7. Einzigartige Einblicke durch Billionen von
Signalen. Diese Signale werden in allen
Microsoft Sicherheits-Services genutzt
MICROSOFT INTELLIGENT
SECURITY GRAPH
450B
monthly
authentications
18+B
Bing web pages
scanned750M+
Azure user
accounts
Enterprise
security for
90%
of Fortune 500
Malware data
from Windows
Defender
Shared threat
data from partners,
researchers and law
Enforcement
worldwide
Botnet data from
Microsoft Digital
Crimes Unit
1.2B
devices scanned
each month
400B
emails analyzed
200+
global cloud
consumer and
Commercial services
9. Die Verpflichtung von Microsoft
zur EU-Datenschutz-Grundverordnung (DSGVO)
Diese Präsentation soll einen Überblick über die GDPR bieten und stellt keine definitive Rechtsaussage dar.
10. Transparenz und Standardisierung
des Schutzes von persönlichen Daten
Erweiterte persönliche Rechte
Erhöhte Pflichten beim Datenschutz
Zwingende Bekanntgabe bei Sicherheitslücken
Signifikante Strafen bei non-compliance
Die als General Data Protection Regulation
(GDPR) bekannte Verordnung verpflichtet
Unternehmen, Behörden, gemeinnützige und
sonstige Organisationen, die Personen in der
Europäischen Union (EU) Waren und
Dienstleistungen anbieten oder Daten erfassen
und analysieren, die im Zusammenhang mit in der
EU ansässigen Personen stehen, zur Einhaltung
neuer Regeln.
13. Welche Schritte sind zur Erreichung der
DSGVO-Compliance notwendig?
Identifizieren Sie, welche personenbezogenen
Daten Sie haben und wo Sie sich befinden
Ermitteln1
Regelung für den Umgang mit
personenbezogenen Daten und wie darauf
zugegriffen wird
Verwalten2
Richten Sie Sicherheitskontrollen ein, um
Schwachstellen und Datenschutzverletzungen zu
verhindern, zu erkennen und darauf zu reagieren
Schützen3
Bewahren Sie benötigte Dokumentationen auf,
verwalten Sie Datenanfragen und
Benachrichtigungen zu Datenschutzverletzungen
Berichten4
14. Ermitteln:
Bereiche:
•
•
•
•
•
•
•
•
•
•
Inventar:
•
•
•
•
•
•
•
Microsoft Azure
Microsoft Azure Data Catalog
Enterprise Mobility + Security (EMS)
Microsoft Cloud App Security
Dynamics 365
Audit Data & User Activity
Reporting & Analytics
Office & Office 365
Data Loss Prevention
Advanced Data Governance
Office 365 eDiscovery
SQL Server and Azure SQL Database
SQL Query Language
Windows & Windows Server
Windows Search
Lösungsbeispiele:
1
21. 80%
Mitarbeiter nutzen nicht
zugelassene Applikationen
für die Arbeit
81%
Der Einbrüche werden
durch Diebstahl von
Anmeldeinformationen
verursacht
73%
Der Passwörter sind
Duplikate
Warum ist die Identität wichtig ?
27. Enterprise Mobility Suite - Produkt Matrix für DSGVO (GDPR)
Ermitteln (Discover)
Welche Art von Daten, wo befinden sich Daten
Verwalten (Manage)
Zutrittskontrolle, “Privacy by Design”
Schützen (Protect)
Sicherheit der Daten bei Übertragung und
Speicherung
Berichten (Report)
Dokumentation , Meldung von
Datenschutzverletzungen
Azure AD Application Catalog
Entdecken und Warten von Cloud oder LOB Anwendungen,
auf die Benutzer zugreifen
Azure AD RBAC & Dynamic groups
Zugriff auf entsprechende Inhalte nur für dedizierte
Personen die mit diesen Daten arbeiten dürfen erlauben
Zugriff können sofort widerrufen werden
Azure MFA
Fügen Sie eine weitere Ebene der Authentifizierung hinzu,
um die Sicherheit Ihrer Identitäten zu gewährleisten
Funktioniert mit SaaS, LOB oder On-Premise
Anwendungen
Azure AD Advanced
Reports
Anmelde Versuche, Anmelde Standorte,
Anwendungszugriff Protokollierung,
Kontowartung Protokollierung
Cloud Application Security
Entdecken von Cloud Anwendungen inklusive
Risikobewertung dieser SaaS Dienste
Überwachung und Kontrolle über die Verwendung Ihre
Cloud-Apps, auch nachdem Sie ihre Verwendung
genehmigt haben
AAD Privileged identity
management
Gewährt Administrations Zugriff für selektive Personen,
der automatisch nach einer gewisse Zeit wieder erlischt
Conditional Access
Einschränken des Zugriffs auf Ressourcen je nach
Standort, Benutzer, Anwendung oder Risiko
Advanced Threat Analytics
Liefert Angriffs Benachrichtigungen und
schlägt Gegenmaßnahmen für „On-Premise”
Active Directory (AD DS) Umgebungen vor
Azure Information Protection
Identifizieren von Informationstypen mit der Fähigkeit
einer automatischer Klassifizierung
Azure Information Protection
Durchsetzung von Zugriffsrichtlinien
auf Mails und Dokumente
Azure Identity Protection
erweiterter risikobasierter Identitätsschutz mit Warnungen,
Analyse & Aktionen zur Schutz der Identität
Azure Information
Protection
Berichte mit der Lokation, Zeitpunkt und
Anwender nach Zugriff auf ein Dokument
Microsoft Intune
Entdecken von Anwendungen für mobile Geräte,
die das Gerät gefährden könnten
oder durch die IT nicht erlaubt sind
Cloud Application Security
Kann die Klassifizierung von Azure Information Protection
verwenden, um Richtlinien, durch automatische Aktionen
wie z.B. Dateien in Quarantäne verschieben oder Widerruf
von Freigaben mit vertrauliche Dateien, einzuhalten
Azure Information Protection
verschlüsselt vertrauliche Daten in Ihrer ganzen Umgebung
und schützt damit diese vor ungerechtfertigten Zugriff
oder Nutzung, egal wo diese gespeichert sind
Dies gilt auch während eines Transfer der Daten
Microsoft Intune
Geräte Compliance-Berichte für eine
Vielzahl von Gerätemodellen,
Betriebssystemen und Anbietern
.
Microsoft Intune
MDM, MAM und PC-Management-Funktionen aus der
Cloud. Intune kann Zugriffe auf Unternehmens-
Anwendungen, Daten und Ressourcen auf fast jedem
Gerät steuern und lässt Datenaustausch nur in
genehmigten Anwendungen zu
Cloud Application Security
Verwendet „machine learning” und erweiterte DLP-Scanner
um Datenverlust nach außerhalb der Organisation zu
verhindern und um vor Malware zu schützen
28. Windows / Windows Server - GDPR Product Mapping
Ermitteln (Discover)
Welche Art von Daten, wo befinden sich Daten
Verwalten (Manage)
Zutrittskontrolle, “Privacy by Design
Schützen (Protect)
Sicherheit der Daten bei Übertragung und Speicherung
Berichten (Report)
Dokumentation , Meldung von
Datenschutzverletzungen
Content Search
Mit Windows Search oder PowerShell können
personenbezogenen Daten, die im lokalen oder
freigegebenen Speicher mit Datei-Berechtigungen
versehen sind, gefunden werden und bei Bedarf den
Zugriffs auf diese Dateien wiederrufen
Data Governance
Durch Verwendung von Windows-
Berechtigungen können Administratoren den
Zugang zu personenbezogenen Daten
verwalten und darauf regieren
.
Strong authentication
Windows Hallo ersetzt Passwörter durch starke zwei-Faktor-
Authentifizierung. Diese ist an ein Gerät gebunden und
verwendet eine biometrischen (Gesicht oder Finger) Eingabe
oder eine PIN als zweiten Faktor
Auditing and Logging
liefern detaillierte Daten, die in
anderen Lösungen für tiefere Analyse
oder Compliance-Berichte
weitergeleitet werden können
Dynamic Access Control
Zugriffssteuerung für Berechtigungen und
Einschränkungen basierend auf definierten
Regeln, wie z.B. e Aufgabe oder Rolle des
Benutzers, die Konfiguration der Geräte die
auf die Ressourcen zugreifen
Identity Protection
Credential Guard verhindert den Diebstahl von
Anmeldeinformationen, die bei Angriffen wie Pass-the-Hash
oder Pass-The-Ticket passieren können.
Die Anmeldeinformationen sind in einem isolierten Bereich,
auf den nur privilegierte System-Software zugreifen kann
Windows Defender/ ATP
Hilft Kunden erweiterte und gezielte
Angriffe zu erkennen, zu untersuchen
und darauf zu reagieren
Microsoft Data Classification
Toolkit
identifizieren, klassifizieren und schützen von
Daten in Fileserver und vereinfachte
Anwendung von DAC
Run trusted software
Device Guard nutzt erweiterte Hardware-Features damit nur
autorisierte Apps starten
Protect data at rest
BitLocker stellt sicher, dass die gespeicherten Daten im PC,
nicht lesbar bleiben, wenn der Computer manipuliert und das
installierte Betriebssystem offline ist
Windows Information Protection(WIP)
Schützt Daten gegen zufällige oder vorsätzliche Offenlegung
durch Sicherheitsmaßnahmen, inklusive Verschlüsselung
Windows Defender/ ATP
Hilft Kunden erweiterte und gezielte Angriffe zu erkennen, zu
untersuchen und darauf zu reagieren
Threat Resistance
Windows Defender Antivirus und SmartScreen helfen gegen
schädliche Dateien, Phishing oder Malware Websites
29. Azure - Produkt Matrix für DSGVO (GDPR)
Ermitteln (Discover)
Welche Art von Daten, wo befinden sich Daten
Verwalten (Manage)
Zutrittskontrolle, “Privacy by Design”
Schützen (Protect)
Sicherheit der Daten bei Übertragung und
Speicherung
Berichten (Report)
Dokumentation , Meldung von
Datenschutzverletzungen
Azure Security Center
liefert Transparenz und Kontrolle über die Sicherheit Ihrer Azure- und On-Premies Ressourcen. Kontinuierliche Überwachung der Ressourcen, hilfreiche Sicherheitsempfehlungen und Hilfe beim verhindern,
erkennen und reagieren auf Bedrohungen. Azure Security Center integrierte Analysen helfen Angriffe zu identifizieren, die sonst unbemerkt passieren können
Azure Data Catalog
Entdecken, Verstehen und Nutzung von Daten aus
verschiedenen Quellen und Datenbanken
Azure AD RBAC & Dynamic groups
Zugriff auf entsprechende Inhalte nur für
dedizierte Personen die mit diesen Daten
arbeiten dürfen erlauben
Zugriff können sofort widerrufen werden
Azure Key Vault
analyze and understand their local threat
environment, including malware detected, targeted
users, and links to global security stats
Log Analytics
Azure bietet konfigurierbare
Sicherheitsüberwachung und
Protokollierungsoptionen, die Ihnen
helfen können Lücken in Ihren
Sicherheitsrichtlinien zu erkennen
Log Analytics
sammelt und analysiert Daten, die von Ressourcen in
der Cloud oder on-Premise-Umgebungen erzeugt
werden. Es liefert Echtzeit-Einblicke mit integrierter
Suche und benutzerdefinierten Dashboards und
kann ohne weiteres für alle Workloads unabhängig
von deren physikalischen Standort Millionen von
Logeinträgen analysieren
AAD Privileged identity
management
Gewährt Administrations Zugriff für selektive
Personen, der automatisch nach einer gewisse Zeit
wieder erlischt
Data Encryption in Azure Storage
automatically encrypt your data when it is written to
Azure Storage using Storage Service Encryption.
