6
Ist Microsoft Defender for Endpoints doch die bessere Lösung?
Hallo zusammen,
ich weiß - eine umstrittene These. Aber neulich habe ich Purple Knight getestet. Das Tool testet über verschiedene Skripte die Angriffsfläche des eigenen Active-Directorys. Für die meisten Tests genügt es, wenn man das Tool unprivilegiert als normaler Benutzer ausführt. Das habe ich gemacht. Mein ESET hat nicht gemeckert. Kurze Zeit später erhielt ich eine Email von Microsoft mit einer Warnung: "Active Directory Certificate Services attack tool activity"
Microsoft Defender for Endpoints ist eigentlich deaktiviert, da ich ESET einsetze. Testweise hatte ich es aber installiert und im Rahmen einer Microsoft E3 Lizenz ist es offenbar für den Benutzer aktiv. Wir nutzen AAD Connect und Intune.
Ob Microsoft jetzt ganz allgemein den Einsatz des Tools erkannt hat oder ob hier spezifische Angriffsvektoren bemerkt wurden, kann ich natürlich nicht sagen.
Hat jemand Erfahrung, wie andere Sicherheitslösungen solche Angriffsversuche erkennen? (Ich meine jetzt nicht Plug-Ins für das AAD, falls es so etwas gibt, sondern Lösungen, die auf dem Endpoint laufen) ESET jedenfalls fand nichts verdächtig.
Grüße
lcer
ich weiß - eine umstrittene These. Aber neulich habe ich Purple Knight getestet. Das Tool testet über verschiedene Skripte die Angriffsfläche des eigenen Active-Directorys. Für die meisten Tests genügt es, wenn man das Tool unprivilegiert als normaler Benutzer ausführt. Das habe ich gemacht. Mein ESET hat nicht gemeckert. Kurze Zeit später erhielt ich eine Email von Microsoft mit einer Warnung: "Active Directory Certificate Services attack tool activity"
Microsoft Defender for Endpoints ist eigentlich deaktiviert, da ich ESET einsetze. Testweise hatte ich es aber installiert und im Rahmen einer Microsoft E3 Lizenz ist es offenbar für den Benutzer aktiv. Wir nutzen AAD Connect und Intune.
Ob Microsoft jetzt ganz allgemein den Einsatz des Tools erkannt hat oder ob hier spezifische Angriffsvektoren bemerkt wurden, kann ich natürlich nicht sagen.
Hat jemand Erfahrung, wie andere Sicherheitslösungen solche Angriffsversuche erkennen? (Ich meine jetzt nicht Plug-Ins für das AAD, falls es so etwas gibt, sondern Lösungen, die auf dem Endpoint laufen) ESET jedenfalls fand nichts verdächtig.
Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8086572809
Url: https://administrator.de/contentid/8086572809
Printed on: April 27, 2024 at 17:04 o'clock
6 Comments
Latest comment
Hi
MS Defender & Tools machen erst mit dem Security Addons (im E5 inbegriffen) richtig "Spaß", dann kannst erst das volle Potenzial davon nutzen, davor sind einige Funktionen garnicht oder nur eingeschränkt verfügbar.
Mit dem Security Paket hast dann den vollen Schutz, inkl. Conditiioanl Access, DLP usw., aber das ist komplex und nicht mal eben zusammengeklickt bis das einigermaßen sauber läuft - ohne die halbe Umgebung flachzulegen.
Alternativ sind Lösungen von DarkTrace recht gut (aber teuer), CrowdStrike soll auch sehr gute Dienste leisten, die Finger würde ich von TrendMicro, McAffee usw. lassen (persönliche Meinung), ESET kenne ich selbst jetzt nicht im Enterprise Umfeld, damals(tm) vor unserer E5 Lizensierung hat Kaspersky auch einen guten Dienst verrichtet.
Aber mit einen Virenscanner alleine ist es nicht getan, du solltest auch Tools zur Schwachstellenanalyse nutzen, das von dir genannten PurpleKnight, Tenable Nessus, Greenbone, EngineSight usw. decken so manche Fehlkonfiguration auf deren man sich gar nicht bewusst war. Wir prüfen jede neu eingeführte Software mit solchen Tools und gehen dann den Hersteller auf die Nerven das die das fixen.
Gruß
@clSchak
Edit: M$ macht es auch richtig, erst ein paar Sicherheitslücken und Sicherheitsfiaskos einbauen und dann den Kunden zu Kasse beten wenn die das System sicher haben wollen
- "soll es funktionieren und sicher sein - oder darf es etwas von Microsoft sein?"
