Managed Detection & Response (MDR) für Microsoft

Unser MDR Basis Service beinhaltet bereits weit über den Standard hinausgehende Leistungen. Er umfasst alle Technologien und Services für eine umfassende ERKENNUNG, ANALYSE und ABWEHR von Cyber-Angriffen auf Endpoints. Dieses Modul basiert auf den Microsoft Defender for Business und wird durch MS Sentinel SOAR, MS Defender XDR und Threat Intelligence unterstützt.

1. 24/7 Cyber Detection & Response Center: In unserem Cyber Detection & Response Center (CDRC) findet eine echte 24/7-Überwachung Ihrer Systeme statt. Unsere Analysten sind rund um die Uhr an 365 Tagen im Jahr für Sie im Einsatz, um Cyber-Angriffe auf Ihr Unternehmen frühzeitig zu erkennen, zu analysieren und gezielt abzuwehren. Durch unseren 24/7 Service wird die „Mean Time to Detect“ (MTTD) auf ein Minimum reduziert.
2. Security Orchestration, Automation & Response (SOAR): Um die Bearbeitungszeit von Alarmen zu verkürzen, setzt SECUINFRA ein Security Orchestration, Automation & Response System (SOAR) ein. Mit dessen Hilfe werden Analysen und Reaktionen teilweise automatisiert. So reduzieren wir die „Mean Time to Respond“ (MTTR) auf ein Minimum, um im Falle eines erfolgreichen Cyber-Angriffs den Angreifer so früh wie möglich zu stoppen und größeren Schaden abzuwenden.
3. Threat Intelligence: SECUINFRA setzt strategische Threat Intelligence zur Auswahl von Detektionsmechanismen ein und operationalisiert Threat Intelligence Daten im Rahmen von Threat Hunting, um bisher unerkannte Angriffe aufzudecken.
4. Microsoft Defender for Business (EDR): Endpoint Detection & Response (EDR) Systeme bilden die technologische Grundlage für eine moderne Erkennung und Abwehr von Cyberangriffen. Zur Erkennung von Angriffen auf Endpoints (Workstations & Serversysteme) setzt SECUINFRA auf den etablierten Microsoft Defender for Business zur verhaltensbasierten Erkennung von Anomalien auf Endpoints.
5. Microsoft Defender XDR: Schützt vor Cyberbedrohungen wie Ransomware und Phishing. Je nach aktiviertem Modul, werden Logs kombiniert um damit Endpunkte, Identitäten, E-Mails, Kollaboration-Tools, Cloud-Apps sowie Daten vor Cyberbedrohungen zu schützen.  Außerdem werden KI und Automatisierung benutzt, um Cyberangriffe direkt abzuwehren sowie Vorfälle zu priorisieren. Neben der reinen Erkennung von Cyberangriffen bietet XDR auch die Möglichkeit, aktiv auf erkannte Angriffe zu reagieren. So können beispielsweise Prozesse beendet, lokale Benutzerkonten gesperrt oder ganze Systeme automatisiert isoliert werden. Dies trägt dazu bei, die „Mean Time to Respond“ (MTTR) weiter zu reduzieren, da ein erfolgreicher Cyberangriff bereits am häufigsten Eintrittspunkt eines Cyberangriffs, dem Endpoint, gestoppt wird.

Sollte es dennoch zu einem größeren Sicherheitsvorfall kommen, unterstützt SECUINFRA mit folgenden Dienstleistungen, die nach Aufwand abgerechnet werden:

1. Incident Management: Bei größeren Cyberangriffen ist eine professionelle Koordination und Kommunikation zur Eindämmung und Bewältigung des Angriffs unerlässlich. Hier kommen unsere Incident Response Experten ins Spiel, die Sie bei technischen und nicht-technischen Herausforderungen unterstützen.
2. Compromise Assessment: Bei einem Cyber-Angriff ist es extrem wichtig, so schnell und zuverlässig wie möglich die Frage zu klären: Welche Systeme wurden kompromittiert? Unser Compromise Assessment beantwortet diese Frage so schnell, effizient und zuverlässig wie möglich.
3. Digital Forensics:Die digitale Forensik ermöglicht die detaillierte Analyse und Rekonstruktion von Sicherheitsvorfällen. Unser Ziel ist es dabei, aus dem Cyberangriff zu lernen und Ihre Abwehrmaßnahmen zu verfeinern. Darüber hinaus ermöglichen die Ergebnisse unserer Digital Forensics Experten eine Strafverfolgung und helfen Ihnen, Ansprüche gegenüber Cyber Risk Versicherungen geltend zu machen.
4. Malware-Analyse: Im Rahmen der Malware-Analyse untersuchen wir die Funktionsweise von Malware mit dem Ziel, einen umfassenden Einblick in ihre Funktionsweise zu gewinnen, ihre potenziellen Auswirkungen auf ein System zu verstehen und geeignete Maßnahmen zur zukünftigen Schadensminimierung und -vermeidung zu identifizieren. Unsere Malware-Analysten setzen dabei sowohl die statische als auch die dynamische Analyse sowie das Reverse Engineering ein.

Die Kollaborationsplattformen von Unternehmen sind für Angreifen ein beliebtes Einfallstor, das mittels Phishings und Identitätsdiebstahl ausgenutzt werden kann. Hier setzt das Microsoft 365 Business Premium Features „Defender for Office 365“ an, um sowohl E-Mail, Exchange, Teams, SharePoint etc. gegen Malware und Phishing zu schützen.

1. Defender for Office 365: Im Office 365 leistet dieser einen erweiterten Schutz vor Phishing, E-Mail-Betrug, Ransomware sowie weiteren Bedrohungen für Ihre Kollaborationstools. Künstliche Intelligenz und Automatisierung wird genutzt, um Cyberangriffe zu erkennen und zu stoppen, Vorfälle zu priorisieren und die Reaktion unserer Analysten zielgerichtet zu fokussieren. 

Der MDR Complete Service bietet Unternehmen jeder Größe einen umfangreichen Schutz und baut auf die Microsoft 365 E5 Security Features gekoppelt mit Dienstleistungen von SECUINFRA auf. Die drei wichtigsten Angriffspunkte „Endgerät, E-Mail und Identity“ werden in diesem Modul geschützt. Zusätzlich bietet das Modul erweiterten Schutz durch Detektion von Anomalien im Netzwerk sowie Absicherung von SaaS-Applikationen gegen Identitätsdiebstahl und Datenabfluss. Damit verfügen Sie über eine umfassende Erkennung, Analyse und Abwehr von Cyberangriffen und sind in diesem Bereich bestens aufgestellt.

1. Network Detection & Response (NDR): Zusätzlich zur Erkennung des Zugriffs auf die Command-and-Control-Infrastruktur bekannter Angreifer, bietet SECUINFRA die verhaltensbasierte Erkennung von Angreifern auf Netzwerkebene an. Hierbei kommt ein modernes Network Detection & Response (NDR) System zum Einsatz, das im Gegensatz zu herkömmlichen Produkten wie N-IDS vor allem auf die Erkennung von Verhaltensmustern setzt. Die generierten Daten sind nicht nur für die Erkennung von Angriffen äußerst wertvoll, sondern werden von unseren Analysten auch im Rahmen des Response-Prozesses zur Kontextualisierung von verdächtigen Vorgängen genutzt. Neben den Möglichkeiten der Angriffserkennung und Kontextualisierung bietet unser NDR auch die Möglichkeit, aktiv auf erkannte Angriffe zu reagieren. So können beispielsweise Kommunikationsbeziehungen beendet, Zugriffe auf Command and Control Server gesperrt oder IT-Systeme automatisiert isoliert werden, um die Auswirkungen erkannter Sicherheitsvorfälle zu minimieren.
2. Defender for Identity: Dieser Sicherheitsdienst ist darauf spezialisiert Identitäten in Ihren Netzwerken vor Hackern zu schützen und somit Lateral Movement zu unterbinden. Lokale und Cloud-Netzwerke werden überwacht. Auffällige Anmeldungen und Benutzeraktivitäten werden sowohl lokal, in der Microsoft Active Directory als auch in Azure mit der Entra Identity Protection erkannt, gemeldet und gestoppt. Passwort-Resets sowie das Benutzersperren erfolgen automatisiert und entsprechend schnell, bevor Systeme und Daten kompromittiert werden.
3. Defender for Cloud Apps: Cloud-Anwendungen und Dienste werden überwacht und nach Risikofaktoren bewertet. Durch das Analysieren von Informationen aus verschiedenen Applikationsquellen, werden Cyberangriffe auf Cloud-Anwendungen oder Daten in der Cloud erkannt und effektiv gestoppt. Dies ermöglicht einen Rundumschutz Ihrer Cloud-Anwendungen und ein Lateral Movement von der Cloud in Ihre Infrastruktur wird unterbunden.  

