Microsoft Defender for Identity - Erkennen von Cyberangriffen
Identitätsbasierte Angriffe in Active Directory erkennen und Defender-Sensoren sicher betreiben
Die wichtigsten Themen
Identitätsangriffe früh erkennen
Defender-Sensoren korrekt bereitstellen
Warnungen strukturiert untersuchen
Telemetrie und Ereignisse auswerten
Reaktion mit Sentinel verzahnen
Überblick Identitäten gehören zu den wichtigsten Angriffszielen in Unternehmensnetzwerken. Gestohlene Zugangsdaten, laterale Bewegung, Reconnaissance, Pass-the-Hash oder Golden-Ticket-Angriffe lassen sich oft nicht allein über...
Identitäten gehören zu den wichtigsten Angriffszielen in Unternehmensnetzwerken. Gestohlene Zugangsdaten, laterale Bewegung, Reconnaissance, Pass-the-Hash oder Golden-Ticket-Angriffe lassen sich oft nicht allein über klassische Endpoint- oder Firewall-Signale bewerten. Microsoft Defender for Identity ergänzt die Sicherheitsüberwachung um Signale aus Active Directory, Domain Controllern und angebundenen Identitätsdiensten und macht verdächtige Aktivitäten im Kontext von Benutzerkonten, Geräten und administrativen Aktionen sichtbar.
In dieser Schulung geht es um die Planung, Bereitstellung und Konfiguration von Microsoft Defender for Identity in hybriden Identitätsumgebungen. Behandelt werden Sensoren, Rollen, Netzwerk- und Servervoraussetzungen, Ereignisweiterleitung, Telemetriedaten, Warnungen, Investigation und die Zusammenarbeit mit Microsoft Sentinel. Der frühere ATA-Bezug wird eingeordnet, der Schwerpunkt liegt jedoch auf dem aktuellen Defender-for-Identity-Betrieb. Für die Vertiefung im Security-Operations-Umfeld passt anschließend das SC-200 Training: Microsoft Security Operations Analyst.
Die Themen Angriffe auf Active Directory · Pass-the-Hash und Golden Ticket · Reconnaissance und laterale Bewegung · Insider-Bedrohungen und Kontoübernahmen · Rolle von Identity Threat Detection...
Identitätsschutz und Bedrohungslage
- Angriffe auf Active Directory
- Pass-the-Hash und Golden Ticket
- Reconnaissance und laterale Bewegung
- Insider-Bedrohungen und Kontoübernahmen
- Rolle von Identity Threat Detection
Architektur von Defender for Identity
- Cloud-Service und Sensor-Komponenten
- Datenfluss zwischen Sensoren und Portal
- Domain Controller und AD CS
- AD FS und Entra Connect
- Integration in Microsoft Defender XDR
Planung und Voraussetzungen
- Lizenzierung und Mandantenanforderungen
- Rollen und Berechtigungsmodell
- Kapazitätsplanung für Sensoren
- Netzwerk- und Firewall-Anforderungen
- Audit-Richtlinien und Ereignisquellen
Bereitstellung und Konfiguration
- Installation der Defender-Sensoren
- Konfiguration von Verzeichnisdienstkonten
- Windows-Ereignisweiterleitung einrichten
- Sensor-Einstellungen und Health-Meldungen
- VPN-Signale bei unterstützten Szenarien
Warnungen und Investigation
- Verdächtige Aktivitäten auswerten
- Warnungen priorisieren und klassifizieren
- Entitäten und Zeitachsen untersuchen
- Bedrohungsmuster im Kontext bewerten
- Erkennungen an Umgebung anpassen
Betrieb, Reaktion und Auswertung
- Zusammenarbeit mit Microsoft Sentinel
- Incident-Bearbeitung und Eskalation
- Ausschlüsse und Tuning-Regeln
- Berichte und Exportmöglichkeiten
- Wartung und Problembehandlung
Wer hier richtig ist
- Administratoren und Administratorinnen für Windows Server, Active Directory und hybride Identitätsumgebungen
- Security-Operations-Teams, die Identitätswarnungen untersuchen und eskalieren
- IT-Sicherheitsbeauftragte mit Verantwortung für Angriffserkennung und Incident Response
- System- und Netzwerkverantwortliche, die Defender-for-Identity-Sensoren planen und betreiben
Das lernst du
- Fundiertes Verständnis der Defender-for-Identity-Architektur und ihrer Einsatzgrenzen
- Sichere Planung von Sensoren, Rollen, Berechtigungen und Netzwerkvoraussetzungen
- Defender for Identity in hybriden Active-Directory-Umgebungen bereitstellen und konfigurieren
- Verdächtige Aktivitäten analysieren, priorisieren und in Incidents überführen
- Warnungen mit Microsoft Sentinel und Security-Operations-Prozessen verzahnen
- Stabiler Betrieb durch Health-Prüfung, Tuning und strukturierte Fehleranalyse
So arbeiten wir
- Fachliche Einführung mit Architektur- und Ablaufdiagrammen
- Hands-on Labs zur Sensor-Bereitstellung und Konfiguration
- Analyse typischer Angriffsszenarien an nachvollziehbaren Beispielen
- Geführte Übungen zur Bewertung von Warnungen und Aktivitäten
- Fallarbeit zu Investigation, Eskalation und Incident-Bearbeitung
- Diskussion von Betriebsfragen aus Unternehmensumgebungen
Empfohlene Vorkenntnisse
- Sicherer Umgang mit Windows Server und administrativen Werkzeugen
- Grundkenntnisse in Active Directory-Domänendiensten
- Verständnis von Authentifizierung, Gruppenrichtlinien und Berechtigungen
- Netzwerkkenntnisse inklusive TCP/IP, DNS und Firewall-Regeln
- Hilfreich sind Erfahrungen aus dem Windows Server Grundkurs
Dein Fahrplan
Einordnung identitätsbasierter Angriffe, typische Angriffsmuster gegen Active Directory und Rolle von Defender for Identity in hybriden Sicherheitsarchitekturen.
