Was ist Microsoft 365 Defender?
Microsoft 365 Defender (portal.security.microsoft.com) ist das zentrale XDR (Extended Detection and Response) Portal das alle Microsoft-Sicherheitsdienste in einem Dashboard vereint:
| Dienst | Schutz |
|---|---|
| Defender for Endpoint | Windows/macOS/Linux Endpoints |
| Defender for Office 365 | E-Mail, Teams, SharePoint |
| Defender for Identity | Active Directory, On-Premises |
| Defender for Cloud Apps | SaaS-Apps, Shadow IT |
Defender for Endpoint aktivieren
Onboarding über Intune
- M365 Defender → Settings → Endpoints → Onboarding
- Deployment method: Microsoft Intune
- Intune-Paket herunterladen und als Configuration Profile deployen
Onboarding über Script (manuell)
# Script herunterladen und ausführen (als Admin)
# Aus M365 Defender Portal: Settings → Endpoints → Onboarding → Local Script
# Status prüfen
sc query sense
Get-Service -Name sense
Defender for Office 365 konfigurieren
Anti-Phishing Policy
# Verbindung
Connect-IPPSSession -UserPrincipalName [email protected]
# Neue Anti-Phishing Policy
New-AntiPhishPolicy -Name "Firma-AntiPhish" `
-EnableMailboxIntelligence $true `
-EnableMailboxIntelligenceProtection $true `
-MailboxIntelligenceProtectionAction MoveToJmf `
-EnableSpoofIntelligence $true `
-EnableUnauthenticatedSender $true `
-ImpersonationProtectionState Automatic
New-AntiPhishRule -Name "Firma-AntiPhish-Rule" `
-AntiPhishPolicy "Firma-AntiPhish" `
-RecipientDomainIs firma.de `
-Priority 0
Safe Links und Safe Attachments
# Safe Links aktivieren
New-SafeLinksPolicy -Name "Firma-SafeLinks" `
-EnableSafeLinksForEmail $true `
-EnableSafeLinksForOffice $true `
-EnableSafeLinksForTeams $true `
-TrackClicks $true `
-DisableUrlRewrite $false
# Safe Attachments
New-SafeAttachmentPolicy -Name "Firma-SafeAttach" `
-Action DynamicDelivery `
-Redirect $false `
-Enable $true
Attack Simulation Training
M365 Defender → Email & Collaboration → Attack simulation training:
Phishing-Simulationen für Mitarbeiter:
- New Simulation → Spear Phishing (Attachment)
- Zielgruppe auswählen (alle User oder Abteilung)
- Phishing-Template auswählen (real-aussehende E-Mails)
- Simulation starten → Klick-Rate messen
- Betroffene Mitarbeiter automatisch in Training einschreiben
Incidents und Alerts
M365 Defender → Incidents & alerts:
Incidents korrelieren automatisch zusammengehörige Alerts über alle Dienste. Statt 15 einzelner Alerts sehen Sie einen Incident mit vollständiger Attack Chain.
Incident bearbeiten:
- Incident öffnen
- Attack story zeigt Zeitlinie des Angriffs
- Betroffene Geräte, Benutzer und E-Mails in einem View
- Automated investigation zeigt was Defender automatisch bereinigt hat
- Actions & submissions für manuelle Bereinigung
Secure Score
M365 Defender → Secure Score:
Zeigt Ihren aktuellen Sicherheitsscore (0–100%) mit konkreten Verbesserungsempfehlungen. Jede umgesetzte Empfehlung erhöht den Score.
Top-Empfehlungen für KMU:
- MFA für alle Benutzer aktivieren (+mehrere Punkte)
- Legacy-Authentifizierung blockieren
- Mailbox-Audit aktivieren
- DKIM und DMARC konfigurieren
FAQ
Welche Lizenz brauche ich für M365 Defender?
Defender for Endpoint: M365 Business Premium oder E3 + Defender for Endpoint Add-on. Voller XDR-Funktionsumfang: M365 E5 oder Business Premium.
Kann M365 Defender mit SIEM-Tools verbunden werden?
Ja, über Microsoft Sentinel (native Integration) oder per Streaming API zu Splunk, IBM QRadar, etc.
Fazit
M365 Defender ist für Microsoft-365-Kunden das kosteneffizienteste XDR. Business Premium enthält bereits Defender for Endpoint – oft ungenutzt.
Microsoft 365 Security für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Sicherheitsberatung anfragen.