Was sind Risikoerkennungen?

  • Artikel

Risikoerkennungen in Microsoft Entra ID Protection umfassen alle identifizierten verdächtigen Aktionen im Zusammenhang mit Benutzerkonten im Verzeichnis. Risikoerkennungen (im Zusammenhang mit Benutzern und Anmeldungen) tragen zur Gesamtrisikobewertung des Benutzers bei, die im Bericht zu riskanten Benutzern enthalten ist.

ID  Protection bietet Organisationen Zugriff auf leistungsstarke Ressourcen, um diese verdächtigen Aktionen zu erkennen und schnell darauf zu reagieren.

Sicherheitsübersicht riskanter Benutzer und Anmeldungen

Hinweis

ID Protection generiert nur dann Risikoerkennungen, wenn die richtigen Anmeldeinformationen verwendet werden. Wenn bei der Anmeldung falsche Anmeldeinformationen verwendet werden, stellt dies kein Risiko durch eine Gefährdung der Anmeldeinformationen dar.

Risikotypen und Erkennung

Risiken können auf Ebene der Benutzer und der Anmeldungen erkannt werden, und es gibt zwei Arten der Erkennung oder Berechnung (Echtzeit und Offline). Einige Risiken werden als „Premium“ betrachtet und sind nur für Kund*innen von Microsoft Entra ID P2 verfügbar, während andere auch Microsoft Entra ID-Kund*innen mit Free- und P1-Lizenzen zur Verfügung stehen.

Ein Anmelderisiko stellt die Wahrscheinlichkeit dar, dass es sich bei einer bestimmten Authentifizierungsanforderung nicht um den autorisierten Identitätsinhaber handelt. Bei einem Benutzer können riskante Aktivitäten erkannt werden, die nicht mit einer bestimmten bösartigen Anmeldung, sondern mit dem Benutzer selbst verbunden sind.

Echtzeit-Erkennungen werden möglicherweise erst nach 5 bis 10 Minuten in den Berichten angezeigt. Offline-Erkennungen werden möglicherweise erst nach 48 Stunden in den Berichten angezeigt.

Hinweis

Unser System kann feststellen, dass das Risikoereignis, das zur Risikorisikobewertung beigetragen hat, eine der folgenden Möglichkeiten war:

  • Ein falscher Positivbefund
  • Das Benutzerrisiko wurde behoben mit einer Richtlinie durch eine der folgenden Möglichkeiten:
    • Durchführen der Multi-Faktor-Authentifizierung
    • Sichere Kennwortzeichenfolge.

Unser System wird den Risikostatus verwerfen und das Risikodetail „Sichere Anmeldung durch KI bestätigt“ wird angezeigt. Das Ereignis trägt somit nicht mehr zum Gesamtrisiko des Benutzers bei.

Risikoerkennungen von Anmeldungen

Risikoerkennung Erkennungstyp Typ
Ungewöhnlicher Ortswechsel Offline Premium
Anomales Token Echtzeit oder offline Premium
Verdächtiger Browser Offline Premium
Ungewöhnliche Anmeldeeigenschaften Echtzeit Premium
Schädliche IP-Adresse Offline Premium
Verdächtige Regeln zur Posteingangsänderung Offline Premium
Kennwortspray Offline Premium
Unmöglicher Ortswechsel Offline Premium
Neues Land/neue Region Offline Premium
Aktivität über anonyme IP-Adresse Offline Premium
Verdächtige Weiterleitung des Posteingangs Offline Premium
Massenzugriff auf vertrauliche Dateien Offline Premium
Überprüfte Bedrohungsakteur-IP Echtzeit Premium
Zusätzliches Risiko erkannt Echtzeit oder offline Nicht-Premium
Anonyme IP-Adresse Echtzeit Nicht-Premium
Benutzergefährdung durch Administrator bestätigt Offline Nicht-Premium
Threat Intelligence von Microsoft Entra Echtzeit oder offline Nicht-Premium

