WatchGuard Core MDR for Microsoft mit Microsoft Defender verbinden

Gilt für: WatchGuard Core MDR for Microsoft Dieses Thema gilt für den verwalteten Dienst von WatchGuard Core MDR for Microsoft.

Wenn Sie eine WatchGuard Core MDR for Microsoft-Lizenz besitzen und das WatchGuard SOC-Team zur Überwachung von Microsoft Defender for Endpoints in Ihrer Umgebung aktivieren möchten, führen Sie die Schritte der folgenden Anleitungen aus:

1. Vorhandensein der notwendigen Microsoft-Lizenzen prüfen
2. Berechtigungen für die WatchGuard MDR for MS Defender-Anwendung erteilen
3. Zugriff auf Microsoft Defender for Endpoints gewähren
4. Erweiterte Funktionen in Microsoft Defender for Endpoints aktivieren
5. Onboarding-Formulare ausfüllen

Vorhandensein der notwendigen Microsoft-Lizenzen prüfen

Microsoft bietet verschiedene Microsoft Defender for Endpoint-Versionen und -Lizenzen an.

WatchGuard Core MDR for Microsoft setzt voraus, dass Sie die folgenden Microsoft-Lizenzen besitzen:

Erforderliche Microsoft-Lizenzen für Endpoints

Jeder Endpoint, für den Sie eine Überwachung durch WatchGuard SOC wünschen, muss eine Defender for Endpoint P1- oder eine Defender for Endpoint P2-Lizenz besitzen.

Erforderliche Microsoft-Lizenzen für SOC-Zugriff

Um WatchGuard SOC-Analysten als externen Benutzern Zugriff auf Ihr Microsoft Defender-Dashboard zu gewähren, müssen Sie über mindestens vier Entra ID Plan 2-Lizenzen verfügen.

So rufen Sie Microsoft-Subscription-Lizenzen auf:

1. Gehen Sie zu portal.office.com und melden Sie sich mit einem globalen Administratorkonto an.
2. Klicken Sie in der oberen Ecke links auf .
3. Wählen Sie die Admin-App.
4. Wählen Sie im linken Navigationsmenü Rechnungen > Lizenzen.
5. Ihre Lizenzen werden auf der Registerkarte Abonnements angezeigt.

Diese Tabelle führt die Microsoft-Abonnements auf, die von WatchGuard Core MDR for Microsoft unterstützt werden. Außerdem wird angezeigt, welche erforderlichen Microsoft-Lizenzen in jedem Abonnement für die WatchGuard Core MDR for Microsoft-Implementierung enthalten sind. Sie sehen zudem, welche zusätzlichen Microsoft-Lizenzen benötigt und gekauft werden müssen:

Microsoft-Abonnement	Verfügbar mit Microsoft-Abonnement für MDR-Implementierung	Obligatorische Add-ons	Optionale Add-ons
Microsoft 365 Enterprise E3	Telemetrie-Aufnahme — Defender for Endpoint Plan 1 SOC-Team-Zugriff — Entra ID Plan 1 (Azure/EMS)	SOC-Team-Zugriff — Entra ID Plan 2 (Azure/EMS)	Defender for Servers
Microsoft 365 Enterprise E5	Telemetrie-Aufnahme — Defender for Endpoint Plan 2 SOC-Team-Zugriff — Entra ID Plan 2 (Azure/EMS)	Keine	Defender for Servers
Microsoft 365 Business Premium	Telemetrie-Aufnahme — Defender for Endpoint Plan 1 + Plan 2 SOC-Team-Zugriff — Entra ID Plan 1 (Azure/EMS)	SOC-Team-Zugriff — Entra ID Plan 2 (Azure/EMS)	Defender for Servers

Wenden Sie sich an Ihren Microsoft-Anbieter, um sicherzustellen, dass Sie über die richtigen Lizenzen verfügen.

Während Microsoft 365 Enterprise E3- und Microsoft 365 Business Premium-Lizenzen eine rollenbasierte Zugriffskontrolle über Microsoft Entra ID unterstützen, müssen Sie für den Zugriff durch SOC-Analysten eine Sicherheitsgruppe erstellen und jedem Mitglied dieser Gruppe die Rolle als Sicherheitsoperator zuweisen.

Weitere Informationen zu den Funktionen für die verschiedene Microsoft-Lizenzen finden Sie unter Microsoft Defender for Business und Endpoints P1 und P2 in der Microsoft-Dokumentation.

