Azure Security - Microsoft 365 - Seminar / Kurs von NT Systems GmbH & Co. KG

In diesem 5-tägigen Intensivkurs praktizieren wir das neue Zero Trust Model für Microsoft 365 in einem Hybrid Azure Tenant. Durch die Cloud Technologie und verstärkt HomeOffice ändert sich die Arbeitsweise der Benutzer grundlegend. Es sind in der Regel Hybrid Worker, die von überall über das Internet auf die Firmendaten zugreifen. Sie kommunizieren miteinander über Teams und E-Mail und speichern ihre Daten vorzugsweise in SharePoint Online ab. Das Zero Trust Model verlangt einen absoluten Schutz der Firmendaten (Information Protection), der Benutzeridentität (Identity Protection), der Geräte (Endpoint Protection) und natürlich auch der eingesetzten Apps im gesamten Tenant (Cloud Apps Security). Niemand, nicht einmal Administratoren, dürfen unsicher auf die Firmendaten zugreifen!

Microsoft bietet einige Technologien für die Zero Trust Protection an, u.a. die Microsoft 365 Defender Suite. Die zentralen Portale, wie Microsoft 365 Defender (Microsoft 365 Security)  und Microsoft Purview (Microsoft 365 Compliance), können für alle Sicherheitszonen eines Tenants eingesetzt werden.

Im Kurs praktizieren wir das 3-Tier Security Datenmodell, welches in 3 Confidential Levels unterteilt wird:

    –   Low (T1)                 Starting Point           Low Confidential Level    –   Medium (T2)           Enterprise                Medium Confidential Level    –   High (T3)                Specialize                 High Confidential Level

Die Unternehmensdaten (E-Mail, Files, Kollaboration Daten) werden in 3 Sicherheitsklassen aufgeteilt. Die Zugriffe auf diese Daten werden auch unterschiedlich behandelt. High Confidential (T3) Daten sind mit Sensitivity Labels versehen (manuell oder automatisch) und werden durch Policies geschützt, sodass nur zugelassene Personen (Gruppe T3) sie sehen und verarbeiten können.

Die aktuelle Zero Trust Security eines Tenants kann jederzeit durch Defender for Cloud Apps überwacht und verwaltet werden.

In diesem Kurs konzentrieren wir uns auf die Microsoft 365 Security. Die Infrastrukturen von Azure und dem Netzwerk werden nicht behandelt.

Identity ProtectionZu Beginn einer Zero Trust Security Implementierung muss als erste Sicherheitsmaßnahme die Authentifizierung zum Tenant abgesichert werden. Jeder Benutzer muss sich mit einer  Multi-Factor Authentication (MFA) von einem „sicheren“ Windows 10/11 Client aus authentifizieren. Dadurch werden laut Microsoft über 99?r Login-Angriffe eliminiert. Die Benutzer greifen von einer betriebskonformen Maschine über moderne Anwendungen auf Microsoft 365 Services wie zum Beispiel Exchange Online, SharePoint Online und Teams zu. Diese Anwendungen müssen die Modern Authentication (OAuth2) beherrschen, denn durch Azure AD Conditionial Access wird eine sogenannte „Legacy Authentication“ sofort abgelehnt. Die Windows Maschinen müssen Azure AD Joined (AADJ) oder Hybrid Azure AD Joined (HAADJ) sein, damit sie von Azure AD verwaltet werden können. Sie sind außerdem in Intune Enrolled, damit das Onboarding zu Microsoft Defender for Endpoint über ein Device Configuration Profile durchgeführt werden kann. Um auf die Sensitivity Labels von E-Mails, Files und Teams Kollaborations-Daten zugreifen zu können, muss auf den Windows Clients auch entweder das Office 365 Apps Built-In Labeling oder der Unified Labeling Client installiert sein.

