Definition

Microsoft Defender for Endpoint (vorm. Windows Defender ATP)

von

Was ist Microsoft Defender for Endpoint?

Microsoft Defender for Endpoint - vormals Microsoft Defender Advanced Threat Protection oder Windows Defender ATP - ist eine Sicherheitsplattform für Endgeräte, die Unternehmen dabei unterstützt, Sicherheitsbedrohungen zu verhindern, zu erkennen und auf sie zu reagieren.

Defender for Endpoint kann Unternehmen dabei unterstützen, auf potenzielle Bedrohungen wie Malware oder Ransomware zu reagieren, und zwar mithilfe von Tools, die in Windows 10/11 und Azure-Dienste integriert sind. Diese Tools bieten Funktionen zur automatischen Untersuchung, präventiven Erkennung und Reaktion nach einem Sicherheitsverstoß.

Defender for Endpoint war zuvor als Microsoft Defender Advanced Threat Protection bekannt, wurde aber 2019 zusammen mit anderen Produkten unter der Marke Defender zusammengefasst.

Merkmale und Funktionen

Microsoft Defender für Endpoint bietet die folgenden Sicherheitsfunktionen und -möglichkeiten:

  • Management von Bedrohungen und Schwachstellen. Auf den Endgeräten wird in Echtzeit eine Softwareinventur durchgeführt. Diese Informationen werden verwendet, um Sicherheitsschwachstellen im Zusammenhang mit installierten Anwendungen und fehlenden Patches zu erkennen, zu priorisieren und zu entschärfen.
  • Reduzierung der Angriffsfläche. Die gesamte Angriffsfläche eines Systems wird durch Hardwareisolierung und Anwendungskontrolle reduziert. Die Audit-Daten der Anwendungen werden überwacht, und für notwendige Anwendungen werden Ausnahmen hinzugefügt. Es werden auch Regeln zur Reduzierung der Angriffsfläche eingesetzt.
  • Schutz der nächsten Generation. Defender for Endpoint führt kontinuierlich Scans durch, um Bedrohungen zu erkennen und zu blockieren. Diese Funktion nutzt Microsoft Defender Antivirus sowie verhaltensbasierten Virenschutz und Cloud-basierten Schutz.
  • Endpoint Detection and Response (EDR). Defender for Endpoint fasst zusammenhängende Angriffe zu Vorfällen zusammen. Diese Art der Zusammenfassung hilft Sicherheitsexperten, Bedrohungen zu priorisieren, zu untersuchen und darauf zu reagieren.
  • Automatisierte Untersuchung und Behebung. Wenn sie nicht kontrolliert werden, können Netzwerkendpunkte eine große Anzahl von Sicherheitswarnungen erzeugen. Die Funktion für automatische Untersuchungen prüft und behebt Alarme, sodass sich Sicherheitsexperten auf andere Aufgaben konzentrieren können.
  • Secure Score. Defender for Endpoint verwendet eine Sicherheitsbewertung, um die aktuelle Sicherheitskonfiguration zu beurteilen. Diese Bewertung basiert auf Kategorien wie Anwendung, Betriebssystem, Netzwerk, Konten und Sicherheitskontrollen.
  • Endpoint Attack. Endpoint Attack, ehemals Microsoft Threat Experts - Targeted Attack Notification, ist ein verwalteter Dienst zur Erkennung und Priorisierung von Angriffen, einschließlich Keylogger- oder Cyberangriffen.
  • Verwaltung und APIs. Eine Sammlung von APIs integriert Defender for Endpoint in den Arbeitsablauf einer Organisation.
  • Gemeinsame Daten. Defender für Endpoint teilt Daten mit anderen Microsoft-Produkten, einschließlich Azure Active Directory Identity Protection, Microsoft Defender für Endpoint, Microsoft Defender für Office 365, Microsoft Defender für Cloud Apps und Microsoft Defender für Identity.
  • Verhaltenssensoren für Endpunkte. Diese Sensoren sammeln und verarbeiten Verhaltensweisen von Windows 10/11.
  • Unterstützung für Plattformen. Defender for Endpoint bietet Sicherheitsdienste für die Betriebssysteme Windows, Linux, macOS, iOS und Android.

