Veilig werken in de cloud met Microsoft 365 Defender for Endpoint

Wat is Microsoft Defender for Endpoint nou precies, waar past het binnen het grotere plaatje van Microsoft 365 Defender en wat kan je er allemaal mee? Laatst heb ik hier een presentatie over gegeven tijdens ons evenement ShareVision, maar graag vertel ik het nogmaals in deze blog.

Wat is Microsoft Defender for Endpoint?

Een Endpoint is eigenlijk het apparaat waar jij de gegevens op benadert. Dat kan je laptop zijn, je telefoon, eigenlijk alles waarop je internetverbinding hebt en je bezig bent met bedrijfsdata.

Vaak denken mensen “ik heb toch al Microsoft Defender? Zo heet mijn virusscanner!”. Dat klopt, maar Microsoft Defender for Endpoint is nog een extra laag daar bovenop. Naast de standaardsignalen die een virusscanner oppakt, zijn er nog veel meer verdiepingsslagen die je kan doen. Hier komt Defender voor Endpoint naar voren. Zo werkt Defender voor Endpoint bijvoorbeeld preventief: het voorkomt dat je apparaat geïnfecteerd wordt door een virus, in plaats van reageren wanneer het virus of kwaadwillend bestand al aanwezig is.

Defender voor Endpoint is opgebouwd uit verschillende onderdelen:

Bedreigings- en risicobeheer (Threat & Vulnerability Management): wat zijn de huidige bedreigingen op de markt en hoe zorg ik ervoor dat de risico’s zo klein mogelijk blijven?
Kwetsbaarheid voor aanvallen verminderen (Attack surface reduction): door middel van mitigerende technieken voorkomen dat een virus of exploit een ingang kan vinden of worden uitgevoerd.
Beveiliging van de next-generation (Next-generation protection): een tot nu toe onbekende bedreiging wordt gesignaleerd en daar wordt actie op ondernomen.
Endpoint detectie en response: kijkt meer naar de big picture. Als bijvoorbeeld één laptop een virus heeft, dan wordt die geclassificeerd als ‘high risk laptop’. Je kunt een access rule instellen dat laptops die zijn geclassificeerd als high risk, geen toegang hebben tot de bedrijfsdata.
Geautomatiseerd onderzoek en herstel (Automated investigation and remediation): bepaalde regels instellen om minder geavanceerde gevaren te voorkomen en genezen. Hier is dan geen security-expert voor nodig om dit handmatig te doen; dat doet het systeem voor je.
Microsoft Threat experts: voor als je het niet zeker weet, kan je altijd experts online inschakelen die je dan kunnen helpen bij je (mogelijke) infectie.

Plaats binnen Microsoft 365 Defender Suite

Bij Defender voor Endpoint kijk je dus voornamelijk naar de apparaten binnen je organisatie. Maar er zijn nog meer producten binnen Microsoft 365 Defender. Laten we het daar ook even over hebben.

Microsoft Defender for Office 365: als je een Microsoft 365 – licentie hebt, neem je dit eigenlijk al af. In combinatie met Exchange Online Protection heb je dan al een heel sterk beveiligingspakket wat zich bezighoudt met alle Office-programma’s als Word, PowerPoint, Excel (waar nog wel eens bijzondere macro’s inzitten). Exchange Online Protection houdt zich voornamelijk bezig met mails waar bijvoorbeeld bijlages in zitten. Hiermee heb je dus al best veel afgevangen.

Azure AD Identity Protection houdt zicht vooral bezig met Azure AD. En dan heb je ook nog Microsoft Defender for Identity. Deze twee lijken erg op elkaar, maar de laatste houdt zich vooral bezig met de On-Prem Active Directory en AD FS. Deze gaan dus eigenlijk hand in hand, maar de een zit voornamelijk in de cloud, waar de ander echt On-Prem actief is.

Alle signalen samen, van die verschillende pakketten, kan je terugvinden in de Defenderportal. Die portal laat ik aan het eind van deze blog even zien in een video.

Defender in actie

Een casus ter voorbeeld!

Stel: er komt een mailtje binnen met een bijlage die niet pluis is. Als die bijlage bekend is en het echt niet de bedoeling is dat deze bijlage geopend wordt, is daar Exchange Online Protection die dat oppakt.

