Sicherheitsvorgänge für die Infrastruktur
Die Infrastruktur verfügt über viele Komponenten, bei denen Sicherheitsrisiken auftreten können, wenn sie nicht ordnungsgemäß konfiguriert sind. Sie überwachen im Rahmen Ihrer Überwachungs- und Warnungsstrategie für die Infrastruktur auf Ereignisse in den folgenden Bereichen und erstellen entsprechende Warnungen:
Authentifizierung und Autorisierung
Komponenten der Hybridauthentifizierung einschließlich Verbundserver
Richtlinien
Abonnements
Die Überwachung der Komponenten Ihrer Authentifizierungsinfrastruktur und das Ausgeben entsprechender Warnungen sind von entscheidender Bedeutung. Jede Kompromittierung kann zu einer vollständigen Kompromittierung der gesamten Umgebung führen. Viele Unternehmen, die Microsoft Entra ID verwenden, arbeiten in einer Hybridauthentifizierungsumgebung. Cloudkomponenten und lokale Komponenten sollten in Ihre Überwachungs- und Warnungsstrategie einbezogen werden. Eine Hybridauthentifizierungsumgebung bringt einen weiteren Angriffsvektor für Ihre Umgebung mit sich.
Es wird empfohlen, alle Komponenten sowie die Konten zu ihrer Verwaltung als Ressourcen der Steuerungsebene/Ebene 0 zu betrachten. Einen Leitfaden zum Entwerfen und Implementieren Ihrer Umgebung finden Sie unter Schützen des privilegierten Zugriffs. Dieser Leitfaden enthält Empfehlungen für jede Hybridauthentifizierungskomponente, die möglicherweise für einen Microsoft Entra-Mandanten verwendet werden kann.
Ein erster Schritt für die Erkennung unerwarteter Ereignisse und potenzieller Angriffe ist die Einrichtung einer Baseline. Informationen zu allen lokalen Komponenten, die in diesem Artikel aufgeführt sind, finden Sie unter Bereitstellung einer Lösung für privilegierten Zugriff im Leitfaden zum Schützen des privilegierten Zugriffs.
Zu verwendende Ressourcen
Zur Untersuchung und Überwachung verwenden Sie die folgenden Protokolldateien:
Im Azure-Portal können Sie die Microsoft Entra-Überwachungsprotokolle anzeigen und als CSV-Datei (Comma Separated Value) oder JSON-Datei (JavaScript Object Notation) herunterladen. Das Azure-Portal bietet mehrere Möglichkeiten zur Integration von Microsoft Entra-Protokollen in andere Tools, die eine umfassendere Automatisierung von Überwachung und Benachrichtigungen ermöglichen:
Microsoft Sentinel: Ermöglicht intelligente Sicherheitsanalysen auf Unternehmensebene, indem SIEM-Funktionen (Security Information and Event Management) zur Verfügung gestellt werden.
Sigma-Regeln: Sigma ist ein sich in Entwicklung befindender offener Standard zum Schreiben von Regeln und Vorlagen, die automatisierte Verwaltungstools zum Parsen von Protokolldateien verwenden können. Wenn Sigma-Vorlagen für unsere empfohlenen Suchkriterien vorhanden sind, verweist ein Link zum Sigma-Repository. Sigma-Vorlagen werden von Microsoft weder geschrieben, noch getestet und verwaltet. Das Repository und die Vorlagen werden von der weltweiten IT-Sicherheitscommunity erstellt und gesammelt.
Azure Monitor: Ermöglicht die automatisierte Überwachung verschiedener Bedingungen und entsprechende Warnungen. Mit dem Tool können Arbeitsmappen erstellt werden, die sich zum Kombinieren von Daten aus verschiedenen Quellen eignen.
Azure Event Hubs mit Integration in ein SIEM-System: Microsoft Entra-Protokolle können über die Azure Event Hub-Integration in andere SIEM-Systeme integriert werden, z. B. in Splunk, ArcSight, QRadar und Sumo Logic.