Berechtigungen für die WatchGuard MDR for MS Defender-Anwendung erteilen

Damit WatchGuard MDR Ihre Endpoints überwachen kann, müssen Sie der WatchGuard MDR for MS Defender-Anwendung genehmigen, sich mit Ihrer Azure Cloud-Umgebung zu verbinden.

So ermöglichen Sie der WatchGuard MDR for MS Defender-Anwendung, sich mit Ihrer Azure Cloud-Umgebung zu verbinden:

1. Gehen Sie zu WatchGuard MDR for MS Defender genehmigen und melden Sie sich mit einem globalen Microsoft Azure-Administratorkonto in Ihrer Microsoft-Umgebung an.
   Das Dialogfeld Berechtigungen erforderlich wird geöffnet.

2. Klicken Sie auf Akzeptieren.
3. Gehen Sie zu Microsoft Entra ID > Eigenschaften und suchen Sie Ihre Mandanten-ID.
4. Kopieren Sie Ihre Mandanten-ID, um sie später in diesen Anweisungen zu verwenden.

Zugriff auf Microsoft Defender for Endpoints gewähren

Führen Sie die Schritte der folgenden Anweisungen aus, um den Zugriff auf Microsoft Defender for Endpoints zu aktivieren:

• Verbundene Organisationen in Entra ID erstellen
• Sicherheitsgruppen in Entra ID erstellen
• Kataloge in Entra ID erstellen
• Zugriffspakete in der Berechtigungsverwaltung (Microsoft Defender for Endpoint P1, P2 und Defender for Business) erstellen

Verbundene Organisationen in Entra ID erstellen

Erstellen Sie in Entra ID eine verbundene Organisation für WatchGuard, um zu beschränken, wer Zugriff auf das Zugriffspaket anfordern kann.

So erstellen Sie eine verbundene Organisation:

1. Gehen Sie zum Microsoft Azure Portal auf portal.azure.com und melden Sie sich mit einem globalen Administratorkonto an.
2. Gehen Sie zu Microsoft Entra ID > Verwalten > Identity Governance > Berechtigungsverwaltung > Verbundene Organisationen > Verbundene Organisation hinzufügen.
   Die Seite Verbundene Organisation hinzufügen wird geöffnet.

3. Geben Sie in das Textfeld Name WatchGuard ein.
4. Geben Sie in das Textfeld Beschreibung WatchGuard Connection ein.
5. Wählen Sie in der Dropdown-Liste Status die Option Konfiguriert aus. Weitere Informationen zu Statuseigenschaften finden Sie unter Statuseigenschaft verbundener Organisationen in der Microsoft-Dokumentation.
6. Klicken Sie auf Weiter: Verzeichnis + Domäne.
7. Klicken Sie auf Verzeichnis + Domäne hinzufügen.
   Die Seite Verzeichnisse + Domänen auswählen wird geöffnet.

8. Suchen Sie im Suchfeld nach watchguard.com. Klicken Sie auf Hinzufügen > Auswählen.
9. Wählen Sie die Registerkarte Prüfen + Erstellen.
10. Überprüfen Sie die Einstellungen der Organisation und klicken Sie auf Erstellen.

Sicherheitsgruppen in Entra ID erstellen

Microsoft verwendet Entra ID-Gruppen zur Verwaltung von Benutzern, die denselben Zugriff und dieselben Berechtigungen auf Ressourcen benötigen, z. B. potenziell eingeschränkte Apps und Dienste.

Um Sicherheitsgruppen zu erstellen, führen Sie die Schritte der folgenden Anweisungen für Ihr Microsoft-Abonnement und Ihre Microsoft-Lizenz aus:

• Sicherheitsgruppen für Microsoft 365 (E5-Lizenz) erstellen
• Eine Sicherheitsgruppe für Microsoft Defender (E3- und Defender for Business-Lizenz) erstellen

Sicherheitsgruppen für Microsoft 365 (E5-Lizenz) erstellen

Im Azure Entra ID-Portal können Sie eine Basisgruppe erstellen und gleichzeitig Ihre Mitglieder hinzufügen. Zu den Entra ID-Rollen, die Gruppen verwalten können, gehören:

• Gruppenadministrator
• Benutzeradministrator
• Administrator für privilegierte Rollen
• Globaler Administrator

Gruppen bieten die Berechtigung zur Interaktion mit Microsoft Defender for Endpoint. Prüfen Sie die Entra ID-Rollen für die Gruppenverwaltung unter Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID der Microsoft-Dokumentation.