Additionally, you can use Azure Disk Encryption to
encrypt operating systems and data disks used by
virtual machines, also in transit
Azure AD Advanced
Reports
Anmelde Versuche, Anmelde Standorte,
Anwendungszugriff Protokollierung,
Kontowartung Protokollierung
Azure AD Application Catalog
Entdecken und Warten von Cloud oder LOB
Anwendungen, auf die Benutzer zugreifen
Azure Information Protection
Durchsetzung von Zugriffsrichtlinien
auf Mails und Dokumente
Azure MFA
Fügen Sie eine weitere Ebene der Authentifizierung
hinzu, um die Sicherheit Ihrer Identitäten zu
gewährleisten Funktioniert mit SaaS, LOB oder
On-Premise Anwendungen
Azure Information
Protection
Berichte mit der Lokation, Zeitpunkt
und Anwender nach Zugriff auf ein
Dokument
Azure Information Protection
Identifizieren von Informationstypen mit der
Fähigkeit einer automatischer Klassifizierung
Azure Identity Protection
risikobasierter Identitätsschutz mit Warnungen,
Analyse & Aktionen zur Schutz der Identität.
Azure Information Protection
verschlüsselt vertrauliche Daten in Ihrer ganzen
Umgebung und schützt vor ungerechtfertigten
Zugriff oder Nutzung, ob gespeichert oder im
Transfer
30. Einfacher Zugriff auf
Geräte und Apps
Schutz an der
“Eingangstür”
Sichern von
Anmeldeinformationen
Sicherstellen, dass Nutzer autorisiert und sicher sind, bevor sie Zugriff auf Apps und Daten gewährt
bekommen
Identität & Zugangsmanagement
31. Microsoft Azure Active Directory
Open standards-based
Identity platform
App Integration
Microsoft Graph
Identity for IaaS
Connect your
users to any app
Safeguard user
credentials
Interact with customers
and partners
Accelerate adoption
of your apps
32. Safeguard user credentials with a Zero Trust approach
Conditional access Identity protectionSecure authentication
Network walls have come down but your security doesn’t have to.
33. Multi-factor authentication prevents 99.9% of identity attacks
SMS
OATH
Token
Push
notificatio
n
Voice call
OATH
codes
Secure authentication using MFA
34. Secure authentication with password-less credentials
High security convenient methods of authentication
Microsoft Authenticator FIDO2 Security KeysWindows Hello
aka.ms/gopasswordless
35. Corporate
Network
Geo-location
Microsoft
Cloud App SecurityMacOS
Android
iOS
Windows
Windows
Defender ATP
Client apps
Browser apps
Google ID
MSA
Azure AD
ADFS
Require
MFA
Allow/block
access
Block legacy
authentication
Force
password
reset******
Limited
access
Controls
Employee & Partner
Users and Roles
Trusted &
Compliant Devices
Physical &
Virtual Location
Client apps &
Auth Method
Conditions
Machine
learning
Policies
Real time
Evaluation
Engine
Session
Risk
3
40TB
Effective
policy
Azure AD conditional access
36. Conditions
Allow access
Or
Block access
Actions
Enforce MFA per
user/per app
Location (IP range)
Device state
User groupUser
NOTIFICATIONS, ANALYSIS, REMEDIATION,
RISK-BASED POLICIES
CLOUD APP DISCOVERY PRIVILEGED IDENTITY MANAGEMENT
MFA
IDENTITY
PROTECTION
Risk
37. “Risk severity” Berechnung
Remediation Empfehlung
Risiko-basierter „Conditional Access“ schützt
automatisch vor verdächtigen Anmeldungen
und gefährdeten Anmeldeinformationen
Konsoldierte Ansicht auf die durch „machine
learning“ basierte Erkennung von Bedrohungen
Leaked
credentials
Infected
devices Configuration
vulnerabilities
Risk-based
policies
MFA Challenge
Risky Logins
Block attacks
Change bad
credentials
Machine-Learning Engine
Brute force
attacks
Suspicious sign-in
activities
38. Nur nach Anforderung, zeitlich begrenzter
administrativer Zugriff, wenn dieser benötigt wird
Nutzung von Alert, Audit Reports und Access-
Review
Domain User Global Admin. Domain User
Admin. privileges expire
after a specified interval
Entdecken, einschränken und überwachen von Privilegierte Identitäten
Privilegierte Identitäten schützen
39. Konto, Apps und Gruppen verwalten
“My Apps” Portal
Passwort zurücksetzen via “Self-service”
Anfragen zum Zugriff auf Anwendungen
Integriert in das Office 365 App Startmenü
Zugriff auf alle eigenen SaaS und on-premises Apps
40.
41. Passwortlose starke Authentifizierung über
mehrere Faktoren hinweg
▪ PC + PIN oder Biometrie
▪ PC + Ergänzungsgerät (Companion Device)
▪ PC unterstützte Biometrie: Fingerabdruck &
Gesicht
▪ Das Ergänzungsgerät kann andere Biometrie-
Optionen unterstützen (z.B.: EKG)
Unterstützt auf jedem Windows 10 Gerät
>100 Geräte mit Unterstützung von Biometrie
Windows Hello for Business
43. Apps und Clouds
von
Drittanbietern
App in AzureAzure Active
Directory
Microsoft Intune
Office 365
Enterprise
State Roaming
Intune/MDM
auto-enrollment
Windows 10 Azure AD
verbundene Geräte
Active Directory
On-premises apps
NUTZUNG VON
GERÄTEAUTHENTIFIZIERUNG,
UM AUTOMATISCH ZUGRIFF
AUF APPS ZU ERMÖGLICHEN
44. Starke Authentifizierung
über mehrere Faktoren
Anmeldeinformationen
durch Hardware geschützt
Sichere biometrische
Daten
• Geschütze biometrische
Implementierung in
Windows & Hardware
• „Anti-spoofing” und
Brute-Force-Schutz
• Verwendet zwei Faktoren
für die Authentifizierung
(z.B.: PC + PIN oder
Biometrisch)
• Asymmetrische Schlüssel
(Private/Public)
• Hardware generierte
Anmeldeinformationen
(Schlüssel)
• Anmeldeinformationen
ist isoliert und durch
Hardware geschützt
Wie Hello die Anmeldeinformationen schützt
45. ▪ #1 Go-to-Angriff für Hacker: Pass the
Hash
▪ Wird bei fast jedem großen Einbruch
verwendet, um sich im Netzwerk
auszubreiten
▪ Credential Guard verwendet Windows
Defender System Guard für Hardware
isolierte Authentifizierung und hält
damit Authentifizierung Daten vom
System fern
▪ Verhindert den Verlust von
Anmeldedaten, auch wenn OS voll
kompromittiert ist
Kernel
Windows Platform
Services
Apps
Kernel
SystemContainer
Hypervisor
Device Hardware
Wie Windows “single sign-in tokens” schützt
46. User
Admin
Einfacher Zugriff User überprüfen
Verhindern von
Identitätsdiebstahl
✓ MFA
✓ Windows Hello
✓ SSO
✓ MFA
✓ SSPWR
✓ SSPWR
✓ Conditional Access
✓ Privileged Mgmt
✓ Credential Guard
✓ Azure AD Join
Eine, integrierte Identitäts-und Zugangslösung
49. Enterprise Mobility Suite - Produkt Matrix für DSGVO (GDPR)
Ermitteln (Discover)
Welche Art von Daten, wo befinden sich Daten
Verwalten (Manage)
Zutrittskontrolle, “Privacy by Design”
Schützen (Protect)
Sicherheit der Daten bei Übertragung und
Speicherung
Berichten (Report)
Dokumentation , Meldung von
Datenschutzverletzungen
Azure AD Application Catalog
Entdecken und Warten von Cloud oder LOB Anwendungen,
auf die Benutzer zugreifen
Azure AD RBAC & Dynamic groups
Zugriff auf entsprechende Inhalte nur für dedizierte
Personen die mit diesen Daten arbeiten dürfen erlauben
Zugriff können sofort widerrufen werden
Azure MFA
Fügen Sie eine weitere Ebene der Authentifizierung hinzu,
um die Sicherheit Ihrer Identitäten zu gewährleisten
Funktioniert mit SaaS, LOB oder On-Premise
Anwendungen
Azure AD Advanced
Reports
Anmelde Versuche, Anmelde Standorte,
Anwendungszugriff Protokollierung,
Kontowartung Protokollierung
Microsoft Cloud App Security
Entdecken von Cloud Anwendungen inklusive
Risikobewertung dieser SaaS Dienste
Überwachung und Kontrolle über die Verwendung Ihre
Cloud-Apps, auch nachdem Sie ihre Verwendung
genehmigt haben
AAD Privileged identity
management
Gewährt Administrations Zugriff für selektive Personen,
der automatisch nach einer gewisse Zeit wieder erlischt
Conditional Access
Einschränken des Zugriffs auf Ressourcen je nach
Standort, Benutzer, Anwendung oder Risiko
Azure Advanced Threat
Protection
Advanced Threat Analytics
Liefert Angriffs Benachrichtigungen und
schlägt Gegenmaßnahmen für „On-Premise”
Active Directory (AD DS) Umgebungen vor
Azure Information Protection
Identifizieren von Informationstypen mit der Fähigkeit
einer automatischer Klassifizierung
Azure Information Protection
Durchsetzung von Zugriffsrichtlinien
auf Mails und Dokumente
Azure Identity Protection
erweiterter risikobasierter Identitätsschutz mit Warnungen,
Analyse & Aktionen zur Schutz der Identität
Azure Information
Protection
Berichte mit der Lokation, Zeitpunkt und
Anwender nach Zugriff auf ein Dokument
Microsoft Intune
Entdecken von Anwendungen für mobile Geräte,
die das Gerät gefährden könnten
oder durch die IT nicht erlaubt sind
Microsoft Cloud App Security
Kann die Klassifizierung von Azure Information Protection
verwenden, um Richtlinien, durch automatische Aktionen
wie z.B. Dateien in Quarantäne verschieben oder Widerruf
von Freigaben mit vertrauliche Dateien, einzuhalten
Azure Information Protection
verschlüsselt vertrauliche Daten in Ihrer ganzen Umgebung
und schützt damit diese vor ungerechtfertigten Zugriff
oder Nutzung, egal wo diese gespeichert sind
Dies gilt auch während eines Transfer der Daten
Microsoft Intune
Geräte Compliance-Berichte für eine
Vielzahl von Gerätemodellen,
Betriebssystemen und Anbietern
.
Microsoft Intune
MDM, MAM und PC-Management-Funktionen aus der
Cloud. Intune kann Zugriffe auf Unternehmens-
Anwendungen, Daten und Ressourcen auf fast jedem
Gerät steuern und lässt Datenaustausch nur in
genehmigten Anwendungen zu
Microsoft Cloud App Security
Verwendet „machine learning” und erweiterte DLP-Scanner
um Datenverlust nach außerhalb der Organisation zu
verhindern und um vor Malware zu schützen
50. Windows / Windows Server - GDPR Product Mapping
Ermitteln (Discover)
Welche Art von Daten, wo befinden sich Daten
Verwalten (Manage)
Zutrittskontrolle, “Privacy by Design
Schützen (Protect)
Sicherheit der Daten bei Übertragung und Speicherung
Berichten (Report)
Dokumentation , Meldung von
Datenschutzverletzungen
Content Search
Mit Windows Search oder PowerShell können
personenbezogenen Daten, die im lokalen oder
freigegebenen Speicher mit Datei-Berechtigungen
versehen sind, gefunden werden und bei Bedarf den
Zugriffs auf diese Dateien wiederrufen
Data Governance
Durch Verwendung von Windows-
Berechtigungen können Administratoren den
Zugang zu personenbezogenen Daten
verwalten und darauf regieren
.
