Microsoft 365 Defender – Grundlagen
Microsoft 365 Defender (Defender XDR) verstehen: Komponenten, Secure Score, Incidents, Defender for Office 365 und Endpoint-Onboarding fuer KMU.
Was ist Microsoft 365 Defender?
Microsoft 365 Defender – seit 2024 offiziell umbenannt zu Microsoft Defender XDR (Extended Detection and Response) – ist die zentrale Security-Plattform fuer alle Microsoft-365-Umgebungen. Du erreichst das Portal unter security.microsoft.com.
Der entscheidende Punkt: Defender XDR ist kein einzelnes Produkt, sondern ein Dach ueber mehrere Sicherheitsdienste, die ihre Signale zusammenfuehren und korrelieren. Wo frueher jeder Dienst seine eigenen Alerts produzierte, siehst du heute im Defender-Portal einen zusammengefassten Incident mit allen beteiligten Entitaeten – User, Gerät, E-Mail, Cloud-App.
Fuer den IT-Allrounder im KMU bedeutet das: Ein einziger Ort fuer Sicherheitsvorfaelle, anstatt zwischen drei verschiedenen Portalen zu wechseln.
Die fuenf Komponenten im Ueberblick
| Dienst | Schuetzt | Kernfunktion |
|---|---|---|
| Defender for Endpoint (MDE) | Windows, macOS, Linux, Mobile | EDR – Endgeraete ueberwachen, Angriffe erkennen und eindaemmen |
| Defender for Office 365 (MDO) | E-Mail, SharePoint, OneDrive, Teams | Phishing-Schutz, Safe Links, Safe Attachments |
| Defender for Identity (MDI) | Active Directory / Entra ID | Angriffserkennung auf Identitaetsinfrastruktur |
| Defender for Cloud Apps (MDA) | SaaS-Apps (Salesforce, Dropbox, etc.) | Shadow IT erkennen, Datenschutz-Policies |
| Defender Vulnerability Management | Endgeraete | Schwachstellen und Fehlkonfigurationen auf Endpoints |
Das Defender-Portal navigieren
Unter security.microsoft.com findest du die wichtigsten Bereiche:
| Bereich | Inhalt |
|---|---|
| Incidents & Alerts | Alle aktiven Sicherheitsvorfaelle (korreliert ueber alle Dienste) |
| Hunting > Erweiterte Suche | KQL-Abfragen ueber alle Rohdaten (Emails, Logins, Prozesse, …) |
| Aktionen & Uebermittlungen | Dateien/URLs zur Analyse einreichen, isolierte Geraete freigeben |
| Secure Score | Bewertung der Sicherheitskonfiguration, 0–100 % |
| Richtlinien & Regeln | Anti-Phishing, Safe Links, Safe Attachments, Anti-Spam |
| Geraeteinventar | Alle ongeboardeten Endgeraete mit Risikobewertung |
| Identitaeten | User-Risikosignale aus Entra ID und MDI |
| Berichte | E-Mail-Fluss, Endpoint-Status, Erkennungen |
Secure Score – Sicherheitslage auf einen Blick
Der Secure Score bewertet deine Konfiguration auf einer Skala von 0 bis 100 %. Er ist dein wichtigster Einstiegspunkt, wenn du den Defender zum ersten Mal einrichtest.
Wie er funktioniert:
- Microsoft prueft deine Konfiguration gegen einen Katalog von Best-Practice-Empfehlungen
- Jede aktive Massnahme (z.B. MFA aktiviert, Safe Attachments eingeschaltet) gibt Punkte
- Zu jeder Empfehlung gibt es eine direkte Anleitung und einen Link zur Umsetzung
Typische Quick-Wins in einem frischen Tenant:
- MFA fuer alle Admins erzwingen (meist hoeher gewichtet als alles andere)
- Legacy-Authentifizierung blockieren (Conditional Access Policy)
- Defender for Office 365 Preset Security Policy aktivieren
- Privileged Identity Management (PIM) fuer Admin-Rollen einschalten
- DKIM und DMARC fuer die eigene Domain konfigurieren
Incidents und Alerts verstehen
Defender XDR fasst zusammengehoerende Alerts zu einem Incident zusammen. Das ist der grosse Vorteil gegenueber einzelnen Produktwarnungen: Du siehst auf einen Blick, was zusammengehoert.
