Security und Microsoft Lizenzen: Die wirksame Kombination für Ihre IT-Sicherheit

Microsoft Sicherheitslösungen wirken am stärksten im Verbund. Microsoft Defender schützt Endpunkte und Identitäten, Microsoft Sentinel analysiert sicherheitsrelevante Daten zentral, erkennt Bedrohungen und automatisiert Reaktionen. So senken Sie Zeit bis zur Erkennung, erhöhen Transparenz und erfüllen Nachweispflichten effizient.

Warum Microsoft Defender und Microsoft Sentinel

Microsoft Defender for Endpoint schützt Geräte vor modernen Angriffen und liefert hochwertige Signale für Bedrohungserkennung. Microsoft Sentinel konsolidiert diese und weitere Datenquellen als Cloud-native SIEM-Lösung (Security Information and Event Management), priorisiert Vorfälle, unterstützt Threat Hunting und orchestriert automatisierte Reaktionen.

Die gemeinsame Nutzung beider Lösungen verkürzt Reaktionszeiten drastisch und erhöht die Wirksamkeit im Sicherheitsalltag. Durch die nahtlose Integration in das Microsoft-Ökosystem erhalten Security-Teams eine einheitliche Sicht auf Bedrohungen – von einzelnen Endpunkten bis zur gesamten Cloud-Infrastruktur.

Kernvorteile der Kombination:

• Korrelation von Endpunkt-Signalen mit Netzwerk-, Identitäts- und Cloud-Daten
• Automatisierte Incident Response durch vorkonfigurierte Playbooks
• Einheitliches Portal (Microsoft Defender Portal) für alle Sicherheitsoperationen
• Reduzierung von Mean Time to Detect (MTTD) und Mean Time to Respond (MTTR)

Typische Hürden und die passenden Lösungen

Lizenz passend wählen statt zu viel zu bezahlen

Die Auswahl des richtigen Lizenzmodells kann komplex sein, da jede Lizenzstufe unterschiedliche Funktionen bietet.

Microsoft Defender for Endpoint:

Defender for Endpoint ist in Plan 1 und Plan 2 verfügbar:

• Plan 1 deckt Kernschutz ab: Next-Generation Protection (Antivirus, Antimalware), Attack Surface Reduction Rules, manuelles Response auf Geräte und Dateien, Device Control und grundlegendes Network Protection.
• Plan 2 ergänzt erweiterte Erkennung und automatisierte Reaktion: Endpoint Detection and Response (EDR), automatisierte Investigation & Remediation, erweiterte Threat Hunting mit KQL, Threat Analytics, Sandboxing und optionalen Zugang zu Microsoft Threat Experts.

Lizenzierung:

• Plan 1 ist in Microsoft 365 E3/A3/G3 enthalten
• Plan 2 ist in Microsoft 365 E5/A5/G5 enthalten
• Beide Pläne sind auch als Standalone-Lizenzen verfügbar (pro Nutzer/Monat, bis zu 5 Geräte pro Nutzer)

Microsoft Sentinel:

Sentinel-Kosten hängen primär von der aufgenommenen Datenmenge ab:

• Pay-as-you-go: Flexible Abrechnung nach tatsächlichem Datenvolumen (ideal für unvorhersehbare Volumina)
• Commitment Tiers: Rabatte bei planbaren Datenmengen ab 100 GB/Tag (bis zu 52% Ersparnis gegenüber Pay-as-you-go)
• Neue 50 GB Tier (Public Preview ab Oktober 2025): Speziell für kleinere Umgebungen

Lösung:

• Analysieren Sie Ihren tatsächlichen Sicherheitsbedarf systematisch
• Prüfen Sie, ob Ihre bestehenden Microsoft 365 E3/E5 Pakete bereits die benötigten Defender-Funktionen enthalten
• Starten Sie mit Sentinel Pay-as-you-go und wechseln Sie nach 2-3 Monaten Monitoring auf Commitment Tiers
• Arbeiten Sie mit einem zertifizierten Microsoft-Partner wie TOMORIS für fundierte Lizenzberatung

Weiterführend: Microsoft Lizenzen Beratung mit TOMORIS

Integration in bestehende Umgebungen

Die Einführung neuer Sicherheitslösungen scheitert oft an der nahtlosen Integration in bestehende IT-Infrastrukturen, insbesondere in hybriden Setups aus Cloud und On-Premises.