Strong authentication
Windows Hallo ersetzt Passwörter durch starke zwei-Faktor-
Authentifizierung. Diese ist an ein Gerät gebunden und
verwendet eine biometrischen (Gesicht oder Finger) Eingabe
oder eine PIN als zweiten Faktor
Auditing and Logging
liefern detaillierte Daten, die in
anderen Lösungen für tiefere Analyse
oder Compliance-Berichte
weitergeleitet werden können
Dynamic Access Control
Zugriffssteuerung für Berechtigungen und
Einschränkungen basierend auf definierten
Regeln, wie z.B. e Aufgabe oder Rolle des
Benutzers, die Konfiguration der Geräte die
auf die Ressourcen zugreifen
Identity Protection
Credential Guard verhindert den Diebstahl von
Anmeldeinformationen, die bei Angriffen wie Pass-the-Hash
oder Pass-The-Ticket passieren können.
Die Anmeldeinformationen sind in einem isolierten Bereich,
auf den nur privilegierte System-Software zugreifen kann
Windows Defender/ ATP
Hilft Kunden erweiterte und gezielte
Angriffe zu erkennen, zu untersuchen
und darauf zu reagieren
Microsoft Data Classification
Toolkit
identifizieren, klassifizieren und schützen von
Daten in Fileserver und vereinfachte
Anwendung von DAC
Run trusted software
Device Guard nutzt erweiterte Hardware-Features damit nur
autorisierte Apps starten
Protect data at rest
BitLocker stellt sicher, dass die gespeicherten Daten im PC,
nicht lesbar bleiben, wenn der Computer manipuliert und das
installierte Betriebssystem offline ist
Windows Information Protection(WIP)
Schützt Daten gegen zufällige oder vorsätzliche Offenlegung
durch Sicherheitsmaßnahmen, inklusive Verschlüsselung
Windows Defender/ ATP
Hilft Kunden erweiterte und gezielte Angriffe zu erkennen, zu
untersuchen und darauf zu reagieren
Threat Resistance
Windows Defender Antivirus und SmartScreen helfen gegen
schädliche Dateien, Phishing oder Malware Websites
51. Azure - Produkt Matrix für DSGVO (GDPR)
Ermitteln (Discover)
Welche Art von Daten, wo befinden sich Daten
Verwalten (Manage)
Zutrittskontrolle, “Privacy by Design”
Schützen (Protect)
Sicherheit der Daten bei Übertragung und
Speicherung
Berichten (Report)
Dokumentation , Meldung von
Datenschutzverletzungen
Azure Security Center
liefert Transparenz und Kontrolle über die Sicherheit Ihrer Azure- und On-Premies Ressourcen. Kontinuierliche Überwachung der Ressourcen, hilfreiche Sicherheitsempfehlungen und Hilfe beim verhindern,
erkennen und reagieren auf Bedrohungen. Azure Security Center integrierte Analysen helfen Angriffe zu identifizieren, die sonst unbemerkt passieren können
Azure Data Catalog
Entdecken, Verstehen und Nutzung von Daten aus
verschiedenen Quellen und Datenbanken
Azure AD RBAC & Dynamic groups
Zugriff auf entsprechende Inhalte nur für
dedizierte Personen die mit diesen Daten
arbeiten dürfen erlauben
Zugriff können sofort widerrufen werden
Azure Key Vault
analyze and understand their local threat
environment, including malware detected, targeted
users, and links to global security stats
Log Analytics
Azure bietet konfigurierbare
Sicherheitsüberwachung und
Protokollierungsoptionen, die Ihnen
helfen können Lücken in Ihren
Sicherheitsrichtlinien zu erkennen
Log Analytics
sammelt und analysiert Daten, die von Ressourcen in
der Cloud oder on-Premise-Umgebungen erzeugt
werden. Es liefert Echtzeit-Einblicke mit integrierter
Suche und benutzerdefinierten Dashboards und
kann ohne weiteres für alle Workloads unabhängig
von deren physikalischen Standort Millionen von
Logeinträgen analysieren
AAD Privileged identity
management
Gewährt Administrations Zugriff für selektive
Personen, der automatisch nach einer gewisse Zeit
wieder erlischt
Data Encryption in Azure Storage
automatically encrypt your data when it is written to
Azure Storage using Storage Service Encryption.
Additionally, you can use Azure Disk Encryption to
encrypt operating systems and data disks used by
virtual machines, also in transit
Azure AD Advanced
Reports
Anmelde Versuche, Anmelde Standorte,
Anwendungszugriff Protokollierung,
Kontowartung Protokollierung
Azure AD Application Catalog
Entdecken und Warten von Cloud oder LOB
Anwendungen, auf die Benutzer zugreifen
Azure Information Protection
Durchsetzung von Zugriffsrichtlinien
auf Mails und Dokumente
Azure MFA
Fügen Sie eine weitere Ebene der Authentifizierung
hinzu, um die Sicherheit Ihrer Identitäten zu
gewährleisten Funktioniert mit SaaS, LOB oder
On-Premise Anwendungen
Azure Information
Protection
Berichte mit der Lokation, Zeitpunkt
und Anwender nach Zugriff auf ein
Dokument
Azure Information Protection
Identifizieren von Informationstypen mit der
Fähigkeit einer automatischer Klassifizierung
Azure Identity Protection
risikobasierter Identitätsschutz mit Warnungen,
Analyse & Aktionen zur Schutz der Identität.
Azure Information Protection
verschlüsselt vertrauliche Daten in Ihrer ganzen
Umgebung und schützt vor ungerechtfertigten
Zugriff oder Nutzung, ob gespeichert oder im
Transfer
52. Office 365 - Produkt Matrix für DSGVO (GDPR)
Ermitteln (Discover)
Welche Art von Daten, wo befinden sich Daten
Verwalten (Manage)
Zutrittskontrolle, “Privacy by Design”
Schützen (Protect)
Sicherheit der Daten bei Übertragung und
Speicherung
Berichten (Report)
Dokumentation , Meldung von
Datenschutzverletzungen
Security & Compliance Center
Das Portal zum Schutz Ihrer Daten in Office 365. Berechtigungen Sie Anwender , die Compliance-Aufgaben ausführen dürfen
Advanced Data Governance
Klassifizierung, Aufbewahrung und/oder Löschung von Daten basierend auf automatische Analyse und Richtlinien Empfehlungen
Content search
Leistungsstarke Inhaltssuche in Postfächern,
öffentlichen Ordnern, Office 365 Gruppen, Microsoft-
Teams, SharePoint Online, One Drive für Business und
Skype für Business Gesprächen
. Information rights management
Mit SharePoint Online kann gesteuert werden ,wie
lange Inhalte gespeichert werden , überwachen der
Verwendung von Inhalten, hinzufügen von Labeln
Advanced Threat Protection
bietet Sicherheitsfunktionen um User-Umgebungen
zu schützen, die Kundendaten einschließlich sichere
Anlagen & Safe Links enthalten
Audit Logs
Aufzeichnung und Suche nach
gewünschten Benutzer und Admin-
Aktivitäten im gesamten Unternehmen
eDiscovery
Regeln des Zugriff innerhalb des Falls, Halt auf die
relevante Inhaltsorte des Fall legen, verbinden von
mehren Inhaltsuchen und Export der Ergebnisse der
fallbezogenen Inhaltssuche
Mail Flow Rules
Suchen Sie nach bestimmten Bedingungen in
Nachrichten, die Ihre Organisation durchlaufen und
führen Sie entsprechende Maßnahmen durch
Secure Score
Sicherheitsbewertung der Office 365 Umgebung
Vorschläge wie das Risiko reduziert werden kann mit
Balance zwischen Produktivität und Sicherheit
Service Assurance
Einblicke zur Durchführung von Risiko-
bewertungen mit Details zu Microsoft
Compliance-Reports und transparenten
Status der geprüften Kontrollen
Advanced eDiscovery
reduziert das Datenvolumen durch Auffinden
ähnlicher Dateien, Erkennung von Schlüsselthemen
und Datenbeziehungen und Rekonstruktion von E-
Mail-Threads. Das System kann „trainiert“ werden,
unstrukturierte Datenmengen intelligent zu
durchforsten und zu analysieren
Azure Rights Management
verhindert, dass vertraulichen Informationen angezeigt, gedruckt, weitergeleitet, gespeichert, bearbeitet oder
kopiert werden von unbefugten Personen
Customer Lockbox
Kontrollieren Sie, wie ein
Supportmitarbeiter während einer
Hilfe-Sitzung auf Ihre Daten zugreift
Journaling in Exchange Online
reagieren Sie auf rechtliche, regulatorische und
Compliance-Anforderungen durch die Aufnahme von
eingehenden und ausgehenden Mail-Kommunikation
Office Cloud App Security*
verbesserter Einblick, granulare Sicherheitskontrollen
und Richtlinien einschließlich der Möglichkeit, die
Benutzer zu sperren und Datenzugriff zu widerrufen
Threat Intelligence
Analyse und Verständnis der
Bedrohungen, einschließlich erkannter
Malware, angegriffene Benutzer und
Links zu weltweiten Sicherheit Statistiken
Customer Lockbox
Kontrollieren Sie, wie ein Supportmitarbeiter während
einer Hilfe-Sitzung auf Ihre Daten zugreift
Data Loss Prevention
Einheitliche Richtlinien für Client-Endpunkte, stehen
der IT zur Verfügung
53. Die Cybersicherheitslandschaft verändert sich rasant
Cyberspace ist das
neue Schlachtfeld
Praktisch alles kann
angegriffen werden
Sicherheitskompetenzen
sind knapp
54. Microsoft Threat Protection
löst diese Herausforderungen
Optimale Sicherheit, minimale Komplexität
Heutige Sicherheit: vielfältig, zersplittet, komplexe Produkte
Mail
Protection
Single
Sign On
DLP &
GDPR
Identity
Security
Apps
Security
Incident
Response
Mail
Encryption
Device
Management
Endpoint
Security
Identitäten Endpunkte Anwenderdaten Cloud Apps Infrastruktur
Microsoft Threat Protection
55. Microsoft Threat Protection
Schnell erkennen, wenn ein
Einbruch passiert
Schutz vor
Angriffsvektoren
Reagieren und
beheben
Aus- und Weiterbildung der Nutzer
56. Microsoft
Threat Protection
Identitäten Endpunkte Anwenderdaten Cloud Apps Infrastruktur
Anwender und
Administratoren
Geräte und Sensoren E-Mail-Nachrichten
und Dokumente
SaaS-Anwendungen
und Datenspeicher
Server, virtuelle
Maschinen,
Datenbanken,
Netzwerke
Intelligent Security Graph
6.5 Billionen Signale pro Tag
57. Microsoft Intune
Office 365 Threat
Intelligence (ATP P2)
Windows Defender
Advanced Threat
Protection
Azure Active
Directory
Office 365 Advanced
Threat Protection
Microsoft Cloud
App Security
Azure Security
Center
Azure Advanced
Threat Protection
Windows 10
Identitäten: Validierung, Verifizierung
und Schutz von Benutzer und Admin-
Konten
Anwenderdaten: Auswertung von E-
Mail-Nachrichten und Dokumenten auf
bösartige Inhalte
Endpunkte: Schutz von Anwender
Geräten und Signalen von Sensoren
Infrastruktur: Schutz von Servern,
virtuellen Maschinen, Datenbanken
und Netzwerken über Cloud und
lokalen Rechenzentren hinweg
Cloud Applikationen: Schutz von SaaS-
Anwendungen und den dazugehörigen
Datenspeichern
1
3
2
5
4
Microsoft Threat Protection
Exchange Online
Protection
SQL ServerWindows Server
Linux
58. Microsoft Intune
Office 365 Threat
Intelligence (ATP P2)
Windows Defender
Advanced Threat
Protection
Azure Active
Directory
Office 365 Advanced
Threat Protection
Microsoft Cloud
App Security
Azure Security
Center
Azure Advanced
Threat Protection
Windows 10
1
3
2
5
4
Microsoft Threat Protection
Endpunkte: Schutz von Anwender
Geräten und Signalen von Sensoren
Anwenderdaten: Auswertung von E-
Mail-Nachrichten und Dokumenten auf
bösartige Inhalte
SQL ServerExchange Online
Protection
Windows Server
Linux
Infrastruktur: Schutz von Servern,
virtuellen Maschinen, Datenbanken
und Netzwerken über Cloud und
lokalen Rechenzentren hinweg
Cloud Applikationen: Schutz von SaaS-
Anwendungen und den dazugehörigen
Datenspeichern
Identitäten: Validierung, Verifizierung
und Schutz von Benutzer und Admin-
Konten
59. Microsoft Intune
Office 365 Threat
Intelligence (ATP P2)
Windows Defender
Advanced Threat
Protection
Azure Active
Directory
Office 365 Advanced
Threat Protection
Microsoft Cloud
App Security
Azure Advanced
Threat Protection
Windows 10
1
3
2
5
4
Microsoft Threat Protection
Endpunkte: Schutz von Anwender
Geräten und Signalen von Sensoren
Azure Security
Center
Anwenderdaten: Auswertung von E-
Mail-Nachrichten und Dokumenten auf
bösartige Inhalte
SQL ServerExchange Online
Protection
Windows Server
Linux
Infrastruktur: Schutz von Servern,
virtuellen Maschinen, Datenbanken
und Netzwerken über Cloud und
lokalen Rechenzentren hinweg
Cloud Applikationen: Schutz von SaaS-
Anwendungen und den dazugehörigen
Datenspeichern
Identitäten: Validierung, Verifizierung
und Schutz von Benutzer und Admin-
Konten
60. Microsoft Intune
Office 365 Threat
Intelligence (ATP P2)
Windows Defender
Advanced Threat
Protection
Azure Active
Directory
Office 365 Advanced
Threat Protection
Azure Security
Center
Azure Advanced
Threat Protection
Windows 10
1
3
2
5
4
Microsoft Threat Protection
Endpunkte: Schutz von Anwender
Geräten und Signalen von Sensoren
Anwenderdaten: Auswertung von E-
Mail-Nachrichten und Dokumenten auf
bösartige Inhalte
SQL Server
Microsoft Cloud
App Security
Windows Server
Linux
Exchange Online
Protection
Infrastruktur: Schutz von Servern,
virtuellen Maschinen, Datenbanken
und Netzwerken über Cloud und
lokalen Rechenzentren hinweg
Cloud Applikationen: Schutz von SaaS-
Anwendungen und den dazugehörigen
Datenspeichern
Identitäten: Validierung, Verifizierung
und Schutz von Benutzer und Admin-
Konten
61. Microsoft Intune
Office 365 Threat
Intelligence (ATP P2)
Windows Defender
Advanced Threat
Protection
SQL Server
Azure Active
Directory
Office 365 Advanced
Threat Protection
Microsoft Cloud
App Security
Azure Security
Center
Azure Advanced
Threat Protection
Windows 10
1
3
2
5
4
Microsoft Threat Protection
Endpunkte: Schutz von Anwender
Geräten und Signalen von Sensoren
Anwenderdaten: Auswertung von E-
Mail-Nachrichten und Dokumenten auf
bösartige Inhalte
Exchange Online
Protection
Infrastruktur: Schutz von Servern,
virtuellen Maschinen, Datenbanken
und Netzwerken über Cloud und
lokalen Rechenzentren hinweg
Cloud Applikationen: Schutz von SaaS-
Anwendungen und den dazugehörigen
Datenspeichern
Windows Server
Linux
Identitäten: Validierung, Verifizierung
und Schutz von Benutzer und Admin-
Konten
62. Microsoft Intune
Office 365 Threat
Intelligence (ATP P2)
Windows Defender
Advanced Threat
Protection
SQL ServerWindows Server
Linux
Azure Active
Directory
Office 365 Advanced
Threat Protection
Microsoft Cloud
App Security
Azure Security
Center
Azure Advanced
Threat Protection
Windows 10
1
3
2
5
4
Microsoft Threat Protection
Endpunkte: Schutz von Anwender
Geräten und Signalen von Sensoren
Anwenderdaten: Auswertung von E-
Mail-Nachrichten und Dokumenten auf
bösartige Inhalte
Exchange Online
Protection
Infrastruktur: Schutz von Servern,
virtuellen Maschinen, Datenbanken
und Netzwerken über Cloud und
lokalen Rechenzentren hinweg
Cloud Applikationen: Schutz von SaaS-
Anwendungen und den dazugehörigen
Datenspeichern
Identitäten: Validierung, Verifizierung
und Schutz von Benutzer und Admin-
Konten
63. Microsoft Threat Protection
Microsoft
Cloud App Security
Microsoft
Cloud App Security
Azure ATP
Office 365 ATP
Windows
Defender ATP
Azure Active
Directory
Microsoft
Cloud App Security
Azure Security
Center
Identities Cloud Apps
Cloud & Hybrid
Infrastructure
Data & Email
Microsoft 365 Security Center
Microsoft Azure Sentinel
Our next generation SIEM
Event orchestration
Endpoints
3rd party
data sources
Microsoft Threat Protection automation
Eine umfassende, nahtlos integrierte Lösung, die Unternehmen eine „End-to-End“ Sicherheit bietet
66. Verwendung von Intelligenz für eine einheitliche Identitätsuntersuchung
über On-Premises und Cloud-Aktivitäten hinweg
Azure
ATP
Microsoft
Cloud App
Security
Azure AD
Identity
Protection
67. Attack timeline
Day 1 – 11:
Attacker
compromises
privileged user’s
non MFA-enabled
account.
1 Day 137 – 143:
Attackers create rules on
Contoso’s SharePoint and
email to automate data
exfiltration to a cloud
storage solution.
3Day 16 – 218:
Attackers perform
mailbox searches
across Office 365.
2
Day 16 – 163:
Attacker uses stolen
credentials to VPN into
corporate network.
4 Day 163 – 243:
Attacker moves laterally
throughout organization’s
network, compromising
privileged credentials
5
COMPROMISED
CREDENTIAL
EXFILTRATE
DATA
CONNECTION
TO ON-PREM
MOVE
LATERALLY
102. Automatisierung, um die breite Angriffsfläche zu adressieren
Das digitale Gut bietet
eine sehr breite
Angriffsfläche, die
schwer zu sichern ist
Die Lösung: Automatisierung zur besseren Erkennung und Reaktion
Erleichtert die Sicherung der kompletten Angriffsfläche
Bedrohungen werden schnell erkannt und behoben
Die Sicherheit insgesamt wird gestärkt
103.
104.
105.
106. Der benutzerzentrierte Fokus von Microsoft Threat Protection
Das digitale Gut bietet
eine sehr breite
Angriffsfläche, die
schwer zu sichern ist
Böse Akteure greifen
immer kreativer und
ausgeklügelter an
Die Lösung: Ein benutzerzentrierter Fokus auf Sicherheit
Sicherung gegen gezielte
Bedrohungen Ihrer Anwender
Die Anwenderproduktivität
nicht verletzen
Den Sicherheitsstandard der
Organisation erhöhen
107. Microsoft Threat
Protection
Identitäten Endpunkte Anwendererdaten Cloud Apps Infrastruktur
Anwender und
Administratoren
Geräte und Sensoren E-Mail Nachrichten
und Dokumente
SaaS Anwendungen
und Datenspeicher
Server, virtuelle
Maschinen,
Datenbanken,
Netzwerke
Optimale Sicherheit bei minimaler Komplexität
110. Enterprise Mobility Suite - Produkt Matrix für DSGVO (GDPR)
Ermitteln (Discover)
Welche Art von Daten, wo befinden sich Daten
Verwalten (Manage)
Zutrittskontrolle, “Privacy by Design”
Schützen (Protect)
Sicherheit der Daten bei Übertragung und
Speicherung
Berichten (Report)
Dokumentation , Meldung von
Datenschutzverletzungen
Azure AD Application Catalog
Entdecken und Warten von Cloud oder LOB Anwendungen,
auf die Benutzer zugreifen
Azure AD RBAC & Dynamic groups
Zugriff auf entsprechende Inhalte nur für dedizierte
Personen die mit diesen Daten arbeiten dürfen erlauben
Zugriff können sofort widerrufen werden
Azure MFA
Fügen Sie eine weitere Ebene der Authentifizierung hinzu,
um die Sicherheit Ihrer Identitäten zu gewährleisten
Funktioniert mit SaaS, LOB oder On-Premise
Anwendungen
Azure AD Advanced
Reports
Anmelde Versuche, Anmelde Standorte,
Anwendungszugriff Protokollierung,
Kontowartung Protokollierung
Microsoft Cloud App Security
Entdecken von Cloud Anwendungen inklusive
Risikobewertung dieser SaaS Dienste
Überwachung und Kontrolle über die Verwendung Ihre
Cloud-Apps, auch nachdem Sie ihre Verwendung
genehmigt haben
AAD Privileged identity
management
Gewährt Administrations Zugriff für selektive Personen,
der automatisch nach einer gewisse Zeit wieder erlischt
Conditional Access
Einschränken des Zugriffs auf Ressourcen je nach
Standort, Benutzer, Anwendung oder Risiko
Azure Advanced Threat
Protection (März)
Advanced Threat Analytics
Liefert Angriffs Benachrichtigungen und
schlägt Gegenmaßnahmen für „On-Premise”
Active Directory (AD DS) Umgebungen vor
Azure Information Protection
Identifizieren von Informationstypen mit der Fähigkeit
einer automatischer Klassifizierung
Azure Information Protection
Durchsetzung von Zugriffsrichtlinien
auf Mails und Dokumente
Azure Identity Protection
erweiterter risikobasierter Identitätsschutz mit Warnungen,
Analyse & Aktionen zur Schutz der Identität
Azure Information
Protection
Berichte mit der Lokation, Zeitpunkt und
Anwender nach Zugriff auf ein Dokument
Microsoft Intune
Entdecken von Anwendungen für mobile Geräte,
die das Gerät gefährden könnten
oder durch die IT nicht erlaubt sind
Microsoft Cloud App Security
Kann die Klassifizierung von Azure Information Protection
verwenden, um Richtlinien, durch automatische Aktionen
wie z.B. Dateien in Quarantäne verschieben oder Widerruf
von Freigaben mit vertrauliche Dateien, einzuhalten
Azure Information Protection
verschlüsselt vertrauliche Daten in Ihrer ganzen Umgebung
und schützt damit diese vor ungerechtfertigten Zugriff
oder Nutzung, egal wo diese gespeichert sind
Dies gilt auch während eines Transfer der Daten
Microsoft Intune
Geräte Compliance-Berichte für eine
Vielzahl von Gerätemodellen,
Betriebssystemen und Anbietern
.
Microsoft Intune
MDM, MAM und PC-Management-Funktionen aus der
Cloud. Intune kann Zugriffe auf Unternehmens-
Anwendungen, Daten und Ressourcen auf fast jedem
Gerät steuern und lässt Datenaustausch nur in
genehmigten Anwendungen zu
Microsoft Cloud App Security
Verwendet „machine learning” und erweiterte DLP-Scanner
um Datenverlust nach außerhalb der Organisation zu
verhindern und um vor Malware zu schützen
111. Office 365 - Produkt Matrix für DSGVO (GDPR)
Ermitteln (Discover)
Welche Art von Daten, wo befinden sich Daten
Verwalten (Manage)
Zutrittskontrolle, “Privacy by Design”
Schützen (Protect)
Sicherheit der Daten bei Übertragung und
Speicherung
Berichten (Report)
Dokumentation , Meldung von
Datenschutzverletzungen
Security & Compliance Center
Das Portal zum Schutz Ihrer Daten in Office 365. Berechtigungen Sie Anwender , die Compliance-Aufgaben ausführen dürfen
Advanced Data Governance
Klassifizierung, Aufbewahrung und/oder Löschung von Daten basierend auf automatische Analyse und Richtlinien Empfehlungen
Content search
Leistungsstarke Inhaltssuche in Postfächern,
öffentlichen Ordnern, Office 365 Gruppen, Microsoft-
Teams, SharePoint Online, One Drive für Business und
Skype für Business Gesprächen
. Information rights management
Mit SharePoint Online kann gesteuert werden ,wie
lange Inhalte gespeichert werden , überwachen der
Verwendung von Inhalten, hinzufügen von Labeln
Advanced Threat Protection
bietet Sicherheitsfunktionen um User-Umgebungen
zu schützen, die Kundendaten einschließlich sichere
Anlagen & Safe Links enthalten
Audit Logs
Aufzeichnung und Suche nach
gewünschten Benutzer und Admin-
Aktivitäten im gesamten Unternehmen
eDiscovery
Regeln des Zugriff innerhalb des Falls, Halt auf die
relevante Inhaltsorte des Fall legen, verbinden von
mehren Inhaltsuchen und Export der Ergebnisse der
fallbezogenen Inhaltssuche
Mail Flow Rules
Suchen Sie nach bestimmten Bedingungen in
Nachrichten, die Ihre Organisation durchlaufen und
führen Sie entsprechende Maßnahmen durch
Secure Score
Sicherheitsbewertung der Office 365 Umgebung
Vorschläge wie das Risiko reduziert werden kann mit
Balance zwischen Produktivität und Sicherheit
Service Assurance
Einblicke zur Durchführung von Risiko-
bewertungen mit Details zu Microsoft
Compliance-Reports und transparenten
Status der geprüften Kontrollen
Advanced eDiscovery
reduziert das Datenvolumen durch Auffinden
ähnlicher Dateien, Erkennung von Schlüsselthemen
und Datenbeziehungen und Rekonstruktion von E-
Mail-Threads. Das System kann „trainiert“ werden,
unstrukturierte Datenmengen intelligent zu
durchforsten und zu analysieren
Azure Rights Management
verhindert, dass vertraulichen Informationen angezeigt, gedruckt, weitergeleitet, gespeichert, bearbeitet oder
kopiert werden von unbefugten Personen
Customer Lockbox
Kontrollieren Sie, wie ein
Supportmitarbeiter während einer
Hilfe-Sitzung auf Ihre Daten zugreift
Journaling in Exchange Online
reagieren Sie auf rechtliche, regulatorische und
Compliance-Anforderungen durch die Aufnahme von
eingehenden und ausgehenden Mail-Kommunikation
Data Loss Prevention
Einheitliche Richtlinien für Client-Endpunkte, stehen
der IT zur Verfügung
Threat Intelligence
Analyse und Verständnis der
Bedrohungen, einschließlich erkannter
Malware, angegriffene Benutzer und
Links zu weltweiten Sicherheit Statistiken
Customer Lockbox
Kontrollieren Sie, wie ein Supportmitarbeiter während
einer Hilfe-Sitzung auf Ihre Daten zugreift
.Office365 MDM
Gerätekonfiguration für sicheren Zugriff auf Office
365-Ressourcen
112. Windows / Windows Server - GDPR Product Mapping
Ermitteln (Discover)
Welche Art von Daten, wo befinden sich Daten
Verwalten (Manage)
Zutrittskontrolle, “Privacy by Design
Schützen (Protect)
Sicherheit der Daten bei Übertragung und Speicherung
Berichten (Report)
Dokumentation , Meldung von
Datenschutzverletzungen
Content Search
Mit Windows Search oder PowerShell können
personenbezogenen Daten, die im lokalen oder
freigegebenen Speicher mit Datei-Berechtigungen
versehen sind, gefunden werden und bei Bedarf den
Zugriffs auf diese Dateien wiederrufen
Data Governance
Durch Verwendung von Windows-
Berechtigungen können Administratoren den
Zugang zu personenbezogenen Daten
verwalten und darauf regieren
.
Strong authentication
Windows Hallo ersetzt Passwörter durch starke zwei-Faktor-
Authentifizierung. Diese ist an ein Gerät gebunden und
verwendet eine biometrischen (Gesicht oder Finger) Eingabe
oder eine PIN als zweiten Faktor
Auditing and Logging
liefern detaillierte Daten, die in
anderen Lösungen für tiefere Analyse
oder Compliance-Berichte
weitergeleitet werden können
Dynamic Access Control
Zugriffssteuerung für Berechtigungen und
Einschränkungen basierend auf definierten
Regeln, wie z.B. e Aufgabe oder Rolle des
Benutzers, die Konfiguration der Geräte die
auf die Ressourcen zugreifen
Identity Protection
Credential Guard verhindert den Diebstahl von
Anmeldeinformationen, die bei Angriffen wie Pass-the-Hash
oder Pass-The-Ticket passieren können.
Die Anmeldeinformationen sind in einem isolierten Bereich,
auf den nur privilegierte System-Software zugreifen kann
Windows Defender/ ATP
Hilft Kunden erweiterte und gezielte
Angriffe zu erkennen, zu untersuchen
und darauf zu reagieren
Microsoft Data Classification
Toolkit
identifizieren, klassifizieren und schützen von
Daten in Fileserver und vereinfachte
Anwendung von DAC
Run trusted software
Device Guard nutzt erweiterte Hardware-Features damit nur
autorisierte Apps starten
Protect data at rest
BitLocker stellt sicher, dass die gespeicherten Daten im PC,
nicht lesbar bleiben, wenn der Computer manipuliert und das
installierte Betriebssystem offline ist
Windows Information Protection(WIP)
Schützt Daten gegen zufällige oder vorsätzliche Offenlegung
durch Sicherheitsmaßnahmen, inklusive Verschlüsselung
Windows Defender/ ATP
Hilft Kunden erweiterte und gezielte Angriffe zu erkennen, zu
untersuchen und darauf zu reagieren
Threat Resistance
Windows Defender Antivirus und SmartScreen helfen gegen
schädliche Dateien, Phishing oder Malware Websites
113. LabelDiscover Classify
Sensitivity Retention
→ Encryption
→ Restrict Access
→ Watermark
→ Header/Footer
→ Retention
→ Deletion
→ Records Management
→ Archiving
→ Sensitive data discovery
→ Data at risk
→ Policy violations
→ Policy recommendations
→ Proactive alerts
Datenschutz & Daten Governance geht Hand in Hand
Umfassende Richtlinien zum Schutz und zur Steuerung Ihrer wichtigsten Daten – während des gesamten Lebenszyklus
Einheitliche Herangehensweise an Entdecken,
Klassifizieren & Bezeichnen
Policy-basierte Aktionen automatisch anwenden
Proaktive Überwachung zur Erkennung von Risiken
Breite Abdeckung über Standorte hinweg
Apply label
Unified approach
Monitor
115. Durchsuchen & Sensible
Daten auf der Grundlage
von Richtlinien erkennen
Klassifizieren und
Kennzeichnen der Daten
basierend auf Einstufung
Entdecken und Klassifizieren
117. Sensible Informationen über Geräte hinweg entdecken
Über Windows 10 Geräte und Nicht-Windows-Geräte
Business data
Non-business data
Sensitive data in
Office apps &
other apps
DISCOVER:
Windows 10 devices
Other platforms (iOS & Android)
Corporate-issued devices
Employee-owned devices
118. HIGHLY
CONFIDENTIAL
CONFIDENTIAL
GENERAL
PUBLIC
PERSONAL
Business-lead policies & rules;
configured by ITAutomatische Klassifizierung
Die Richtlinien können von IT-Admins für die
automatische Anwendung von Klassifizierung und Schutz
der Daten festgelegt werden.
Empfohlene Klassifizierung
Basierend auf den Inhalten, an denen Sie gerade arbeiten,
können Sie zu einer vorgeschlagenen Klassifizierung
aufgefordert werden
Manuelle Reklassifizierung
Nutzer können eine Klassifizierung überschreiben und
müssen optional eine Begründung liefern
Benutzer-getriebene Klassifizierung
Benutzer können mit einem Klick eine Klassifizierung
wählen und diese auf die E-Mail oder die Datei anwenden
an der sie gerade arbeiten
Flexible Klassifizierungsmöglichkeiten
119. CONFIDENTIAL
Dokumentenklassifizierung – was ist das?