Beispiel: Ein User klickt auf einen Phishing-Link (MDO-Alert) → loggst du dich von einem unbekannten Land ein (Entra ID Alert) → Powershell wird auf dem Gerät ausgefuehrt (MDE-Alert). Defender verknuepft alle drei zu einem Incident und zeigt den Angriffspfad.
Alert-Schweregrade:
| Schweregrad | Bedeutung | Typische Reaktionszeit |
|---|---|---|
| Informational | Kein Schaden, zur Kenntnis nehmen | Keine sofortige Aktion |
| Low | Potenziell verdaechtig, kein akuter Schaden | Pruefen wenn Zeit |
| Medium | Erfordert Untersuchung | Innerhalb des Tages |
| High | Aktiver Angriff oder Datenverlust moeglich | Sofort |
Incident-Workflow im KMU-Alltag:
1. Incident im Portal oeffnen
2. Angriffspfad (Attack Story) pruefen: welche Entitaeten betroffen?
3. Betroffene Geraete / User pruefen
4. Automatische Ermittlung (AIR) pruefen – hat Defender schon etwas isoliert?
5. Manuelle Gegenmassnahmen ergreifen falls noetig
6. Incident kommentieren und schliessen
Automated Investigation and Response (AIR)
Defender kann Vorfaelle nicht nur erkennen, sondern auch automatisch untersuchen und Massnahmen vorschlagen. Das nennt sich AIR (Automated Investigation and Response).
Was AIR tun kann:
- Gerät automatisch isolieren (nur Defender-Kommunikation bleibt aktiv)
- Schadhafte Dateien unter Quarantaene stellen
- Boeswillige E-Mails soft-deleten (aus Postfaechern entfernen)
- Indicators of Compromise (IoCs) als Blocker hinzufuegen
Defender for Office 365 – E-Mail-Schutz konfigurieren
Das ist der Bereich, den du im KMU am haeufigsten anfassen wirst. Alle Richtlinien findest du unter:
security.microsoft.com → E-Mail & Zusammenarbeit → Richtlinien & Regeln → Bedrohungsrichtlinien
Anti-Phishing Policy
Schuetzt vor Absender-Impersonation (jemand gibt sich als Chef aus) und Domain-Spoofing.
Wichtige Einstellungen:
- Benutzerimpersonationsschutz: Trage E-Mail-Adressen von Fuehrungskraeften und wichtigen Personen ein
- Domainimpersonationsschutz: Eigene Domains und wichtige Partner-Domains eintragen
- Mailbox Intelligence: Lernt aus bisherigen Kommunikationsmustern (wer schreibt wem?)
- Phishing-Schwellenwert: Aggressivitaet der Erkennung (1 = Standard, 4 = Aggressiv)
# Anti-Phishing Policy per PowerShell abfragen (Exchange Online Management)
Connect-ExchangeOnline
Get-AntiPhishPolicy | Select-Object Name, Enabled, PhishThresholdLevel, EnableTargetedUserProtection
Safe Links
Alle URLs in E-Mails und Office-Dokumenten werden beim Klick live geprueft. Wenn eine URL seit dem Eingang als boeswillig eingestuft wurde, wird sie blockiert – auch wenn sie beim Empfang noch sauber war.
Wichtige Einstellungen:
- URLs in E-Mails umschreiben und zum Klickzeitpunkt pruefen: aktivieren
- URLs in Microsoft Teams pruefen: aktivieren
- URLs in Office-Apps pruefen: aktivieren
- Benutzer duerfen Original-URL nicht umgehen: aktivieren (kein “Klick hier trotzdem”)
Safe Attachments
Anhaenge werden in einer Sandbox geoeffnet und ausgefuehrt, bevor sie zugestellt werden. Das dauert typischerweise wenige Minuten.