Wenn Sie über eine Lizenz für Microsoft 365 E5 verfügen, müssen Sie folgende Gruppen erstellen:

• SOC-Analysten
• SOC-Genehmiger

So erstellen Sie Gruppen und fügen Mitglieder hinzu:

1. Gehen Sie zum Microsoft Azure Portal auf portal.azure.com und melden Sie sich mit einem globalen Administratorkonto an.
2. Gehen Sie zu Azure Entra ID > Gruppen > Neue Gruppe.
   Das Dialogfeld Neue Gruppe wird geöffnet.

3. Konfigurieren Sie die folgenden Optionen für die Gruppe WatchGuard SOC-Analysten:
   • Gruppentyp — Sicherheit
   • Gruppenname — WatchGuard SOC-Analysten
   • Gruppenbeschreibung — WatchGuard SOC-Analysten
   • Entra ID-Rollen dürfen der Gruppe zugewiesen werden — Nein
   • Mitgliedertyp — Zugewiesen
   • Owner — Owner oder Mitglieder optional hinzufügen. Sie können Mitglieder und Owner auch hinzufügen, nachdem Sie die Gruppe erstellt haben.
     Um diese Gruppe später mit Daten zu füllen, senden Sie Einladungen an die WatchGuard SOC-Analysten, die von den Mitgliedern der Gruppe SOC-Genehmiger autorisiert wurden.
4. Klicken Sie auf Erstellen.
5. Klicken Sie auf Neue Gruppe.
   Das Dialogfeld Neue Gruppe wird geöffnet.
6. Konfigurieren Sie die folgenden Optionen für die Gruppe WatchGuard SOC-Genehmiger:
   • Gruppentyp — Sicherheit
   • Gruppenname — WatchGuard SOC-Genehmiger
   • Gruppenbeschreibung — WatchGuard SOC-Genehmiger
   • Entra ID-Rollen dürfen der Gruppe zugewiesen werden — Nein
   • Mitgliedertyp — Zugewiesen
   • Owner – Nachdem Sie die Gruppe erstellt und die verbundene Organisation festgelegt haben, wenden Sie sich an Ihren WatchGuard-Vertreter, um die Kontaktinformationen der Mitglieder für diese Gruppe zu erhalten.
     Die Mitglieder, die Sie hier hinzufügen, sind die ursprünglichen Genehmiger der SOC-Teammitglieder. Dies ist eine kleine Benutzergruppe, die den Zugriff auf Mitglieder der WatchGuard SOC-Analystengruppe genehmigt.

Nachdem Sie die Gruppe erstellt und die verbundene Organisation festgelegt haben, wenden Sie sich an Ihren Sales Engineer, um die Kontaktinformationen der Mitglieder für diese Gruppe zu erhalten.

Benutzerdefinierte Rolle für Microsoft 365 (E5-Lizenz) erstellen

So erstellen Sie eine benutzerdefinierte Rolle:

Mit einer Microsoft Defender for Business- und einer E3-Lizenz müssen Sie lediglich eine benutzerdefinierte Rolle für WatchGuard SOC-Analysten erstellen.

So erstellen Sie Gruppen und fügen Mitglieder hinzu:

1. Melden Sie sich bei Microsoft Security an und gehen Sie zu Einstellungen > Microsoft Defender XDR.
   Die Seite Microsoft Defender XDR wird geöffnet.

Wenn Microsoft Defender XDR im Einstellungsmenü nicht verfügbar ist, müssen Sie eine EMS-Lizenz von Microsoft erwerben.

2. Wählen Sie im linken Navigationsmenü Berechtigungen und Rollen.
   Die Seite Vereinheitlichte rollenbasierte Zugriffssteuerung (RBAC) aktivieren wird geöffnet.
   

   Aktivieren Sie keine Workloads. Diese Option gilt nicht für Rollen und Berechtigungen speziell für Microsoft Defender-Endpoints.

3. Klicken Sie auf Zu Berechtigungen und Rollen.
   Die Seite Berechtigungen und Rollen wird geöffnet.

4. Klicken Sie auf Erste Rolle erstellen.
   Die Seite Erste Rolle erstellen wird geöffnet.
5. Geben Sie in das Textfeld Rollen-Name WatchGuard SOC-Analysten ein.
6. Geben Sie in das Textfeld Beschreibung WatchGuard SOC-Analysten ein.
7. Wählen Sie im Menü Berechtigungen auswählen die Option Security Operations.
   Die Security Operations-Einstellungen werden geöffnet.