Microsoft Defender für Cloud-Apps: Ermöglicht die Erkennung und Verwaltung von Apps, die Steuerung von Apps und Ressourcen sowie die Überprüfung der Kompatibilität von Cloud-Apps.
Sichern von Workloadidentitäten mit Identity Protection (Preview): Wird verwendet, um Risiken für Workloadidentitäten über das Anmeldeverhalten und Offlineindikatoren für eine Gefährdung zu erkennen.
Im weiteren Verlauf dieses Artikels wird beschrieben, was Sie überwachen und wofür Sie Warnungen erstellen sollten. Der Artikel ist nach Art der Bedrohung gegliedert. Wenn es vorgefertigte Lösungen gibt, finden Sie im Anschluss an die Tabelle entsprechende Links. Andernfalls können Sie Warnungen mithilfe der oben genannten Tools erstellen.
Authentifizierungsinfrastruktur
In Hybridumgebungen, die sowohl lokale als auch cloudbasierte Ressourcen und Konten enthalten, ist die Active Directory-Infrastruktur ein wichtiger Bestandteil des Authentifizierungsstapels. Der Stapel ist auch ein Ziel für Angriffe. Daher muss er für die Aufrechterhaltung einer sicheren Umgebung konfiguriert und ordnungsgemäß überwacht werden. Beispiele für aktuelle Arten von Angriffen auf Ihre Authentifizierungsinfrastruktur sind Kennwortspray- und Solorigate-Angriffe. Im Folgenden finden Sie Links zu empfohlenen Artikeln:
Schützen des privilegierten Zugriffs: Dieser Artikel bietet eine Übersicht über die aktuellen Verfahren, die Zero Trust-Methoden verwenden, um sicheren privilegierten Zugriff zu erstellen und aufrechtzuerhalten.
Von Microsoft Defender for Identity überwachte Aktivitäten: Dieser Artikel enthält eine umfassende Liste der Aktivitäten, für die Sie Warnungen überwachen und festlegen können.
Microsoft Defender for Identity: Grundlegendes zu Sicherheitswarnungen: Dieser Artikel enthält Anleitungen zum Entwerfen und Implementieren einer Strategie für Sicherheitswarnungen.
Im Folgenden finden Sie Links zu speziellen Artikeln, die sich auf die Überwachung Ihrer Authentifizierungsinfrastruktur und das Erstellen entsprechender Warnungen konzentrieren:
Lateral Movement-Pfade (LMPs) für Microsoft Defender for Identity: Hier werden Erkennungstechniken beschrieben, mit denen Sie ermitteln können, wann nicht sensible Konten verwendet werden, um Zugriff auf sensible Netzwerkkonten zu erhalten.
Arbeiten mit Sicherheitswarnungen in Microsoft Defender for Identity: In diesem Artikel wird beschrieben, wie Warnungen nach der Protokollierung überprüft und verwaltet werden.
Auf folgende Punkte sollte geachtet werden:
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Notizen |
|---|---|---|---|
| Extranetsperrtrends | Hoch | Microsoft Entra Connect Health | Informationen zu den Tools und Verfahren zum Erkennen von Extranetsperrtrends finden Sie unter Überwachen von AD FS mithilfe von Microsoft Entra Connect Health. |
| Fehlerhafte Anmeldungen | Hoch | Connect Health-Portal | Exportieren Sie den Bericht über riskante IP-Adressen, oder laden Sie ihn herunter, und befolgen Sie für die nächsten Schritte die Anleitung unter Bericht über riskante IP-Adressen (öffentliche Vorschauversion). |
| Schutz der Privatsphäre | Niedrig | Microsoft Entra Connect Health | Ziehen Sie den Artikel Datenschutz und Microsoft Entra Connect Health zurate, um Microsoft Entra Connect Health für die Deaktivierung der Datensammlung und Überwachung zu konfigurieren. |
| Potenzieller Brute-Force-Angriff auf LDAP | Medium | Microsoft Defender for Identity | Verwenden Sie den Sensor, um potenzielle Brute-Force-Angriffe auf LDAP zu erkennen. |
| Reconnaissance mithilfe von Kontoenumeration | Medium | Microsoft Defender for Identity | Verwenden Sie den Sensor, um die Reconnaissance mithilfe von Kontoenumeration durchzuführen. |
| Allgemeine Korrelation zwischen Microsoft Entra ID und Azure AD FS | Medium | Microsoft Defender for Identity | Verwenden Sie Funktionen zum Korrelieren von Aktivitäten zwischen Ihrer Microsoft Entra ID- und Azure AD FS-Umgebung. |
Überwachung der Passthrough-Authentifizierung
Benutzer werden bei der Passthrough-Authentifizierung von Microsoft Entra angemeldet, indem sie ihre Kennwörter direkt für Ihre lokale Active Directory-Instanz angeben.
