CIS & Microsoft Defender Vulnerability Management  

In der heutigen digitalen Landschaft ist es entscheidend, eine robuste Sicherheitsstrategie zu verfolgen, um Bedrohungen zu minimieren und Schwachstellen zu beheben. Microsoft Defender Vulnerability Management bietet eine leistungsstarke Lösung, um Sicherheitslücken frühzeitig zu identifizieren und zu verwalten. In diesem Blogbeitrag werfen wir einen Blick darauf, wie die Integration des CIS Benchmarks (Center for Internet Security) in Microsoft Defender Vulnerability Management Ihnen hilft, Best Practices für die Sicherheitskonfiguration zu implementieren und Ihre IT-Infrastruktur optimal zu schützen. 

CIS - Center for Internet Security 

CIS (Center for Internet Security) ist eine Organisation, die sich für mehr Sicherheit im Internet einsetzt. Sie stellt kostenlose Richtlinien und Empfehlungen zur Verfügung, damit Unternehmen ihre IT-Systeme besser schützen können. Diese Richtlinien helfen Unternehmen, ihre Systeme so zu konfigurieren, dass sie weniger anfällig für Cyberangriffe sind.  

 Im Kern geht es darum:  

• Best Practices: CIS bietet konkrete Anleitungen, wie Unternehmen ihre Sicherheit verbessern können. 

• Benchmarks: Diese dienen als Massstab, um zu überprüfen, ob ein System sicher konfiguriert ist. 

• Community: CIS hat eine grosse Gemeinschaft von IT-Sicherheitsexperten. 

Warum ist CIS wichtig? 

• Globale Anerkennung: Die Richtlinien von CIS gelten weltweit als Standard. 

• Konkrete Massnahmen: CIS bietet klare Handlungsanweisungen. 

• Kostenlos: Die meisten Ressourcen sind frei zugänglich. 

Benchmarks und Topics 

CIS bietet Empfehlungen für eine breite Palette von IT-Bereichen. Ihre Richtlinien und Benchmarks decken sowohl allgemeine Sicherheitsgrundlagen als auch spezifische Technologien und Plattformen ab. 

Hier sind einige der Hauptbereiche, in denen CIS Empfehlungen ausspricht welche für die meisten Unternehmen relevant sein könnten: 

• Betriebssysteme: CIS bietet Benchmarks für eine Vielzahl von Betriebssystemen, einschliesslich Windows, Linux, macOS und verschiedenen Unix-Varianten. Diese Benchmarks geben detaillierte Anweisungen zur sicheren Konfiguration dieser Systeme. 

• Netzwerke: CIS liefert Richtlinien für die sichere Konfiguration von Netzwerken, einschliesslich Firewalls, Routern und Switches. 

• Cloud: CIS bietet Empfehlungen für die sichere Nutzung von Cloud-Plattformen wie Microsoft Azure und Google Cloud Platform (GCP) und Amazon Web Services (AWS). 

• Anwendungen: CIS liefert Richtlinien für die sichere Konfiguration und den Betrieb verschiedener Anwendungen, einschliesslich Webserver, E-Mail-Server und andere Geschäftsanwendungen. 

• Mobile Geräte: CIS bietet auch Empfehlungen für die sichere Konfiguration und den Betrieb von mobilen Geräten, einschliesslich Smartphones und Tablets. 

• Patchmanagement: Regelmässige Installation von Sicherheitsupdates. 
  

Integration in Microsoft Defender Vulnerability Management  

Defender Vulnerability Management bietet Transparenz, intelligente Bewertungen und integrierte Tools für Windows Geräte welche in Defender onboarded sind. Mit Hilfe von Threat Intelligence und Breach Likelihood priorisiert Defender Vulnerability Management schnell und kontinuierlich die grössten Schwachstellen. 

Anhand vordefinierten Sicherheitsbaselines oder Baselines, ist es möglich Schwachstellen und Risiken auf Geräteebene frühzeitig zu erkennen. 

Quelle: https://learn.microsoft.com/en-us/defender/media/defender-vulnerability-management/mdvm-asset.png 

Sicherheitsbaselines oder Benchmarks werden von unterschiedlichen Firmen und Institutionen zur Verfügung gestellt. Darunter auch Benchmarks der nonprofit Organisation CIS (Center for Internet Security). 

CIS-Benchmarks sind Konfigurationsgrundlagen und bewährte Verfahren für die sichere Konfiguration eines Systems. Jede der Empfehlungen verweist auf eine oder mehrere CIS-Kontrollen, die entwickelt wurden, um Organisationen bei der Verbesserung der Cyberabwehrfähigkeiten zu unterstützen. CIS-Kontrollen entsprechen vielen etablierten Standards und Regelwerken, darunter das NIST Cybersecurity Framework (CSF) und NIST SP 800-53, die Normen ISO 27000, PCI DSS, HIPAA, etc. 

CIS-Benchmarks lassen sich in Microsoft Vulnerability Management anzeigen und konfigurieren. 