Benutzerrisikoerkennungen

Risikoerkennung Erkennungstyp Typ
Möglicher Versuch, auf primäres Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen Offline Premium
Anomale Benutzeraktivität Offline Premium
Der Benutzer hat verdächtige Aktivitäten gemeldet Offline Premium
Verdächtiger API-Datenverkehr Offline Premium
Verdächtiges Senden von Mustern Offline Premium
Zusätzliches Risiko erkannt Echtzeit oder offline Nicht-Premium
Kompromittierte Anmeldeinformationen Offline Nicht-Premium
Threat Intelligence von Microsoft Entra Offline Nicht-Premium

Premium-Erkennungen

Die folgenden Premium-Erkennungen sind nur für Microsoft Entra ID P2-Kund*innen sichtbar.

Premium-Erkennungen bei Anmelderisiken

Ungewöhnlicher Ortswechsel

Offline berechnet. Mit diesem Risikoerkennungstyp werden zwei Anmeldungen identifiziert, die von weit entfernten Orten durchgeführt wurden und bei denen mindestens einer der Orte aufgrund des bisherigen Verhaltens atypisch für eine Benutzer*in sein kann. Der Algorithmus berücksichtigt mehrere Faktoren wie etwa die Zeit zwischen zwei Anmeldungen und die Zeit, die ein*e Benutzer*in benötigen würde, um vom ersten zum zweiten Ort zu gelangen. Dieses Risiko könnte darauf hindeuten, dass ein*e anderer Benutzer*in die gleichen Anmeldeinformationen verwendet.

Bei diesem Algorithmus werden offensichtliche falsch positive Ergebnisse ignoriert, die zu den unmöglichen Ortswechselbedingungen beitragen. Hierzu zählen etwa VPNs und regelmäßig von anderen Benutzern der Organisation verwendete Standorte. Das System verfügt über einen anfänglichen Lernzeitraum von 14 Tagen oder 10 Anmeldungen (je nachdem, welcher Punkt früher erreicht wird), in dem das Anmeldeverhalten des neuen Benutzers erlernt wird.

Untersuchen von Erkennungen ungewöhnlicher Ortswechsel
  1. Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde:
    1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die Benutzerin, wenn der Angreifer/die Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, und setzen Sie das Kennwort zurück.
  2. Wenn bekannt ist, dass der Benutzer bzw. die Benutzerin die IP-Adresse im Rahmen seiner/ihrer Aufgaben verwendet:
    1. Empfohlene Aktion: Schließen Sie die Warnung.
  3. Wenn Sie bestätigen können, dass ein*e Benutzer*in sich vor Kurzem an dem in der Warnung genannten Ziel befunden hat:
    1. Empfohlene Aktion: Schließen Sie die Warnung.
  4. Wenn Sie bestätigen können, dass der IP-Adressbereich aus einem genehmigten VPN stammt:
    1. Empfohlene Aktion: Markieren Sie die Anmeldung als sicher, und fügen Sie den VPN-IP-Adressbereich zu den benannten Speicherorten in Microsoft Entra ID und Microsoft Defender for Cloud Apps hinzu.

Anomales Token

In Echtzeit oder offline berechnet. Diese Erkennung deutet darauf hin, dass der Token ungewöhnliche Merkmale aufweist, z.B. eine ungewöhnliche Gültigkeitsdauer oder einen Token, der von einem unbekannten Ort aus gespielt wird. Diese Erkennung deckt Sitzungstoken und Aktualisierungstoken ab.

Hinweis

Ein anomales Token wird optimiert, um mehr Rauschen als andere Erkennungen auf derselben Risikostufe zu generieren. Dieser Kompromiss wird gewählt, um die Wahrscheinlichkeit zu erhöhen, dass wiedergegebene Token erkannt werden, die andernfalls möglicherweise unbemerkt bleiben. Weil dies eine Erkennung mit hohen Rauschen ist, ist die Wahrscheinlichkeit höher, dass einige der von dieser Erkennung gekennzeichneten Sitzungen falsch positive Ergebnisse sind. Wir empfehlen, die von dieser Erkennung gekennzeichneten Sitzungen im Kontext anderer Anmeldungen des Benutzers zu untersuchen. Wenn der Standort, die Anwendung, die IP-Adresse, der Benutzer-Agent oder andere Merkmale für den Benutzer unerwartet sind, sollte der Mandantenadministrator dieses Risiko als Indikator für eine potenzielle Tokenwiedergabe betrachten.

Untersuchen von Erkennungen anomaler Token
  1. Wenn Sie bestätigen können, dass die Aktivität nicht von einem berechtigten Benutzer bzw. einer berechtigten Benutzerin ausgeführt wurde, da eine Kombination aus Risikowarnung, Standort, Anwendung, IP-Adresse, Benutzer-Agent oder anderen Merkmalen verwendet wurde, die für den Benutzer oder die Benutzerin unerwartet sind:
    1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen Sie alle Token.
  2. Wenn Sie den Standort, die Anwendung, die IP-Adresse, den Benutzer-Agent oder andere Merkmale für den Benutzer oder die Benutzerin bestätigen können und es keine weiteren Anzeichen für eine Kompromittierung gibt:
    1. Empfohlene Aktion: Ermöglichen Sie dem Benutzer oder der Benutzerin eine Eigenwartung mithilfe einer Risikorichtlinie für bedingten Zugriff, oder veranlassen Sie, dass ein Administrator oder eine Administratorin die Anmeldung als sicher bestätigt.

Weitere Informationen zu tokenbasierten Erkennungen finden Sie im Artikel Token tactics: How to prevent, detect, and respond to cloud token theft (Tokentaktiken: Verhindern, Erkennen und Reagieren auf den Diebstahl von Cloudtoken) und im Playbook zur Untersuchung von Tokendiebstahl.

Anomalie beim Tokenaussteller

Offline berechnet. Diese Risikoerkennung gibt an, dass der SAML-Tokenaussteller für das zugeordnete SAML-Token möglicherweise kompromittiert ist. Die im Token enthaltenen Ansprüche sind ungewöhnlich oder stimmen mit bekannten Angriffsmustern überein.

Untersuchen von Anomalieerkennungen bei Tokenherausgebern
  1. Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde:
    1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen Sie alle Token.
  2. Wenn der Benutzer bzw. die Benutzerin bestätigt hat, dass diese Aktion von ihm/ihr ausgeführt wurde, und es keine anderen Hinweise auf eine Gefährdung gibt:
    1. Empfohlene Aktion: Ermöglichen Sie dem Benutzer oder der Benutzerin eine Eigenwartung mithilfe einer Risikorichtlinie für bedingten Zugriff, oder veranlassen Sie, dass ein Administrator oder eine Administratorin die Anmeldung als sicher bestätigt.

Weitere Untersuchungen von tokenbasierten Erkennungen finden Sie im Artikel Token tactics: How to prevent, detect, and respond to cloud token theft (Tokentaktiken: Verhindern, Erkennen und Reagieren auf den Diebstahl von Cloudtoken).

Verdächtiger Browser

Offline berechnet. Die Erkennung „Verdächtiger Browser“ weist auf ein anomales Verhalten hin, das auf verdächtigen Anmeldeaktivitäten mehrerer Mandanten aus verschiedenen Ländern im selben Browser beruht.

Untersuchen von Erkennungen verdächtiger Browserverwendungen
  • Der Browser wird vom Benutzer bzw. von der Benutzer im Allgemeinen nicht verwendet, oder die Aktivität im Browser entspricht nicht dem normalen Benutzerverhalten.
    • Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen Sie alle Token.

Ungewöhnliche Anmeldeeigenschaften

In Echtzeit berechnet. Dieser Risikoerkennungstyp betrachtet den Anmeldungsverlauf, um nach anomalen Anmeldungen zu suchen. Das System speichert Informationen zu früheren Anmeldungen und löst eine Risikoerkennung aus, wenn eine Anmeldung mit Eigenschaften auftritt, die dem Benutzer nicht vertraut sind. Zu diesen Eigenschaften zählen IP, ASN, Standort, Gerät, Browser und Mandanten-IP-Subnetz. Neu erstellte Benutzer befinden sich im „Lernmodus“, in dem die Risikoerkennung für unbekannte Anmeldeeigenschaften ausgeschaltet ist, während unsere Algorithmen das Verhalten des Benutzers erlernen. Die Dauer des Lernmodus ist dynamisch und hängt davon ab, wie lange es dauert, bis der Algorithmus genügend Informationen über die Anmeldemuster des Benutzers gesammelt hat. Die Mindestdauer beträgt fünf Tage. Ein Benutzer kann nach einer langen Zeit der Inaktivität erneut in den Lernmodus wechseln.

Diese Erkennung wird auch für die Standardauthentifizierung (bzw. ältere Protokolle) ausgeführt. Da diese Protokolle nicht über moderne Eigenschaften wie die Client-ID verfügen, gibt es nur begrenzte Daten, um Fehlalarme zu reduzieren. Wir empfehlen unseren Kunden, auf eine moderne Authentifizierung umzusteigen.

Unbekannte Anmeldungseigenschaften können sowohl bei interaktiven als auch bei nicht-interaktiven Anmeldungen erkannt werden. Wenn diese Erkennung bei nicht-interaktiven Anmeldungen festgestellt wird, sollte sie aufgrund des Risikos von Token-Wiederholungsangriffen besonders sorgfältig geprüft werden.

Wenn Sie ein Risiko „unbekannte Anmeldeeigenschaft“ auswählen, können Sie zusätzliche Informationen anzeigen, die Ihnen weitere Details darüber liefern, warum dieses Risiko ausgelöst wurde. Im folgenden Screenshot sehen Sie ein Beispiel für diese Details.

Screenshot zeigt ein Beispiel für die Risikoerkennung für unbekannte Anmeldeeigenschaften.

Schädliche IP-Adresse

Offline berechnet. Diese Erkennung gibt eine Anmeldung über eine schädliche IP-Adresse an. Eine IP-Adresse wird wegen hoher Fehlerraten aufgrund von ungültige Anmeldeinformationen, die von der IP-Adresse oder anderen IP-Zuverlässigkeitsquellen empfangen wurden, als schädlich eingestuft.

Untersuchen von Erkennungen schädlicher IP-Adressen
  1. Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde:
    1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen Sie alle Token.
  2. Wenn bekannt ist, dass der Benutzer bzw. die Benutzerin die IP-Adresse im Rahmen seiner/ihrer Aufgaben verwendet:
    1. Empfohlene Aktion: Schließen Sie die Warnung.

Verdächtige Regeln zur Posteingangsänderung

Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn verdächtige Regeln zum Löschen oder Verschieben von Nachrichten oder Ordnern für den Posteingang eines Benutzers festgelegt werden. Diese Erkennung kann darauf hinweisen, dass ein Benutzerkonto kompromittiert ist, dass Nachrichten absichtlich ausgeblendet werden und das Postfach zum Verteilen von Spam und Schadsoftware in Ihrer Organisation verwendet wird.

Kennwortspray

Offline berechnet. Bei einem Kennwortspray-Angriff werden mehrere Benutzernamen unter Verwendung gängiger Kennwörter im Rahmen eines koordinierten Brute-Force-Angriffs angegriffen, um nicht autorisierten Zugriff zu erhalten. Die Risikoerkennung wird ausgelöst, wenn ein Kennwortspray-Angriff erfolgreich durchgeführt wurde. Der Angreifer wird beispielsweise in der erkannten Instanz erfolgreich authentifiziert.

Untersuchen von Erkennungen von Kennwortsprays
  1. Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde:
    1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen Sie alle Token.
  2. Wenn bekannt ist, dass der Benutzer bzw. die Benutzerin die IP-Adresse im Rahmen seiner/ihrer Aufgaben verwendet:
    1. Empfohlene Aktion: Schließen Sie die Warnung.
  3. Wenn Sie bestätigen können, dass das Konto nicht kompromittiert wurde, und keine Hinweise auf einen Brute-Force- oder Kennwortsprayangriff auf das Konto erkennbar sind.
    1. Empfohlene Aktion: Ermöglichen Sie dem Benutzer oder der Benutzerin eine Eigenwartung mithilfe einer Risikorichtlinie für bedingten Zugriff, oder veranlassen Sie, dass ein Administrator oder eine Administratorin die Anmeldung als sicher bestätigt.

Weitere Untersuchungen zur Erkennung von Risiken durch Kennwortsprays finden Sie im Artikel Kennwortspray: Untersuchung.

Unmöglicher Ortswechsel

Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Es wurden zwei Benutzeraktivitäten (in einer einzelnen Sitzung oder in mehreren Sitzungen) festgestellt, die von unterschiedlichen geografischen Standorten stammen und in einem Zeitraum liegen, der kürzer ist als die Zeit, die der Benutzer benötigt, um von einem Ort zum anderen zu gelangen. Dieses Risiko könnte darauf hindeuten, dass ein*e anderer Benutzer*in die gleichen Anmeldeinformationen verwendet.

Neues Land/neue Region

Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Bei dieser Erkennungsmethode werden anhand von in der Vergangenheit verwendeten Aktivitätsstandorten neue und selten verwendete Standorte ermittelt. Die Anomalieerkennungsengine speichert Informationen zu Standorten, die Benutzer der Organisation in der Vergangenheit verwendet haben.

Aktivität über anonyme IP-Adresse

Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung stellt fest, ob Benutzer eine IP-Adresse verwendet haben, die als anonyme Proxy-IP-Adresse identifiziert wurde.

Verdächtige Weiterleitung des Posteingangs

Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Durch diese Erkennungsmethode werden verdächtige Regeln zur E-Mail-Weiterleitung erkannt. Hierzu gehört beispielsweise die Erstellung einer Posteingangsregel, die eine Kopie aller E-Mails an eine externe Adresse weiterleitet.

Massenzugriff auf vertrauliche Dateien

Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn Benutzer auf mehrere Dateien von Microsoft SharePoint oder Microsoft OneDrive zugreifen. Eine Warnung wird nur ausgelöst, wenn die Anzahl der abgerufenen Dateien für den*die Benutzer*in ungewöhnlich ist und die Dateien vertrauliche Informationen enthalten könnten.

Überprüfte Bedrohungsakteur-IP

In Echtzeit berechnet. Dieser Risikoerkennungstyp weist auf eine Anmeldeaktivität hin, die mit bekannten IP-Adressen konsistent ist, welche nationalen Zustandsakteuren oder Gruppen zur Bekämpfung der Internetkriminalität zugeordnet sind, basierend auf Microsoft Threat Intelligence Center (MSTIC).

Premium-Benutzerrisikoerkennung

Möglicher Versuch, auf primäres Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen

Offline berechnet. Dieser Risikoerkennungstyp wird mittels von durch Microsoft Defender for Endpoint (MDE) bereitgestellten Informationen erkannt. Ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) ist ein Schlüsselartefakt der Microsoft Entra-Authentifizierung auf Geräten unter Windows 10, Windows Server 2016 und höheren Versionen, iOS und Android. Bei einem PRT handelt es sich um ein JSON Web Token (JWT), das speziell für Microsoft-Erstanbieter-Tokenbroker ausgestellt wird, um einmaliges Anmelden (Single Sign-On, SSO) für die Anwendungen zu ermöglichen, die auf diesen Geräten verwendet werden. Angreifer können versuchen, auf diese Ressource zuzugreifen, um sich im gesamten Netzwerk zu bewegen oder Anmeldeinformationen zu stehlen. Diese Erkennung stuft Benutzer als hohes Risiko ein und wird nur in Organisationen ausgelöst, die MDE bereitgestellt haben. Diese Erkennung erfolgt nur in geringem Umfang und wird in den meisten Organisationen nur selten beobachtet. Wenn diese Erkennung auftritt, besteht ein hohes Risiko, und Benutzer sollten korrigiert werden.

Anomale Benutzeraktivität

Offline berechnet. Bei dieser Risikoerkennung wird das normale Verhalten administrativer Benutzer*innen in Microsoft Entra ID zugrunde gelegt, und es werden anomale Verhaltensmuster wie beispielsweise verdächtige Änderungen am Verzeichnis erkannt. Die Erkennung wird für den Administrator, der die Änderung vornimmt, oder für das Objekt ausgelöst, das geändert wurde.

Der Benutzer hat verdächtige Aktivitäten gemeldet

Offline berechnet. Diese Risikoerkennung wird gemeldet, wenn ein Benutzer eine MFA (Multi-Faktor-Authentifizierung)-Eingabeaufforderung verweigert und dies als verdächtige Aktivität meldet. Eine MFA-Eingabeaufforderung, die nicht von Benutzer*innen initiiert wird, kann bedeuten, dass deren Anmeldeinformationen kompromittiert sind.

Verdächtiger API-Datenverkehr

Offline berechnet. Diese Risikoerkennung wird gemeldet, wenn ein*e Benutzer*in ungewöhnlichen Graph-Datenverkehr oder eine ungewöhnliche Verzeichnisenumeration beobachtet. Verdächtiger API-Datenverkehr kann darauf hindeuten, dass Benutzer*inen kompromittiert sind und Aufklärung in ihren Umgebungen durchführen.

Verdächtiges Senden von Mustern

Offline berechnet. Dieser Risikoerkennungstyp wird mittels von durch Microsoft Defender for Office (MDO) bereitgestellten Informationen erkannt. Diese Warnung wird generiert, wenn jemand in Ihrer Organisation verdächtige E-Mails gesendet hat und entweder für das Senden von E-Mails eingeschränkt wurde oder bereits daran gehindert wurde, E-Mails zu senden. Diese Erkennung stuft Benutzer als mittleres Risiko ein und wird nur in Organisationen ausgelöst, die MDO bereitgestellt haben. Diese Erkennung erfolgt nur in geringem Umfang und wird in den meisten Organisationen nur selten beobachtet.

Nicht-Premium-Erkennungen

Kund*innen ohne Microsoft Entra ID P2-Lizenz erhalten Erkennungen mit dem Titel „Zusätzliches Risiko erkannt“, aber ohne die detaillierten Informationen zur Erkennung, die Kund*innen mit P2-Lizenzen erhalten.

Nicht-Premium-Erkennungen bei Anmelderisiken

Zusätzliches Risiko erkannt (Anmeldung)

In Echtzeit oder offline berechnet. Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Microsoft Entra ID P2-Kund*innen sichtbar sind, werden sie für Kund*innen ohne Microsoft Entra ID P2-Lizenz als „Zusätzliches Risiko erkannt“ bezeichnet.

Anonyme IP-Adresse

In Echtzeit berechnet. Dieser Risikoerkennungstyp gibt Anmeldungen über eine anonyme IP-Adresse (z.B. Tor-Browser oder ein anonymisiertes VPN) an. Diese IP-Adressen werden in der Regel von Akteuren verwendet, die ihre Anmeldetelemetrie (IP-Adresse, Standort, Gerät usw.) für mögliche böswillige Absichten verbergen wollen.

Benutzergefährdung durch Administrator bestätigt

Offline berechnet. Diese Erkennung gibt an, dass ein Administrator auf der Benutzeroberfläche für riskante Benutzer oder mithilfe der riskyUsers-API die Option „Benutzergefährdung bestätigen“ ausgewählt hat. Überprüfen Sie den Risikoverlauf des Benutzers (auf der Benutzeroberfläche oder über die API), um zu überprüfen, welcher Administrator diese Benutzergefährdung bestätigt hat.

Threat Intelligence von Microsoft Entra (Anmeldung)

In Echtzeit oder offline berechnet. Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den angegebenen Benutzer ungewöhnlich sind oder bekannten Angriffsmustern entsprechen. Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert.