Herausforderung: Viele Unternehmen haben hybride Infrastrukturen mit lokalen Active Directory-Umgebungen, unterschiedlichen Datenquellen (Firewalls, Server, Anwendungen) und heterogenen Cloud-Plattformen.

Lösung:

Identitätssynchronisation:

• Nutzen Sie Microsoft Entra Connect (ehemals Azure AD Connect), um Ihre On-Premises Active Directory-Verzeichnisse sicher mit Microsoft Entra ID (ehemals Azure Active Directory) zu synchronisieren
• Implementieren Sie Hybrid-Join für Geräte, um einheitliche Verwaltung zu ermöglichen

Sentinel-Datenquellen priorisieren:

1. Phase 1 (Quick Wins): Microsoft Entra ID Sign-in Logs, Audit Logs, Defender for Endpoint Alerts
2. Phase 2 (Infrastruktur): Windows Security Events (Domain Controllers, kritische Server), Office 365 Audit Logs
3. Phase 3 (Erweitert): Firewall-Logs, Netzwerkgeräte, Third-Party Cloud Apps via API

Best Practice:

• Erstellen Sie eine detaillierte Migrationsroadmap mit Phasenplan
• Testen Sie Datenconnectors zunächst im Lab-Modus
• Prüfen Sie die Kompatibilität bestehender SIEM-Integrationen vor der Migration
• Nutzen Sie die Sentinel Data Connector Gallery für vorkonfigurierte Integrationen

TOMORIS Unterstützung: Hybrid-Integration mit TOMORIS IT+

Know-how und Betrieb sichern

Moderne Sicherheitslösungen sind technisch komplex und erfordern spezialisiertes Wissen in Bereichen wie KQL (Kusto Query Language), SOAR-Automatisierung und Threat Hunting.

Herausforderung: In vielen Unternehmen fehlen die Ressourcen, um Tools wie Microsoft Sentinel effektiv zu implementieren, zu konfigurieren und kontinuierlich zu betreiben. Security Operations Center (SOC)-Teams sind häufig überlastet.

Lösung:

Schulungsprogramme:

• Investieren Sie in regelmäßige Trainings für Ihre IT- und Security-Teams
• Nutzen Sie Microsoft Learn-Pfade für Defender und Sentinel-Zertifizierungen
• Etablieren Sie interne Schulungen zu KQL-Queries und Playbook-Entwicklung

Standardisierung:

• Implementieren Sie Microsoft-Standard-Playbooks als Ausgangsbasis
• Nutzen Sie die Sentinel Content Hub für vorkonfigurierte Solutions (z.B. für Zero Trust, Ransomware Detection)
• Etablieren Sie wiederkehrende Security Operations Reviews

Managed Security Services:

• Externe Dienstleister können die Implementierung übernehmen und kontinuierlich optimieren
• 24/7 SOC-Betrieb für proaktives Monitoring und Incident Response
• Entlastung interner Teams für strategische Sicherheitsprojekte

TOMORIS Managed SOC: Wir unterstützen bei Implementierung, Betrieb und kontinuierlicher Optimierung Ihrer Microsoft Security-Umgebung.

Kosten transparent steuern

Die Kosten für Cloud-basierte Sicherheitslösungen wie Microsoft Sentinel können auf den ersten Blick hoch erscheinen, insbesondere ohne Erfahrung mit datenbasierten Abrechnungsmodellen.

Herausforderung: Unkontrollierte Datenaufnahme führt schnell zu Budget-Überschreitungen. Ohne klare Strategie zur Datenquellen-Priorisierung zahlen Unternehmen für wenig relevante Security-Daten.

Lösung:

Kostensteuerung bei Microsoft Sentinel:

1. Pay-as-you-go als Einstieg: Starten Sie mit flexibler Abrechnung, um Ihr tatsächliches Datenvolumen zu ermitteln
2. Commitment Tiers bei stabilen Volumina: Wechseln Sie nach 2-3 Monaten auf Commitment Tiers (100 GB/Tag aufwärts) für bis zu 52% Ersparnis
3. Datenquellen optimieren:
   • Entfernen Sie Quellen mit geringem Sicherheitsnutzen (z.B. verbose Debug-Logs)
   • Nutzen Sie Log Filtering direkt an der Quelle
   • Implementieren Sie Data Collection Rules für selektive Aufnahme
4. Retention anpassen: Standardmäßig 90 Tage kostenlos, danach kostenpflichtig – definieren Sie klare Retention-Policies
5. Kostenloses Datenvolumen nutzen: Office 365 Audit Logs und Azure Activity Logs sind kostenlos