Lizenzen 

Wenn bereits die Defender for Endpoint Plan 2 Lizenz verfügbar ist, kann Defender Vulnerability Management Add-on für Defender for Endpoint Plan 2 über ein Trial aufgeschaltet werden. 

Für neue Kunden oder bestehende Defender for Endpoint P1 oder Microsoft 365 E3-Kunden ist das Microsoft Defender Vulnerability Management Standalone allgemein verfügbar. 

Add-On 

Im Tenant muss das Feature aufgeschaltet werden. Dazu kann ein 90 Tägiges Trial genutzt werden. Folgende Microsoft Anleitung beschreibt das Aufschalten des Trials: 

https://learn.microsoft.com/en-us/defender-vulnerability-management/trial-user-guide-defender-vulnerability-management 

Devices 

Devices müssen: 

• in Microsoft Defender für Endpoint Plan 2 oder Microsoft Defender Vulnerability Management eingebunden sein 

• mit unterstützten Betriebssystemen und Plattformen arbeiten 

• die folgenden obligatorischen Updates installiert haben: 
   

• in Microsoft Intune integriert sein, um die Beseitigung von Bedrohungen zu unterstützen, die von Microsoft Defender Vulnerability Management, früher bekannt als Threat & Vulnerability Management (TVM), gefunden wurden. 

Berechtigungen 

Für die Aktivierung des Services sind die Rollen Sicherheitsadministrator oder Globaler Administrator notwendig. 

Datenhaltung 

Defender Vulnerability Management Daten werden in den Microsoft Azure-Rechenzentren in der Europäischen Union, dem Vereinigten Königreich, den Vereinigten Staaten, Australien oder der Schweiz betrieben. 

Die vom Dienst erfassten Kundendaten können gespeichert werden in:  

• dem geografischen Standort des Mandanten, der bei der Bereitstellung angegeben wurde, oder 

• (b) dem geografischen Standort, der in den Datenspeicherungsregeln eines Onlinedienstes definiert ist, wenn dieser Onlinedienst von Defender for Endpoint zur Verarbeitung solcher Daten verwendet wird. 

Kundendaten in anonymisierter Form können auch in den zentralen Speicher- und Verarbeitungssystemen in den Vereinigten Staaten gespeichert werden. 

Integration 

Nachdem die oben erwähnten Anforderungen erfüllt sind, kann das Trial im Microsoft Defender Portal aktiviert werden. 

Die Aktiverung des Trials kann bis zu 24h dauern. Danach kann im Bereich “Baseline Assessment” im Menü “Voulnerability Management” über +Create eine neue Baseline zu erstellt werden. 

Nach der Angabe der gewünschten Software im Baseline Profile Scope erscheint eine vordefinierte Liste der Benchmarks. Aus dieser Liste kann der CIS-Benchmark und das Compliance Level angewählt werden. 

Im Bereich “Add configuration settings” könne einzelne Empfehlungen / Einstellungen von Assessment exkludiert werden. 

Nachdem die Device Gruppe ausgewählt wurde, wird eine Zusammenfassung der Konfiguration angezeigt. Es können nur Defender Gruppen verwendet werden. Entra ID Device Gruppen werden nicht unterstützt. 

Auswertung der Ergebnisse 

Der Endbericht wird, je nach Anzahl Geräte, nach 24h oder länger angezeigt. Es ist aber empfohlen das Assessment einige Tage laufen zu lassen, um sicherzustellen, dass auch temporär inaktive Geräte berücksichtigt werden. 

Ist der Einbricht fertiggestellt, wir pro Empfehlung der Compliance Status angezeigt. Compliance Status bedeutet hier die Anzahl von Geräten, welche die Empfehlung umgesetzt haben oder nicht umgesetzt haben. 

Zusätzlich bietet der Bericht eine Übersicht auf Gerätebasis. Dieser zeigt an wie viele Empfehlungen auf dem Gerät umgesetzt sind und wie viele noch nicht umgesetzt sind. 

Wählt man eine der Empfehlungen an, wird im ersten Register eine detaillierte Beschreibung und die Integrationsanleitung angezeigt. 

Im zweiten Register wird erneut eine Liste der konformen Geräte angezeigt. 

Die evaluierten Daten erscheinen danach auch in der Übersicht der einzelnen Geräte in Defender. Diese sind im Register “Security Baselines” zu finden. 

Schlusswort 

Ich hoffe, dieser Blogbeitrag war für dich hilfreich und hat dir wertvolle Einblicke in die Verwendung des CIS Benchmarks in Microsoft Defender Vulnerability Management gegeben. Mit den richtigen Tools und Best Practices kannst du die Sicherheit deiner Systeme deutlich verbessern und Schwachstellen frühzeitig erkennen. Denke daran, dass IT-Sicherheit ein kontinuierlicher Prozess ist, der regelmäßige Anpassungen erfordert. Bleib dran und nutze die verfügbaren Ressourcen, um deine Sicherheitsstrategie stetig zu optimieren. 

Danke fürs Lesen und “stay safe”!