Auf folgende Punkte sollte geachtet werden:
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Hinweise |
|---|---|---|---|---|
| Microsoft Entra-Passthrough-Authentifizierungsfehler | Medium | Anwendungs- und Dienstprotokolle\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 – Verbindung mit Active Directory kann nicht hergestellt werden. | Stellen Sie sicher, dass die Agent-Server Mitglieder derselben AD-Gesamtstruktur wie die Benutzer sind, deren Kennwörter überprüft werden müssen, und dass sie eine Verbindung mit Active Directory herstellen können. |
| Microsoft Entra-Passthrough-Authentifizierungsfehler | Medium | Anwendungs- und Dienstprotokolle\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002 – Bei der Verbindung mit Active Directory ist ein Timeout aufgetreten. | Check to ensure that Active Directory is available and is responding to requests from the agents. (Überprüfen Sie, ob Active Directory verfügbar ist und auf Anforderungen der Agents antwortet.) |
| Microsoft Entra-Passthrough-Authentifizierungsfehler | Medium | Anwendungs- und Dienstprotokolle\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004 – Der an den Agent übergebene Benutzername war ungültig. | Stellen Sie sicher, dass der Benutzer den richtigen Benutzernamen für die Anmeldung verwendet. |
| Microsoft Entra-Passthrough-Authentifizierungsfehler | Medium | Anwendungs- und Dienstprotokolle\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 – Bei der Überprüfung ist eine unvorhersehbare WebException aufgetreten. | A transient error. (Vorübergehender Fehler.) Wiederholen Sie die Anforderung. Sollte der Fehler weiterhin auftreten, wenden Sie sich an den Microsoft-Support. |
| Microsoft Entra-Passthrough-Authentifizierungsfehler | Medium | Anwendungs- und Dienstprotokolle\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 – Bei der Kommunikation mit Active Directory ist ein Fehler aufgetreten. | Suchen Sie in den Agent-Protokollen nach weiteren Informationen, und überprüfen Sie, ob Active Directory erwartungsgemäß funktioniert. |
| Microsoft Entra-Passthrough-Authentifizierungsfehler | Hoch | Win32-LogonUserA-Funktions-API | Anmeldeereignisse 4624(s): Ein Konto wurde erfolgreich angemeldet. – Korrelation mit – 4625(F): Fehler beim Anmelden eines Kontos. |
Verwenden Sie dies mit den vermuteten Benutzernamen auf dem Domänencontroller, der Anforderungen authentifiziert. Eine Anleitung finden Sie unter LogonUserA function (winbase.h) (LogonUserA-Funktion (winbase.h), in englischer Sprache). |
| Microsoft Entra-Passthrough-Authentifizierungsfehler | Medium | PowerShell-Skript des Domänencontrollers | Sehen Sie sich die Abfrage im Anschluss der Tabelle an. | Entsprechende Anleitungen finden Sie unter Microsoft Entra Connect: Behandlung von Problemen bei der Passthrough-Authentifizierung. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Überwachen der Erstellung neuer Microsoft Entra-Mandanten
Organisationen müssen möglicherweise die Erstellung neuer Microsoft Entra-Mandanten überwachen und eine Warnung ausgeben, wenn die Aktion durch Identitäten aus ihrem Organisationsmandanten initiiert wird. In solch einem Szenario bietet die Überwachung Sichtbarkeit darüber, wie viele Mandanten erstellt und von Endbenutzern verwendet werden können.