Monitoring-Tools:

• Nutzen Sie den Workspace Usage Report in Sentinel
• Implementieren Sie Azure Budgets mit Alerts bei Schwellenwerten
• Überprüfen Sie monatlich die Top-Datenquellen im Cost Management

Kosten-Nutzen-Rechnung: Stellen Sie die Investitionskosten den potenziellen Einsparungen durch Vermeidung von Cyberangriffen gegenüber. Ein einzelner Ransomware-Vorfall kostet durchschnittlich 1,85 Mio. EUR (IBM Cost of Data Breach Report 2024).

Compliance und Nachweisführung

Cloud-Sicherheitslösungen bieten hohe Flexibilität, werfen aber Fragen zur Einhaltung von Datenschutzrichtlinien wie DSGVO, NIS2, ISO 27001 und branchenspezifischen Standards auf.

Herausforderung: Unternehmen müssen regulatorische Vorgaben einhalten, dokumentieren und nachweisen können – oft ohne dedizierte Compliance-Teams.

Lösung:

Microsoft Purview Compliance Manager:

Microsoft Purview Compliance Manager liefert Bewertungslogik, vorkonfigurierte Vorlagen und eine Score-Übersicht für über 300 Regulierungen:

• DSGVO (GDPR): Vorkonfigurierte Assessments mit konkreten Improvement Actions
• NIS2-Richtlinie: Premium-Template seit 2024 verfügbar (erfordert E5-Lizenz)
• ISO 27001:2022, NIST CSF, CIS Benchmarks: Automatische Bewertung technischer Controls

Praktische Umsetzung:

1. Erstellen Sie relevante Assessments im Compliance Manager
2. Nutzen Sie den Compliance Score zur kontinuierlichen Verbesserung
3. Verbinden Sie technische Controls aus Defender und Sentinel mit organisatorischen Maßnahmen
4. Exportieren Sie Berichte für Audits und interne Reviews

Technische Security Controls:

• Multi-Faktor-Authentifizierung (MFA): Über Microsoft Entra ID für alle Benutzerkonten
• Conditional Access: Risikobasierte Zugriffssteuerung nach Standort, Gerät und Nutzerrisiko
• Sensitivity Labels: Automatische Klassifizierung und Schutz sensibler Daten
• Data Loss Prevention (DLP): Verhinderung versehentlicher Datenweitergabe

TOMORIS Compliance Services: Ganzheitliche Compliance mit TOMORIS Secure+

Die Vorteile in der Praxis

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint schützt Geräte mit moderner Erkennung, Härtung und automatisierter Response. Die Lösung bietet Echtzeit-Schutz vor Ransomware, Malware und Zero-Day-Exploits.

Kernfunktionen:

• Echtzeit-Bedrohungserkennung: Verhindert Malware- und Ransomware-Angriffe durch verhaltensbasierte Erkennung
• Attack Surface Reduction: Regeln zur Minimierung von Angriffsvektoren (z.B. Blockierung von Makros, Script-Ausführung)
• Automated Investigation & Remediation (Plan 2): Automatische Analyse und Behebung von Bedrohungen
• Zentrale Verwaltung: Konfiguration von Sicherheitsrichtlinien für alle Geräte über einheitliches Portal

Praxis-Beispiel 1 – Ransomware-Schutz mittelständisches Produktionsunternehmen:

Ein Fertigungsunternehmen mit 450 Mitarbeitern implementierte Defender for Endpoint Plan 2 auf allen Clients und Servern. Attack Surface Reduction Rules wurden aktiviert, automatisierte Isolation bei High-Severity Alerts konfiguriert. Microsoft Sentinel korreliert Signale und startet Playbooks für automatisches Ticketing und Benachrichtigung des SOC-Teams.

Ergebnis: Mean Time to Respond (MTTR) wurde von 4 Stunden auf 12 Minuten reduziert. Ein Ransomware-Angriff wurde innerhalb von 8 Minuten erkannt, betroffene Geräte automatisch isoliert.

