Aggressivitaet der Erkennung (1 = Standard, 4 = Aggressiv)
# Anti-Phishing Policy per PowerShell abfragen (Exchange Online Management)
Connect-ExchangeOnline
Get-AntiPhishPolicy | Select-Object Name, Enabled, PhishThresholdLevel, EnableTargetedUserProtection

Alle URLs in E-Mails und Office-Dokumenten werden beim Klick live geprueft. Wenn eine URL seit dem Eingang als boeswillig eingestuft wurde, wird sie blockiert – auch wenn sie beim Empfang noch sauber war.

Wichtige Einstellungen:

  • URLs in E-Mails umschreiben und zum Klickzeitpunkt pruefen: aktivieren
  • URLs in Microsoft Teams pruefen: aktivieren
  • URLs in Office-Apps pruefen: aktivieren
  • Benutzer duerfen Original-URL nicht umgehen: aktivieren (kein “Klick hier trotzdem”)

Safe Attachments

Anhaenge werden in einer Sandbox geoeffnet und ausgefuehrt, bevor sie zugestellt werden. Das dauert typischerweise wenige Minuten.

Aktionsmodi:

ModusVerhalten
MonitorZugestellt, Ergebnisse werden geloggt (nur Beobachtung)
BlockBoeswillige Anhaenge werden blockiert und nicht zugestellt
ReplaceAnhang wird durch Platzhalter ersetzt, Original in Quarantaene
Dynamic DeliveryE-Mail sofort zugestellt, Anhang nachgereicht nach Scan (empfohlen)

DKIM und DMARC – ausgehende Mail absichern

Diese DNS-Eintraege verhindern, dass andere im Namen eurer Domain E-Mails versenden:

DKIM aktivieren (im Defender-Portal):

E-Mail & Zusammenarbeit → Richtlinien & Regeln → Bedrohungsrichtlinien → E-Mail-Authentifizierungseinstellungen → DKIM

→ Domain auswaehlen → “DKIM-Signaturen aktivieren” → DNS-Eintraege beim Domain-Hoster eintragen

DMARC-Eintrag (beim DNS-Provider):

_dmarc.firma.ch  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@firma.ch; pct=100"

Reihung: SPF kommt zuerst (im DNS), dann DKIM, dann DMARC. Alle drei muessen aktiv sein damit DMARC greift.

Defender for Endpoint – Geraete onboarden

Defender for Endpoint (MDE) ist der EDR-Agent fuer Endgeraete. Er ueberwacht Prozesse, Netzwerkverbindungen, Registry-Aenderungen und Dateisystemoperationen und meldet Auffaelligkeiten ans Defender-Portal.

Onboarding via Intune (empfohlen)

Der sauberste Weg fuer M365-Umgebungen ist Intune. Geraete werden automatisch ongeboardet wenn sie Intune-managed sind:

  1. Intune Admin Center → Endpoint SecurityEndpoint detection and response
  2. Neue Policy erstellen: Platform = Windows 10/11, Profile = Endpoint detection and response
  3. Setting: Microsoft Defender for Endpoint client configuration package type = Auto from connector
  4. Policy auf Geraetegruppe zuweisen
  5. Status pruefen unter: EDR Onboarding Status-Tab

Onboarding per Skript (manuell / fuer einzelne Geraete)

# 1. Onboarding-Paket aus dem Defender-Portal herunterladen:
#    Einstellungen > Endpoints > Geraeteverwaltung > Onboarding
#    Paket-Typ: Lokales Skript (ZIP)

# 2. ZIP entpacken, dann als Administrator ausfuehren:
.\WindowsDefenderATPLocalOnboardingScript.cmd

# 3. Onboarding-Status pruefen:
Get-MpComputerStatus | Select-Object AMRunningMode, OnboardingState, RealTimeProtectionEnabled

# Erwartete Ausgabe:
# AMRunningMode   : Normal
# OnboardingState : 1  (1 = ongeboardet, 0 = nicht ongeboardet)
# RealTimeProtectionEnabled : True

Geraetefunktionen nach Onboarding

Sobald ein Gerät ongeboardet ist, stehen im Defender-Portal folgende Aktionen zur Verfuegung:

Geraeteinventar → Gerät auswaehlen → ...
- Untersuchungspaket sammeln (Logs, Prozesse, Netzwerk)
- Antivirusscan ausfuehren
- Gerät isolieren (nur MDE-Kommunikation bleibt aktiv)
- Ausfuehren von Liveantwort-Shell (Remote-PowerShell-Session)
- App-Ausfuehrung einschraenken

Erweiterte Suche (Advanced Hunting)

Fuer erfahrene Admins bietet Defender XDR die erweiterte Suche mit der Abfragesprache KQL (Kusto Query Language). Du kannst damit quer ueber alle Daten suchen – E-Mails, Logins, Prozesse, Dateioperationen.