Nicht-Premium-Benutzerrisikoerkennung

Zusätzliches Risiko erkannt (Benutzer)

In Echtzeit oder offline berechnet. Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Microsoft Entra ID P2-Kund*innen sichtbar sind, werden sie für Kund*innen ohne Microsoft Entra ID P2-Lizenz als „Zusätzliches Risiko erkannt“ bezeichnet.

Kompromittierte Anmeldeinformationen

Offline berechnet. Dieser Risikoerkennungstyp gibt an, dass die gültigen Anmeldeinformationen des Benutzers kompromittiert wurden. Wenn Cyberkriminelle gültige Passwörter von rechtmäßigen Nutzern kompromittieren, geben sie diese gesammelten Anmeldeinformationen oft weiter. Diese Freigabe erfolgt in der Regel durch eine Veröffentlichung im Darknet oder auf Paste Sites oder durch den Handel und Verkauf der Anmeldeinformationen auf dem Schwarzmarkt. Wenn der Microsoft-Dienst für durchgesickerte Anmeldedaten Benutzeranmeldedaten aus dem Dark Web, von Paste-Sites oder anderen Quellen erhält, werden diese mit den aktuellen gültigen Anmeldedaten der Microsoft Entra-Benutzer abgeglichen, um gültige Übereinstimmungen zu finden. Weitere Informationen zu kompromittierten Anmeldeinformationen finden Sie unter Häufig gestellte Fragen.

Untersuchen von Erkennungen von kompromittierten Anmeldeinformationen
  • Wenn dieses Erkennungssignal eine Warnung zu kompromittierten Anmeldeinformationen eines Benutzers oder einer Benutzerin ausgegeben hat:
    • Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen Sie alle Token.

Threat Intelligence von Microsoft Entra (Benutzer*in)

Offline berechnet. Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den angegebenen Benutzer ungewöhnlich sind oder bekannten Angriffsmustern entsprechen. Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert.

Häufig gestellte Fragen

Risikostufen

ID Protection teilt Risiken in drei Stufen ein: niedrig, mittel und hoch. Die Risikostufen werden von Machine Learning-Algorithmen berechnet und geben an, wie wahrscheinlich es ist, dass eine oder mehrere Benutzeranmeldeinformationen einer nicht autorisierten Entität bekannt sind. Eine Risikoerkennung mit der Risikostufe „Hoch“ bedeutet, dass Microsoft sehr sicher ist, dass das Konto kompromittiert wurde. Ein geringes Risiko bedeutet, dass Anomalien bei der Anmeldung oder den Benutzeranmeldeinformationen vorliegen, eine Kompromittierung des Kontos jedoch unwahrscheinlicher ist.

Viele Erkennungen können je nach Anzahl oder Schweregrad der erkannten Anomalien auf mehr als einer Stufe ausgelöst werden. Beispielsweise ist bei Erkennung eines Ereignisses vom Typ Ungewöhnliche Anmeldeeigenschaften mit hoher Risikostufe eher davon auszugehen, dass das Konto kompromittiert wurde, als bei Erkennung eines Ereignisses vom Typ Ungewöhnliche Anmeldeeigenschaften mit niedriger oder mittlerer Risikostufe. Einige Erkennungen (z. B. Ereignisse vom Typ Kompromittierte Anmeldeinformationen und Überprüfte Bedrohungsakteur-IP) werden immer mit hohem Risiko angegeben.

Die Risikostufe ist wichtig, wenn festgelegt werden muss, für welche Erkennungen die Untersuchung und Behebung priorisiert werden soll. Sie spielt auch eine wichtige Rolle beim Konfigurieren von Richtlinien für bedingten Zugriff basierend auf Risiken, da jede Richtlinie so festgelegt werden kann, dass sie ausgelöst wird, wenn kein Risiko bzw. niedriges, mittleres oder hohes Risiko besteht.

Wichtig

Alle Erkennungen mit der Risikostufe „Niedrig“ sowie die Benutzer werden sechs Monate lang im Produkt gespeichert, bis sie automatisch als veraltet markiert werden, um eine praktische Untersuchungsfunktion bereitzustellen. Ereignisse mit den Risikostufen „Mittel“ und „Hoch“ werden so lange gespeichert, bis sie behoben oder verworfen werden.

Basierend auf der Risikotoleranz Ihrer Organisation können Sie Richtlinien erstellen, die eine Multi-Faktor-Authentifizierung oder Kennwortzurücksetzung erfordern, wenn ID Protection eine bestimmte Risikostufe erkennt. Diese Richtlinien können den Benutzern dabei helfen, das Risiko in Abhängigkeit von Ihren Toleranzwerten selbst zu beheben oder zu blockieren.

Kennworthashsynchronisierung

Damit Risiken wie kompromittierte Anmeldeinformationen erkannt werden können, müssen Kennworthashes vorhanden sein. Weitere Informationen zur Kennworthashsynchronisierung finden Sie unter Implementieren der Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung.

Warum werden Risikoerkennungen für deaktivierte Benutzerkonten generiert?

Deaktivierte Benutzerkonten können erneut aktiviert werden. Wenn die Anmeldeinformationen eines deaktivierten Kontos kompromittiert sind und das Konto erneut aktiviert wird, könnten böswillige Akteure diese Anmeldeinformationen verwenden, um Zugriff zu erhalten. ID Protection generiert Risikoerkennungen für verdächtige Aktivitäten mit deaktivierten Benutzerkonten, um Kund*innen über eine potenzielle Kontokompromittierung zu informieren. Wenn ein Konto nicht mehr verwendet und auch nicht wieder aktiviert wird, sollten Kunden erwägen, es zu löschen, um eine Kompromittierung zu verhindern. Für gelöschte Konten werden keine Risikoerkennungen generiert.

Wo findet Microsoft kompromittierte Anmeldeinformationen?

Microsoft findet kompromittierte Anmeldeinformationen an verschiedenen Stellen. Dazu zählen:

  • Öffentliche Paste-Websites, z. B. pastebin.com und paste.ca, auf denen böswillige Akteure in der Regel solche Materialien posten. Diese Stelle ist der erste Zwischenstopp von böswilligen Akteuren auf der Jagd nach gestohlenen Anmeldeinformationen.
  • Strafverfolgungsbehörden.
  • Andere Gruppen bei Microsoft, die das Darknet durchforsten.

Warum sehe ich keine kompromittierten Anmeldeinformationen?

Kompromittierte Anmeldeinformationen werden jedes Mal, wenn Microsoft einen neuen, öffentlich verfügbaren Batch findet, verarbeitet. Angesichts der Sensibilität der Daten werden die kompromittierten Anmeldeinformationen kurz nach der Verarbeitung gelöscht. Nur neue kompromittierte Anmeldeinformationen, die nach der Aktivierung der Kennwort-Hashsynchronisierung (Password Hash Synchronization, PHS) gefunden werden, werden für Ihren Mandanten verarbeitet. Eine Überprüfung anhand zuvor gefundener Anmeldeinformationspaare erfolgt nicht.

Ich habe seit einiger Zeit keine Risikoereignisse mit kompromittierten Anmeldeinformationen mehr gesehen

Wenn Ihnen keine Risikoereignisse mit kompromittierten Anmeldeinformationen angezeigt wurden, kann das folgende Ursachen haben:

  • Sie haben keine Kennworthashsynchronisierung für Ihren Mandanten aktiviert.
  • Microsoft hat keine kompromittierten Anmeldeinformationspaare gefunden, die mit Ihren Benutzern übereinstimmen.

Wie oft verarbeitet Microsoft neue Anmeldeinformationen?

Anmeldeinformationen werden sofort nach deren Auffinden verarbeitet, in der Regel in mehreren Batches pro Tag.

Standorte

Der Standort bei Risikoermittlungen wird mithilfe der IP-Adressensuche bestimmt.

Nächste Schritte