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Hinweise |
|---|---|---|---|---|
| Erstellen eines neuen Microsoft Entra-Mandanten mithilfe einer Identität aus Ihrem Mandanten. | Medium | Microsoft Entra-Überwachungsprotokolle | Kategorie: Verzeichnisverwaltung Aktivität: Unternehmen erstellen |
Ziele zeigen die erstellte MandantenID an |
Privater Netzwerkconnector
Microsoft Entra ID und Microsoft Entra Anwendungsproxy bieten Remotebenutzern ein einmaliges Anmelden (Single Sign-On, SSO). Benutzer stellen ohne ein virtuelles privates Netzwerk (VPN), ohne Server mit zwei Netzwerkumgebungen und ohne Firewallregeln eine sichere Verbindung mit lokalen Apps her. Wenn Ihr Server für den privaten Microsoft Entra-Netzwerkconnector kompromittiert ist, können Angreifer das SSO-Verfahren oder den Zugriff auf veröffentlichte Anwendungen ändern.
Informationen zum Konfigurieren der Überwachung für den Anwendungsproxy finden Sie unter Beheben von Problemen mit Anwendungsproxys und Fehlermeldungen. Die Datendatei, die Informationen protokolliert, kann unter „Anwendungs- und Dienstprotokolle\Microsoft\privates Microsoft Entra-Netzwerk\Connector\Admin“ gefunden werden. Einen vollständigen Referenzleitfaden zur Überwachungsaktivität finden Sie in der Referenz zur Microsoft Entra-Überwachungsaktivität. Zu überwachende Punkte:
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Kerberos-Fehler | Medium | Verschiedene Tools | Medium | Anleitungen zu Fehlern bei der Kerberos-Authentifizierung finden Sie in Beheben von Problemen mit Anwendungsproxys und Fehlermeldungen unter „Kerberos-Fehler“. |
| DC-Sicherheitsprobleme | Hoch | Überwachungsprotokolle zur DC-Sicherheit | Ereignis-ID 4742(s): Ein Computerkonto wurde geändert. - und - Flag: Für Delegierungszwecke vertraut Oder Flag : Trusted to Authenticate for Delegation (Vertrauenswürdig für die Authentifizierung für die Delegierung) |
Untersuchen Sie alle Flagänderungen. |
| Pass-the-Ticket-ähnliche Angriffe | Hoch | Befolgen Sie die Anleitung in: Sicherheitsprinzipalreconnaissance (LDAP) (externe ID 2038) Tutorial: Warnungen zu kompromittierten Anmeldeinformationen Verstehen und Verwenden von Lateral Movement-Pfaden mit Microsoft Defender for Identity Grundlegendes zu Entitätsprofilen |
Einstellungen für die Legacyauthentifizierung
Damit die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) wirksam wird, müssen Sie auch die Legacyauthentifizierung blockieren. Anschließend müssen Sie Ihre Umgebung überwachen und bei jeder Verwendung der Legacyauthentifizierung eine Warnung ausgeben. Legacyauthentifizierungsprotokolle, z. B. POP, SMTP, IMAP und MAPI, können keine MFA erzwingen. Deshalb sind diese Protokolle die bevorzugten Einstiegspunkte für Angreifer. Weitere Informationen zu Tools, mit denen Sie die Legacyauthentifizierung blockieren können, finden Sie unter New tools to block legacy authentication in your organization (Neue Tools zum Blockieren der Legacyauthentifizierung in Ihrer Organisation, in englischer Sprache).