MS Defender & Tools machen erst mit dem Security Addons (im E5 inbegriffen) richtig "Spaß", dann kannst erst das volle Potenzial davon nutzen, davor sind einige Funktionen garnicht oder nur eingeschränkt verfügbar.
Mit dem Security Paket hast dann den vollen Schutz, inkl. Conditiioanl Access, DLP usw., aber das ist komplex und nicht mal eben zusammengeklickt bis das einigermaßen sauber läuft - ohne die halbe Umgebung flachzulegen.
Alternativ sind Lösungen von DarkTrace recht gut (aber teuer), CrowdStrike soll auch sehr gute Dienste leisten, die Finger würde ich von TrendMicro, McAffee usw. lassen (persönliche Meinung), ESET kenne ich selbst jetzt nicht im Enterprise Umfeld, damals(tm) vor unserer E5 Lizensierung hat Kaspersky auch einen guten Dienst verrichtet.
Aber mit einen Virenscanner alleine ist es nicht getan, du solltest auch Tools zur Schwachstellenanalyse nutzen, das von dir genannten PurpleKnight, Tenable Nessus, Greenbone, EngineSight usw. decken so manche Fehlkonfiguration auf deren man sich gar nicht bewusst war. Wir prüfen jede neu eingeführte Software mit solchen Tools und gehen dann den Hersteller auf die Nerven das die das fixen.
Gruß
@clSchak
Edit: M$ macht es auch richtig, erst ein paar Sicherheitslücken und Sicherheitsfiaskos einbauen und dann den Kunden zu Kasse beten wenn die das System sicher haben wollen
- "soll es funktionieren und sicher sein - oder darf es etwas von Microsoft sein?"
2
Moin,
der Ent-Defender ist schon sehr gut wie @clSchak beschrieb.
Du solltest allerdings im Hinterkopf behalten, dass für Server jeweils separate Lizenzen erforderlich sind.
Gruß
Spirit
der Ent-Defender ist schon sehr gut wie @clSchak beschrieb.
Du solltest allerdings im Hinterkopf behalten, dass für Server jeweils separate Lizenzen erforderlich sind.
Gruß
Spirit
Hi,
darf man fragen warum?
@clSchak
Gruß
Alex
darf man fragen warum?
@clSchak
die Finger würde ich von TrendMicro, McAffee usw. lassen (persönliche Meinung)
Gruß
Alex
TrendMicro ist in den letzten 12 Monat ein paar mal zu oft mit hohen CVE Werten auffällig gewesen, muss man selbst entscheiden wie man damit umgeht, McAffee wegen Ressourcenverschwendung und hoher CPU Auslastung. Aber wie bereits geschrieben: meine perönliche Meinung.
Hi,
wir haben bei den meisten Kunden den "großen" Defender laufen. Hier und da auch mal Crowdstrike.
Die meisten anderen Suites, sei es Trendmicro oder ähnliches, haben gegen den Defender häufig das Rennen verloren.
Wir haben mal bei einem verschlüsselten Kunden versucht die Daten durch Trendmicro + "Geheime Zusatzsoftware" zu waschen und im Anschluss Defender + "Geheime Zusatzsoftware". Der Trendmicro-Schutz hat diverse "Schädlinge" durchgelassen, welche im worst-case zu einem neuen Ausbruch hätten führe können.
Crowdstrike sehe ich persönlich sogar vor dem Defender, rein auf der Featureseite. Crowdstrike hat allerdings auch einen sehr stolzen Preis. Zugegeben wirkt CrowdStrike für diesen Preis auch deutlich runder als die Defenderlösung, wo ich zig Portale und Lizenzmodelle verstehen muss, um vom Client bis hin zum Windows / Linux-Server alles abgesichert zu haben.
wir haben bei den meisten Kunden den "großen" Defender laufen. Hier und da auch mal Crowdstrike.
Die meisten anderen Suites, sei es Trendmicro oder ähnliches, haben gegen den Defender häufig das Rennen verloren.
Wir haben mal bei einem verschlüsselten Kunden versucht die Daten durch Trendmicro + "Geheime Zusatzsoftware" zu waschen und im Anschluss Defender + "Geheime Zusatzsoftware". Der Trendmicro-Schutz hat diverse "Schädlinge" durchgelassen, welche im worst-case zu einem neuen Ausbruch hätten führe können.