- Bedrohungen gegen Identitäten und Verzeichnisdienste
- Architektur, Sensoren und Datenflüsse
- Microsoft Defender XDR im Zusammenspiel
- Rollen, Berechtigungen und Lizenzierung
- Kapazitäts- und Netzwerkplanung
Organisatorisches
Lernformate
Unsere Seminare bieten dir maximale Flexibilität: Du kannst zwischen Live-Online und Vor Ort in unseren modernen Schulungszentren im D-A-CH Raum wählen. Beide Formate garantieren dir die gleiche hohe Qualität und interaktive Lernerfahrung.
Schulungsarten
Wir bieten dir verschiedene Schulungsarten: Offene Seminare, Firmenseminare für Teams und Inhouse-Schulungen direkt bei dir vor Ort. So findest du genau das Format, das zu deinen Bedürfnissen passt.
Aktuelle Software
In unseren offenen Kursen arbeiten wir mit der aktuellsten Software-Version. So lernst du direkt mit den Tools und Features, die du auch in deinem Arbeitsalltag verwendest - praxisnah und zukunftsorientiert. Bei Inhouse- und Firmenschulungen bestimmt ihr die Version.
Deine Vorteile
Zufriedenheitsgarantie
Wir sind von unserer Qualität überzeugt. Sollte ein Training einmal nicht deinen Erwartungen entsprechen, bieten wir dir an, den Kurs kostenlos zu wiederholen oder ein anderes Training zu besuchen. Ohne Risiko, ohne Diskussion.
Inklusivleistungen
Deine Teilnahme beinhaltet: Schulungsmaterial, Zertifikat, Verpflegung (bei Präsenzveranstaltungen) und persönliche Betreuung durch unsere Trainer und unser Orga-Team. Alles aus einer Hand - keine versteckten Kosten.
Lernen von Experten
Unsere Trainer sind zertifizierte und erfahrene Profis mit jahrelanger Berufserfahrung. Sie vermitteln dir in den Kursen nicht nur theoretisches Wissen, sondern teilen ihre Erfahrungen aus realen Projekten und helfen dir, das Gelernte direkt in deiner täglichen Arbeit anzuwenden. Das ist kein Werbeversprechen, sondern unser Anspruch. Am besten siehst du das in unseren Bewertungen, z.B. auch bei Google.
Keine Vorkasse
Du zahlst erst nach dem Seminar. Keine Vorkasse, keine Vorauszahlung - so kannst du sicher sein, dass du nur für das bezahlst, was du auch wirklich erhalten hast. Die Rechnung erhältst du erst nach Kursbeginn.
Max. 8 Teilnehmende
Wir setzen auf kleine Gruppen, damit du die Aufmerksamkeit bekommst, die du verdienst. So haben wir mehr Zeit für deine individuellen Fragen und können gezielt auf deine Bedürfnisse eingehen.
Termine & Buchung
Vor Ort
Online
Nicht der passende Termin dabei?
Wir finden eine Lösung: anderer Termin, mehrere Teilnehmer, Inhouse-Schulung oder individuelle Beratung.
Lieber gleich das ganze Team schulen?
Diese Schulung gibt es auch exklusiv für dein Unternehmen, bei euch vor Ort, an unseren Standorten oder Live-Online. Inhalte und Termine nach Maß.
Inhouse-Schulung
Wir kommen zu euch: diese Schulung maßgeschneidert in euren Räumen, für Unternehmen und Behörden.
- Inhalte exakt auf euch zugeschnitten
- Termine nach euren Bedürfnissen
- Günstiger ab mehreren Teilnehmern
- Vertraute Umgebung, kein Reiseaufwand
Firmen-Seminar
Exklusiv für dein Team an einem unserer Standorte oder Live-Online, individuell angepasst.