Die Legacyauthentifizierung wird im Microsoft Entra-Anmeldeprotokoll als Ereignisdetail erfasst. Sie können mithilfe der Azure Monitor-Arbeitsmappe die Verwendung der Legacyauthentifizierung identifizieren. Weitere Informationen finden Sie unter Anmeldungen mit Legacyauthentifizierung in Verwenden von Azure Monitor-Arbeitsmappen für Microsoft Entra-Berichte. Sie können auch die Arbeitsmappe für unsichere Protokolle für Microsoft Sentinel verwenden. Weitere Informationen finden Sie unter Leitfaden zur Implementierung der Arbeitsmappe für unsichere Protokolle mit Microsoft Sentinel. Zu überwachende Aktivitäten:
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Legacyauthentifizierungen | Hoch | Microsoft Entra-Anmeldeprotokoll | ClientApp : POP ClientApp : IMAP ClientApp : MAPI ClientApp: SMTP ClientApp : ActiveSync go to EXO Andere Clients = SharePoint und EWS |
In Verbunddomänenumgebungen werden fehlgeschlagene Authentifizierungen nicht aufgezeichnet, sodass sie nicht im Protokoll angezeigt werden. |
Microsoft Entra Connect
In Microsoft Entra Connect lässt sich die Konto- und Attributsynchronisierung zwischen der lokalen und cloudbasierten Microsoft Entra-Umgebung durchführen. Das Microsoft-Tool Microsoft Entra Connect wurde entwickelt, um Sie beim Erreichen Ihrer Hybrididentitätsziele zu unterstützen. Er zeichnet sich durch Folgendes aus:
Kennworthashsynchronisierung: Eine Anmeldemethode, die einen Hash für das lokale AD-Kennwort eines Benutzers mit Microsoft Entra ID synchronisiert.
Synchronisierung: Dieser Prozess ist verantwortlich für das Erstellen von Benutzern, Gruppen und anderen Objekten. Außerdem wird sichergestellt, dass die Identitätsinformationen für Ihre lokalen Benutzer und Gruppen denen in der Cloud entsprechen. Diese Synchronisierung umfasst auch Kennworthashes.
Systemüberwachung: Microsoft Entra Connect Health bietet eine stabile Überwachung und einen zentralen Speicherort im Azure-Portal, um diese Aktivität anzuzeigen.
Durch die Synchronisierung der Identität zwischen der lokalen Umgebung und der Cloudumgebung wird eine neue Angriffsfläche für die lokale und cloudbasierte Umgebung geschaffen. Es wird Folgendes empfohlen:
Sie behandeln den primären Microsoft Entra Connect-Server und den Microsoft Entra-Stagingserver als Ebene-0-Systeme auf der Steuerungsebene.
Sie befolgen einen Standardsatz von Richtlinien, die jeden Kontotyp und dessen Nutzung in Ihrer Umgebung steuern.
Sie installieren Microsoft Entra Connect und Connect Health. Diese stellen in erster Linie operative Daten für die Umgebung bereit.
Die Protokollierung von Microsoft Entra Connect-Vorgängen erfolgt auf unterschiedliche Weise:
Der Microsoft Entra Connect-Assistent protokolliert Daten in
\ProgramData\AADConnect. Bei jedem Aufruf des Assistenten wird eine Ablaufverfolgungsprotokolldatei mit Zeitstempel erstellt. Das Ablaufverfolgungsprotokoll kann zur Analyse in Sentinel oder in andere SIEM-Tools (Security Information and Event Management) von Drittanbietern importiert werden.Einige Vorgänge initiieren ein PowerShell-Skript, um Protokollierungsinformationen zu erfassen. Um diese Daten zu sammeln, müssen Sie sicherstellen, dass die Skriptblockprotokollierung aktiviert ist.
Überwachen von Konfigurationsänderungen
Microsoft Entra ID verwendet Microsoft SQL Server Data Engine oder SQL, um Microsoft Entra Connect-Konfigurationsinformationen zu speichern. Daher sollte die Überwachung der Konfigurationsprotokolldateien in Ihre Überwachungsstrategie einbezogen werden. Schließen Sie insbesondere die folgenden Tabellen in Ihre Überwachungs- und Warnungsstrategie ein.