Aktionsmodi:
| Modus | Verhalten |
|---|---|
| Monitor | Zugestellt, Ergebnisse werden geloggt (nur Beobachtung) |
| Block | Boeswillige Anhaenge werden blockiert und nicht zugestellt |
| Replace | Anhang wird durch Platzhalter ersetzt, Original in Quarantaene |
| Dynamic Delivery | E-Mail sofort zugestellt, Anhang nachgereicht nach Scan (empfohlen) |
DKIM und DMARC – ausgehende Mail absichern
Diese DNS-Eintraege verhindern, dass andere im Namen eurer Domain E-Mails versenden:
DKIM aktivieren (im Defender-Portal):
E-Mail & Zusammenarbeit → Richtlinien & Regeln → Bedrohungsrichtlinien → E-Mail-Authentifizierungseinstellungen → DKIM
→ Domain auswaehlen → “DKIM-Signaturen aktivieren” → DNS-Eintraege beim Domain-Hoster eintragen
DMARC-Eintrag (beim DNS-Provider):
_dmarc.firma.ch TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@firma.ch; pct=100"
Reihung: SPF kommt zuerst (im DNS), dann DKIM, dann DMARC. Alle drei muessen aktiv sein damit DMARC greift.
Defender for Endpoint – Geraete onboarden
Defender for Endpoint (MDE) ist der EDR-Agent fuer Endgeraete. Er ueberwacht Prozesse, Netzwerkverbindungen, Registry-Aenderungen und Dateisystemoperationen und meldet Auffaelligkeiten ans Defender-Portal.
Onboarding via Intune (empfohlen)
Der sauberste Weg fuer M365-Umgebungen ist Intune. Geraete werden automatisch ongeboardet wenn sie Intune-managed sind:
- Intune Admin Center → Endpoint Security → Endpoint detection and response
- Neue Policy erstellen: Platform = Windows 10/11, Profile = Endpoint detection and response
- Setting: Microsoft Defender for Endpoint client configuration package type = Auto from connector
- Policy auf Geraetegruppe zuweisen
- Status pruefen unter: EDR Onboarding Status-Tab
Onboarding per Skript (manuell / fuer einzelne Geraete)
# 1. Onboarding-Paket aus dem Defender-Portal herunterladen:
# Einstellungen > Endpoints > Geraeteverwaltung > Onboarding
# Paket-Typ: Lokales Skript (ZIP)
# 2. ZIP entpacken, dann als Administrator ausfuehren:
.\WindowsDefenderATPLocalOnboardingScript.cmd
# 3. Onboarding-Status pruefen:
Get-MpComputerStatus | Select-Object AMRunningMode, OnboardingState, RealTimeProtectionEnabled
# Erwartete Ausgabe:
# AMRunningMode : Normal
# OnboardingState : 1 (1 = ongeboardet, 0 = nicht ongeboardet)
# RealTimeProtectionEnabled : True
Geraetefunktionen nach Onboarding
Sobald ein Gerät ongeboardet ist, stehen im Defender-Portal folgende Aktionen zur Verfuegung:
Geraeteinventar → Gerät auswaehlen → ...
- Untersuchungspaket sammeln (Logs, Prozesse, Netzwerk)
- Antivirusscan ausfuehren
- Gerät isolieren (nur MDE-Kommunikation bleibt aktiv)
- Ausfuehren von Liveantwort-Shell (Remote-PowerShell-Session)
- App-Ausfuehrung einschraenken
Erweiterte Suche (Advanced Hunting)
Fuer erfahrene Admins bietet Defender XDR die erweiterte Suche mit der Abfragesprache KQL (Kusto Query Language). Du kannst damit quer ueber alle Daten suchen – E-Mails, Logins, Prozesse, Dateioperationen.
// Alle fehlgeschlagenen Logins eines Users in den letzten 7 Tagen
SigninLogs
| where TimeGenerated > ago(7d)
| where UserPrincipalName == "mmuster@firma.ch"
| where ResultType != "0"
| summarize Anzahl = count() by ResultType, AppDisplayName, IPAddress
| order by Anzahl desc
// Emails mit schadhaften Anhaengen, die zugestellt wurden
EmailEvents
| where Timestamp > ago(24h)
| where ThreatTypes has "Malware"
| where DeliveryAction == "Delivered"
| project Timestamp, SenderFromAddress, RecipientEmailAddress, Subject, ThreatTypes
Typische KMU-Szenarien und Troubleshooting
Szenario 1: Phishing-Mail wurde zugestellt
1. Im Defender-Portal: E-Mail-Suche → Nachricht anhand von Betreff / Absender finden
2. "Soft Delete" ausfuehren: Mail aus allen Postfaechern entfernen
(Aktionen → E-Mail-Entitaet → Soft löschen)
3. Pruefen ob User auf Link geklickt hat: Incidents pruefen, MDO-Bericht
4. Falls Link geklickt: Passwort des Users resetten, MFA-Session widerrufen
5. Absender-Domain / IP als Indicator of Compromise blockieren
Szenario 2: Gerät wird als “High Risk” markiert
# Lokale Defender-Logs pruefen
Get-MpThreatDetection | Sort-Object InitialDetectionTime -Descending | Select-Object -First 10
# Defender-Dienste-Status pruefen
Get-Service -Name "WdNisSvc","WinDefend","MsSense" | Select-Object Name, Status
# Vollstaendigen Scan starten
Start-MpScan -ScanType FullScan
Im Defender-Portal: Gerät → Untersuchung starten → Automatische Untersuchung laeuft durch und schliesst bekannte Bedrohungen ab.
