Sicherheit und Compliance in Office 365: Wann welches Tool einsetzen – von Azure Sentinel bis Security & Compliance Center
Für viele Microsoft-Kunden, die die Office 365-Cloud-Services nutzen, stellt sich die Frage, welche Anwendungen sie für welche Aufgaben nutzen sollen. Inzwischen existieren Hilfsmittel wie das Periodensystem von Office 365, die den Anwendern einen besseren Überblick verschaffen. Letztlich steht aber nicht der Dienst selbst im Vordergrund, sondern die Frage, welchen Geschäftsnutzen man erreichen möchte. Mit derselben Fragestellung sollte man auch an die vielfältigen Sicherheitsdienste und Funktionen herangehen, die Microsoft anbietet.
Sicherheit: Strategie und Feature-Auswahl
Um eine solide Sicherheits- und Compliance-Strategie auf Basis des Microsoft-Security-Stacks zu erstellen, empfiehlt es sich, mit den Einsatzszenarien zu beginnen. Der Best Practice-Ansatz sieht vor, es in folgende Themenbereiche zu gliedern:
- Protect at the front door
- Protect your data anywhere
- Detect & remediate attacks
Aus dieser Konstellation ergeben sich folgenden vier Aufgabengebiete:
1. Benutzer- und Zugriffsverwaltung
Um ein Gleichgewicht zwischen den Bedürfnissen der Mitarbeiter und der Unternehmenssicherheit herzustellen, beginnt man mit dem Schutz der Identitäten. Vorbei sind die Zeiten, in denen Benutzer nur über eine Firewall mit vom Unternehmen ausgestellten Geräten auf Unternehmensressourcen zugegriffen haben.
Mitarbeiter und Partner nutzen unterschiedliche Geräte und Apps für ihre Arbeit. Sie tauschen Dokumente mit anderen Benutzern über Cloud-Anwendungen und E-Mails aus und wechseln zwischen persönlichen und arbeitsbezogenen Anwendungen und Geräten hin und her.
Die Einführung von einheitlichen Accounts für jeden Benutzer ist der Grundstein jeder Cybersicherheitsstrategie. Es gibt ganz unterschiedliche Anforderungen und Szenarien, die die Identität und Authentifizierungsmethoden beeinflussen. Unabhängig davon, ob eine Hybridlösung oder eine reine Cloud-Authentifizierung genutzt wird, gibt es wichtige Sicherheitsimplikationen für jedes dieser Szenarien.
So ist zum Beispiel die Funktion Single Sign-On in Azure Active Directory ein wesentliches Feature, um die Authentifizierung über Geräte, Cloud-Anwendungen und lokale Anwendungen hinweg zu verwalten. Ein weiterer Aspekt ist die Multi-Faktor-Authentifizierung. Damit werden Benutzeranmeldungen über eine mobile Anwendung, einen Anruf oder eine SMS zusätzlich abgesichert oder authentifiziert. Mit dem Feature Azure AD Privileged Identity Management (PIM) können administrative Zugriffe zusätzlich abgesichert werden.
2. Mobile Geräte und App-Management
Heute können Benutzer von überall und von jedem Gerät aus arbeiten. Ob mit einem von der Firma bereitgestellten Laptop im Büro, von zu Hause aus, auf Geschäftsreisen oder mit einem persönlichen Mobiltelefon, die Mitarbeiter erwarten einen nahtlosen Zugriff auf das, was sie für die Erledigung ihrer Arbeit benötigen.
Während sich der Bedarf an das mobile und flexible Arbeiten womöglich nicht ändern lässt, ändert sich das Risiko bei jeder Anmeldung in Abhängigkeit des Ortes und des Gerätes von dem aus sie geschieht. Nicht alle Geräte, Anwendungen oder Netzwerke sind gleich sicher, und Hacker nutzen jede Schwachstelle aus, um Zugriff auf Benutzeraccounts und andere Ressourcen zu erlangen. Es ist wichtig, die Benutzeraccounts als solches zu schützen, aber es reicht nicht aus.
Die Verwaltung mobiler Geräte und Apps mit Microsoft Intune und Azure AD ist daher ein weiterer wesentlicher Aspekt im Kontext einer Unified Endpoint Management (UEM) Strategie.
3. Information Protection
Bei Dokumenten und E-Mails gibt es unterschiedliche Arten von Risiken. Ein Risiko besteht darin, dass sensible Informationen, oft unbeabsichtigt, an andere weitergegeben werden, die innerhalb oder außerhalb des Unternehmens keinen Zugriff darauf haben sollen. Der Dienst hinter Microsoft Information Protection ist Azure Rights Management. Die verwendete Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien werden Bestandteil der Dokumente und E-Mails, unabhängig vom Ablageort innerhalb oder außerhalb des Unternehmens, der Organisation, dem Netzwerk oder dem Dateiserver und der genutzten Anwendung. So bleibt die Kontrolle über die Daten bestehen, auch wenn diese an andere Personen weitergegeben werden. Auch für E-Mails können ähnliche Einstellungen genutzt werden. So kann verhindert werden, dass E-Mails beispielsweise weitergeleitet oder manipuliert werden.