Praxis-Beispiel 2 – Zero-Trust-Architektur für Remote Work:

Ein IT-Dienstleister mit überwiegend remote arbeitenden Teams setzte Defender for Endpoint Plan 2 kombiniert mit Microsoft Entra Conditional Access ein. Nur verwaltete Geräte mit aktuellem Security-Patch-Level erhalten Zugriff auf Unternehmensdaten.

Ergebnis: Erfolgreiche Phishing-Versuche sanken um 78%, da kompromittierte Credentials auf nicht-verwalteten Geräten keinen Zugriff mehr erhielten.

Microsoft Sentinel

Microsoft Sentinel konsolidiert sicherheitsrelevante Daten als Cloud-native SIEM-Lösung, priorisiert Vorfälle durch KI-gestützte Korrelation und automatisiert Reaktion über SOAR-Funktionen (Security Orchestration, Automation and Response).

Kernfunktionen:

• Proaktives Threat-Hunting: KI-gestützte Analysen erkennen Bedrohungen frühzeitig durch Machine Learning und Behavioral Analytics
• Unbegrenzte Skalierbarkeit: Cloud-native Architektur skaliert mit Ihrem Unternehmen
• Multi-Cloud und Hybrid: Unterstützung für Azure, AWS, Google Cloud und On-Premises
• Automatisierte Playbooks: Logic Apps-basierte Workflows für automatische Incident Response

Praxis-Beispiel 1 – NIS2-Readiness für Dienstleister:

Ein Managed Service Provider im Scope der NIS2-Richtlinie führte eine Risikobewertung mit Microsoft Purview Compliance Manager durch und priorisierte Maßnahmen. Sentinel-Datenaufnahmen aus Microsoft Entra ID, Defender for Endpoint, Microsoft 365 Audit Logs und kritischen Firewall-Logs wurden konfiguriert.

Quartalsweise Reviews der Compliance Score-Entwicklung und implementierter Controls liefern Nachweise für Audits. Automatisierte Playbooks stellen sicher, dass Security Incidents innerhalb der geforderten Fristen gemeldet werden.

Ergebnis: NIS2-konforme Dokumentation und nachweisbare Reaktionszeiten unter 24 Stunden.

Praxis-Beispiel 2 – Insider Threat Detection:

Ein Finanzdienstleister nutzt Sentinel für User and Entity Behavior Analytics (UEBA). Anomalien wie ungewöhnliche Daten-Downloads außerhalb der Geschäftszeiten, Zugriffe auf nicht-autorisierte Ressourcen oder Credential-Sharing werden automatisch erkannt.

Ergebnis: Drei Insider-Threat-Fälle wurden erkannt, bevor kritische Daten das Unternehmen verlassen konnten.

Zusammenspiel: Microsoft Defender und Microsoft Sentinel

Die Integration beider Lösungen im Microsoft Defender Portal (ehemals Microsoft 365 Defender) bietet:

• Korrelation: Endpunkt-Signale werden mit Identitäts-, Netzwerk- und Cloud-Daten verknüpft
• Unified Incident View: Alle Alerts eines komplexen Angriffs werden zu einem Incident zusammengefasst
• Automatisierte Response: Sentinel-Playbooks können direkt Defender-Actions auslösen (z.B. Geräte isolieren, User blockieren)
• Single Pane of Glass: Security-Teams arbeiten in einem einheitlichen Portal

Effekt: Reduzierung von Alert-Fatigue durch intelligente Priorisierung und Deduplizierung. Security-Analysten können sich auf echte Bedrohungen konzentrieren.

Best Practices für die Umsetzung

1. Detaillierte Planung und Roadmap

Erstellen Sie eine Roadmap, die alle Phasen der Implementierung berücksichtigt:

Phase 1 (Wochen 1-4): Foundation

• Lizenzierung klären und beschaffen
• Microsoft Entra ID Hybrid-Sync einrichten
• Defender for Endpoint auf Pilot-Gruppe ausrollen
• Sentinel Workspace erstellen

Phase 2 (Wochen 5-8): Core Integration

• Defender for Endpoint Rollout auf alle Geräte
• Wichtigste Datenquellen in Sentinel anbinden (Entra ID, Defender, Office 365)
• Standard Detection Rules und Playbooks aktivieren

Phase 3 (Wochen 9-12): Optimization

• Erweiterte Datenquellen integrieren (Firewalls, Server)
• Custom Detection Rules basierend auf Use Cases entwickeln
• Threat Hunting Prozesse etablieren
• Compliance Assessments in Purview aktivieren