Metadaten werden in Dokumentendateien geschrieben
Reisen mit dem Dokument, wenn es sich bewegt
Lesbar, damit andere Systeme wie DLP-Engines diese
verstehen und darauf handeln können
Lässt sich an die Bedürfnisse der Organisation anpassen
Anwenden von Klassifizierung (Label) , die mit dem Dokument mit wandern
120. Schutzmaßnahmen über Standorte hinweg
Klassifizierung und Kennzeichnung werden
verwendet, um Schutzrichtlinien –
Verschlüsselung, Berechtigungen, DLP-
Aktionen, Endnutzer-Benachrichtigungen und
IT-Benachrichtigungen anzuwenden
Daten Governance-Aktionen für Office 365-Dateien
Klassifizierung und Kennzeichnung wird verwendet, um
die Datenschutzrichtlinien in Office 365 anzuwenden,
einschließlich der Vorratsdatenspeicherung, des
Ablaufs und der Löschung
Exchange
Online
SharePoint
Online
OneDrive for
Business
Klassifizierung und Kennzeichnung ermöglichen policy-basierte Aktionen
121. Kennzeicheneinstellungen an einer Stelle konfigurieren
Label an einem Ort konfigurieren
Setup von Labels im Security &
Compliance Center
Labels bleiben synchron
Labels werden zur „Azure Information
Protection“ synchronisiert; Keine
Notwendigkeit diese zu duplizieren
Konsistente Schutzmaßnahmen
Eine konsistentere Reihe von
Schutzmaßnahmen in den Bereichen Office
365 und Azure Information, einschließlich
Zugangsbeschränkungen, Zeigen von
Policy-Tipps, Sperrung des Teilens,
Hinzufügen von visuellen Markierungen
122. Entdecken, klassifizieren & Kennzeichnen von On-Premises Dateien
Hilft Ihnen, sensible Daten vor der Migration zu
Office 365 oder anderen Cloud-Diensten zu
verwalten
Verwenden Sie den Suchmodus, um Dateien mit
sensiblen Daten zu identifizieren und zu
berichten
Verwenden Sie den Durchsetzungsmodus, um
sensible Dateien automatisch zu klassifizieren, zu
kennzeichnen und zu schützen
Kann so konfiguriert werden, dass folgendes zu
scannen:
• CIFS File Shares
• SharePoint Server 2016
• SharePoint Server 2013 Neu: AIP Scanner wird jetzt im Azure
Information Portal verwaltet
123. Dateien in Cloud-Speicherdiensten automatisch klassifizieren,
kennzeichnen und schützen
Inhalte in Cloud-Speicherdiensten erkennen
Prüft Dateien auf sensible Informationen –
basierend auf Richtlinien
Entdecken von sensiblen Daten über OneDrive
for Business, SharePoint Online, Box und
Dropbox
Anwenden von Klassifizierung
Kennzeichnung & Schutz
Labels (Kennzeichnung), die in „Azure
Information Protection“ definiert sind,
automatisch auf sensible Dateien anwenden, die
in Cloud-Apps entdeckt werden
124. “End-user labeling” ist nativ in Office-Anwendungen eingebaut
Konsistent und einfach für die Nutzer
Label während der Arbeit in Office-Apps – Word,
PowerPoint, Excel und Outlook anwenden und
aktualisieren
Built-in
Nativ in Office-Apps integriert; Keine Plug-Ins
oder Add-Ons erforderlich
Breite Plattformunterstützung
Manuelle Kennzeichnung mit Word, PowerPoint
und Excel von Dokumenten auf iOS und Android
(GA)
Manuelle Kennzeichnung mit Word, PowerPoint,
Excel und Outlook in Office for Mac (GA)
Demnächst Outlook für iOS und Android, Office
on Windows
Ende 2019: Office Online
125. Erkennen von persönliche Daten und markieren dieser mit persistenten Klassifizierungen
Klassifizierung und Kennzeichnung – Beispiel: sensible Daten
Labels sind persistent und lesbar durch andere Systeme, z.B. DLP-Engines
Label is metadata written to data
Sensitive data is automatically detected
126. Ansicht von geschützten PDF-Dateien im Adobe Acrobat
Adobe Acrobat auf Windows ist jetzt in
der Lage klassifizierte und
verschlüsselte PDF anzuzeigen (AIP-Add
On) (Für MAC Ende H1)
Klassifizierung wird nativ in Acrobat
eingebaut
Integration durch das Microsoft
Information Protection SDK
128. Schützen von sensiblen Informationen über Geräte, Cloud-Services &
On-Premises hinweg
Data encryption built into
Azure & Office 365
Revoke app access
File-level encryption and
permissions
Policy tips to notify and
educate end users
DLP actions to block
sharing
Visual markings to indicate
sensitive documents
Control cloud app access &
usage
Retain, expire or delete
documents
Secure email with encryption &
permissions
Business data separation
on devices
129. Granulare “Data Loss Prevention (DLP) Policies”
Setzen von granularen Richtlinien, um Daten in der
Cloud zu kontrollieren, automatisiert oder
basierend auf Dateikennzeichnung mit „out of the
box” oder eigenen Richtlinien
Richtlinie Durchsetzung
Identifizieren von Richtlinen Verletzungen,
Durchsetzung von Maßnahmen wie z.B Quarantäne
oder Entfernung von Berechtigungen
Versteht Klassifizierung & Kennzeichnung
Liest Klassifizierung und Kennzeichnung aus dem
Dokument –, so dass Sie Sichtbarkeit in den
Austausch von sensiblen Dateien gewinnen und
Richtlinien zu erstellen können
Daten in SaaS-Apps schützen
130. Datenkontrolle
Kontrollieren Sie, was mit Dokumenten und
Daten passiert, nachdem sie mit App-
Schutzrichtlinien abgerufen wurden
▪ App-Verschlüsselung im Speicher
▪ App Zutrittskontrolle
PIN oder Anmeldeinformationen
▪ “Save as/copy/paste” Einschränkungen
▪ App-Level-selektive Löschen
Datenteilung
Multi-Identity ermöglicht es Ihnen, Firmendaten
von personenbezogenen Daten innerhalb einer
App zu trennen
MANAGED APPS
Restrict
features,
sharing and
downloads
MDM (3rd party or
Intune) optional
App-level protection
available with or
without enrollment.
Corporate
data
Multi-identity policy
Personal
data
Schutz von Informationen auf Geräten auf App Ebene mit
mobilen App-Schutzrichtlinien
131. Trennung und Kapselung von Geschäftsinformationen
Verhindert unbeabsichtigtes „Teilen“, indem
Geschäftsinformationen automatisch von persönlichen
Daten getrennt werden
Business-getrieben Richtlinien & IT hat die Kontrolle
Richtlinien ermöglichen es der IT, zu definieren, welche
Apps und Nutzer berechtigt sind, auf
Geschäftsinformationen zuzugreifen, sowie die Rechte, die
Nutzer bei der Nutzung haben (z.B.: Kopieren und Einfügen)
Einfach für Anwender
Nativ in Windows integriert und arbeitet im Hintergrund –
Nur wenn Anwender versuchen, unautorisierte Handlungen
durchzuführen, werden Sie benachrichtigt
Geschäftsinformationen auf Windows 10-Geräten schützen
134. Includes all content stored in Exchange
Online including Teams, Groups, Skype,
and more
Comprehensive assessment and guidance
across WORM and non-WORM storage
requirements
Industry leading third party assessor
completed based on current set of
capabilities
135. Architectural simplicity and ease of use for
end user archiving within Office 365
Native features for “archive, eDiscovery,
security” included
Significant movement in ability to execute
AND completeness of vision and
recognized for a cohesive information
governance vision
136. Manufacturing
& Utilities
Education Healthcare Government Financial
Services
Professional
Services
180M
Office 365 MAU
100%
Active Tenant eDiscovery
YoY growth
36%
Active Users data
governance growth
120M
Users protected by Office 365
Security & Compliance features
Litigation (Early
Case Assessment)
Records
Management
Regulatory
Requests
Supervision
Data Subject
Requests
Data
Governance
Common Use Cases
137.
138. Retention and Deletion polices
Establish org-wide, group or location specific
retention and deletion policies based on created or
modified dates
Auto-expanding Archive
Enable auto-expanding archive to enable large email
archives for power users
Labels with policies
Create and publish labels with policies to end users
for application in email and SharePoint, and
manually declare items as a record
139. Label Analytics & disposition
Investigate and validate how and when labels are
being applied in your organization
Defensibly dispose of content after disposition
review
Auto-classify and label with policies
Use 90+ sensitive data types, keyword/ query based,
content types or events to classify data and apply
policies, auto-classify as a record
Automate retention and file plan
Establish automated retention and deletion policies
based on comment events or triggers. Import
existing file plan to map hierarchical retention into
Office 365
143. Efficient reviews
Review experience built into Compliance Center, tag
and comment on content and bulk resolution
Intelligent policies
Refine email and Teams content with intelligent
conditions, sensitive info types, inclusions &
exclusions and percent sample
Defensible insights
Productivity reporting, full audit of review activities
and policy tracking
147. Deep crawling and indexing
Deep processing (e.g. much higher size limits, non-Microsoft
file types, …) to extract and index text & metadata
Collection into document working sets
Manage static sets of documents within a case, that can be
independently searched, analyzed, shared, and acted upon.
Custodian Management and Communications
Preserve content by custodian, send hold notifications and
track acknowledgements
Cull your data intelligently with ML
Use predictive coding, near duplicate detection, email
threading, Themes and ML models to identify potential high
value content
Review and take action on documents
View content via a native and text viewer, organize documents
with tags and redact sensitive information prior to export
148. Export
BEFORE
O L D M E T H O D :
Collect and Export
Risks/ Issues:
- Over-collect and move sensitive
data to other system
- Increase costs per GB per month for
storage and discovery
- High costs of culling and review via
third party
149. AFTER
Export
N E W M E T H O D :
Collect, Cull and Export
Benefits:
- Reduce responsive content in-place
to minimize sensitive data exposure
- Manage costs of per GB per month
storage and discovery fees
- Reduce volume of data required for
legal review
150. Search is hugely improved
• Complex search queries now possible
• Nested clauses
• 45 condition cards (more being added)
• Better support for non-Microsoft content types
• 327 content types including many less common file
types
• 99% content in Office 365 can be searched and viewed
• More file types being added
• Deeper processing & indexing
• Large files e.g. 150 MB spreadsheet
• OCR on images
• Remediation workflows e.g. password protected files
• Not just email & documents
• Teams chat, calls & meetings
• In progress: Yammer, Stream media services
• 3rd party content (via Connectors)
• Better & smarter user experience
• Easier & much faster iterative searches
• Grouping & filters for search results
• Query on inferred properties e.g. from analytics / ML
• E.g. dominant theme, inclusive content within email /
chat threads, relevance score, …
151. Identify and investigate persons of interest
Identify and manage persons of interest within an investigation
to ensure related content and people are in scope
Validate with built-in review
Review content in-place to validate sensitive or malicious
content
Advanced search to quickly collect relevant data
Quickly search across Office 365 with conditions, keywords and
more to refine targeted search
Take action & remediate sensitive data incidents
Identify sensitive content in-place and take immediate action to
soft delete, hard delete or tag for further processing
Complete audit log and escalation path
All actions logged and ability to provide legal hold escalation
via the review and action process
152. EDRM M365 Capabilities
Identification Custodian Sources
Non-custodian
sources
Custodian
Intelligence
Preservation Hold Management Hold Notifications In place hold Dynamics Holds
Collection Search O365
Collect
non-O365 data
Collection into
document working
sets
Pre-collection
analytics
Processing
Enhanced
Processing (OCR,
PST, Media)
Defensibility
Reports/Tools
Deep crawling &
indexing
Support for
additional O365
workloads and
content types
Analysis Near dups Threads Clusters Predictive Coding
ML based content-
based
classification
Review
Ad-hoc search and
tagging
Native, near native
and text viewer
Full linear review
Persistent chat
review
Annotations and
Redactions
Document level
insights
Document coding,
screening and
approvals
Production Export natives
Export with
annotations
Load file
generation
Administration Case Management Auditing
Security &
Permissions
Reporting
In Product Now | In Development | Not on Roadmap
154. Richtlinien Tipps
warnen den
Anwender
Einschränken oder
blockieren von Freigaben
– nach intern oder extern
Über alle Office-Client-Anwendungen
– Mobile, Desktop & Tablets
Beispiel eines DLP Schutzes:
DLP-Richtiline blockiert nicht zulässiges Teilen
155. Nutzen von ad-hoc Benutzer
Steuerelemente oder
automatischen Richtlinien
Schützen
Mindert die Gefahr einer
unbeabsichtigten Offenlegung
durch Verschlüsselung und
Rechteschutz
Steuerung
Nutzung von automatischen
Richtlinien oder Ad-hoc-
Endbenutzer-Steuerung für
E-Mails, die innerhalb oder
außerhalb der Organisation geteilt
werden
Compliance
Erfüllung von Compliance-
Verpflichtungen, die
Verschlüsselung von Daten oder
Verschlüsselungsschlüssel-
Kontrolle erfordern
Jeder Empfänger kann geschützte
Nachrichten lesen, auch wenn nur
„Private“ Identitäten zur Verfügung
stehen
Geschützte E-Mails
sind auf jedem Gerät
Leicht zu lesen
Geschützte E-Mails einfach versenden
156.
157. Office 365 Data Loss
Prevention
Microsofts Sicherheitslösungen
159. Policy violations
Document access &
sharing
App usage
Anomalous activity
End-user overrides
False positives
Sichtbarkeit
Tune & revise
policies
Revoke access
Quarantine file
Quarantine user
Integrate into
workflows & SIEM
Maßnahmen ergreifen
Überwachen von Informationsschutz Ereignisse für bessere
Kontrolle
160. Übersicht der Verwendung
Analysieren Sie den Fluss persönlicher und sensibler
Daten und erkennen Sie riskante Verhaltensweisen.