Ein anderes Szenario ist das Abgreifen von Anmeldeinformationen von Benutzern und Administratoren über Phishing-E-Mails und Malware. Hier kommt Office 365 Advanced Threat Protection (ATP) und Exchange Online Protection zum Einsatz. Mit diesen Features werden Postfächer, Dateien, Online-Speicher und Anwendungen in Echtzeit vor Angriffen geschützt.
4. Threat Protection
Azure ATP ist ein Dienst der Microsoft Threat Protection-Familie, der sich mit Azure Identity Protection und Microsoft Cloud App Security integrieren lässt. Während Azure ATP den Datenverkehr auf dem Domänencontroller überwacht, überwacht Windows Defender ATP Endgeräte und bietet in dieser Kombination einen zentralen Service, von dem aus die gesamte IT-Infrastruktur überwacht und geschützt werden kann.
Zuordnung
Um nun die einzelnen Services auf die konkreten Anforderungen im Projekt zu mappen bietet Microsoft einen guten Überblick und Hilfestellung an: Top 10 Actions to Secure Your Environment.
Basierend daraus ergibt sich dann eine Blaupause für den Einstieg in Ihre Sicherheitsstrategie:
Gängige Diskussionen im Projekt
Azure Sentinel oder Azure Security Center
Das Azure Security Center konzentriert sich auf die Workloads von Azure. Azure Sentinel wird verwendet, um Ereignisse in Echtzeit zu melden und Angriffe zu erkennen.
Zitat von Microsoft: Um Verwirrung zu vermeiden und den Einsatz zu vereinfachen, werden zwei der früheren SIEM-ähnlichen Funktionen im Security Center, nämlich der Ablauf bei Sicherheitswarnungen und benutzerdefinierten Warnungen, in naher Zukunft wegfallen. Einzelne Warnmeldungen bleiben im Security Center erhalten und es gibt Äquivalente sowohl für Sicherheitswarnungen als auch für benutzerdefinierte Warnmeldungen in Azure Sentinel. … Das Azure Security Center wird weiterhin das einheitliche Infrastruktur- und Sicherheitsmanagementsystem für die Cloud und Cloud Workload Protection sein. Azure Sentinel wird sich weiterhin auf SIEM konzentrieren. Quelle: Securing the hybrid cloud with Azure Security Center and Azure Sentinel
Azure Security Center oder Security und Compliance Center in Office 365
Das Office 365 Security & Compliance Center wurde entwickelt, um bei der Verwaltung von Sicherheits- und Compliance-Funktionen in Office 365 zu unterstützen. Links zu bestehenden SharePoint- und Exchange-Compliance-Funktionen führen die Compliance-Funktionen in Office 365 zusammen. Das Azure Security Center analysiert Daten aus einer Vielzahl von Services. Um die Vorteile dieser Daten zu nutzen, wird Machine Learning zur Prävention sowie zur Erkennung und Auswertung von Bedrohungen eingesetzt. Beide Dienste sind Teil der Microsoft Service Trust Platform
Azure Sentinel oder CASB
Azure Sentinel ist eine SIEM Lösung mit erweiterten KI- und Sicherheitsanalysefunktionen. Der Service kann eine ganze Reihe von Drittanbieterlösungen, wie z.B. Fortinet, Symantec und Check Point sowie die Graph Security API von Microsoft integrieren. Durch die Verbindung mit Microsoft Cloud App Security können Details aus Cloud-Anwendungen erkannt und analysiert werden. Diese Integration dient zur Identifizierung und Bekämpfung von Cyber-Bedrohungen.
Office 365 Security Features oder Intune
Microsoft Intune und die integrierten Sicherheitsfunktionen in Office 365 für MDM bieten die Möglichkeit, Sicherheit und Compliance im Unternehmen zu verwalten. Sicherheit und Compliance können mit Intune und Office 365 in Kombination genutzt werden. Wenn beide Optionen zur Verfügung stehen, kann flexibel gewählt werden, ob Security & Compliance Features in Office 365 oder die umfangreichere Intune Lösung für MDM- und MAM-Szenarien zum Einsatz kommen.
Azure AD oder Intune
Intune verwaltet mobile Geräte und Apps. Es lässt sich flexibel mit anderen EMS Komponenten wie Azure Active Directory zur Identitäts- und Zugriffskontrolle integrieren.