| Zu überwachende Elemente | Hierbei gilt: | Notizen |
|---|---|---|
| mms_management_agent | SQL Server-Überwachungsdatensätze | Siehe SQL Server Audit-Datensätze |
| mms_partition | SQL Server-Überwachungsdatensätze | Siehe SQL Server Audit-Datensätze |
| mms_run_profile | SQL Server-Überwachungsdatensätze | Siehe SQL Server Audit-Datensätze |
| mms_server_configuration | SQL Server-Überwachungsdatensätze | Siehe SQL Server Audit-Datensätze |
| mms_synchronization_rule | SQL Server-Überwachungsdatensätze | Siehe SQL Server Audit-Datensätze |
Informationen zum Überwachen von Konfigurationsinformationen:
Für SQL Server siehe SQL Server Audit-Datensätze
Weiter Informationen zu Microsoft Sentinel finden Sie unter Herstellen einer Verbindung mit Windows-Servern, um Sicherheitsereignissen zu sammeln.
Informationen zum Konfigurieren und Verwenden von Microsoft Entra Connect finden Sie unter Was ist Microsoft Entra Connect?
Überwachen der Synchronisierung und Behandeln von Problemen bei der Synchronisierung
Eine Funktion von Microsoft Entra Connect ist die Synchronisierung der Hashsynchronisierung zwischen dem lokalen Kennwort eines Benutzers und Microsoft Entra ID. Wenn Kennwörter nicht wie erwartet synchronisiert werden, kann sich dies auf einen Teil der Benutzer oder auf alle Benutzer auswirken. Informationen zum Überprüfen der ordnungsgemäßen Ausführung und zur Problembehandlung finden Sie in den folgenden Dokumenten:
Informationen zur Überprüfung der Hashsynchronisierung und zur Problembehandlung finden Sie unter Problembehandlung für die Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung.
Informationen zu Änderungen an den Connectorbereichen finden Sie unter End-to-End-Problembehandlung bei Microsoft Entra Connect-Objekten und -Attributen.
Wichtige Ressourcen für die Überwachung
| Zu überwachende Elemente | Ressourcen |
|---|---|
| Überprüfung der Hashsynchronisierung | Siehe Problembehandlung für die Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung |
| Änderungen an den Connectorbereichen | siehe End-to-End-Problembehandlung bei Microsoft Entra Connect-Objekten und -Attributen |
| Änderungen an den von Ihnen konfigurierten Regeln | Überwachen von Änderungen an Filtern, Domänen und Organisationseinheiten und Attributen sowie von gruppenbasierten Änderungen |
| SQL- und MSDE-Änderungen | Änderungen an Protokollierungsparametern und Hinzufügung von benutzerdefinierten Funktionen |
Überwachen Sie Folgendes:
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Scheduler-Änderungen | Hoch | PowerShell | Set-ADSyncScheduler | Suchen Sie nach Änderungen am Zeitplan. |
| Änderungen an geplanten Aufgaben | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivität = 4699(S): Eine geplante Aufgabe wurde gelöscht. Oder Aktivität = 4701(s): Eine geplante Aufgabe wurde deaktiviert. Oder Aktivität = 4702(s): Eine geplante Aufgabe wurde aktualisiert. |
Überwachen Sie alle. |
Weitere Informationen zum Protokollieren von PowerShell-Skriptvorgängen finden Sie unter Aktivieren der Skriptblockprotokollierung in der PowerShell-Referenzdokumentation.
Weitere Informationen zum Konfigurieren der PowerShell-Protokollierung für die Analyse durch Splunk finden Sie unter Get Data into Splunk User Behavior Analytics (Hinzufügen von Daten in Splunk User Behavior Analytics, in englischer Sprache).
Überwachen von nahtlosem einmaligem Anmelden
Mit dem nahtlosen einmaligen Anmelden von Microsoft Entra (Seamless Single Sign-On) werden Benutzer automatisch angemeldet, wenn sie an ihren mit dem Unternehmensnetzwerk verbundenen Unternehmens-Desktops arbeiten. Nahtloses einmaliges Anmelden ermöglicht Ihren Benutzern einen einfachen Zugriff auf Ihre cloudbasierten Anwendungen ohne zusätzliche lokale Komponenten. SSO verwendet die von Microsoft Entra Connect bereitgestellten Funktionen für Passthrough-Authentifizierung und Kennworthashsynchronisierung.