Phase 4 (Ongoing): Continuous Improvement

• Monatliches Review der Detection-Efficacy
• Kosten-Monitoring und Optimierung
• Anpassung von Playbooks und Rules
• Security Operations Reviews

2. Datenquellen priorisieren

Nicht alle Datenquellen haben den gleichen Sicherheitswert. Priorisieren Sie nach Impact:

Hohe Priorität (sofort):

• Microsoft Entra ID Sign-in und Audit Logs
• Defender for Endpoint Alerts
• Office 365 Audit Logs (kostenlos)
• Domain Controller Security Events

Mittlere Priorität (nach 4 Wochen):

• Kritische Server Security Events
• Perimeter-Firewalls
• VPN-Logs
• Cloud App Security (Microsoft Defender for Cloud Apps)

Niedrige Priorität (nach 8 Wochen):

• Ausgewählte Anwendungs-Logs
• Netzwerk-Devices
• Third-Party Cloud Platforms

Vermeiden:

• Verbose Application Debug Logs
• Redundante Datenquellen
• Logs ohne Security-Relevanz

3. Automatisierung konsequent nutzen

Reduzieren Sie manuelle Aufgaben durch Automatisierung:

Defender for Endpoint:

• Aktivieren Sie Automated Investigation & Remediation (Plan 2)
• Konfigurieren Sie Auto-Isolation für kritische Threats
• Nutzen Sie Attack Surface Reduction Rules

Sentinel:

• Implementieren Sie Standard-Playbooks aus dem Content Hub
• Automatisieren Sie Ticket-Erstellung in Ihrem ITSM
• Konfigurieren Sie automatische Enrichment (z.B. VirusTotal-Lookups, Threat Intelligence)
• Etablieren Sie Auto-Response für bekannte False Positives

Beispiel-Playbook: Bei Erkennung einer Phishing-Mail durch Defender for Office 365:

1. Sentinel erhält Alert
2. Playbook prüft, ob weitere User die Mail erhalten haben
3. Automatisches Löschen aus allen Postfächern
4. Absender-Domain auf Blocklist setzen
5. Ticket im ITSM erstellen
6. User per Mail informieren

4. Betrieb und Continuous Improvement

SOC-Prozesse etablieren:

• Definieren Sie klare Escalation-Pfade
• Implementieren Sie Incident Response Runbooks
• Führen Sie regelmäßige Table-Top-Exercises durch

Metrics überwachen:

• Mean Time to Detect (MTTD)
• Mean Time to Respond (MTTR)
• False Positive Rate
• Detection Coverage (MITRE ATT&CK Framework)

Externe Unterstützung: Managed Security Services können helfen, Engpässe in der internen IT zu überbrücken, insbesondere für 24/7 Monitoring und spezialisiertes Threat Hunting.

TOMORIS Managed SOC: Wir übernehmen den Betrieb Ihrer Microsoft Security-Umgebung, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.

FAQ zu Lizenz, Kosten, Integration und Compliance

Nächste Schritte

Microsoft Defender for Endpoint und Microsoft Sentinel bieten Unternehmen eine solide Grundlage, um ihre IT-Sicherheit systematisch zu stärken. Der Schlüssel zum Erfolg liegt in fundierter Planung, der richtigen Lizenzierung, strukturierter Implementierung und kontinuierlicher Optimierung der Sicherheitsstrategie.

TOMORIS unterstützt Sie bei:

• Lizenzberatung: Optimale Auswahl zwischen E3/E5, Plan 1/Plan 2 und Add-ons
• Implementierung: Professionelles Deployment von Defender und Sentinel
• Integration: Anbindung Ihrer Hybrid- und Multi-Cloud-Umgebungen
• Managed SOC: 24/7 Security Operations Center für kontinuierliche Überwachung
• Compliance: NIS2- und DSGVO-Readiness mit Purview Compliance Manager
• Training: Schulungen für Ihre IT- und Security-Teams

Mit den richtigen Maßnahmen können Unternehmen nicht nur ihre Daten schützen, sondern auch langfristig Kosten und Ressourcen sparen. Die Vermeidung eines einzigen erfolgreichen Cyberangriffs amortisiert die Investition in moderne Security-Lösungen mehrfach.

Vereinbaren Sie jetzt eine unverbindliche Erstberatung →

Erfahren Sie mehr über TOMORIS Secure+ →