8. Wählen Sie Benutzerdefinierte Berechtigungen auswählen.
9. Aktivieren Sie in der Liste Sicherheitsdaten > Benutzerdefinierte Berechtigungen auswählen die folgenden Kontrollkästchen:
   • Grundlagen zu Sicherheitsdaten (Lesen)
   • Warnmeldungen (Verwalten)
   • Antworten (Verwalten)
   • Grundlegende Liveantworten (Verwalten)
   • Erweiterte Liveantworten (Verwalten)
10. Klicken Sie auf Anwenden.
11. Wählen Sie im Menü Berechtigungen auswählen die Option Sicherheitsstatus.
    Die Einstellungen für den Sicherheitsstatus werden geöffnet.

12. Wählen Sie Benutzerdefinierte Berechtigungen auswählen.
13. Wählen Sie in der Liste Status-Management > Benutzerdefinierte Berechtigungen auswählen die folgenden Kontrollkästchen:
    • Sicherheitsrisikomanagement (Lesen)
    • Ausnahmebehandlung (Verwalten)
    • Wartungsbehandlung (Verwalten)
    • Anwendungsbehandlung (Verwalten)
14. Klicken Sie auf Anwenden. Die Optionen Autorisierung und Einstellungen müssen nicht konfiguriert werden.
15. Klicken Sie auf Weiter.
    Die Seite Zuweisungen wird geöffnet.
16. Geben Sie in das Textfeld Zuweisungsname WatchGuard Defender for Endpoint-Zuweisung ein.
17. Suchen und wählen Sie im Suchfeld Benutzer und Gruppen zuweisen die Gruppe WatchGuard SOC-Analysten aus.
18. Wählen Sie in der Dropdown-Liste Datenquellen Microsoft Defender for Endpoint.
19. Klicken Sie auf Hinzufügen.
20. Wählen Sie Prüfen und Fertigstellen.
21. Klicken Sie nachdem Sie die Einstellungen überprüft haben, auf Absenden.

Eine Sicherheitsgruppe für Microsoft Defender (E3- und Defender for Business-Lizenz) erstellen

Mit einer E3- oder Defender for Business-Lizenz erstellen Sie keine benutzerdefinierte Rolle, die den WatchGuard SOC-Analysten zugewiesen werden soll. Sie weisen allen Mitgliedern der von Ihnen erstellten Gruppen eine feste Rolle als Sicherheitsoperator zu.

Im Azure Entra ID-Portal können Sie eine Basisgruppe erstellen und Ihre Mitglieder gleichzeitig hinzufügen. Zu den Entra ID-Rollen, die Gruppen verwalten können, gehören:

• Gruppenadministrator
• Benutzeradministrator
• Administrator für privilegierte Rollen
• Globaler Administrator

Gruppen bieten die Berechtigung zur Interaktion mit Microsoft Defender for Endpoint. Prüfen Sie die Entra ID-Rollen für die Gruppenverwaltung unter Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID der Microsoft-Dokumentation.

Wenn Sie über eine Lizenz für Microsoft 365 E3 oder Defender for Business verfügen, müssen Sie folgende Gruppen erstellen:

• SOC-Analysten
• SOC-Genehmiger

Sie weisen jedem Mitglied, das zu diesen Gruppen gehört, die Rolle als Sicherheitsoperator zu.

So erstellen Sie Gruppen und fügen Mitglieder hinzu:

1. Gehen Sie zum Microsoft Azure Portal auf portal.azure.com und melden Sie sich mit einem globalen Administratorkonto an.
2. Gehen Sie zu Microsoft Entra ID > Gruppen > Neue Gruppe.
   Das Dialogfeld Neue Gruppe wird geöffnet.