// Alle fehlgeschlagenen Logins eines Users in den letzten 7 Tagen
SigninLogs
| where TimeGenerated > ago(7d)
| where UserPrincipalName == "mmuster@firma.ch"
| where ResultType != "0"
| summarize Anzahl = count() by ResultType, AppDisplayName, IPAddress
| order by Anzahl desc

// Emails mit schadhaften Anhaengen, die zugestellt wurden
EmailEvents
| where Timestamp > ago(24h)
| where ThreatTypes has "Malware"
| where DeliveryAction == "Delivered"
| project Timestamp, SenderFromAddress, RecipientEmailAddress, Subject, ThreatTypes

Typische KMU-Szenarien und Troubleshooting

Szenario 1: Phishing-Mail wurde zugestellt

1. Im Defender-Portal: E-Mail-Suche → Nachricht anhand von Betreff / Absender finden
2. "Soft Delete" ausfuehren: Mail aus allen Postfaechern entfernen
   (Aktionen → E-Mail-Entitaet → Soft löschen)
3. Pruefen ob User auf Link geklickt hat: Incidents pruefen, MDO-Bericht
4. Falls Link geklickt: Passwort des Users resetten, MFA-Session widerrufen
5. Absender-Domain / IP als Indicator of Compromise blockieren

Szenario 2: Gerät wird als “High Risk” markiert

# Lokale Defender-Logs pruefen
Get-MpThreatDetection | Sort-Object InitialDetectionTime -Descending | Select-Object -First 10

# Defender-Dienste-Status pruefen
Get-Service -Name "WdNisSvc","WinDefend","MsSense" | Select-Object Name, Status

# Vollstaendigen Scan starten
Start-MpScan -ScanType FullScan

Im Defender-Portal: Gerät → Untersuchung starten → Automatische Untersuchung laeuft durch und schliesst bekannte Bedrohungen ab.

Szenario 3: Safe Attachments blockiert legitimen Anhang (False Positive)

1. Quarantaene pruefen: security.microsoft.com → E-Mail & Zusammenarbeit → Ueberpruefen → Quarantaene
2. Nachricht auswaehlen → Details pruefen (Erkennungsregel)
3. Falls False Positive: "Freigeben" und "Als falsch positiv melden"
4. Absender zu Safe Sender List hinzufuegen (falls bekannt und vertrauenswuerdig)
5. Langfristig: Ausnahmeregel in Safe Attachments Policy fuer vertrauenswuerdige Domains

Szenario 4: DKIM-Signatur schlug fehl bei ausgehenden Mails

# DKIM-Konfiguration pruefen (Exchange Online)
Connect-ExchangeOnline
Get-DkimSigningConfig -Domain firma.ch | Select-Object Domain, Enabled, Status, Selector1CNAME, Selector2CNAME

# Oeffentliche DKIM-Eintraege per DNS pruefen
Resolve-DnsName -Name "selector1._domainkey.firma.ch" -Type TXT
Resolve-DnsName -Name "selector2._domainkey.firma.ch" -Type TXT

Lizenzen und Plaene

PlanEnthaltenDefender-Dienste
M365 Business BasicE-Mail, Teams, OneDriveNur EOP (kein MDO)
M365 Business Standard+ Office AppsNur EOP
M365 Business Premium+ Intune, Entra P1MDE Plan 1 + MDO Plan 1
M365 E3Enterprise, kein MDOMDE Plan 1
M365 E5AllesMDE Plan 2 + MDO Plan 2 + MDI + MDA
Defender for Endpoint Plan 2 Add-onSeparates Add-onEDR, Threat Intelligence, Liveantwort

Fuer die meisten KMU ist M365 Business Premium der Sweet Spot: Intune, Entra P1, MDE und MDO Plan 1 sind inklusive.

Verbindung zu anderen Tools

Defender XDR laesst sich mit weiteren Diensten verbinden:

  • Intune: Geraete-Compliance basierend auf MDE-Risikostufe → Conditional Access blockiert risikobehaftete Geraete automatisch
  • Entra ID / Azure AD: Identity-Risikosignale fliessen in Defender ein; Passwort-Reset und Session-Widerruf direkt aus Portal
  • Microsoft Sentinel (SIEM): Alle Defender-Daten koennen an Sentinel gestreamt werden fuer laengere Aufbewahrung und komplexere Korrelationsregeln

Weitere thematisch verwandte Seiten in diesem Wiki:

Weiterlernen

Videos

YouTube
Microsoft Defender XDR Grundlagen – Defender XDR 01
YouTube
Defender XDR: Architektur und Bestandteile im Ueberblick

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben