|
12.05.2026 13:30 Uhr |
Das Härten lokaler Strukturen allein reicht heute nicht mehr aus, da Angreifer genauso Cloud-Fehlkonfigurationen als Schwachstelle nutzen. Zum Rekonstruieren einer vollständigen Attack Story muss man Signale aus unterschiedlichen Quellen zusammenhängend verarbeiten. Dafür muss man von der rein administrativen Verwaltung einzelner Insellösungen zu Extended Detection and Response (XDR) wechseln.
Aus isolierten Warnmeldungen werden so Bausteine einer aktiven Verteidigungsstrategie. Im Fokus stehen dabei das Zusammenspiel der Shared Signals und der Einsatz von Richtlinien – unter anderem durch Conditional Access als zentraler Instanz.
Zur flächendeckenden Unterbrechung der Kill Chain – des schrittweisen Ablaufs eines Angriffs vom Eindringen bis zum Datenabzug – bündelt die XDR-Architektur Daten aus verschiedenen Quellen. Während Microsoft Defender for Endpoint (MDE) Prozesse und Netzwerkverbindungen auf Hostebene analysiert, überwacht Defender for Office 365 (MDO) Kommunikationskanäle wie E-Mail oder Teams auf bösartige Inhalte. Parallel dazu identifiziert Defender for Identity (MDI) im lokalen Active Directory spezifische On-Premises-Angriffsmuster und sichert die lokale Infrastruktur inklusive AD DS (Domain Services), AD FS (Federation Services) sowie AD CS (Certificate Services) ab.