Die Überwachung des einmaligen Anmeldens und der Kerberos-Aktivität kann Ihnen helfen, allgemeine Muster von Angriffen zum Diebstahl von Anmeldeinformationen zu erkennen. Verwenden Sie für die Überwachung die folgenden Informationen:
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Fehler im Zusammenhang mit SSO- und Kerberos-Validierungsfehlern | Medium | Microsoft Entra-Anmeldeprotokoll | Eine Liste der Fehlercodes für einmaliges Anmelden finden Sie unter Problembehandlung beim nahtlosen einmaligen Anmelden mit Azure Active Directory. | |
| Abfrage von Fehlern für die Problembehandlung | Medium | PowerShell | Siehe die Abfrage nach der Tabelle. Überprüfen Sie in jeder Gesamtstruktur mit aktiviertem SSO. | Überprüfen Sie in jeder Gesamtstruktur mit aktiviertem SSO. |
| Kerberos-Ereignisse | Hoch | Überwachung von Microsoft Defender for Identity | Siehe den Leitfaden unter Lateral Movement-Pfade (LMPs) für Microsoft Defender for Identity |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Kennwortschutzrichtlinien
Wenn Sie den Microsoft Entra-Kennwortschutz bereitstellen, sind Überwachung und Berichterstellung zentrale Aufgaben. Die folgenden Links bieten detaillierte Informationen zum besseren Verständnis verschiedener Überwachungstechniken, einschließlich der Speicherorte, an denen die einzelnen Dienste Informationen protokollieren, und der Methoden zum Berichten über die Verwendung des Microsoft Entra-Kennwortschutzes.
Ereignisprotokollmeldungen werden sowohl vom Domänencontroller-Agent (DC) als auch von Proxydiensten protokolliert. Alle nachfolgend beschriebenen PowerShell-Cmdlets sind nur auf dem Proxyserver verfügbar (siehe PowerShell-Modul „AzureADPasswordProtection“). Die DC-Agent-Software installiert kein PowerShell-Modul.
Ausführliche Informationen zur Planung und Implementierung des lokalen Kennwortschutzes finden Sie unter Planen und Bereitstellen des lokalen Microsoft Entra-Kennwortschutzes. Ausführliche Informationen zur Überwachung finden Sie unter Überwachen und Überprüfen der Protokolle für lokale Umgebungen mit Microsoft Entra-Kennwortschutz. Die DC-Agent-Dienstsoftware schreibt auf jedem Domänencontroller die Ergebnisse der einzelnen Kennwortüberprüfungsvorgänge (und andere Status) in das folgende lokale Ereignisprotokoll:
\Anwendungs- und Dienstprotokolle\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Anwendungs- und Dienstprotokolle\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Anwendungs- und Dienstprotokolle\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Das DC-Agent-Administratorprotokoll ist die Hauptquelle für Informationen zum Verhalten der Software. Standardmäßig ist das Ablaufverfolgungsprotokoll deaktiviert und muss aktiviert werden, bevor Daten protokolliert werden. Ausführliche Informationen zur Behandlung von Anwendungsproxyproblemen und Fehlermeldungen finden Sie unter Beheben von Problemen mit dem Microsoft Entra-Anwendungsproxy. Informationen zu diesen Ereignissen werden in den folgenden Verzeichnissen protokolliert:
Anwendungs- und Dienstprotokolle\Microsoft\privates Microsoft Entra-Netzwerk\Connector\Admin
Microsoft Entra Überwachungsprotokoll, Kategorie Anwendungsproxy
Eine vollständige Referenz zu Microsoft Entra-Überwachungsaktivitäten finden Sie in der Referenz zur Microsoft Entra-Überwachungsaktivität.