Azure Advanced Threat Protection oder Microsoft Defender ATP
Azure Advanced Threat Protection ermöglicht es, Azure ATP mit Windows Defender ATP zu integrieren. Während Azure ATP den Datenverkehr auf dem Domänencontroller überwacht, überwacht Windows Defender ATP Endgeräte und bietet zusammen einen zentralen Service, von dem aus die gesamte Infrastruktur überwacht und geschützt werden kann. Durch die Integration von Windows Defender ATP in Azure ATP kann die volle Leistung beider Dienste genutzt werden. Quelle & Details: Integrate Azure ATP with Windows Defender ATP
Features & Services im Detail
- Azure Sentinel: Microsoft Azure Sentinel ist eine SIEM-Lösung mit erweiterten KI- und Sicherheitsanalysefunktionen.
- Cloud App Security: Microsoft Cloud App Security ist ein Cloud Access Security Broker (CASB). Das Feature bietet umfassende Transparenz, Kontrolle über Datenübertragungen und ausgefeilte Analysen zur Identifizierung und Bekämpfung von Cyber-Bedrohungen.
- Azure Security Center: Das Azure Security Center bietet ein übersichtliches Sicherheitsmanagement und erweiterten Schutz vor Bedrohungen über alle (hybride) Cloud-Workloads hinweg.
- Security & Compliance Center in Office 365: Das Office 365 Security & Compliance Center wurde entwickelt, um Sicherheits- und Compliance-Funktionen in Office 365 zu verwalten. Links zu bestehenden SharePoint- und Exchange-Compliance Funktionen bieten ein zentrales Portal rund um das Thema.
- Intune: Microsoft Intune ist ein Service, der das Management von (mobilen) Endgeräten und Betriebssystemen ermöglicht. Ziel ist es, Unified Endpoint Management für Unternehmensgeräte und nicht verwaltete private Geräte bereitzustellen.
- Azure AD: Azure Active Directory (Azure AD) ist Microsoft Cloud-basierter Identitäts- und Zugriffsmanagementservice. Es umfasst Ressourcen wie Microsoft Office 365, das Azure-Portal und viele anderer SaaS-Anwendungen sowie alle von Ihrem eigenen Unternehmen entwickelten Cloud-Anwendungen.
- Microsoft Information Protection: Microsoft Information Protection unterstützt ein Unternehmen bei der Klassifizierung und dem Schutz seiner Dokumente und E-Mails. Das Feature wird genutzt, um Ihre sensiblen Informationen zu identifizieren und mit Labels zu klassifizieren, zu kennzeichnen und zu schützen – unabhängig davon, wo sie sich befinden oder abgespeichert wurden.
- Azure Advanced Threat Protection: Schützen Sie Ihr Unternehmen vor Bedrohungen in der Cloud und im Büro mit Azure Advanced Threat Protection. ATP ist eine Cloud-basierte Sicherheitslösung, die Ihre lokalen Active Directory-Signale nutzt, um Bedrohungen, kompromittierte Identitäten und bösartige Aktionen zu identifizieren, zu erkennen und zu untersuchen.
- Microsoft Defender ATP: Microsoft Defender Advanced Threat Protection (ATP) ist eine Lösung für präventiven Schutz, Erkennen einer Bedrohung, automatisierte Untersuchung und Maßnahmen. Microsoft Defender ATP ist in Windows 10 integriert.
Architektur
Quelle: https://gallery.technet.microsoft.com/Cybersecurity-Reference-883fb54c
Aus Sicht der Planung und Architektur müssen die Funktionen und Dienste in Überwachungslösungen und Lösungen, die Richtlinien erzwingen, getrennt werden.
Zum Beispiel: Information Protection wird zum Schutz von Inhalten und E-Mails verwendet und zusätzlich können die Logs und Inputs von Information Protection in Azure Sentinel integriert werden. Allerdings kann Azure Sentinel nicht nativ genutzt werden, um Inhalte und E-Mails zu schützen.
Zusammenfassung:
Alle Security-Funktionen von Microsoft sind eng miteinander verzahnt, zum Beispiel Microsoft Defender Advanced Threat Protection integration with Microsoft Cloud App Security oder Azure Information Protection integration with Cloud App Security. Daher empfiehlt es sich, die Auswahl nicht über einen reinen Vergleich der Funktionen je Service zu treffen. Sondern so vorzugehen wie oben im Kapitel Strategie und Feature- Auswahl und die konkreten Anforderungen zu betrachten. Denn am Ende geht es um die für Sie relevanten geschäftlichen Szenarien.
- Mit dem Security Copilot führt Microsoft einen KI-Assistenten für IT-Sicherheit ein - 30. März 2023
- Mehr Datenschutz für Microsoft 365-Berichte: So anonymisieren sie persönliche Benutzerdaten - 2. März 2023
- Wie datenschutzwidrig ist Microsoft 365? Eine Analyse der aktuellen Vorwürfe – und wie es weitergeht - 3. Januar 2023