Microsoft Defender for Endpoint bietet wie Defender for Business einen einheitlichen, plattformübergreifenden Schutz für die Endgeräte in Ihrem Unternehmen. Defender for Endpoint wird oft mit Windows Defender verwechselt. Während Windows Defender nur einfachen Schutz vor Viren und ähnlichem bietet, verfügt Defender for Endpoint über ein zentrales Dashboard, in dem Sicherheitsprobleme analysiert und behoben werden können. Defender for Endpoint bietet assistentengesteuerte Konfigurationen und Standard-Sicherheitsrichtlinien. Durch den Assistenten sind keine Spezialkenntnisse mehr erforderlich, wie sie sonst nur ein SecOps-Team besitzt.
Wie soll es denn auch anders sein, Defender for Endpoint Plan 1 und Plan 2 sind Bestandteil vieler Microsoft 365 Enterprise und Microsoft 365 Education Pläne. Defender for Endpoint P1 ist bereits Bestandteil von Microsoft 365 E3 und A3, P2 ist bereits Bestandteil von Microsoft 365 E5 und A5. Wenn Sie bereits über eines dieser Angebote verfügen, ist Defender for Endpoint bereits enthalten.
Den Defender for Endpoint gibt es in drei unterschiedlichen Plänen
Defender for Endpoint P1
Microsoft Defender for Endpoint P1 bietet wichtige Funktionen wie Schutz der nächsten Generation, Reduzierung der Angriffsfläche und zentrale Verwaltung. Laut Microsoft bietet es grundlegenden Schutz vor Bedrohungen wie Ransomware, Malware und unterstützt Unternehmen bei der Implementierung von Zero Trust Security. Lesen Sie hier unser Meinung zu Defender for Endpoint P1
Die folgende Abbildung zeigt den Funktionsumfang von Defender for Endpoint P1, alles was grau ist ist erst ab Plan 2 enthalten.
Defender for Endpoint P2
Microsoft Defender for Endpoint Plan 2 enthält alle funktionen aus Defender for Endpoint P1 und zusätztlich Geräteerkennung, Geräteinventarisierung, Kernfunktionen von Defender zum Management von Schwachstellen, Analyse von Bedrohungen, Automatisierte Untersuchung und Reaktion, Erweiterte Suche, Endpunkt-Erkennung und Reaktion (EDR), Angriffsbenachrichtigungen, Unterstützung für Windows (nur Client) und Nicht-Windows-Plattformen (macOS, iOS, Android und Linux)
Micrsoft Defender for Endpoint Server
Während der Client Schutz mit Defender for Endpoint P1 oder P2 über die Benutzerlizenzen abgedeckt wird, müssen die Schutzmaßnahmen für Linux oder Windows Server separat lizenziert werden. Wichtig: Um überhaupt das Add-On Defender for Endpoint Server erwerben zu können muss der Microsoft Tenant mindestens 50 Lizenzen für eine der folgenden Lizenzen erworben haben:
- Microsoft Defender for Endpoint (pro Benutzer)
- Windows E5 oder A5
- Microsoft 365 E5 oder A5
Erläuterung der Funktionen von P1 und P2
- Next-generation protection (includes antimalware and antivirus)
Der Schutz der nächsten Generation umfasst zuverlässigen Viren- und Malware-Schutz. Mit dem Schutz der nächsten Generation erhalten Sie: Verhaltensbasierter, heuristischer und Echtzeit-Virenschutz; Cloud-basierter Schutz mit nahezu sofortiger Erkennung und Blockierung von neuen und aufkommenden Bedrohungen; Spezieller Schutz und Produkt-Updates, einschließlich Updates für Microsoft Defender Antivirus - Attack surface reduction
Attack Surface Reduction (ASR) ist eine Methode, um die Angriffsfläche eines Systems zu verringern und damit die Sicherheit zu verbessern. Die Angriffsfläche bezieht sich auf alle potenziellen Eintrittspunkte oder Schwachstellen, die von Angreifern ausgenutzt werden könnten, um in ein System einzudringen oder Schaden anzurichten. - Manual response actions
- Centralized management
Defender for Endpoint Plan 1 umfasst das Microsoft 365 Defender-Portal, das es Ihrem Sicherheitsteam ermöglicht, aktuelle Informationen über erkannte Bedrohungen anzuzeigen, geeignete Maßnahmen zur Eindämmung von Bedrohungen zu ergreifen und die Einstellungen für den Bedrohungsschutz Ihres Unternehmens zentral zu verwalten. - Security reports
Sicherheitsberichte, im Microsoft 365 Defender Portal können einfache Berichtet erstellen. Die auf einen Blick zeigen, welche Benutzer oder Geräte gefährdet sind, wie viele Bedrohungen erkannt wurden und welche Warnungen/Vorfälle erstellt wurden. - APIs
Mit den Defender for Endpoint-APIs können Sie Workflows automatisieren und in die individuellen Lösungen Ihres Unternehmens integrieren. - Support for Windows 10, Windows 11, iOS, Android OS, and macOS devices
In P2 sind alle Funktionen aus P1 enthalten.