3. Konfigurieren Sie die folgenden Optionen für die Gruppe WatchGuard SOC-Analysten:
   • Gruppentyp — Sicherheit
   • Gruppenname — WatchGuard SOC-Analysten
   • Gruppenbeschreibung — WatchGuard SOC-Analysten
   • Entra ID-Rollen dürfen der Gruppe zugewiesen werden — Ja
   • Mitgliedertyp — Zugewiesen
   • Owner — Owner oder Mitglieder optional hinzufügen. Sie können Mitglieder und Owner auch hinzufügen, nachdem Sie die Gruppe erstellt haben.
     Um diese Gruppe später mit Daten zu füllen, senden Sie Einladungen an die WatchGuard SOC-Analysten, die von den Mitgliedern der Gruppe SOC-Genehmiger autorisiert wurden.
   • Rollen — Klicken Sie auf Keine Rollen ausgewählt.
     Das Verzeichnis Rollen wird geöffnet.
     1. Suchen und wählen Sie im Suchfeld die Rolle Sicherheitsoperator aus.
     2. Klicken Sie auf Auswählen.
4. Klicken Sie auf Erstellen.
5. Klicken Sie auf Neue Gruppe.
   Das Dialogfeld Neue Gruppe wird geöffnet.
6. Konfigurieren Sie die folgenden Optionen für die Gruppe WatchGuard SOC-Genehmiger:
   • Gruppentyp — Sicherheit
   • Gruppenname — WatchGuard SOC-Genehmiger
   • Gruppenbeschreibung — WatchGuard SOC-Genehmiger
   • Entra ID-Rollen dürfen der Gruppe zugewiesen werden — Ja
   • Mitgliedertyp — Zugewiesen
   • Rollen — Klicken Sie auf Keine Rollen ausgewählt.
     Das Verzeichnis Rollen wird geöffnet.
     1. Suchen und wählen Sie im Suchfeld die Rolle Sicherheitsoperator aus.
     2. Klicken Sie auf Auswählen.
        Die Mitglieder, die Sie hier hinzufügen, sind die ursprünglichen Genehmiger der SOC-Teammitglieder. Dies ist eine kleine Benutzergruppe, die den Zugriff auf Mitglieder der WatchGuard SOC-Analystengruppe genehmigt.

Nachdem Sie die Gruppe erstellt und die verbundene Organisation festgelegt haben, wenden Sie sich an Ihren Sales Engineer, um die Kontaktinformationen der Mitglieder für diese Gruppe zu erhalten. Anschließend müssen Sie die beiden externen Benutzer einladen und der Gruppe WatchGuard SOC-Genehmiger hinzufügen. Wenn Sie diesen Schritt nicht abschließen, gibt es keinen ersten Genehmiger, der den Zugriff auf die Genehmigergruppe validiert.

Kataloge in Entra ID erstellen

In Entra ID gruppieren Kataloge zusammengehörige Ressourcen und Zugriffspakete. Sie müssen Kataloge für die Gruppen WatchGuard SOC-Analysten und WatchGuard SOC-Genehmiger erstellen.

So erstellen Sie Kataloge:

1. Gehen Sie auf dem Azure-Portal zu Microsoft Entra ID >Verwalten > Identity Governance.
2. Wählen Sie im linken Navigationsmenü Kataloge > Neuer Katalog.
   Die Seite Neuer Katalog wird geöffnet.

3. Geben Sie in das Textfeld Name WatchGuard SOC-Analysten ein.
4. Geben Sie in das Textfeld Beschreibung Zugriffssammlung SOC-Analysten ein.
5. Wählen Sie für Aktiviert die Option Ja.
6. Wählen Sie für Für externe Benutzer aktiviert die Option Ja.
7. Klicken Sie auf Erstellen.
8. Klicken Sie auf Neuer Katalog.
9. Geben Sie in das Textfeld Name WatchGuard-Genehmiger ein.
10. Geben Sie in das Textfeld Beschreibung Zugriffssammlung Genehmiger ein.
11. Wählen Sie für Aktiviert die Option Ja.
12. Wählen Sie für Für externe Benutzer aktiviert die Option Ja.
13. Klicken Sie auf Erstellen.

Katalogen Ressourcen hinzufügen

So fügen Sie den einzelnen Katalogen Ressourcen hinzu:

1. Gehen Sie auf dem Azure-Portal zu Microsoft Entra ID >Verwalten > Identity Governance.
2. Wählen Sie im linken Navigationsmenü Kataloge.
   Die Seite Kataloge wird geöffnet.

3. Wählen Sie den Katalog WatchGuard SOC-Analysten.
4. Wählen Sie im linken Navigationsmenü Verwalten > Ressourcen > Ressourcen hinzufügen.
   Die Seite Ressourcen zu Katalog hinzufügen wird geöffnet.