Protokollierung der Zugriffe
Verfolgen Sie, wer auf Dokumente zugreift und von
wo aus.
Zugriffswiderruf
Verhindern von Verlust oder Missbrauch von
Daten, indem der Zugriff auf Dokumente remote
geändert oder widerrufen wird
Dokumentenaustausch und Zugriff überwachen
161. Fortschrittliche Werkzeuge zur Vorfall
Untersuchung
Untersuchen von Nutzern, Dateien, Aktivitäten,
Standorte und verwalteten Applikationen,
quantifizieren von Gefährdung und Risiko
Sichtbarkeit von Cloud-Daten
Identifizieren von Daten, sowohl klassifiziert als
auch nicht klassifiziert, die über Cloud-Apps
geteilt werden und erkennen von Risiken
Cloud-App-Risiko Bewertung
Risikobewertung von Cloud-Apps auf Basis von
~ 60 Sicherheits- und Compliance-Risikofaktor
Laufende Analyse und Anomalien Erkennung
Alarmierung bei anomaler Verwendung, neuen
und Trendänderungen von Applikationen
Nutzung der Cloud-Applikationen überwachen
162. Bessere Sichtbarkeit in klassifizierte,
beschriftete und geschützte Dateien –
über Workloads hinweg
Hilfe bei der Erkennung von Anomalien
und Risiken beim Datenschutz
Ansicht nach Kennzeichnungstyp
(Label), Service/App und
Kennzeichnungsmethode (z.B. manuell,
automatisch)
Empfehlungen zur Optimierung der
Richtlinien
Einblicke über die Verwendung von sensiblen Informationen
im Unternehmen
163. Microsoft Information Protection Lösungen
PCs, tablets, mobile
Office 365 DLP & Message EncryptionWindows Information Protection
Azure Information Protection
Exchange Online, SharePoint
Online & OneDrive for Business
Highly regulated
Microsoft Cloud App Security
Office 365 Advanced Data Governance
Datacenters, file
shares
Azure SaaS & ISVs
O F F I C E 3 6 5D E V I C E S C L O U D S E R V I C E S , S A A S
A P P S & O N - P R E M I S E S
Intune MDM & MAM
164. MICROSOFT CLOUD APP SECURITY
Visibility into 15k+ cloud apps, data access & usage,
potential abuse
AZURE SECURITY CENTER INFORMATION PROTECTION
Classify & label sensitive structured data in Azure SQL, SQL
Server and other Azure repositories
OFFICE APPS
Protect sensitive information while working in Excel, Word,
PowerPoint, Outlook
AZURE INFORMATION PROTECTION
Classify, label & protect files – beyond Office 365, including
on-premises & hybrid
OFFICE 365 DATA LOSS PREVENTION
Prevent data loss across Exchange Online, SharePoint Online,
OneDrive for Business
SHAREPOINT & GROUPS
Protect files in libraries and lists
OFFICE 365 ADVANCED DATA GOVERNANCE
Apply retention and deletion policies to sensitive and
important data in Office 365
ADOBE PDFs
Natively view and protect PDFs on Adobe Acrobat
Microsoft Information Protection Lösungen
WINDOWS INFORMATION PROTECTION
Separate personal vs. work data on Windows 10 devices,
prevent work data from traveling to non-work locations
OFFICE 365 MESSAGE ENCRYPTION
Send encrypted emails in Office 365 to anyone
inside or outside of the company
CONDITIONAL ACCESS
Control access to files based on policy, such as identity, machine
configuration, geo location
Discover | Classify | Protect | Monitor
SDK FOR PARTNER ECOSYSTEM & ISVs
Enable ISVs to consume labels, apply protection
165. Azure Information Protection
Office 365 Data Loss
Prevention
Windows Information
Protection
Microsoft Cloud App Security
Microsoft Intune
Microsofts Sicherheitslösungen
167. Enterprise Mobility Suite - Produkt Matrix für DSGVO (GDPR)
Ermitteln (Discover)
Welche Art von Daten, wo befinden sich Daten
Verwalten (Manage)
Zutrittskontrolle, “Privacy by Design”
Schützen (Protect)
Sicherheit der Daten bei Übertragung und
Speicherung
Berichten (Report)
Dokumentation , Meldung von
Datenschutzverletzungen
Azure AD Application Catalog
Entdecken und Warten von Cloud oder LOB Anwendungen,
auf die Benutzer zugreifen
Azure AD RBAC & Dynamic groups
Zugriff auf entsprechende Inhalte nur für dedizierte
Personen die mit diesen Daten arbeiten dürfen erlauben
Zugriff können sofort widerrufen werden
Azure MFA
Fügen Sie eine weitere Ebene der Authentifizierung hinzu,
um die Sicherheit Ihrer Identitäten zu gewährleisten
Funktioniert mit SaaS, LOB oder On-Premise
Anwendungen
Azure AD Advanced
Reports
Anmelde Versuche, Anmelde Standorte,
Anwendungszugriff Protokollierung,
Kontowartung Protokollierung
Microsoft Cloud App Security
Entdecken von Cloud Anwendungen inklusive
Risikobewertung dieser SaaS Dienste
Überwachung und Kontrolle über die Verwendung Ihre
Cloud-Apps, auch nachdem Sie ihre Verwendung
genehmigt haben
AAD Privileged identity
management
Gewährt Administrations Zugriff für selektive Personen,
der automatisch nach einer gewisse Zeit wieder erlischt
Conditional Access
Einschränken des Zugriffs auf Ressourcen je nach
Standort, Benutzer, Anwendung oder Risiko
Azure Advanced Threat
Protection
Advanced Threat Analytics
Liefert Angriffs Benachrichtigungen und
schlägt Gegenmaßnahmen für „On-Premise”
Active Directory (AD DS) Umgebungen vor
Azure Information Protection
Identifizieren von Informationstypen mit der Fähigkeit
einer automatischer Klassifizierung
Azure Information Protection
Durchsetzung von Zugriffsrichtlinien
auf Mails und Dokumente
Azure Identity Protection
erweiterter risikobasierter Identitätsschutz mit Warnungen,
Analyse & Aktionen zur Schutz der Identität
Azure Information
Protection
Berichte mit der Lokation, Zeitpunkt und
Anwender nach Zugriff auf ein Dokument
Microsoft Intune
Entdecken von Anwendungen für mobile Geräte,
die das Gerät gefährden könnten
oder durch die IT nicht erlaubt sind
Micrososoft Cloud App Security
Kann die Klassifizierung von Azure Information Protection
verwenden, um Richtlinien, durch automatische Aktionen
wie z.B. Dateien in Quarantäne verschieben oder Widerruf
von Freigaben mit vertrauliche Dateien, einzuhalten
Azure Information Protection
verschlüsselt vertrauliche Daten in Ihrer ganzen Umgebung
und schützt damit diese vor ungerechtfertigten Zugriff
oder Nutzung, egal wo diese gespeichert sind
Dies gilt auch während eines Transfer der Daten
Microsoft Intune
Geräte Compliance-Berichte für eine
Vielzahl von Gerätemodellen,
Betriebssystemen und Anbietern
.
Microsoft Intune
MDM, MAM und PC-Management-Funktionen aus der
Cloud. Intune kann Zugriffe auf Unternehmens-
Anwendungen, Daten und Ressourcen auf fast jedem
Gerät steuern und lässt Datenaustausch nur in
genehmigten Anwendungen zu
Microsoft Cloud App Security
Verwendet „machine learning” und erweiterte DLP-Scanner
um Datenverlust nach außerhalb der Organisation zu
verhindern und um vor Malware zu schützen
168. Windows / Windows Server - GDPR Product Mapping
Ermitteln (Discover)
Welche Art von Daten, wo befinden sich Daten
Verwalten (Manage)
Zutrittskontrolle, “Privacy by Design
Schützen (Protect)
Sicherheit der Daten bei Übertragung und Speicherung
Berichten (Report)
Dokumentation , Meldung von
Datenschutzverletzungen
Content Search
Mit Windows Search oder PowerShell können
personenbezogenen Daten, die im lokalen oder
freigegebenen Speicher mit Datei-Berechtigungen
versehen sind, gefunden werden und bei Bedarf den
Zugriffs auf diese Dateien wiederrufen
Data Governance
Durch Verwendung von Windows-
Berechtigungen können Administratoren den
Zugang zu personenbezogenen Daten
verwalten und darauf regieren
.
Strong authentication
Windows Hallo ersetzt Passwörter durch starke zwei-Faktor-
Authentifizierung. Diese ist an ein Gerät gebunden und
verwendet eine biometrischen (Gesicht oder Finger) Eingabe
oder eine PIN als zweiten Faktor
Auditing and Logging
liefern detaillierte Daten, die in
anderen Lösungen für tiefere Analyse
oder Compliance-Berichte
weitergeleitet werden können
Dynamic Access Control
Zugriffssteuerung für Berechtigungen und
Einschränkungen basierend auf definierten
Regeln, wie z.B. e Aufgabe oder Rolle des
Benutzers, die Konfiguration der Geräte die
auf die Ressourcen zugreifen
Identity Protection
Credential Guard verhindert den Diebstahl von
Anmeldeinformationen, die bei Angriffen wie Pass-the-Hash
oder Pass-The-Ticket passieren können.
Die Anmeldeinformationen sind in einem isolierten Bereich,
auf den nur privilegierte System-Software zugreifen kann
Windows Defender/ ATP
Hilft Kunden erweiterte und gezielte
Angriffe zu erkennen, zu untersuchen
und darauf zu reagieren
Microsoft Data Classification
Toolkit
identifizieren, klassifizieren und schützen von
Daten in Fileserver und vereinfachte
Anwendung von DAC
Run trusted software
Device Guard nutzt erweiterte Hardware-Features damit nur
autorisierte Apps starten
Protect data at rest
BitLocker stellt sicher, dass die gespeicherten Daten im PC,
nicht lesbar bleiben, wenn der Computer manipuliert und das
installierte Betriebssystem offline ist
Windows Information Protection(WIP)
Schützt Daten gegen zufällige oder vorsätzliche Offenlegung
durch Sicherheitsmaßnahmen, inklusive Verschlüsselung
Windows Defender/ ATP
Hilft Kunden erweiterte und gezielte Angriffe zu erkennen, zu
untersuchen und darauf zu reagieren
Threat Resistance
Windows Defender Antivirus und SmartScreen helfen gegen
schädliche Dateien, Phishing oder Malware Websites
169. Azure - Produkt Matrix für DSGVO (GDPR)
Ermitteln (Discover)
Welche Art von Daten, wo befinden sich Daten
Verwalten (Manage)
Zutrittskontrolle, “Privacy by Design”
Schützen (Protect)
Sicherheit der Daten bei Übertragung und
Speicherung
Berichten (Report)
Dokumentation , Meldung von
Datenschutzverletzungen
Azure Security Center
liefert Transparenz und Kontrolle über die Sicherheit Ihrer Azure- und On-Premies Ressourcen. Kontinuierliche Überwachung der Ressourcen, hilfreiche Sicherheitsempfehlungen und Hilfe beim verhindern,
erkennen und reagieren auf Bedrohungen. Azure Security Center integrierte Analysen helfen Angriffe zu identifizieren, die sonst unbemerkt passieren können
Azure Data Catalog
Entdecken, Verstehen und Nutzung von Daten aus
verschiedenen Quellen und Datenbanken
Azure AD RBAC & Dynamic groups
Zugriff auf entsprechende Inhalte nur für
dedizierte Personen die mit diesen Daten
arbeiten dürfen erlauben
Zugriff können sofort widerrufen werden
Azure Key Vault
analyze and understand their local threat
environment, including malware detected, targeted
users, and links to global security stats
Log Analytics
Azure bietet konfigurierbare
Sicherheitsüberwachung und
Protokollierungsoptionen, die Ihnen
helfen können Lücken in Ihren
Sicherheitsrichtlinien zu erkennen
Log Analytics
sammelt und analysiert Daten, die von Ressourcen in
der Cloud oder on-Premise-Umgebungen erzeugt
werden. Es liefert Echtzeit-Einblicke mit integrierter
Suche und benutzerdefinierten Dashboards und
kann ohne weiteres für alle Workloads unabhängig
von deren physikalischen Standort Millionen von
Logeinträgen analysieren
AAD Privileged identity
management
Gewährt Administrations Zugriff für selektive
Personen, der automatisch nach einer gewisse Zeit
wieder erlischt
Data Encryption in Azure Storage
automatically encrypt your data when it is written to
Azure Storage using Storage Service Encryption.
