Digitale Transformation und Cloud-Computing bringen neben Benutzerfreundlichkeit auch besonders eins mit sich: Daten. Und diese (Unternehmens-) Daten sowie die Privatsphäre derer Nutzer möchten und sollen geschützt werden. Da hat das IT-Team einiges zu tun. Mit Warnungsrichtlinien (Alert Policies) ist die Absicherung von Nutzern und Daten aber wesentlich einfacher - und effizienter.
Warnungsrichtlinien (Alert Policies) sind eine Funktion von Microsoft Defender XDR, das zu den führenden Sicherheitsplattformen für Unternehmen weltweit gehört und eine Vielzahl an Sicherheitsfunktionen bietet. So können Unternehmen wesentlich schneller und sicherer ihre Compliance-Vorgaben erfüllen, verdächtige Aktivitäten erkennen und Bedrohungen direkt bekämpfen.
Klingt das nach etwas, was Dir auch Deinen Arbeitsalltag erleichtern würde? Dann bleib dran, denn im heutigen Artikel erkläre ich Dir, wie Du mit Microsoft Defender XDR Warnungsrichtlinien (Alert Policies) konfigurierst, die maßgeblich zur Absicherung der IT-Umgebung beitragen. Wir gehen ebenfalls darauf ein, warum genau diese Konfigurationen so nützlich sind und wie sie Deinen Tenant entsprechend effektiv vor potenziellen Bedrohungen schützen.
Was sind Defender XDR-Warnungsrichtlinien?
Defender XDR-Warnungsrichtlinien sind im Grunde intelligente Regeln, die Du in Microsoft Defender XDR einrichtest. Sie legen fest, unter welchen Bedingungen eine Warnmeldung ausgelöst wird, sobald bestimmte Aktivitäten oder Verhaltensweisen in Deinem Microsoft 365-Tenant erkannt werden.
Stell Dir diese Warnungen tatsächlich als Dein persönliches Frühwarnsystem vor: Denn sie benachrichtigen Deine Administratoren sofort über potenziell verdächtige oder schädliche Aktivitäten.
Diese Richtlinien lassen sich granular an die Sicherheitsvorgaben Deines Unternehmens anpassen, sodass Warnungen bei einer Vielzahl von Aktivitäten ausgelöst werden können, zum Beispiel bei:
Mit diesen anpassbaren Richtlinien stellst Du sicher, dass Du schnell auf Bedrohungen reagieren kannst, bevor größerer Schaden entsteht - wenn überhaupt.
Hier ist eine kurze Übersicht darüber, wie Warnungsrichtlinien funktionieren und welche Warnungen ausgelöst werden, wenn Benutzer- oder Administratoraktivitäten den Bedingungen einer Warnungsrichtlinie entsprechen.
Warnungsrichtlinien richtig konfigurieren
Bevor Du Dich daran setzt, eine Richtlinie aufzusetzen, solltest Du zuerst die Basics verstehen. Was genau möchtest Du mit Deiner Konfiguration abdecken? Vor welcher Bedrohung möchtest Du Deinen Tenant schützen?
Erst wenn Du diese Grundfragen geklärt hast, kannst Du eine Richtlinie aufsetzen, die auch wirklich greift und im Falle eines Angriffs die richtige Reaktion zeigt.
Wir unterscheiden dabei zwischen fünf verschiedenen Konfigurationsmöglichkeiten für Warnungsrichtlinien:
Vor der Konfiguration: Das solltest Du wissen
Leider sind die Warnungsrichtlinien nicht in den lizenzfreien Versionen enthalten. Du kannst Deinen Tenant aber mit den folgenden Lizenzen aufstocken:
Beachte außerdem, dass es bis zu 24 Stunden dauern kann, bis eine Warnungsrichtlinie nach dem Konfigurieren oder sogar Aktualisieren aktiv wird bzw. Warnungen auslöst. Warum? Die neue Konfiguration muss sich erst mit dem sogenannten Erkennungs-Engine synchronisieren - und das passiert nach System systematisch nur alle paar Stunden.
Defender-XDR richtig konfigurieren
Jetzt weißt Du besser über die Warnsysteme Bescheid. Richten wir eine ein!
Lass uns somit folgendes Szenario bearbeiten: Wie konfigurieren wir eine Warnungsrichtlinie, die ausgelöst wird, wenn ein anonymer freigabefähiger Link von OneDrive oder SharePoint von einem Benutzer erstellt wird?
Klicke dazu auf die Schaltfläche „+ Neue Warnungsrichtlinie“ und gib den Namen, die Beschreibung, den Schweregrad und die Kategorie an.
