Sentinel-Migration ab 5. Juni: Microsoft vereint SIEM und XDR

Microsoft hat seine Sicherheitsstrategie mit mehreren Maßnahmen gestärkt – von frischen Defender-Updates für Windows-Installationen bis zur Zusammenlegung seiner Sicherheitsplattformen.

Der Softwarekonzern veröffentlichte am heutigen Samstag ein neues Defender-Update für Windows-Installationsimages (WIM und VHD). Gleichzeitig treibt Microsoft die Integration seines SIEM-Tools Sentinel in ein einheitliches Sicherheitsportal voran. Die Maßnahmen zielen darauf ab, Sicherheitslücken zu schließen, die zwischen der Erstinstallation eines Betriebssystems und der ersten Internetverbindung entstehen.

Defender-Update schließt kritische Lücke bei Neuinstallationen

Anzeige: Die Zusammenlegung von Sentinel und Defender schafft eine einheitliche SIEM+XDR-Oberfläche – doch die Migration will geplant sein. Unser Leitfaden zeigt Ihnen die entscheidenden Schritte, von der Integration bis zur Härtung Ihrer Windows-Installationsimages. Migrations-Leitfaden jetzt kostenlos anfordern

Das aktualisierte Offline-Paket mit der Version 1.445.323.0 betrifft Windows 11, Windows 10 (inklusive ESU- und LTSC-Editionen) sowie Windows Server 2022, 2019 und 2016. Die technischen Spezifikationen umfassen die Plattformversion 4.18.26040.7 und die Engine-Version 1.1.26040.8.

Durch die Aktualisierung der Sicherheitsintelligenz in den Installationsimages sollen neue Systeme von Beginn an gegen Ransomware, Trojaner und unautorisierte Tools wie AutoKMS geschützt sein. Bislang bestand hier eine gefährliche Schutzlücke: Vom ersten Systemstart bis zur ersten Aktualisierung über das Internet vergingen oft wertvolle Minuten – genug Zeit für Angreifer.

Sentinel wandert ins einheitliche Defender-Portal

Bereits seit dem 5. Juni läuft die Migration von Microsoft Sentinel in das vereinheitlichte Microsoft Defender Portal. Das Ziel: eine einzige Oberfläche für SIEM- (Security Information and Event Management) und XDR-Funktionen (Extended Detection and Response).

Die neue Architektur behält Sentinel als SIEM-Motor im Hintergrund, während Defender for Cloud Telemetriedaten direkt ins Portal einspeist. Sicherheitsexperten müssen künftig nicht mehr zwischen verschiedenen Tools wechseln – kontextualisierte Alarme sollen schnellere Entscheidungen ermöglichen. Ein Schritt, der angesichts der zunehmenden Bedrohungslage längst überfällig war.

Strategischer Kurswechsel bei Drittanbieter-Warnungen

Interessant ist ein paralleler Vorgang: Microsoft löschte offenbar einen Blogbeitrag vom April 2026, der Windows Defender als ausreichenden alleinigen Schutz dargestellt hatte. Hintergrund könnten unabhängige Testergebnisse sein.

Im März 2026 erreichte Defender in einer Offline-Erkennungsprüfung von AV-Comparatives lediglich 89,2 Prozent – während mehrere Wettbewerber auf 98,6 Prozent kamen. Die Tester bezeichneten die Löschung des Beitrags als konstruktiven Schritt. Microsoft betont weiterhin die Zusammenarbeit mit Drittanbietern über das Microsoft Viability Integration (MVI)-Programm, das tiefe Integration in das Windows-Ökosystem ermöglicht.

Großkunden setzen auf Tempo

Dass die Microsoft-Sicherheitslösungen auch im Enterprise-Bereich überzeugen, zeigt ein aktuelles Beispiel: Der brasilianische Telekommunikationskonzern TIM Brasil rollte Microsoft Defender XDR innerhalb von nur 20 Tagen auf 12.000 Endpunkte aus. Das Unternehmen nutzte dabei Defender Experts for XDR als Erweiterung seines Sicherheitsoperationszentrums, um eine zuvor fragmentierte Sicherheitslandschaft zu vereinheitlichen – ohne laufende Geschäftsprozesse zu unterbrechen.

Training senkt menschliche Risiken drastisch

Ein weiterer Baustein der Microsoft-Strategie: die Defender Attack Simulation Training. Aktuelle Daten vom 4. Juni zeigen, dass solche Schulungen menschliche Sicherheitsrisiken um bis zu 85 Prozent reduzieren können. Die anfängliche Klickrate bei Phishing-Simulationen liegt bei etwa 33 Prozent – nach zwölf Wochen Training sinkt sie auf fünf bis zehn Prozent, nach einem Jahr sogar auf vier bis fünf Prozent. Ein Beleg dafür, dass Technik allein nicht reicht – die Mitarbeiter sind oft das schwächste Glied.

Kritische Sicherheitslücken bleiben akut

Anzeige: Mitarbeiter bleiben das schwächste Glied: Phishing-Klickraten von 33 % sind keine Seltenheit. Mit den richtigen Simulationen senken Sie das Risiko um bis zu 85 %. Unser Report liefert fünf sofort einsetzbare Trainings-Szenarien. Phishing-Schutz-Report jetzt sichern

Parallel zu den Produktneuheiten warnt die US-Cybersicherheitsbehörde CISA vor aktiven Bedrohungen. Die Behörde hat die Schwachstelle CVE-2026-32202 in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Der Fehler betrifft die Windows-Shell und wird bereits von staatlich unterstützten Akteuren ausgenutzt.

Noch kritischer ist CVE-2026-41089: Ein Stack-basierter Pufferüberlauf in Netlogon mit einem CVSS-Score von 9,8 von 10. Obwohl Microsoft den Patch bereits am 12. Mai 2026 veröffentlichte, bleibt die aktive Ausnutzung ein erhebliches Risiko für ungepatchte Windows Server Domain Controller. Angreifer könnten damit unbefugten SYSTEM-Level-Zugriff erlangen.

Für Administratoren heißt das: Sofort patchen – und die neuen Defender-Offline-Images für alle Neuinstallationen verwenden.

de | wissenschaft | 69494300 |