Crowdstrike sehe ich persönlich sogar vor dem Defender, rein auf der Featureseite. Crowdstrike hat allerdings auch einen sehr stolzen Preis. Zugegeben wirkt CrowdStrike für diesen Preis auch deutlich runder als die Defenderlösung, wo ich zig Portale und Lizenzmodelle verstehen muss, um vom Client bis hin zum Windows / Linux-Server alles abgesichert zu haben.
1
Hallo,
für den Entscheider mit Lineal ist das gar keine Frage mehr: https://www.crowdstrike.com/wp-content/uploads/2023/03/1080x1080-150.png
Spaß beiseite, all diese Tools haben alle unterschiedliche Prioritäten und Fähigkeiten, mehr oder weniger über klassisches AV hinausgehend. Sie müssen zur Strategie und Landschaft passen.
Der Notwendigkeit, immer mehr Schlagworte auf die Webseite zu packen, kann sich kaum ein Hersteller entziehen. Crowdstrike ist mal mit einem fast konkurrenzlosen Ansatz angetreten, um AV zu ergänzen. Zu speziell für den Markt, daher ist bzw. ersetzt es heute AV, und entsprechend sieht das Produkt jetzt aus.
KMU mit weniger Mitteln suchen in der Regel ein 95%-Tool, mit dem man für überschaubare Beträge möglichst viel abhaken kann, das leicht zu integrieren ist und möglichst langlebig ist im Sinne des Produktlebenszyklus. Da sind unterschiedliche Varianten von Defender für die typische Windows/Azure-Umgebung eine offensichtliche Wahl.
Mit mehr finanziellem und personellem Spielraum wird eher auf Portfolien von sich ergänzenden Tools gesetzt, Redundanzen in Kauf nehmend oder bewusst als zweite Meinung nutzend. Auch dort passt Defender hinein. Man könnte das aber mit praktisch jedem anderen Produkt zufriedenstellend aufbauen oder kommt anhand des bereits anderweitig gedeckten Bedarfs auf tendenziell geringere Mindestanforderungen.
Und Konzerne nehmen eben Gartner rechts oben mit dem besten Support-Vertrag, falls der verflixte siebte Agent auf dem Server Probleme macht.
Daher scheint mir Microsoft generell gut aufgestellt. Wenn aber signaturbasiert nun eine "potentially unwanted software" erkannt wird, die andere nicht erkennen, oder ein Verhalten erkannt wird, dessen Überwachung andere eben nicht zu ihrem Funktionsumfang zählen, ist das isoliert betrachtet noch kein starkes Argument für das Produkt.
Grüße
Richard
für den Entscheider mit Lineal ist das gar keine Frage mehr: https://www.crowdstrike.com/wp-content/uploads/2023/03/1080x1080-150.png
Spaß beiseite, all diese Tools haben alle unterschiedliche Prioritäten und Fähigkeiten, mehr oder weniger über klassisches AV hinausgehend. Sie müssen zur Strategie und Landschaft passen.
Der Notwendigkeit, immer mehr Schlagworte auf die Webseite zu packen, kann sich kaum ein Hersteller entziehen. Crowdstrike ist mal mit einem fast konkurrenzlosen Ansatz angetreten, um AV zu ergänzen. Zu speziell für den Markt, daher ist bzw. ersetzt es heute AV, und entsprechend sieht das Produkt jetzt aus.
KMU mit weniger Mitteln suchen in der Regel ein 95%-Tool, mit dem man für überschaubare Beträge möglichst viel abhaken kann, das leicht zu integrieren ist und möglichst langlebig ist im Sinne des Produktlebenszyklus. Da sind unterschiedliche Varianten von Defender für die typische Windows/Azure-Umgebung eine offensichtliche Wahl.
Mit mehr finanziellem und personellem Spielraum wird eher auf Portfolien von sich ergänzenden Tools gesetzt, Redundanzen in Kauf nehmend oder bewusst als zweite Meinung nutzend. Auch dort passt Defender hinein. Man könnte das aber mit praktisch jedem anderen Produkt zufriedenstellend aufbauen oder kommt anhand des bereits anderweitig gedeckten Bedarfs auf tendenziell geringere Mindestanforderungen.
Und Konzerne nehmen eben Gartner rechts oben mit dem besten Support-Vertrag, falls der verflixte siebte Agent auf dem Server Probleme macht.
Daher scheint mir Microsoft generell gut aufgestellt. Wenn aber signaturbasiert nun eine "potentially unwanted software" erkannt wird, die andere nicht erkennen, oder ein Verhalten erkannt wird, dessen Überwachung andere eben nicht zu ihrem Funktionsumfang zählen, ist das isoliert betrachtet noch kein starkes Argument für das Produkt.
Grüße
Richard