Bedingter Zugriff
In Microsoft Entra ID können Sie den Zugriff auf Ihre Ressourcen schützen, indem Sie Richtlinien für bedingten Zugriff konfigurieren. Als IT-Administrator möchten Sie sicherstellen, dass Ihre Richtlinien für bedingten Zugriff wie erwartet funktionieren, um zu gewährleisten, dass Ihre Ressourcen ordnungsgemäß geschützt sind. Die Überwachung von und das Ausgeben von Warnungen bei Änderungen des Diensts für bedingten Zugriff wird sichergestellt, dass die von Ihrer Organisation für den Datenzugriff definierten Richtlinien erzwungen werden. Microsoft Entra protokolliert, wenn Änderungen am bedingten Zugriff vorgenommen werden, und stellt Arbeitsmappen bereit, um sicherzustellen, dass Ihre Richtlinien die erwartete Abdeckung bereitstellen.
Links zu Arbeitsmappen
Überwachen Sie Änderungen an Richtlinien für bedingten Zugriff mithilfe der folgenden Informationen:
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Neue Richtlinie für bedingten Zugriff, die von nicht genehmigten Akteuren erstellt wird | Medium | Microsoft Entra-Überwachungsprotokolle | Aktivität: Richtlinie für bedingten Zugriff hinzufügen Kategorie: Richtlinie Initiiert von (Akteur): Benutzerprinzipalname |
Überwachen von und Benachrichtigen über Änderungen am bedingten Zugriff. Wird initiiert von (Akteur): Genehmigt, um Änderungen am bedingten Zugriff vorzunehmen? Microsoft Sentinel-Vorlage Sigma-Regeln |
| Richtlinie für bedingten Zugriff, die von nicht genehmigten Akteuren entfernt wird | Medium | Microsoft Entra-Überwachungsprotokolle | Aktivität: Richtlinie für bedingten Zugriff löschen Kategorie: Richtlinie Initiiert von (Akteur): Benutzerprinzipalname |
Überwachen von und Benachrichtigen über Änderungen am bedingten Zugriff. Wird initiiert von (Akteur): Genehmigt, um Änderungen am bedingten Zugriff vorzunehmen? Microsoft Sentinel-Vorlage Sigma-Regeln |
| Richtlinie für bedingten Zugriff, die von nicht genehmigten Akteuren aktualisiert wird | Medium | Microsoft Entra-Überwachungsprotokolle | Aktivität: Richtlinie für bedingten Zugriff aktualisieren Kategorie: Richtlinie Initiiert von (Akteur): Benutzerprinzipalname |
Überwachen von und Benachrichtigen über Änderungen am bedingten Zugriff. Wird initiiert von (Akteur): Genehmigt, um Änderungen am bedingten Zugriff vorzunehmen? Überprüfen von geänderten Eigenschaften und des alten Werts mit dem neuen Wert Microsoft Sentinel-Vorlage Sigma-Regeln |
| Entfernen eines Benutzers aus einer Gruppe, die zum Festlegen eines Bereichs für kritische Richtlinien für bedingten Zugriff verwendet wird | Medium | Microsoft Entra-Überwachungsprotokolle | Aktivität: Mitglied aus Gruppe entfernen Kategorie: GroupManagement Ziel: Benutzerprinzipalname |
Überwachen auf und Benachrichtigen über Gruppen, die zum Festlegen des Bereichs kritischer Richtlinien für bedingten Zugriff verwendet werden „Ziel“ ist der Benutzer, der entfernt wurde. Sigma-Regeln |
| Hinzufügen eines Benutzers zu einer Gruppe, die zum Festlegen des Bereichs kritischer Richtlinien für bedingten Zugriff verwendet werden | Niedrig | Microsoft Entra-Überwachungsprotokolle | Aktivität: Mitglied zu Gruppe hinzufügen Kategorie: GroupManagement Ziel: Benutzerprinzipalname |
Überwachen auf und Benachrichtigen über Gruppen, die zum Festlegen des Bereichs kritischer Richtlinien für bedingten Zugriff verwendet werden „Ziel“ ist der Benutzer, der hinzugefügt wurde. Sigma-Regeln |
Nächste Schritte
Übersicht zu Microsoft Entra-SecOps
Sicherheitsvorgänge für Benutzerkonten
Sicherheitsvorgänge für Consumerkonten
Sicherheitsvorgänge für privilegierte Konten
Sicherheitsvorgänge für Privileged Identity Management