Im nächsten Schritt haben wir einige Optionen zur Auswahl. Im Hinblick auf unser Szenario suchen wir nach „Erstellen eines anonymen Links“ und wählen unter „Wie soll die Warnung ausgelöst werden?“ die Option „Jedes Mal, wenn eine Aktivität der Regel entspricht“ aus. Klicke anschließend auf „Weiter“.
Im Abschnitt „Bedingung hinzufügen“ kannst Du allgemein festlegen, dass die Warnung nur ausgelöst wird, wenn eine bestimmte Bedingung erfüllt ist. Für dieses Beispiel halten wir es jedoch einfach und klicken direkt auf „Weiter“.
Wähle jetzt die Benutzer aus, die die Warnungen erhalten sollen, vorausgesetzt, sie verfügen über die erforderlichen RBAC-Berechtigungen, um die Warnungen einzusehen. Klicke dann wieder auf „Weiter“.
Jetzt ist es wichtig, alle Einstellungen noch mal zu überprüfen. Passt alles? Dann klicke auf „Absenden“.
Geschafft! - Naja, noch nicht ganz. Denn jetzt testen wir erstmal, ob die Richtlinie funktioniert.
Erstelle dazu einen anonymen freigabefähigen Link in OneDrive oder SharePoint. Klappt deine Konfiguration (bedenke die 24 Stunden Vorlaufzeit), solltest Du oder eben die Person, die Du in der Richtlinie angegeben hast, eine E-Mail-Warnung erhalten, die die Schwere, den Zeitpunkt der Aktivität sowie den Benutzer, der die Warnung ausgelöst hat, enthält.
Ein Klick auf die Warnung führt Dich zum Abschnitt „Warnungen anzeigen“ im Microsoft 365 Defender-Portal. Dort kannst Du die Warnung weiter untersuchen und Maßnahmen ergreifen, z.B. wie die Bedrohung angegangen bzw. behoben werden soll, was mit dem Nutzer passiert und wer weiter darüber informiert werden soll.
Fazit und Empfehlungen: Warnungsrichtlinien
Mit Microsoft Defender XDR Warnungsrichtlinien kannst Du Deine Microsoft 365-Umgebung proaktiv und effektiv vor den Herausforderungen der digitalen Transformation schützen. Denn das Tool ermöglicht es Dir, schnell auf verdächtige Aktivitäten zu reagieren und potenzielle Sicherheitsvorfälle einzudämmen, sogar bevor größerer Schaden entsteht.
Um das Maximum aus Deinen Warnungsrichtlinien herauszuholen und eine robuste Sicherheitsarchitektur zu gewährleisten, empfehle ich die folgenden bewährten Vorgehensweisen:
- 1Beginne mit den integrierten Vorlagen von Microsoft und passe sie an die Sicherheitsstandards Deines Unternehmens an.
- 2Fokussiere Dich auf risikoreiche Aktivitäten wie Privilegienerweiterungen, Datenabzug und das externe Teilen sensibler interner Daten.
- 3Überprüfe und optimiere Deine Richtlinien regelmäßig, um sie an neue Bedrohungen anzupassen und Fehlalarme zu minimieren.
- 4Integriere automatisierte Reaktions-Playbooks (über Microsoft Sentinel oder Defender for Endpoint), um bei kritischen Warnungen sofort Maßnahmen einleiten zu können.
Bereit, Deinen Microsoft 365 auf das nächste Level zu bringen?
Wenn Du Expertenberatung oder praktische Hilfe bei der Implementierung dieser Strategien benötigst, kontaktiere uns bitte über das Kontaktformular unten. Ein sicherer Tenant ist entscheidend für den Schutz sensibler Daten. Gemeinsam werden wir eine sichere, effiziente Umgebung gestalten, die Deine sich entwickelnden Geschäftsanforderungen unterstützt.
Schau Dir doch auch die anderen Tutorials und Tipps an, die ich bereits auf meinem Blog geteilt habe. Dort findest Du auch andere Beiträge zu Microsoft Security-Relevanen Themen, u.a. zum Microsoft Defender for Cloud Apps, Microsoft Intune, der Enterprise & Mobility-Suite, dem Microsoft 365 Defender oder der Microsoft Information Protection.
Ich bin stehts bemüht, die aktuellsten Themen und Fragestellungen meiner Kunden zu beantworten, um Dich bei der Arbeit mit der Microsoft Cloud Security und anderen Microsoft 365 Produkten zu unterstützen.
Wenn Du Fragen hast, melde Dich sehr gerne bei mir!