In diesem Kursmodul befassen wir uns u.a. mit folgenden Themen:

    –    Azure AD Conditional Access    –    MFA    –    Modern Authentication    –    Cloud Access Workstation (Enterprise Access Workstation EAW)    –    Device Identity (Azure AD Join AADJ, Hybrid Azure AD Join HAADJ)    –    Microsoft Purview Identity Protection    –    Microsoft Purview Data Loss Prevention (DLP)

Information ProtectionMicrosoft Purview Information Protection (ehemals Microsoft Information Protection MIP) nutzt Azure Rights Management Service (Azure RMS) um Cloud Daten zu schützen. Die Daten (E-Mails oder Dateien) werden in einem Microsoft 365 Zero Security Trust Model in ein 3-Tier Datenmodell aufgeteilt. In Tier-2 und Tier-3 können die Daten mit sog. Sensitivity Labels manuell (Client-side Labeling) oder automatisch (Service-side Auto-Labeling) versehen werden. Diese Labels beinhalten eine Classification bzw. Kategorisierung der Daten sowie, je nach Classification, eine optionale Aktion (Encryption, Marking Content). Daten können durch Sensitivity Labels auch nur Classifications zugeordnet werden, ohne dass eine Aktion, wie z.B. Encryption, durchgeführt wird.

    •    Low             Starting Point – Schutz nur durch Berechtigungen ist hier ausreichend.    •    Medium      Enterprise – Arbeitet mit verschärften Berechtigungen oder Sensitivity Labels.    •    High            Specialize – Werden durch Confidential Sensitive Labels geschützt.

Eine E-Mail oder Datei kann nur ein Sensitivity Label und ein Retention Label enthalten. Ein Sensitivity Label besitzt eine eindeutige ID (Unique Label Identifier) und kann zu unterschiedlichen Kategorien mit Label Order / Priorität zugeordnet werden, die durch Benutzer mit entsprechender Berechtigung geändert werden können:

•    Personal - Priorität = 0 (lowest)•    Public - Priorität = 1•    General - Priorität = 2•    Confidential - Priorität = 3•    Highly Confidential - Priorität = 4 (highest)

Benutzer oder Gruppen (Microsft 365 Groups) können mit Office 365 Apps Built-In Labeling oder Azure Information Protection (AIP) Unified Labeling Client auf die gekennzeichneten (labeled) Daten zugreifen und das am Header der Datei angehängte Sensitivity Label (Klartext) nur sehen, wenn er/sie durch eine Label Policy die entsprechende Berechtigung (minimum Read) bekommen hat.

Durch die Microsoft Purview Data Lifecycle Management und Microsoft Purview Records Management (ehemals Microsoft Information Governance MIG), also die Informationsverwaltung, ist es möglich, Organisationsdaten auf Konformitätsvorschriften oder behördliche Anforderungen zu überprüfen. Es geht hierbei vor allem um die Aufbewahrung und Löschung von Daten aus diversen Microsoft 365 Diensten wie E-Mails, Teams Nachrichten oder SharePoint-Dokumenten. Mit Hilfe von Retention Policies und Retention Labels kann auf Daten (E-Mails in Exchange Online Postfächern, Nachrichten aus allen Teams Kanälen, SharePoint Dokumenten) genau bestimmt werden, wie lange diese aufbewahrt werden sollen und wann sie gelöscht werden können.

Zusätzlich gibt es die Möglichkeit, Data Loss Prevention (DLP) in der Organisation zu verwenden, um sensible Daten wie Kreditkartennummern oder Gesundheitsinformationen besonders zu schützen. Durch DLP Richtlinien kann verhindert werden, dass Benutzer diese Daten an Unbefugte weitergeben.Data Loss Prevention ist, wie Microsoft Information Protection (MIP) und Microsoft Information Governance (MIG), ein Teil der Microsoft Purview Angebote.

Information Barriers (IB) – zusätzlich ab 2023Microsoft Purview Information Barriers (IB) ist eine Compliancelösung, mit der Sie die bidirektionale Kommunikation und Zusammenarbeit zwischen Gruppen und Benutzern in Microsoft Teams, SharePoint und OneDrive einschränken können.

Sie können IB-Richtlinien für die Benutzer einschränken, die nicht mit bestimmtem Benutzer Dateien freigeben, finden, chatten oder anrufen sollten. IB-Richtlinien führen automatisch Prüfungen durch, um nicht autorisierte Kommunikation und Zusammenarbeit zwischen definierten Gruppen und Benutzern zu erkennen und zu verhindern.