- Geschlossene Gruppe aus eurem Haus
- Individuelle Terminplanung
- An unseren Standorten oder Live-Online
- Angepasste Inhalte
Fragen und Antworten zu Microsoft Defender for Identity - Erkennen von Cyberangriffen
Was ist Microsoft Defender for Identity?
Microsoft Defender for Identity ist ein cloudbasierter Sicherheitsdienst zur Erkennung verdächtiger Aktivitäten in hybriden Identitätsumgebungen. Die Schulung zeigt, wie Signale aus Active Directory und angebundenen Identitätsdiensten gesammelt, bewertet und für Investigation sowie Incident Response genutzt werden.
Ist das Seminar auch für Umsteiger von Microsoft ATA geeignet?
Ja. Der frühere ATA-Kontext wird eingeordnet, der Schwerpunkt liegt aber klar auf Microsoft Defender for Identity. Besonders relevant ist das Seminar für Teams, die von älteren Überwachungsansätzen auf den aktuellen Defender-for-Identity-Betrieb wechseln.
Welche Vorkenntnisse sind für die Defender-for-Identity-Schulung sinnvoll?
Sinnvoll sind Kenntnisse in Windows Server, Active Directory, DNS, TCP/IP und administrativen Berechtigungen. Wenn Active-Directory-Grundlagen aufgefrischt werden sollen, passt der Active Directory Domänendienste Grundkurs als Vorbereitung.
Wird Microsoft Sentinel im Seminar behandelt?
Ja, die Verzahnung mit Microsoft Sentinel wird im Kontext von Sicherheitsvorfällen, Playbooks und Security-Operations-Prozessen behandelt. Für eine weiterführende SOC-Perspektive eignet sich danach das SC-200 Training: Microsoft Security Operations Analyst.
Geht es in der Schulung auch um Identitätsverwaltung?
Der Schwerpunkt liegt auf Angriffserkennung und Investigation, nicht auf der vollständigen Administration von Identitäten. Für die Vertiefung von Identitäts- und Zugriffsverwaltung ist das SC-300 Training: Microsoft Identity and Access Administrator sinnvoll.
Wie grenzt sich Defender for Identity von Azure Security ab?
Defender for Identity konzentriert sich auf Identitätssignale, Active Directory und verdächtige Benutzer- oder Geräteaktivitäten. Für breitere Sicherheitskonzepte in Azure ist das AZ-500 Training: Microsoft Azure Security Technologies die passende Ergänzung.
Weitere häufig gestellte Fragen und Antworten findest du in den FAQs .
Passende Schulungen nach dem Kurs
AZ-500 Training: Microsoft Azure Security Technologies (AZ-500T00-A)
SC-300 Training: Microsoft Identity and Access Administrator (SC-300T00-A)
Digitale Forensik für Einsteiger - Grundkurs
SC-200 Training: Microsoft Security Operations Analyst (SC-200T00-A)
Ähnliche Kurse
AZ-500 Training: Microsoft Azure Security Technologies (AZ-500T00-A)
SC-300 Training: Microsoft Identity and Access Administrator (SC-300T00-A)
SC-401 Kurs: Information Security Administrator (SC-401T00)
SC-5004 – Verteidigung gegen Cyberbedrohungen mit Microsoft Defender XDR
SC-100 Training: Microsoft Cybersecurity Architect (SC-100T00)
Unser Qualitätsversprechen: Wissen, das in der Praxis funktioniert
Aus der Praxis für die Praxis
Schluss mit theoretischem Ballast. Wir trainieren dich für reale IT-Herausforderungen, nicht für Multiple-Choice-Tests. Unsere Trainer vermitteln dir genau das Wissen, das am nächsten Montagmorgen im Job wirklich funktioniert.
Individuell statt "Schema F"
Deine Fragen passen nicht ins Standard-Skript? Bei uns schon. Wir verzichten auf starre Lehrpläne und geben deinen konkreten Projekt-Fragen Raum. Unsere Trainer passen die Inhalte flexibel an das an, was dich und dein Team aktuell weiterbringt.
Maximale Freiheit: Remote oder vor Ort
Lerne so, wie es in deinen Alltag passt - ohne Reise-Stress und Zeitverlust. Egal ob remote, hybrid oder präsent vor Ort: Wir garantieren dir ein nahtloses und effektives Lernerlebnis, egal von wo du dich zuschaltest.
Mit Zufriedenheitsgarantie
Wir sind von unserer Qualität überzeugt - und wollen, dass du es auch bist. Sollte ein Training einmal nicht deinen Erwartungen entsprechen, bieten wir dir an, den Kurs kostenlos zu wiederholen oder ein anderes Training zu besuchen. Ohne Risiko, ohne Diskussion.
Über 20.000 Unternehmen und Behörden vertrauen auf uns