Das MDR Premium Modul bietet Unternehmen jeder Größe einen nochmals erweiterten Schutz und umfasst alle Microsoft Security Produkte der jeweiligen Subscription inklusive der SIEM-Funktionalitäten von Microsoft Sentinel. Der Service bietet auch Flexibilität in der Vorhaltezeit der gesammelten sicherheitsrelevanten Daten. Der Service basiert auf den Features von Business Premium oder Microsoft 365 E5 Security Features und wird durch die erweiterten Detektionsmöglichkeiten der UEBA unterstützt. Weitere Services wie Defender for Cloud sind mit abgedeckt. Dadurch wird ein vollumfänglicher Schutz der Endpunkte, Kollaboration (Email & Teams), Identitäten (AD und Azure Entra ID) sowie Ihrer Cloud-Infrastruktur geboten. Des weiteren bietet dieses Modul auch Services wie z.B. Cyber Deception.

1. Zentrales Log Management: Die Datenbasis für den SIEM-Bereich wird durch unser zentrales Log-Management bereitgestellt. Sicherheitsrelevante Logdaten werden zentral erfasst und für einen Zeitraum von 90 Tagen, oder bei Bedarf länger, durchsuchbar gespeichert.
2. Security Information & Event Management Microsoft Sentinel SIEM ist eine skalierbare, cloud-native Lösung, die Sicherheitsinformationen und Ereignismanagement , Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) sowie intelligente Sicherheitsanalytik und Bedrohungsinformationen für Unternehmen bereitstellt. Mit Microsoft Sentinel können Daten von verschiedenen Quellen gesammelt, interaktive Berichte und Arbeitsmappen erstellt, Alarme in Vorfälle korrelieret und Aufgaben automatisiert werden.
3. User and Entity Behavior Analytics (UEBA) erkennt und untersucht verdächtige Aktivitäten. Eine Entität kann ein Benutzer, ein Gerät, eine IP-Adresse oder eine Anwendung sein. Microsoft Sentinel sammelt und analysiert die Daten und erstellt ein normales Verhaltensprofil für jede Entität. Verschiedene Methoden und maschinelles Lernen werden eingesetzt, um abnormale Aktivitäten zu finden, die auf einen möglichen Angriff oder eine Kompromittierung hinweisen. Diese Anomalien werden in Form von Warnungen und Vorfällen präsentiert. Zudem werden Sensitivität, Verhaltensprofile und der Kritikalität aufgezeigt. Analysten können dadurch die Priorität und den Schweregrad der Bedrohung schnell bewerten und weitere Untersuchungen sowie die Behebung des Vorfalls einleiten.
4. Cyber Deception: Diese Technik täuscht, verwirrt und entlarvt Angreifer, die versuchen in ein Computersystem oder Netzwerk einzudringen. Es werden z.B. falsche oder manipulierte Daten bzw. Ressourcen im Netzwerk erstellt, die als sogenannte Honey-Pots, also Lockfallen dienen. Daraus werden Informationen über Absichten und Identitäten der Angreifer gesammelt.

