cd ../blog
12. März 2026mitresecuritym365

Microsoft Defender MITRE ATT&CK auf Microsoft 365

Microsoft Defender MITRE ATT&CK auf Microsoft 365

Vor einigen Wochen habe ich entschieden, Microsoft Defender nicht mehr nur als Endpoint-Produkt zu betrachten, sondern zu erkunden, wie es als Teil des Microsoft 365-Ökosystems funktioniert. Über das Microsoft 365-Entwicklerprogramm (developer.microsoft.com) habe ich Zugang zu einem M365-E5-Sandbox-Mandanten — und das hat mir gereicht, um stundenlang im Microsoft 365 Defender-Portal (heute Microsoft Defender XDR) zu verbringen.

Was ich gefunden habe, ist ein cloud-nativer XDR-Ansatz, der die Art, wie man über MITRE-Abdeckung nachdenkt, grundlegend verändert.

Microsoft 365 Defender — Portal Navigation

Das Microsoft 365 Defender-Portal

📍 security.microsoft.com → Incidents & alerts → Incidents → [Incident auswählen] → Attack story → MITRE ATT&CK-Tab

Das einheitliche Portal unter security.microsoft.com aggregiert Signale aus der gesamten Suite: Endpoints, E-Mail, Identität und Cloud-Apps. Was mich sofort beeindruckt hat: der MITRE ATT&CK-Tab direkt in den Incidents. Jeder Alert wird automatisch auf Taktiken und Techniken gemappt, mit Links zur MITRE Knowledge Base.

Advanced Hunting ermöglicht KQL-Abfragen über Ereignisse aus mehreren Produkten hinweg. In einer rein cloudbasierten Umgebung kann man nach T1078 (Valid Accounts) gleichzeitig über Endpoints, Identität und Cloud-Workloads suchen — ohne Konsolenwechsel.

💡 Die MITRE-Ansicht im Portal ist interaktiv: Ein Klick auf eine Taktik zeigt die im eigenen Mandanten erkannten Techniken, nicht die theoretische Produktabdeckung. Das ist tatsächlich nützlich, um echte Lücken zu verstehen.

Defender for Office 365

📍 security.microsoft.com → Email & collaboration → Attack simulation training

Defender for Office 365 (MDO) ist die E-Mail- und Kollaborationsschutzschicht. Die MITRE-Relevanz konzentriert sich auf Phishing (T1566), Spear-Phishing per Links (T1566.002) und bösartige Anhänge (T1566.001) — alles Techniken unter TA0001 (Initial Access) und TA0043 (Reconnaissance).

Safe Links führt eine Echtzeit-URL-Detonation durch und Safe Attachments bietet automatisches Sandboxing des E-Mail-Vektors. Was nicht sofort offensichtlich ist: MDO deckt auch TA0009 (Collection) durch die Erkennung automatischer Weiterleitungsregeln ab — eine BEC-Technik (T1114.003), die oft unterschätzt wird.

💡 Das Portal enthält einen Attack Simulator für Phishing-Simulationen direkt im Mandanten — eine solide Möglichkeit, die echte Abdeckung ohne externe Tools zu testen.

Defender for Endpoint (cloud-managed)

📍 security.microsoft.com → Hunting → Advanced hunting → Neue Abfrage

Defender for Endpoint (MDE) im cloud-managed Modus (ohne lokalen Configuration Manager) ist das Herzstück der MITRE-Abdeckung. Wie ich in meinem vorherigen Artikel dokumentiert habe, deckt MDE 141 von 218 Enterprise-Techniken ab.

Im Cloud-Modus ist der Hauptunterschied das Onboarding: Wenige Minuten über eine Intune-Richtlinie, und der Sensor ist aktiv. Live Response funktioniert genauso: eine Remote-Sitzung mit Hunting-Befehlen direkt auf dem Endpoint, nützlich zur Untersuchung von T1059 (Command and Scripting Interpreter) oder T1105 (Ingress Tool Transfer) während eines Incidents.

Die MITRE-Abdeckungszahlen sind dieselben wie beim eigenständigen MDE — das sind die Daten, die die Matrix im einheitlichen Portal speisen. Der Cloud-Unterschied liegt in der Integration: Ein MDE-Alert wird automatisch mit MDO- und Defender for Identity-Signalen zu einem einzigen Incident korreliert.

Defender for Cloud Apps & Secure Score

📍 security.microsoft.com → Cloud apps → App governance / Richtlinien

📍 security.microsoft.com → Exposure management → Secure score

Defender for Cloud Apps (MDCA) fügt die CASB-Dimension hinzu: Sichtbarkeit der im Mandanten genutzten SaaS-Apps, Shadow-IT-Erkennung und Richtliniendurchsetzung bei anomalem Verhalten wie Massen-Downloads (T1530, Data from Cloud Storage) oder Anmeldungen von ungewöhnlichen Standorten (T1078).

Was mich überrascht hat, war der integrierte Secure Score: Es ist nicht nur eine Posture-Zahl, sondern schlägt konkrete Maßnahmen vor, die MITRE-Kontrollen zugeordnet sind. MFA für alle Admins zu aktivieren wird beispielsweise als direkte Minderung von T1078.004 (Cloud Accounts) dargestellt.

Der entwicklerfreundliche Aspekt: Über das Microsoft 365-Entwicklerprogramm auf developer.microsoft.com erhält man einen kostenlosen E5-Sandbox-Mandanten, um all diese Funktionen zu erkunden. Das Telemetrievolumen und die KQL-Abfragetiefe sind für ein cloud-managed Produkt genuinely beeindruckend.

Das wichtigste Fazit nach dieser Erkundung: Der Unterschied gegenüber dem eigenständigen MDE liegt nicht in der MITRE-Abdeckung einzelner Techniken, sondern in der produktübergreifenden Korrelation. Ein Angriff, der sich von E-Mail über Endpoint zu Identität bewegt, wird als einzelner Incident mit konsolidierter Zeitachse erfasst. In einer On-Prem-Umgebung mit separaten Produkten erfordert das ein dediziertes SIEM; in M365 ist es built-in.