Aus diesem Grund haben wir uns für Microsoft Defender für Endpoint entschieden

Studien haben gezeigt, dass bis zu 70 % aller Angriffe vom Endgerät ausgehen. Daher stellen die Desktops, Laptops, Smartphones und anderen Geräte der Mitarbeitenden eine grosse potenzielle Angriffsfläche dar, die kontinuierlich überwacht werden sollte.

Millionen dieser Geräte sind verlockende Ziele für Kriminelle, die sie als einfache Einstiegspunkte für das Eindringen in die Systeme eines Unternehmens betrachten. Aus diesem Grund ist es von entscheidender Bedeutung, dass sie nicht kompromittiert werden oder dass zumindest verhindert wird, dass Sicherheitsverletzungen es über das ursprüngliche Ziel hinaus schaffen.  Es ist wichtig zu erkennen, wann ein Endgerät kompromittiert wurde.

Aus diesem Grund haben wir Microsoft Defender for Endpoint als Endgerätsensor für unseren MDR+ Service standardisiert.

Defender for Endpoint bietet nicht nur Warndaten, sondern ermöglicht uns auch den Zugriff auf die Daten der Rohereignisse, die zu den Warnungen geführt haben.  Das ist, als hätte man den vollständigen 1'100-seitigen Text von Krieg und Frieden gelesen, anstatt die Text-Erläuterungen zu überfliegen und zu versuchen, die Geschichte zu verstehen.  Da Microsoft Defender for Endpoint sowohl über Warnmeldungen als auch über Rohereignisse verfügt und eine Live-Abfrage des Betriebsstatus ermöglicht, ist es ein wertvolles Tool zur Identifizierung relevanter Sicherheitsvorfälle (True Positives).  Wir kombinieren diese Fähigkeit mit den Daten unseres Sensors für Network Detection and Response (NDR), dem Sicherheits-Stack des Kunden und den Protokolldaten aus der Identitätsebene und dem Netzwerk-Stack, um das Bild zu vervollständigen.

Dies verbessert das Signal-Rauschen-Verhältnis und führt zu einer hohen Bedrohungserkennung durch hohe Genauigkeit, sodass sich unsere SOC-Techniker auf echte Bedrohungen konzentrieren können, anstatt durch Warnungen mit geringer Genauigkeit abgelenkt zu werden.

SCHNELLERE IDENTIFIZIERUNG = SCHNELLERE EINDÄMMUNG

Eine schnellere Identifizierung ermöglicht eine schnellere Eindämmung. In dieser Hinsicht haben wir einen weiteren Vorteil, da unser MDR+ Service – anders als praktisch jeder andere – nahtlos in unsere SASE-Lösung integriert werden kann.

Diese Kombination verschafft uns nicht nur einen tiefen Einblick in das Netzwerk, um gefährdete Geräte zu identifizieren, sondern ermöglicht es unseren SOC-Technikern, Bedrohungen mithilfe eines vollständigen Sicherheits-Stacks einzudämmen.  Die meisten MDR- und EDR-Anbieter dämmen Bedrohungen ein, indem sie kompromittierte Hosts vom Netzwerk isolieren. Das ist häufig wichtig, um eine laterale Bewegung von Viren und Malware zu verhindern.   Allerdings sind nicht alle Bedrohungen gleich und einige Angriffe werden besser mit einer Firewall, einem DNS, einem Authentifizierungsmanagementsystem oder einem Web-Proxy eingedämmt.  Wie das Sprichwort sagt: „Wer als Werkzeug nur einen Hammer hat, sieht in jedem Problem einen Nagel.“  Die Annahme, dass alle Bedrohungen am besten allein durch Host-Isolierung eingedämmt werden, ist nicht der beste Ansatz für eine rechtzeitige Eindämmung.   

Unsere Lösung ist der einzige MDR+ Service, der solche Verstösse auf Netzwerkebene stoppen kann und eine vollständige Abdeckung der gesamten Cyber-Angriffskette bietet.

Die Kombination von separat entwickelten SASE- und MDR-Lösungen sieht in der Präsentation eines Anbieters immer einfach aus, aber das ist in den meisten Fällen nicht der Fall. Normalerweise ist die Konfiguration sehr zeitaufwändig und SOC-Techniker müssen zwischen mehreren Bildschirmen mit fehleranfälliger, manueller Konfiguration umschalten – nicht gerade ideal, im Wettlauf gegen die Zeit, um die Ausbreitung eines Sicherheitsverstosses zu verhindern.