In diesem Kursmodule befassen wir uns u.a. mit folgenden Themen:

    –    Sensitivity Labels / Sensitivity Policy    –    Data Classification (Sensitive Information Types SIT)    –    Azure Rights Management Service (Azure RMS)    –    Double Key Encryption (DKE aka Hold Your On Key HYOK) (Demo)    –    Data Loss Prevention (DLP)    –    Retention Label / Retention Policies    –    Office 365 Message Encryption (OME)    –    Microsoft 365 Groups    –    Information Barriers

Microsoft 365 Defender

Ist eine Enterprise Sicherheits-Suite, die Bedrohungen erkennen, untersuchen, verhindern und Maßnahmen ergreifen kann, um im Unternehmen Identitäten, Geräte, E-Mails, Daten und Anwendungen koordiniert und effektiv vor komplexen Angriffen zu schützen.

Microsoft 365 Defender Services:

    •    Defender for Endpoint

Defender for Endpoint bietet die Möglichkeit, Geräte zu überwachen, um diese vor Angriffen aus dem internen Netzwerk oder dem Internet zu schützen. Durch das Advanced-Hunting ist es möglich, Bedrohungen sehr genau auf den Grund zu gehen. Es erfolgt ebenso eine Risikobewertung der einzelnen Maschinen und man erhält Empfehlungen, um dieses Risikolevel zu senken. Beispielsweise müssen auf den Geräten diverse Security Features, wie z.B. Anti-Virus, Anti-Malware, BitLocker und die Firewall aktiv sein.

    •    Defender for Office 365

Mit Exchange Online Protection (EOP) können eingehende E-Mails überprüft und einige Schutzmaßnahmen durchgeführt werden: Spam, Phishing, Malware, Bulk Mail, Spoof Intelligence, Impersonation Detection, Quarantine, Block URLs & Files.Höheren Schutz bietet der Microsoft Defender for Office 365 P1 (MDO P1) Plan mit Funktionen wie Safe Attachments, die in einer virtuellen Umgebung die Anlagen prüfen, bevor sie weitergeleitet werden, Safe Links, die URLs und Links in E-Mails verifizieren können, wenn darauf geklickt wird und Real-Time Detection, die Inhalte in Echtzeit auf Bedrohungen prüft, bevor sie an die Empfänger übermittelt werden.Den höchsten Schutz bietet der Microsoft Defender for Office 365 P2 (MDO P2) Plan, bei dem mit den Tools Threat Trackers und Threat Explorer Bedrohung aufgezeichnet und angezeigt werden. Bekannte Angriffe können durch „Attack simulation Training“ demonstriert und analysiert werden. Dadurch können bei Sicherheitsrisiken durch „Automated investigation and response“ (AIR) Maßnahmen automatisch ergriffen und durchgeführt werden.

    •    Defender for Cloud AppsWährend Intune nicht alle Apps in einem Tenant verwalten kann, kann Defender for Cloud Apps diese Lücke mindestens ergänzen. Dieses Enterprise Feature kann dank Cloud Discovery alle aktiven Apps und deren Nutzung im Tenant sehen (Shadow IT). Defender for Cloud Apps ist ein sog. Cloud Access Security Broker (CASB) bzw. Gatekeeper, der in der Lage ist, jeglichen Zugriff der Apps auf die Ressourcen (Daten) zu kontrollieren. Verbunden mit dem Azure AD Conditional Access und dem erweiterten Conditional Access App Control kann jede Zugriffssession durch die Session Policies und Access Policies überwacht werden.Die durch Cloud Discovery entdeckten Apps werden im Portal abgebildet und gegen Apps im umfangreichen Cloud Apps Katalog mit über 25.000 zertifizierten Apps wie Outlook, OneDrive for Business etc. verglichen und geprüft.

In diesem Kursmodul befassen wir uns u.a. mit folgenden Themen:

    –    Defender for Endpoint    –    Defender for Office 365    –    Defender for Cloud Apps

Das Seminar richtet sich besonders an Enterprise- und Domain Administratoren sowie IT-Sicherheitsverwantwortliche, die eine hochsichere Microsoft 365 Infrastruktur nach dem Zero Trust-Model aufbauen möchten. MS Endpoint Protection, MS Purview Information Protection und Data Loss Prevention bilden die Schwerpunkte.