Microsoft Defender for Identity Workshop

Kurzbeschreibung:
Erläuterung der Microsoft Attack Kill Chain (sofern diese Unbekannt ist)
Was ist der Defender for Identity?
Conditional Access was ist das / was hat der mit dem MDI zu tun?
Wo wird was konfiguriert?
Erklärung der einzelnen Richtlinien und wenn gewünscht können auf Testrichtlinien erstellt werden
Dauer: 3 Stunden + Vor- und Nachbereitung
Art: Remote (OnSite beim Käufer optional möglich)

Beschreibung:
In diesem Modul wird zunächst die Microsoft Attack Kill Chain verständlich erläutert – insbesondere für Teilnehmende, die mit diesem Modell noch nicht vertraut sind. Anhand typischer Angriffsszenarien wird aufgezeigt, wie sich Bedrohungen entwickeln und welche Rolle Identitäten dabei spielen. So wird deutlich, warum gerade Benutzerkonten, Berechtigungen und Authentifizierungsprozesse ein zentrales Ziel von Angreifern sind.

Im Anschluss steht Microsoft Defender for Identity (MDI) im Fokus. Die Teilnehmenden lernen, wie diese Lösung verdächtige Aktivitäten im Zusammenhang mit Identitäten erkennt, welche Signale ausgewertet werden und wie Angriffe wie Pass-the-Hash, Kerberoasting oder ungewöhnliche Anmeldeverhalten identifiziert werden können. Dabei wird auch eingeordnet, welchen Platz MDI innerhalb der gesamten Microsoft-Sicherheitsarchitektur einnimmt.

Ein weiterer Schwerpunkt ist Conditional Access. Es wird verständlich erklärt, was sich hinter diesem Konzept verbirgt, wie Zugriffsentscheidungen auf Basis von Signalen wie Benutzer, Gerät, Standort oder Risiko getroffen werden und wie Conditional Access mit MDI zusammenspielt. Die Teilnehmenden erkennen, wie erkannte Risiken aus MDI genutzt werden können, um Zugriffe dynamisch einzuschränken oder zusätzliche Schutzmassnahmen zu erzwingen.

Darüber hinaus erhalten die Teilnehmenden eine klare Orientierung darüber, wo welche Einstellungen vorgenommen werden. Es wird aufgezeigt, welche Konfigurationen in Entra ID erfolgen, welche im Microsoft 365 Defender Portal zu finden sind und wie die einzelnen Bereiche zusammenhängen.

Abschliessend werden die wichtigsten Richtlinien im Detail besprochen. Dabei wird erläutert, welche Arten von Policies es gibt, wie sie konfiguriert werden und in welchen Szenarien sie sinnvoll eingesetzt werden. Auf Wunsch können die Teilnehmenden eigene Testrichtlinien erstellen, um das Zusammenspiel der einzelnen Komponenten praxisnah zu erleben und ein sicheres Gefühl für die Umsetzung im eigenen Umfeld zu entwickeln.