Modul 1: Einführung

In diesem Modul erhalten Sie eine Einführung in die Architektur von Microsoft Defender XDR. Es werden die Komponenten und Datenflüsse besprochen sowie die Konzepte von SIEM/SOAR und die Aufgaben eines SOC (Security Operations Center) erklärt.

• Microsoft Defender XDR Architektur: Komponenten und Datenflüsse
• Was ist ein SIEM/SOAR?
• Was ist die Aufgabe eines SOC?

Modul 2: Windows Defender Grundlagen

Dieses Modul behandelt die grundlegenden Konzepte von Windows Defender. Es werden die Einstellungen im Sicherheits-Center, die Unterschiede zwischen den verschiedenen Defender-Produkten (Endpoint, 365, ID, Antivirus) sowie die Nutzung der Kommandozeilen-Tools per PowerShell und CMD erläutert.

• Einstellungen im Sicherheits-Center
• Unterschiede: Defender Endpoint, Defender 365, Defender ID, Defender Antivirus
• Defender for Endpoint (Defender ATP) vs. Windows Defender Antivirus
• Windows Defender Kommandozeile:
  • Powershell-Befehle
  • Kommandozeilen-Kommandos

Modul 3: Cloudbasierte Verwaltung & Entra ID

In dieser Einheit geht es um die Grundlagen der cloudbasierten Client-Verwaltung. Es wird das Zusammenspiel der verschiedenen Defender-Komponenten im Rahmen von XDR (Extended Detection and Response) sowie die Integration von Microsoft Defender und Intune beleuchtet.

• Cloudbasierte Client-Verwaltung – Grundlagen und Hintergründe
• Was ist XDR? Zusammenspiel der verschiedenen Defender-Komponenten
• Microsoft Defender XDR Architektur: Komponenten und Datenflüsse
• Microsoft Defender und Intune

Modul 4: Möglichkeiten der Konfiguration

Dieses Modul behandelt die verschiedenen Methoden zur Konfiguration von Defender. Es wird gezeigt, wie die Konfiguration über Intune, SCCM und Gruppenrichtlinien (GPOs) erfolgt, wobei detailliert auf die Intune-Integration, das Onboarding von Geräten und rollenbasierte Administration eingegangen wird.

• Defender-Konfiguration mit:
  • Intune
  • SCCM
  • Gruppenrichtlinien (GPOs)
• Wie funktioniert Intune
• Intune-Integration in Defender
• Onboarding von Geräten
• Erweiterte Einstellungen anpassen
• Rollenbasierte Administration

Modul 5: Erweiterte Schutzfunktionen

Dieses Modul widmet sich den erweiterten Schutzfunktionen von Windows Defender. Es werden Konzepte wie Block at First Sight (BAFS), EDR in Block-Mode, Indicators of Compromise (IoC) und Tamper Protection behandelt. Weiterhin werden Attack Surface Reduction (ASR) Regeln, Controlled Folder Access (CFA), Exploit Protection, Network- und Web-Protection sowie Device Control und Discovery vorgestellt und die Integration der Windows Firewall erläutert.

• Block at First Sight (BAFS)
• EDR in Block-Mode
• Indicators of Compromise (IoC)
• Tamper Protection
• Attack Surface Reduction (ASR)
  • ASR-Regeln
  • Controlled Folder Access (CFA)
  • Exploit Protection
  • Network-Protection
  • Web-Protection
  • Device Control
  • Device Discovery
• Windows Firewall Integration

Modul 6: Verwaltung und Schutz im Endpoint-Portal

In diesem Kapitel lernen Sie die Verwaltung und den Schutz von Endpunkten über das Endpoint-Portal kennen. Es werden die Antivirus-Komponenten und MDAV-Policies im Portal erläutert, und es wird gezeigt, wie Sie Geräte remote verwalten und isolieren können. Zudem erhalten Sie einen Überblick über die erweiterten MDAV-Funktionen.

• Antivirus-Komponenten im Endpoint-Portal
• MDAV-Policies im Endpoint-Portal
• Geräte Remote aus dem Security-Portal verwalten
• Erweiterte MDAV-Funktionen im Überblick
• Geräte-Isolierung

Modul 7: Threat Hunting & Advanced Hunting

Diese Einheit führt in das Threat Hunting ein, dessen Motivationen und Vorgehensweisen. Sie erlernen die Grundlagen der Kusto Query Language (KQL) für Defender/Sentinel und die Anwendung von Advanced Hunting in Defender for Endpoint. Es wird das Datenschema besprochen und gezeigt, wie man eigene Queries schreibt und Analysen durchführt.

• Was ist Threat Hunting? Motivationen und Vorgehen
• KQL (Kusto Query Language) Grundlagen für Defender/Sentinel
• Advanced Hunting in Defender for Endpoint
• Datenschema, typische Quellen und Felder
• Eigene Queries schreiben und Analysen durchführen

Modul 8: Moderne Bedrohungserkennung und -abwehr

In dieser Einheit geht es um moderne Techniken zur Bedrohungserkennung und -abwehr. Es werden Microsoft Defender Vulnerability Management und Extended Detection and Response (XDR) vorgestellt. Ein weiterer Schwerpunkt liegt auf Advanced Hunting, dessen Möglichkeiten und praktischen Anwendungsbeispielen.

• Microsoft Defender Vulnerability Management
• Extended Detection and Response (XDR)
• Advanced Hunting: Möglichkeiten und Praxisbeispiele

Modul 9: Integration mit Microsoft Sentinel

Dieses Modul behandelt die Integration von Defender XDR mit Microsoft Sentinel. Es wird gezeigt, wie Sie Daten exportieren, Analysen durchführen und SOAR-Playbooks verwenden. Zudem werden Watchlists, Notebooks und Bookmarks, Detection Analytics und Automatisierung sowie das Incident Management in Sentinel erläutert.

• Verbinden von Defender XDR mit Sentinel (Datenexport, Analysen, SOAR-Playbooks)
• Watchlists, Notebooks und Bookmarks in Sentinel
• Detection Analytics und Automatisierung
• Alert-Regeln, Automatisierte Response (Logic Apps, Playbooks)
• Incident Management in Sentinel