Additionally, you can use Azure Disk Encryption to
encrypt operating systems and data disks used by
virtual machines, also in transit
Azure AD Advanced
Reports
Anmelde Versuche, Anmelde Standorte,
Anwendungszugriff Protokollierung,
Kontowartung Protokollierung
Azure AD Application Catalog
Entdecken und Warten von Cloud oder LOB
Anwendungen, auf die Benutzer zugreifen
Azure Information Protection
Durchsetzung von Zugriffsrichtlinien
auf Mails und Dokumente
Azure MFA
Fügen Sie eine weitere Ebene der Authentifizierung
hinzu, um die Sicherheit Ihrer Identitäten zu
gewährleisten Funktioniert mit SaaS, LOB oder
On-Premise Anwendungen
Azure Information
Protection
Berichte mit der Lokation, Zeitpunkt
und Anwender nach Zugriff auf ein
Dokument
Azure Information Protection
Identifizieren von Informationstypen mit der
Fähigkeit einer automatischer Klassifizierung
Azure Identity Protection
risikobasierter Identitätsschutz mit Warnungen,
Analyse & Aktionen zur Schutz der Identität.
Azure Information Protection
verschlüsselt vertrauliche Daten in Ihrer ganzen
Umgebung und schützt vor ungerechtfertigten
Zugriff oder Nutzung, ob gespeichert oder im
Transfer
170. Office 365 - Produkt Matrix für DSGVO (GDPR)
Ermitteln (Discover)
Welche Art von Daten, wo befinden sich Daten
Verwalten (Manage)
Zutrittskontrolle, “Privacy by Design”
Schützen (Protect)
Sicherheit der Daten bei Übertragung und
Speicherung
Berichten (Report)
Dokumentation , Meldung von
Datenschutzverletzungen
Security & Compliance Center
Das Portal zum Schutz Ihrer Daten in Office 365. Berechtigungen Sie Anwender , die Compliance-Aufgaben ausführen dürfen
Advanced Data Governance
Klassifizierung, Aufbewahrung und/oder Löschung von Daten basierend auf automatische Analyse und Richtlinien Empfehlungen
Content search
Leistungsstarke Inhaltssuche in Postfächern,
öffentlichen Ordnern, Office 365 Gruppen, Microsoft-
Teams, SharePoint Online, One Drive für Business und
Skype für Business Gesprächen
. Information rights management
Mit SharePoint Online kann gesteuert werden ,wie
lange Inhalte gespeichert werden , überwachen der
Verwendung von Inhalten, hinzufügen von Labeln
Advanced Threat Protection
bietet Sicherheitsfunktionen um User-Umgebungen
zu schützen, die Kundendaten einschließlich sichere
Anlagen & Safe Links enthalten
Audit Logs
Aufzeichnung und Suche nach
gewünschten Benutzer und Admin-
Aktivitäten im gesamten Unternehmen
eDiscovery
Regeln des Zugriff innerhalb des Falls, Halt auf die
relevante Inhaltsorte des Fall legen, verbinden von
mehren Inhaltsuchen und Export der Ergebnisse der
fallbezogenen Inhaltssuche
Mail Flow Rules
Suchen Sie nach bestimmten Bedingungen in
Nachrichten, die Ihre Organisation durchlaufen und
führen Sie entsprechende Maßnahmen durch
Secure Score
Sicherheitsbewertung der Office 365 Umgebung
Vorschläge wie das Risiko reduziert werden kann mit
Balance zwischen Produktivität und Sicherheit
Service Assurance
Einblicke zur Durchführung von Risiko-
bewertungen mit Details zu Microsoft
Compliance-Reports und transparenten
Status der geprüften Kontrollen
Advanced eDiscovery
reduziert das Datenvolumen durch Auffinden
ähnlicher Dateien, Erkennung von Schlüsselthemen
und Datenbeziehungen und Rekonstruktion von E-
Mail-Threads. Das System kann „trainiert“ werden,
unstrukturierte Datenmengen intelligent zu
durchforsten und zu analysieren
Azure Rights Management
verhindert, dass vertraulichen Informationen angezeigt, gedruckt, weitergeleitet, gespeichert, bearbeitet oder
kopiert werden von unbefugten Personen
Customer Lockbox
Kontrollieren Sie, wie ein
Supportmitarbeiter während einer
Hilfe-Sitzung auf Ihre Daten zugreift
Journaling in Exchange Online
reagieren Sie auf rechtliche, regulatorische und
Compliance-Anforderungen durch die Aufnahme von
eingehenden und ausgehenden Mail-Kommunikation
Data Loss Prevention
Einheitliche Richtlinien für Client-Endpunkte, stehen
der IT zur Verfügung
Threat Intelligence
Analyse und Verständnis der
Bedrohungen, einschließlich erkannter
Malware, angegriffene Benutzer und
Links zu weltweiten Sicherheit Statistiken
Customer Lockbox
Kontrollieren Sie, wie ein Supportmitarbeiter während
einer Hilfe-Sitzung auf Ihre Daten zugreift
171. Zunehmende Komplexität
Fehlende Sichtbarkeit
Ineffektive Reaktion
SECURITY MANAGEMENT
Herausforderungen
“Jedes Produkt verfügt über separate
Managementsysteme, oft mit begrenzter
Konnektivität, um mit anderen
zusammenzuarbeiten.... so verlangsamen
Reaktions- und Problemlösungszeiten ”
“Einige große
Finanzdienstleistungsorganisationen
haben 40 oder mehr verschiedene
Sicherheitsanbieter in ihren Netzwerken”
“Dies führt zu der ironischen Situation,
dass sie tatsächlich mehr
Sicherheitsgeräte in Ihrem Netzwerk
haben, was es tatsächlich weniger sicher
macht”
Source: https://www.finextra.com/blogposting/13893/consolidation-and-integration-of-security-solutions-in-financial-services
172. Notwendige Bausteine für SECURITY MANAGEMENT
Sichtbarkeit
Verstehen des
Sicherheitsstatus und der
Risiken
ressourcenübergreifend
Kontrolle
Definieren konsistenter
Sicherheitsrichtlinien und
Aktivieren von Kontrollen
Anleitung
Sicherheit durch
integrierte Intelligenz und
Empfehlungen erhöhen
InfrastrukturAPPS / DatenGeräteIdentität
173. Sichtbarkeit Kontrolle Anleitung
Verstehen des
Sicherheitsstatus und der
Risiken
ressourcenübergreifend
Definieren konsistenter
Sicherheitsrichtlinien und
Aktivieren von Kontrollen
Sicherheit durch
integrierte Intelligenz und
Empfehlungen erhöhen
INTELLIGENT SECURITY
MANAGEMENT
APPS / DatenGeräte
Angetrieben durch den
Intelligent Security Graph
Identität Infrastruktur
InfrastrukturAPPS / DatenGeräteIdentität
177. GEWINNEN SIE EINBLICKE IN CLOUD
APPLIKATIONEN, DIE IN IHRER
UMGEBUNG VERWENDET WERDEN &
ERHALTEN SIE ZU DIESEN EINE
RISIKOBEWERTUNG
ÜBERWACHUNGSPROTOKOLLE UND
BERICHTE HELFEN BEI DER
ERKENNUNG VON AKTIVITÄTEN
INNERHALB VON PRODUKTIVITÄTS-
APPS
BENACHRICHTIGUNGEN, DIE IHNEN
HELFEN, ANOMALE AKTIVITÄTEN ZU
SEHEN
APPS / Daten
SICHERHEITSZUSTANDS VON APPS & DATEN VERSTEHEN
181. EIN ORT ZUM KONFIGURIEREN
DER VOLLSTÄNDIGE WINDOWS-
SICHERHEIT ELEMENTE
KONTROLLE DER
GERÄTESICHERHEITSRICHTLINIEN UND
ANZEIGEN DES
BEREITSTELLUNGSSTATUS AN EINEM
ZENTRALEN ORT
Geräte
DEFINIEREN KONSISTENTER
SICHERHEITSRICHTLINIEN UND AKTIVIEREN
VON KONTROLLEN FÜR GERÄTE
182. ANPASSBARES PORTAL FÜR DIE
WICHTIGSTEN SICHERHEITSFUNKTIONEN
FÜR PRODUKTIVITÄTS-APPS
KONTROLLE DER DATEN IN CLOUD
APPS MIT GRANULAREN RICHTLINIEN
FÜR DLP UND DATEN FREIGABEN
ANZEIGEN VON
SICHERHEITSKONTROLLEN UND DEREN
STATUS AUS VERSCHIEDENEN
WORKLOADS
APPS / Daten
DEFINIEREN KONSISTENTER
SICHERHEITSRICHTLINIEN UND AKTIVIEREN
VON KONTROLLEN FÜR APPS & DATEN
186. EMPFEHLUNGEN, BASIEREND AUF
IHREN ENDPUNKTEN, ERMÖGLICHEN
VERBESSERTE SICHERHEIT
JEDE WARNUNG KOMMT MIT EINER
EMPFEHLUNG FÜR DIE BEHEBUNG
DER BEDROHUNG UND
ZUKÜNFTIGEN RISIKEN
ZUGRIFF AUF DIE
SICHERHEITSBEWERTUNG DER
ORGANISATION EINSCHLIEßLICH
TRENDS IM ZEITVERLAUF
Geräte
INTEGRIERTE INTELLIGENZ UND EMPFEHLUNGEN
FÜR GERÄTE
187. „MACHINE LEARNING“-BASIERTE
EMPFEHLUNGEN, AUFGRUND VON
UNTERNEHMENSSPEZIFISCHEN
SIGNALEN
NUTZEN SIE DIE EFFEKTIVSTEN
KONTROLLEN BASIEREND AUF BEST
PRACTICES UND IHREN ZIELEN
APPS / DATEN
INTEGRIERTE INTELLIGENZ UND EMPFEHLUNGEN
FÜR APPS & DATEN
189. APPS / DATADEVICES
“Powered by the
Intelligent Security Graph”
IDENTITY INFRASTRUCTURE
VERBESSERTE SICHERHEIT
DURCH VEREINFACHTES UND
INTELLIGENTES
SICHERHEITSMANAGEMENT
VON MICROSOFT
Azure Active
Directory
Windows Defender
Security Center
- Microsoft 365 Security &
Compliance Center
- Microsoft Cloud
Application Security
Azure Security
Center
Sichtbarkeit Kontrolle Anleitung
Verstehen des
Sicherheitsstatus und der
Risiken
ressourcenübergreifend
Definieren konsistenter
Sicherheitsrichtlinien und
Aktivieren von Kontrollen
Sicherheit durch
integrierte Intelligenz und
Empfehlungen erhöhen