Die höchste Stufe bietet neben allen MDR Premium Features die Möglichkeit, das Sentinel SIEM mit sicherheitsrelevanten Daten aus Ihren Logquellen via Microsoft Data-Konnektoren anzureichern. Dies hat den Vorteil, dass diese Daten und die Daten aus den Defender-Modulen, mittels weiterer Use Case Regeln korreliert werden können und somit die vollen Sentinel SIEM Möglichkeiten zu nutzen. Profitieren Sie dabei von SECUINFRA’s umfangreicher USE-CASE-Library, die sich in zahlreichen Kundenprojekten bewährt hat und immer weiter durch unsere Experten optimiert wird. So wird auch Hard- und Software von Drittanbietern, wie Firewalls oder Proxy Server etc., überwacht, um Anomalien zu detektieren.

Anti Phishing: Unternehmen sehen sich einer steigenden Anzahl von Cyberangriffen ausgesetzt. Eine besondere und sehr erfolgreiche Art stellt dabei das Phishing dar. Es beginnen ca. 90% der Angriffe auf ein Unternehmen mit einer Phishing-Mail. Um diesen Einfallsvektor umfassend abdecken zu können, teilen wir dieses AddOn-Modul in zwei Untermodule auf. Die Untermodule können auch separat beauftragt werden, erfordern jedoch immer mindestens das Basis+ Modul.

1. Phish-Button: Diese Zusatzmodul bietet die Möglichkeit, verdächtige Emails durch unsere Analysten überprüfen zu lassen. Dazu wird dem Endanwender im Outlook bei jeder E-Mail die Möglichkeit gewährt, diese als potenziell verdächtig zu melden. Bei dieser Analyse werden URLs, QR-Codes oder Anhänge auf Malware oder Phishing-Versuche überprüft. Der Vorteil hierbei ist, dass jede gemeldete E-Mail direkt durch einen Analysten bearbeitet und überprüft wird. Verdächtiger oder maliziöser Inhalt wird in Quarantäne verschoben und der Melder erhält eine Rückmeldung über das Analyseergebnis.

2. Phishing Awareness Kampagne: Um Mitarbeiter für die unterschiedlichen und teils perfiden Phishing-Angriffe zu sensibilisieren ist dieses Modul äußerst effektiv. Für eine Simulationen wird durch SECUINFRA in Absprache mit dem Kunden ein Maillayout erstellt, das zum Ziel hat, von den Benutzern des Kunden Logindaten anzufordern oder die Benutzer zu sicherheitskritischen Handlungen zu verleiten. hat. Dabei werden nur die Benutzernamen gesammelt, tatsächliche Passwörter werden durch die Phishing-Kampagne nicht erhoben. Eine Simulation umfasst eine Phishing-Mail pro Mitarbeiter eines bestimmten Unternehmensbereiches oder des gesamten Unternehmens. Eine detaillierte Vorgehensweise wird nach Beauftragung in enger Abstimmung definiert.

Um die Kampagne so authentisch wie möglich erscheinen zu lassen, wird durch SECUINFRA (oder dem Kunden) eine zuvor abgestimmte Domäne registriert.

Eine Phishing-Simulation wird jeweils über einen Zeitraum von ca. 10 Tagen laufen, um einen möglichst großen Teil der Anwender zu erreichen. Der Vorlauf für den Start einer Kampagne beträgt ca. 10 Werktage.

Nach Abschluss jeder durchgeführten Simulation erhält der Kunde innerhalb von 2 Wochen einen Bericht. Zusätzlich ist es möglich, den auffälligen Benutzern über den O365 Defender eine Awareness-Schulung zukommen zu lassen.

Vulnerability Management: Dieses Zusatzmodul kann zu jedem Modul hinzugebucht werden. Der Service basiert auf den Microsoft Defender Vulnerability Management Plan. Dieses Zusatzmodul vermittelt einen Überblick über die aktuellen Schwachstellen Ihrer Systeme, sowohl innerhalb als auch von außerhalb Ihrer Umgebung. Die ermittelten Schwachstellen werden auch zur Bewertung der Alarme und möglicher Incidents aus den zuvor genannten Modulen herangezogen.