Episode 3: TVM im Defender - Threat & Vulnerability Management

Red & Black Beard Security Podcast – Episode 3: TVM –
Defender for Endpoints vernachlässigter Schwiegersohn


Description (EN)


In Episode 3, Marcus and Marc take a deep dive into Microsoft
Defender Vulnerability Management (TVM) — the add-on to Defender
for Endpoint Plan 2 that often flies under the radar despite
delivering significant security value.


They walk through everything TVM extends beyond standard MDE P2:
enriched firmware inventory with CVE associations, browser
extension visibility (including some eyebrow-raising real-world
finds), certificate inventory for PKI hygiene, and network share
scanning for hybrid environments still running classic file
servers.


The hosts also discuss Security Baselines — how to continuously
audit Windows endpoints against CIS benchmarks, STIG guidelines,
and what to watch out for when settings configured via Intune
don't show up in GPO-based baseline checks. They close with a
look at TVM's extended remediation options: from Intune ticket
integration to the Application Block feature and its real-world
limitations around Microsoft-signed apps and UWP store
applications.


A practical episode for anyone who already runs Defender for
Endpoint and wants to extract more security insight from their
existing deployment — including a tip on the free 90-day TVM
trial.


Beschreibung (DE)


In Folge 3 sprechen Marcus und Marc über das Microsoft Defender
Vulnerability Management (TVM) – das Add-on zu Defender for
Endpoint Plan 2, das trotz echtem Mehrwert häufig im Schatten
steht.


Die beiden zeigen, was TVM über das Standard-MDE-P2-Paket hinaus
bietet: erweitertes Firmware-Inventar mit CVE-Zuordnung,
Browser-Extension-Sichtbarkeit (inklusive einiger sehr
eindrücklicher Praxisbeispiele), Zertifikats-Inventar für
PKI-Hygiene sowie Network-Share-Scanning für hybride Umgebungen,
die noch klassische Dateiserver betreiben.


Außerdem geht es um Security Baselines – wie man
Windows-Endpunkte kontinuierlich gegen CIS-Benchmarks und
STIG-Guidelines auditiert – und um einen wichtigen Fallstrick:
Settings, die über Intune konfiguriert werden, können von
GPO-basierten Baseline-Checks als fehlend erkannt werden, weil
sie in anderen Registry-Pfaden landen. Zum Abschluss schauen die
Hosts auf die erweiterten Remediation-Optionen des TVM, darunter
Intune-Ticket-Integration und der Application-Block-Feature mit
seinen Grenzen bei Microsoft-Apps und UWP-Store-Anwendungen.


Eine praxisnahe Folge für alle, die Defender for Endpoint bereits
im Einsatz haben und mehr Security-Erkenntnisse aus ihrem
bestehenden Deployment herausholen wollen – inklusive Hinweis auf
die kostenlose 90-Tage-TVM-Trial.


Chapters


00:00 – Intro & Rahmen


00:45 – Was MDE Plan 2 bereits mitbringt


01:50 – TVM Add-on: Erweitertes Endpoint-Inventar


02:43 – Firmware-Sichtbarkeit und CVE-Assoziationen


03:48 – Browser-Extensions: Was läuft wirklich auf den Geräten?


07:09 – Zertifikats-Inventar und PKI-Hygiene


09:00 – Erweiterte Event-Timeline & EPSS-Score


11:09 – Network Shares: Die hybride Realität


12:31 – Security Baselines: Kontinuierliches Hardening-Audit


15:35 – CIS, STIG und weitere Benchmark-Frameworks


16:13 – GPO vs. Intune: Der Registry-Fallstrick


19:30 – Usability-Kritik am Interface


21:09 – Remediation-Optionen im Überblick


22:34 – Application Block: Schnelle Reaktion statt Patch


23:34 – Einschränkungen: Microsoft-Apps, UWP, Mac & Linux


28:52 – TVM 90-Tage-Trial und Fazit


29:49 – Outro