Wordt het niet opgepakt en wordt de malware geïnstalleerd (of geprobeerd), dan komt Defender for Endpoint om de hoek kijken en onderneemt de actie. Heb je dat pakket niet of gebeurt er iets anders waardoor het niet wordt opgepakt? Dan komen de andere pakketten in actie. Is het bijvoorbeeld een fishing-praktijk en komt de aanvaller aan de gegevens van de gebruiker, zoals gebruikersnaam en wachtwoord, dan komt Defender for Identity om de hoek kijken. Die ziet bijvoorbeeld dat je vijf minuten geleden nog aan je bureau zat in Amsterdam en nu ineens in Sint Petersburg. Dat is raar, een ‘impossible travel’, dus log maar even in met een two-factor-authentication. Verifieer maar even dat jij het echt bent.

Microsoft Cloud App Security houdt zich meer bezig met signaleren dan met echt in actie komen. Als je ineens veel meer data verbruikt dan eerst bijvoorbeeld: dan geeft het aan ‘dit is niet gebruikelijk! Hier moet iemand van Security naar kijken!’

Licenties

Er zijn twee plannen voor Microsoft Defender for Endpoint: plan 1 en plan 2. Als je Microsoft 365 E3 hebt, heb je al Plan 1. Als je E5 hebt, heb je plan 2. Wat is nou het verschil?

Plan 1:

Bij plan 1 heb je voornamelijk de Attack Surface Reduction (voorkomt dat dingen gebeuren) en de Next Generation Protection.

Plan 2:

Hier heb je meer inzichten. Geautomatiseerde reacties. En je kunt de Threat Experts inschakelen (dat kan bij Plan 1 ook, maar daar zal je dan een aparte Add-on licentie voor moeten afnemen ).

Meer weten over licenties en hoe ShareValue je daarbij kan helpen? Neem dan vooral eens contact op!

De Microsoft 365 Defender Portal

In onderstaande video geef ik een korte demo van de Microsoft 365 Defender Portal.

Accepteer cookies om deze video te bekijken.

Mocht je nou nog vragen hebben over Microsoft 365 Defender for Endpoint en hoe je dit in kunt zetten bij jouw organisatie: laat het ons weten! Ik denk graag met je mee.

Deel deze pagina:

Auteur

Koos

Engineer

Heb je vragen over dit onderwerp of zou je Koos willen inhuren voor een vergelijkbare opdracht?

Neem contact met ons op

Lees ook onze andere berichten

Blog

Alles wat ik tijdens mijn stage heb geleerd over Intune

Tijdens mijn afstudeerstage bij ShareValue hield ik mij bezig met het inregelen van mobiele devices door middel van Microsoft Intune. In deze blog vertel ik graag wat ik hiervoor heb uitgezocht en geregeld, wat Intune is en wat je ermee kan.

Grenzeloos samenwerken: Ontdek de magie van Microsoft Mesh in Teams

De afgelopen jaren is het online vergaderen via Teams al niet meer weg te denken. Medewerkers krijgen steeds meer vrijheid om overal te werken en ze kunnen dus gemakkelijk online aansluiten. Het tijdperk van het missen van vergaderingen omdat je niet naar kantoor kan komen, is voorbij. Toch brengt het vergaderen via Teams wel nog wat beperkingen met zich mee. Zo kun je via een schermpje lastiger zien wat iemands gezichtsuitdrukkingen zijn, als diegene überhaupt zijn of haar camera wel aan heeft staan. Hoe je je collega's op het scherm ziet, is hierdoor een stuk platter dan wanneer je fysiek met elkaar afspreekt. Om dit obstakel te overbruggen, komt Microsoft met een nieuwe, interactieve en virtuele manier van vergaderen, Microsoft Mesh!

Efficiënter digitaal samenwerken en betere controle over data

Heemskerk is de laatste 35 jaar uitgegroeid tot een bloeiende gemeente met ruim 39.000 inwoners. Met haar rustige familiestrand, dorpse gezelligheid en groene omgeving is Heemskerk het best bewaarde geheim van de Noordzeekust. (bron: heemskerk.nl). Hans Bosman, Teamleider Informatievoorziening bij de gemeente Heemskerk, vertelt: “De interne samenwerking en het informatiebeheer moesten dringend gemoderniseerd worden. Nu verliep die samenwerking niet overal even efficiënt. Er werd vooral veel gemaild. Daardoor waren er regelmatig spraakverwarringen, bijvoorbeeld over bepaalde documenten.

30-01-2024

Microsoft 365

Heb je een Azure expert nodig?

Neem contact met ons op

Hoor van onze experts hoe leuk ShareValue is

Lees de verhalen van onze collega's