5. Klicken Sie auf + Gruppen und Teams.
   Die Seite Gruppen auswählen wird geöffnet.

6. Wählen Sie die Gruppe WatchGuard SOC-Analysten. Klicken Sie auf Auswählen.
7. Fügen Sie dem Katalog die Gruppe hinzu.
8. Gehen Sie zur Seite Kataloge zurück und wiederholen Sie diese Schritte für den Katalog WatchGuard-Genehmiger.
   

Zugriffspakete in der Berechtigungsverwaltung (Microsoft Defender for Endpoint P1, P2 und Defender for Business) erstellen

Für Umgebungen mit Lizenzen für Microsoft Defender for Endpoint P1, P2 oder Defender for Business müssen Sie in der Berechtigungsverwaltung ein neues Zugriffspaket erstellen. Ein Zugriffspaket ermöglicht es Ihnen, mehreren Ressourcen im Katalog einen Zugriff zuzuweisen. Um Benutzer einem Zugriffspaket zuzuweisen, muss dieses mindestens eine Regel besitzen.

Zugriffspakete erstellen

Sie müssen ein Zugriffspaket für die Gruppe WatchGuard SOC-Genehmiger und ein zweites Zugriffspaket für die Gruppe WatchGuard-Analysten erstellen.

So erstellen Sie ein Zugriffspaket für die Gruppe WatchGuard SOC-Genehmiger:

1. Gehen Sie auf dem Azure-Portal zu Microsoft Entra ID >Verwalten > Identity Governance.
2. Wählen Sie im linken Navigationsmenü Berechtigungsverwaltung > Zugriffspakete > Neues Zugriffspaket.
   Die Seite Neues Zugriffspaket wird geöffnet.

3. Geben Sie in das Textfeld Name WatchGuard SOC-Genehmiger ein.
4. Geben Sie in das Textfeld Beschreibung WatchGuard-Genehmigerpaket ein.
5. Wählen Sie in der Dropdown-Liste Katalog die Option WatchGuard-Genehmigerzugriff.
6. Klicken Sie auf Weiter: Ressourcenrollen >.
7. Klicken Sie auf + Gruppen und Teams.
8. Wählen Sie die Gruppe WatchGuard SOC-Genehmiger. Klicken Sie auf Auswählen.
   Die Gruppe WatchGuard SOC-Genehmiger wird in der Liste Ressourcenrollen angezeigt.

9. Wählen Sie in der Dropdown-Liste Rolle die Option Mitglied oder Owner.
10. Klicken Sie auf Weiter: Anfragen.
    Die Registerkarte Anfragen wird angezeigt.

11. Wählen Sie im Abschnitt Benutzer, die einen Zugriff beantragen können die Optionen Für Benutzer außerhalb meines Verzeichnisses und Bestimmte verbundene Organisationen.
12. Klicken Sie im Abschnitt Verbundene Organisationen wählen auf +Verzeichnisse hinzufügen.
    Das Fenster Verzeichnisse auswählen wird angezeigt.

13. Geben Sie in das Suchfeld die Option watchguard.com ein und wählen Sie WatchGuard. Klicken Sie auf Auswählen.
14. Scrollen Sie zum Abschnitt Genehmigung.

15. Wählen Sie für Genehmigung erforderlich die Option Ja.
16. Wählen Sie für Anfragebegründung erforderlich die Option Ja.
17. Wählen Sie für Anzahl der Stufen die Option 1.
18. Wählen Sie in der Dropdown-Liste Erster Genehmiger Bestimmte Genehmiger auswählen > Genehmiger hinzufügen.
    Die Seite Genehmiger auswählen wird geöffnet.

19. Suchen und wählen Sie die Gruppe WatchGuard SOC-Genehmiger aus. Klicken Sie auf Auswählen.
    Auf diese Weise können Genehmiger bei Bedarf weitere Genehmiger hinzufügen.
20. Wählen Sie für Entscheidung muss in wie vielen Tagen getroffen werden? die Option 14.
21. Wählen Sie für Genehmigerbegründung erforderlich die Option Ja.
22. Wählen Sie für Neue Anforderungen aktivieren die Option Ja.
23. Klicken Sie auf Weiter: Angaben zum Anforderer. Diese Optionen müssen nicht konfiguriert werden.
    