Microsoft Defender für Endpoint – die Pläne

Windows Defender for Endpoint bietet zwei Hauptpläne: Plan 1 (P1) und Plan 2 (P2). P1 ist eine Basisversion und P2 bietet alles, was P1 bietet, fügt aber einige Funktionen hinzu.

P1 bietet die folgenden Funktionen:

  • APIs, Sicherheitsinformationen und Ereignisverwaltung.
  • Kontrolle der Anwendungen.
  • Kontrollierter Ordnerzugriff.
  • Gerätebasierter bedingter Zugriff.
  • Gerätekontrolle wie beispielsweise USB.
  • Endpunkt-Firewall.
  • Netzwerkschutz.
  • Antimalware der nächsten Generation.
  • Einheitliche Sicherheitstools mit zentraler Verwaltung.
  • Webkontrolle und kategorisierte URL-Blockierung.

P2 umfasst alle oben genannten Funktionen und zusätzlich die folgenden:

  • Automatisierte Untersuchung und Behebung.
  • Defender-Funktionen zur Verwaltung von Schwachstellen.
  • Endpunkt-Erkennung und -Reaktion.
  • Sandbox.
  • Bedrohungsdaten durch Analysen.

Defender for Endpoint bietet auch eine eigenständige Version von Defender for Business. Diese Version bietet Funktionen zur Verwaltung von Bedrohungen und Schwachstellen, zur Reduzierung der Angriffsfläche, zur Erkennung und Reaktion auf Endpunkte sowie zur automatischen Untersuchung und Reaktion. Sie verfügt jedoch nur über eingeschränkte Funktionen zur Filterung von Webinhalten und zur plattformübergreifenden Unterstützung.

Microsoft Defender for Business ist als eigenständiges Benutzerabonnement für kleine und mittlere Unternehmen oder als Teil von Microsoft 365 Business Premium erhältlich.

Microsoft Defender für Endpoint P1 ist als eigenständige Abonnementlizenz für gewerbliche Kunden und Bildungseinrichtungen erhältlich. Er ist auch in bestimmten Plänen für Microsoft 365 enthalten.

Microsoft Defender für Endpoint P2 ist auch als Einzellizenz oder als Teil bestimmter Versionen von Windows 10 und 11 Enterprise sowie bestimmter Versionen von Microsoft 365 erhältlich.

Microsoft bietet eine kostenlose Testversion der Versionen P1 und P2 von Microsoft Defender for Endpoint an.

Zusätzliche Integrationen

Windows Defender for Endpoint kann in andere Microsoft-Software integriert werden, darunter auch in die folgenden:

  • Azure Information Protection.
  • Conditional Access.
  • Microsoft Intune.
  • Microsoft Defender for Cloud.
  • Microsoft Defender for Cloud Apps.
  • Microsoft Defender for Identity.
  • Microsoft Defender for Office.
  • Microsoft Sentinel.
  • Skype for Business.

Stärken und Schwächen

Eine der größten Stärken von Microsoft Defender for Endpoint ist der Funktionsumfang. Es kann auch eine grafische Angriffszeitleiste mit Daten zu einem bestimmten Angriff erstellen. Das Tool ist auch mit anderen Betriebssystemen kompatibel, darunter Windows, Linux, macOS, iOS und Android.

Die Microsoft-Implementierung von Defender for Endpoint weist jedoch auch einige Schwächen auf. Zum Beispiel deaktiviert das Produkt automatisch andere Antimalware- und EDR-Tools (Endpoint Detection and Response), die auf einem Endpunkt vorhanden ist. Das bedeutet, dass die Installation von Defender for Endpoint je nach Konfiguration die Sicherheitslage einer Organisation schwächen kann, wenn diese bereits Sicherheitstools installiert hat.

Außerhalb von Windows-Umgebungen kann die Bereitstellung von Defender for Endpoint schwierig sein, beispielsweise auf älteren macOS-Geräten. Ebenso kann es bei Linux-Systemen zu einer hohen Speichernutzung für Endpunktagenten kommen.

Diese Definition wurde zuletzt im August 2024 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management