- Device discovery
Ermittelt Geräte die mit Ihrem Unternehmensnetzwerk verbunden sind, aber nicht verwaltet werden. - Device inventory
Liefert eine Übersicht über alle Geräte in Ihrem Unternehmensnetzwerk und stellt Informationen wie Domäne, Risikostufe, Betriebssystemplattform und andere Details bereit - Core Defender Vulnerability Management capabilities
- Threat Analytics
Jeder Bericht enthält eine detaillierte Analyse einer Bedrohung und umfassende Hinweise zur Abwehr dieser Bedrohung. Er enthält auch Daten aus Ihrem Netzwerk und zeigt an, ob die Bedrohung aktiv ist und ob Sie entsprechende Schutzmaßnahmen ergriffen haben. - Automated investigation and response
Die Technologie der automatisierten Untersuchung verwendet verschiedene Prüfalgorithmen und basiert auf Verfahren, die von Sicherheitsanalysten verwendet werden. AIR-Funktionen sind darauf ausgelegt, Warnmeldungen zu untersuchen und sofortige Maßnahmen zur Behebung von Sicherheitsverletzungen zu ergreifen. AIR-Funktionen reduzieren das Alarmaufkommen erheblich, so dass sich die Sicherheitsabteilung auf anspruchsvollere Bedrohungen und andere wichtige Initiativen konzentrieren kann - Advanced hunting
Advanced Hunting ist ein abfragebasiertes Tool zur Bedrohungssuche, mit dem Sie bis zu 30 Tage an Rohdaten untersuchen können. Sie können Ereignisse in Ihrem Netzwerk proaktiv untersuchen, um Bedrohungsindikatoren und Entitäten aufzuspüren. Der flexible Zugriff auf Daten ermöglicht eine uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen. - Endpoint detection and response
Die Endpunkt-Erkennungs- und Reaktionsfunktionen in Defender for Endpoint bieten fortschrittliche Angriffserkennungen, die nahezu in Echtzeit erfolgen und umsetzbar sind. Sicherheitsanalysten können Warnungen effektiv priorisieren, sich einen Überblick über das gesamte Ausmaß eines Angriffs verschaffen und Maßnahmen ergreifen, um Bedrohungen zu beseitigen. - Endpoint Attack Notifications
Endpunkt-Angriffsbenachrichtigungen (früher als Microsoft Threat Experts - Targeted Attack Notification bezeichnet) bieten eine proaktive Suche nach den wichtigsten Bedrohungen für Ihr Netzwerk, einschließlich des Eindringens von menschlichen Angreifern, Angriffen über die Tastatur oder fortgeschrittenen Angriffen wie Cyberspionage. Diese Benachrichtigungen werden als neuer Alarm angezeigt. - Support for Windows (client only) and non-Windows platforms (macOS, iOS, Android, and Linux)
Weitere Einzelheiten zu den Plänen P1 und P2 finden Sie hier
Unsere Meinung zu Defender for Endpoint P1 und P2
Aus Sicht eines IT-Administrators bzw. SecOps-Teams ist Defender for Endpoint Plan 1 besser als nichts, aber nicht vergleichbar mit Microsoft Defender for Endpoint P2 oder anderen branchenführenden Herstellern wie z.B. Fortinet mit FortiGate, FortiEDR, FortiClient, FortiAnalyzer und FortiSandbox. Leider sind die Produkte von Fortinet sehr kostenintensiv, gleichzeitig gilt der Hersteller aber als Branchenführer im Bereich IT-Sicherheit. Konzerne wie Microsoft und fast alle DAX-Unternehmen setzen auf Lösungen von Fortinet.
Microsoft Defender for Endpoint P2 hingegen können wir guten Gewissens empfehlen, da es wichtige Schlüsselkomponenten enthält, die die IT-Sicherheit deutlich verbessern.
Große Unternehmen wie z.B. die ING Bank setzen Defender for Endpoint P2 zusätzlich zu ihren bestehenden Sicherheitslösungen ein.