24. Klicken Sie auf Weiter: Lebenszyklus.
    Die Registerkarte Lebenszyklus wird angezeigt.
25. Wählen Sie für Ablauf der Zuweisungen des Zugriffspakets die Option Nie.
26. Wählen Sie für Benutzer können eine bestimmte Timeline anfordern die Option Nein.
27. Wählen Sie für Zugriffsüberprüfungen erforderlich die Option Nein.
28. Klicken Sie auf Weiter: Richtlinien. Diese Optionen müssen nicht konfiguriert werden.
29. Klicken Sie auf Überprüfen + Erstellen.
30. Überprüfen Sie die Einstellungen des Zugriffspakets und klicken Sie auf Erstellen.

So erstellen Sie ein Zugriffspaket für die Gruppe WatchGuard SOC-Analysten:

1. Gehen Sie auf dem Azure-Portal zu Microsoft Entra ID >Verwalten > Identity Governance.
2. Wählen Sie im linken Navigationsmenü Berechtigungsverwaltung > Zugriffspakete > Neues Zugriffspaket.
   Die Seite Neues Zugriffspaket wird geöffnet.
3. Geben Sie in das Textfeld Name WatchGuard SOC-Analyst ein.
4. Geben Sie in das Textfeld Beschreibung WatchGuard-Analystenpaket ein.
5. Wählen Sie in der Dropdown-Liste Katalog die Option WatchGuard SOC-Analysten.
6. Klicken Sie auf Weiter: Ressourcenrollen.
7. Klicken Sie auf + Gruppen und Teams.
8. Wählen Sie die Gruppe WatchGuard SOC-Analysten. Klicken Sie auf Auswählen.
   Die Gruppe WatchGuard SOC-Genehmiger wird in der Liste Ressourcenrollen angezeigt.
9. Wählen Sie in der Dropdown-Liste Rolle die Option Mitglied oder Owner.
10. Klicken Sie auf Weiter: Anfragen.
    Die Registerkarte Anfragen wird angezeigt.
11. Wählen Sie im Abschnitt Benutzer, die einen Zugriff beantragen können die Optionen Für Benutzer außerhalb meines Verzeichnisses und Bestimmte verbundene Organisationen.
12. Klicken Sie im Abschnitt Verbundene Organisationen wählen auf +Verzeichnisse hinzufügen.
    Das Fenster Verzeichnisse auswählen wird angezeigt.
13. Finden Sie im Suchfeld die Option watchguard.com und wählen Sie WatchGuard. Klicken Sie auf Auswählen.
14. Scrollen Sie zum Abschnitt Genehmigung.
15. Wählen Sie für Genehmigung erforderlich die Option Ja.
16. Wählen Sie für Anfragebegründung erforderlich die Option Ja.
17. Wählen Sie für Anzahl der Stufen die Option 1.
18. Wählen Sie in der Dropdown-Liste Erster Genehmiger Bestimmte Genehmiger auswählen > Genehmiger hinzufügen.
    Die Seite Genehmiger auswählen wird geöffnet.

19. Suchen und wählen Sie die Gruppe WatchGuard SOC-Genehmiger aus. Klicken Sie auf Auswählen.
    Die Mitglieder der Gruppe Genehmiger erlauben Analysten den Zugriff auf diese Gruppe.
20. Wählen Sie für Entscheidung muss in wie vielen Tagen getroffen werden? die Option 14.
21. Wählen Sie für Genehmigerbegründung erforderlich die Option Ja.
22. Wählen Sie für Neue Anforderungen aktivieren die Option Ja.
23. Klicken Sie auf Weiter: Angaben zum Anforderer. Diese Optionen müssen nicht konfiguriert werden.
    
24. Klicken Sie auf Weiter: Lebenszyklus.
    Die Registerkarte Lebenszyklus wird angezeigt.
25. Wählen Sie für Ablauf der Zuweisungen des Zugriffspakets die Option Nie.
26. Wählen Sie für Benutzer können eine bestimmte Timeline anfordern die Option Nein.
27. Wählen Sie für Zugriffsüberprüfungen erforderlich die Option Nein.
28. Klicken Sie auf Weiter: Richtlinien. Diese Optionen müssen nicht konfiguriert werden.
29. Klicken Sie auf Überprüfen + Erstellen.
30. Überprüfen Sie die Einstellungen des Zugriffspakets und klicken Sie auf Erstellen.

Link zu My Access Portal

Der Katalog des Zugriffspakets ist für externe Benutzer aktiviert. Externe Benutzer können den Link zum My Access Portal nutzen, um das Zugriffspaket anzufordern.