Szenario 3: Safe Attachments blockiert legitimen Anhang (False Positive)
1. Quarantaene pruefen: security.microsoft.com → E-Mail & Zusammenarbeit → Ueberpruefen → Quarantaene
2. Nachricht auswaehlen → Details pruefen (Erkennungsregel)
3. Falls False Positive: "Freigeben" und "Als falsch positiv melden"
4. Absender zu Safe Sender List hinzufuegen (falls bekannt und vertrauenswuerdig)
5. Langfristig: Ausnahmeregel in Safe Attachments Policy fuer vertrauenswuerdige Domains
Szenario 4: DKIM-Signatur schlug fehl bei ausgehenden Mails
# DKIM-Konfiguration pruefen (Exchange Online)
Connect-ExchangeOnline
Get-DkimSigningConfig -Domain firma.ch | Select-Object Domain, Enabled, Status, Selector1CNAME, Selector2CNAME
# Oeffentliche DKIM-Eintraege per DNS pruefen
Resolve-DnsName -Name "selector1._domainkey.firma.ch" -Type TXT
Resolve-DnsName -Name "selector2._domainkey.firma.ch" -Type TXT
Lizenzen und Plaene
| Plan | Enthalten | Defender-Dienste |
|---|---|---|
| M365 Business Basic | E-Mail, Teams, OneDrive | Nur EOP (kein MDO) |
| M365 Business Standard | + Office Apps | Nur EOP |
| M365 Business Premium | + Intune, Entra P1 | MDE Plan 1 + MDO Plan 1 |
| M365 E3 | Enterprise, kein MDO | MDE Plan 1 |
| M365 E5 | Alles | MDE Plan 2 + MDO Plan 2 + MDI + MDA |
| Defender for Endpoint Plan 2 Add-on | Separates Add-on | EDR, Threat Intelligence, Liveantwort |
Fuer die meisten KMU ist M365 Business Premium der Sweet Spot: Intune, Entra P1, MDE und MDO Plan 1 sind inklusive.
Verbindung zu anderen Tools
Defender XDR laesst sich mit weiteren Diensten verbinden:
- Intune: Geraete-Compliance basierend auf MDE-Risikostufe → Conditional Access blockiert risikobehaftete Geraete automatisch
- Entra ID / Azure AD: Identity-Risikosignale fliessen in Defender ein; Passwort-Reset und Session-Widerruf direkt aus Portal
- Microsoft Sentinel (SIEM): Alle Defender-Daten koennen an Sentinel gestreamt werden fuer laengere Aufbewahrung und komplexere Korrelationsregeln
Weitere thematisch verwandte Seiten in diesem Wiki:
- IT-Security Grundlagen fuer KMU – Security-Strategie, Grundlagen
- Intune Grundlagen – Geraeteverwaltung und MDM
- Entra ID Grundlagen – Identitaeten und Conditional Access
- Passwortmanagement – Passwortrichtlinien und Manager
Weiterlernen
- Microsoft Defender XDR Dokumentation (Deutsch) – learn.microsoft.com
- Defender for Office 365 Dokumentation – learn.microsoft.com
- Empfohlene Einstellungen fuer EOP und MDO – learn.microsoft.com
- Defender for Endpoint Onboarding – learn.microsoft.com
- Preset Security Policies konfigurieren – learn.microsoft.com
- Microsoft Defender XDR Ninja Training – learn.microsoft.com
Videos
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …