RSA 2020 – was ist neu?
Vom 24. bis 28. Februar 2020 fand die Cybersecurity Conference RSA in San Francisco statt. Bei diesem Branchentreff durfte Microsoft nicht fehlen und hat die Gelegenheit genutzt, einige Neuheiten vorzustellen. Hier finden Sie eine kurze Zusammenfassung.
Microsoft Threat Protection global verfügbar
Microsoft Threat Protection (MTP) ist ab sofort global verfügbar. In der Suite aggregiert Redmond Daten aus verschiedenen Lösungen für ein übergreifendes Sicherheitsmanagement. Hierzu gehören: Microsoft Defender Advanced Threat Protection (Endpunkte), Office 365 ATP (E-Mail und Collaboration), Azure ATP sowie Azure AD Identity Protection (Identity) und Microsoft Cloud App Security (Apps). Als Pre- und Post-Breach Enterprise Defense Suite unterstützt MTP Sicherheitsverantwortliche dabei, komplexe Angriffe zu erkennen, zu verhindern, zu untersuchen und automatisch auf sie zu reagieren.
Kunden mit einer Microsoft 365 E5– oder einer gleichwertigen Lizenz können Microsoft Threat Protection verwenden. Sie können den Dienst im Microsoft 365-Sicherheitscenter unter security.microsoft.com aktivieren. Sie erhalten dann Zugriff auf folgende zusätzliche Funktionen:
- Incident Management
- Action Center (zur Verwaltung von automatisierten Untersuchungen und Maßnahmen)
- Erweiterte Advanced Hunting-Optionen
MTP gibt Alerts und Threat Intelligence an Azure Sentinel weiter, so dass Sicherheitsteams Bedrohungen in einer einzigen SIEM-Konsole anzeigen und verwalten können.
Quelle: https://docs.microsoft.com/en-us/microsoft-365/security/mtp/microsoft-threat-protection?view=o365-worldwide
O365 ATP Campaign Views verfügbar
Auch für Office 365 Advanced Threat Protection (ATP) stellt Microsoft neue Funktionen bereit: Jetzt sind Campaign Views und Compromised User Detection and Response allgemein verfügbar.
Campaign Views stellt für Sicherheitsteams übersichtlich dar, wie Angreifer die Organisation und ihre Nutzer ins Visier genommen haben und ob ihre Abwehr funktioniert hat.
Sicherheitsteams erhalten folgende Auswertungen:
- Eine Zusammenfassung eines Angriffes, einschließlich des Startzeitpunktes, des Übertragungsmusters und des zeitlichen Ablaufes, den Umfang und wie viele Nutzer ihm zum Opfer fielen
- Eine Liste der IP-Adressen und Absender, die zur Durchführung des Angriffs verwendet wurden
- Welche Nachrichten blockiert, in den Junk-Ordner oder in die Quarantäne verschoben oder für den Posteingang zugelassen wurden
- Alle URLs, die bei dem Angriff angegeben wurden
- Benutzer, die Opfer von Angriffen geworden sind und auf die Phishing-URL geklickt haben
Mit diesen Informationen sollen die Sicherheitsteams effektiver arbeiten können:
- Kompromittierte / gefährdete Benutzer bereinigen
- Verbesserung der Security Posture durch Eliminierung von festgestellten Konfigurationsfehlern
- Verwandte Kampagnen mit gleichen Indikatoren untersuchen
- Identifizieren und Nachverfolgen von Bedrohungen, die die gleichen Indikatoren verwenden
Quelle: https://techcommunity.microsoft.com/t5/security-privacy-and-compliance/announcing-ga-of-o365-atp-campaign-views-and-compromised-user/ba-p/1186245
Microsoft Defender ATP – Public Preview für Linux
Microsoft kündigte auf der RSA einen Public Preview an: Linux Server werden jetzt auch durch Microsoft Defender ATP geschützt. MDATP unterstützt diese Versionen: RHEL 7+, CentOS Linux 7+, Ubuntu 16 LTS oder höher, SLES 12+, Debian 9+ und Oracle EL 7.