Sie müssen beide Links mit WatchGuard teilen, damit die entsprechenden Teams die SOC-Analysten und -Genehmiger aufnehmen können.

Der Link beginnt mit myaccess, enthält einen Verzeichnishinweis und endet mit einer Zugriffspaket-ID. Zum Beispiel: https://myaccess.microsoft.com/@<directory_hint>#/access-packages/<access_package_id>

Fügen Sie beim Ausfüllen des MDR Microsoft Defender for Endpoint Onboarding-Formulars die Links für die WatchGuard SOC-Genehmiger und WatchGuard SOC-Analysten hinzu. Weitere Informationen zum Formular finden Sie unter Onboarding-Formulare ausfüllen.

Erweiterte Funktionen in Microsoft Defender for Endpoints aktivieren

Wenn Sie über eine Microsoft 365 Enterprise E5- oder Microsoft 365 Enterprise E3-Umgebung verfügen, stellen Sie sicher, dass Sie die minimalen Funktionsanforderungen aktivieren.

So aktivieren Sie die erforderlichen erweiterten Funktionen in Microsoft Defender for Endpoints:

1. Gehen Sie zu Microsoft Defender und melden Sie sich mit einem zugewiesenen Sicherheitsadministrator- oder globalen Administratorkonto an.
2. Wählen Sie im linken Navigationsmenü Einstellungen > Endpoints > Erweiterte Funktionen.

3. Stellen Sie sicher, dass die erweiterten Funktionen von Microsoft Defender die folgenden Mindestanforderungen erfüllen:
   

Erweiterte Funktion	Anforderung
Eingeschränkte Korrelation innerhalb bereichsbezogener Gerätegruppen	Optional
EDR im Blockmodus aktivieren	Erforderlich
Warnungen automatisch beheben	Erforderlich
Dateien zulassen oder blockieren	Erforderlich
Benutzerdefinierte Netzwerkindikatoren	Erforderlich
Manipulationsschutz	Erforderlich
Benutzerdetails anzeigen	Erforderlich
Skype for Business Integration	Optional
Microsoft Defender for Cloud Apps	Erforderlich
Webinhaltsfilterung (vom Kunden des Partners verwaltet)	Erforderlich
Geräteerkennung	Erforderlich
In Quarantäne befindliche Dateien herunterladen	Erforderlich
Liveantwort	Erforderlich
Liveantwort für Server	Erforderlich
Ausführung von nicht signiertem Skript in Liveantwort	Erforderlich
Endpoint-Warnmeldungen für das Microsoft Compliance Center freigeben	Optional
Microsoft Intune-Verbindung	Erforderlich
Authentifizierte Telemetrie	Erforderlich
Vorschau neuer Funktionen	Optional
Benachrichtigungen bei Endpoint-Angriffen	Überspringen

4. Klicken Sie auf Einstellungen speichern.

Onboarding-Formulare ausfüllen

Füllen Sie das MDR Microsoft Defender for Endpoint Onboarding-Formular aus, nachdem Sie Ihre Microsoft-Umgebung konfiguriert haben. Um das Formular auszufüllen, müssen Sie über folgende Informationen aus Ihrem Microsoft-Konto verfügen:

• Microsoft Mandanten-ID — Format der Mandanten-ID: XXXXXXX-XXXX-MXXX-NXXX-XXXX. Anleitungen von Microsoft zur Suche nach Ihrer Mandanten-ID erhalten Sie im Abschnitt So finden Sie Ihre Microsoft Entra-Mandanten-ID in der Microsoft-Dokumentation.
• Link zu WatchGuard SOC-Genehmigern und Link zu WatchGuard SOC-Analysten — Weitere Informationen zu diesen Links finden Sie unter Link zu My Access Portal.

Außerdem benötigen Sie folgende Informationen:

• Firmenname des Kunden — Firmenname des Kundenkontos für diesen Konnektor.
• Firmenname des Partners — Firmenname des Partners.
• WatchGuard-Partner-ID — Format der Partner-ID: ACC-XXXXXXX.
• E-Mail-Adresse des Partners — E-Mail-Adresse des Partners, die das Bereitstellungsteam bei Fragen verwenden kann.
• WatchGuard-Konto-ID des Kunden/Subscribers — Konto-ID-Format: ACC-XXXXXXX oder WGC-X-XXXXXXXXXXXXXXXXXXXX.

Ähnliche Themen

Über WatchGuard Core MDR for Microsoft-Lizenzen

Über WatchGuard MDR