Android und iOS sollen im Laufe des Jahres 2020 folgen.
Quelle: https://techcommunity.microsoft.com/t5/microsoft-defender-atp/microsoft-defender-atp-for-linux-is-coming-and-a-sneak-peek-into/ba-p/1192251
Unterstützung von FIDO2- Sicherheitsschlüsseln in hybriden Umgebungen
Seit Oktober 2019 ist der Support von FIDO2-Sicherheitsschlüsseln im Azure AD im Public Preview. Jetzt hat Microsoft den Public Preview für eine passwortlose Authentifizierung erweitert. Ab sofort können Administratoren in hybriden Umgebungen FIDO2-Sicherheitsschlüssel nutzen.
Unternehmen mit einem Windows Server Active Directory können FIDO2-Sicherheitsschlüssel für Hybrid Azure Active Directory-Joined Windows 10-Geräte aktivieren. Sobald sich ein Benutzer mit seinem Sicherheitsschlüssel anmeldet, wird er automatisch mit Azure Active Directory über Azure AD Domain Join oder Azure AD Hybrid Domain Join verbunden und muss sich nicht erneut anmelden. Das Single-Sign-On funktioniert für Cloud- und On-Premises-Ressourcen.
Microsoft kündigt an, dass diese Funktion innerhalb der nächsten 4 bis 6 Monate für Kunden global verfügbar sein soll.
Quelle: https://techcommunity.microsoft.com/t5/azure-active-directory-identity/public-preview-of-azure-ad-support-for-fido2-security-keys-in/ba-p/1187929
Endpunktkontrolle für nicht sanktionierte Cloud-Anwendungen
Durch die neue Integration von Microsoft Cloud App Security und Microsoft Defender ATP können Sicherheitsverantwortliche jetzt auch Clients außerhalb des Unternehmensnetzwerkes effektiv kontrollieren. Über Microsoft Defender ATP können sie folgendes konfigurieren:
- Blockieren von unsanktionierten Anwendungen auf Knopfdruck gemäß der Vorgaben in Microsoft Cloud App Security
- Definition von individuellen Indikatoren (IP-Adressen, URLs, Domänen)
- Aktivierung von Webinhaltsfiltern, um den Zugang zu Websites mit unerwünschten Inhalten zu blockieren und Webaktivitäten in allen Bereichen zu verfolgen.
Eine detaillierte deutsche Anleitung hierzu veröffentlichen wir demnächst in unserem Blog. Hier finden Sie einen englischen Beitrag von unserem Kollegen Christian Müller: https://chrisonsecurity.net/2020/02/01/microsoft-defender-atp-network-control-made-easy/
Quelle: https://news.microsoft.com/wp-content/uploads/prod/sites/570/2020/02/RSA_Book_of_News_R3v8.pdf
Insider Risk Management und Communication Compliance allgemein verfügbar
Das auf der letzten Ignite angekündigte Insider Risk Management ist nun weltweit verfügbar.
Seit dem Start des Public Previews hat Microsoft das Insider Risk Management weiterentwickelt. So gibt es jetzt vorgefertigte Templates für:
- Datendiebstahl ausscheidender Mitarbeiter
- Datenlecks
- beleidigende Sprache in E-Mails
Durch Machine Learning und Künstliche Intelligenz sollen Muster und Risiken aufgedeckt werden, die in manuellen Methoden übersehen werden könnten. Integrierte Workflows stellen sicher, dass die richtigen Personen aus den Bereichen Sicherheit, Personal, Recht und Compliance bei auffälligen Nutzerverhalten informiert werden.
Insider Risk Management soll in den nächsten Tagen ausgerollt werden. Es steht dann Microsoft 365 E5-Kunden im Compliance Center zur Verfügung.
Quelle: https://techcommunity.microsoft.com/t5/security-privacy-and-compliance/announcing-the-general-availability-of-insider-risk-management/ba-p/1180914
Azure Sentinel
Die RSA-Neuheiten für Azure Sentinel haben wir in diesem Blog für Sie zusammengefasst.