Was ist Identity Protection?

Identity Protection nutzt die Erkenntnisse, die Microsoft dank seiner Position in Organisationen (Azure Active Directory), im Verbraucherbereich (Microsoft-Konten) und im Spielebereich (Xbox) gewonnen hat, um Ihre Benutzer zu schützen. Microsoft analysiert mehrere Billionen Signale pro Tag, um Bedrohungen zu erkennen und Kunden vor Bedrohungen zu schützen. Mit Identity Protection können Organisationen drei wichtige Aufgaben erledigen:

Die Signale, die von Identity Protection generiert und Identity Protection zugeführt werden, können auch im Rahmen des bedingten Zugriffs genutzt werden, um Zugriffsentscheidungen zu treffen. Darüber hinaus können die Signale zur weiteren Untersuchung an ein SIEM-Tool (Security Information & Event Management) übergeben werden.

Warum ist eine Automatisierung wichtig?

Im Blogbeitrag Cyber-Signale: Abwehren von Cyberbedrohungen mithilfe neuester Forschungserkenntnisse und Trends vom 3. Februar 2022 haben wir eine kurze Threat Intelligence-Beschreibung einschließlich folgender Statistiken geteilt:

  • Analysiert... 24 Billionen mit Intelligenz kombinierte Sicherheitssignale, die wir durch Überwachung von mehr als 40 nationalstaatlichen Gruppen und über 140 Bedrohungsgruppen verfolgen...
  • ... Von Januar 2021 bis Dezember 2021 haben wir bei der Azure AD-Authentifizierung mehr als 25,6 Milliarden Brute Force-Angriffe blockiert...

Dieses umfangreiche Ausmaß von Signalen und Angriffen erfordert einen gewissen Grad von Automatisierung, um Schritt halten zu können.

Risiko erkennen

Identity Protection erkennt verschiedenartige Risiken, z. B.:

  • Verwendung anonymer IP-Adressen
  • Ungewöhnlicher Ortswechsel
  • Mit Schadsoftware verknüpfte IP-Adresse
  • Ungewöhnliche Anmeldeeigenschaften
  • Kompromittierte Anmeldeinformationen
  • Kennwortspray
  • und vieles mehr...

Die Risikosignale können Korrekturmaßnahmen zur Folge haben, die unter Umständen dazu führen, dass die Multi-Faktor-Authentifizierung verwendet das Kennwort per Self-Service-Kennwortzurücksetzung zurückgesetzt oder der Zugriff blockiert werden muss, bis ein Administrator aktiv wird.

Weitere Einzelheiten zu diesen und anderen Risiken sowie dazu, wann und wie sie berechnet werden, finden Sie im Artikel Was bedeutet Risiko?.

Untersuchen eines Risikos

Administratoren können Erkennungen überprüfen und bei Bedarf manuelle Maßnahmen ergreifen. In Identity Protection stehen drei wichtige Berichte zur Verfügung, die Administratoren bei ihren Untersuchungen nutzen können:

  • Riskante Benutzer
  • Riskante Anmeldungen
  • Risikoerkennungen

Weitere Informationen finden Sie im Artikel Untersuchen von Risiken.

Risikostufen

Mit Identity Protection werden Risiken in Stufen eingeteilt: niedrig, mittel und hoch.

Microsoft stellt keine speziellen Details für die Risikoberechnung zur Verfügung. Je höher die Risikostufe desto wahrscheinlicher ist es, dass der Benutzer oder die Anmeldung kompromittiert wurde. Beispielsweise sind einmalige ungewöhnliche Anmeldeeigenschaften eines Benutzers unter Umständen nicht so riskant wie kompromittierte Anmeldeinformationen eines anderen Benutzers.

Weitere Nutzung von Risikoinformationen

Daten aus Identity Protection können zur Archivierung sowie für weitere Untersuchungen und Korrelationsschritte in andere Tools exportiert werden. Dank der Microsoft Graph-basierten APIs können Organisationen diese Daten zur weiteren Verarbeitung in einem Tool (beispielsweise SIEM) sammeln. Der Zugriff auf die Identity Protection-API wird im Artikel Erste Schritte mit Azure Active Directory Identity Protection und Microsoft Graph erläutert.

Informationen zur Integration von Identity Protection-Informationen in Microsoft Sentinel finden Sie im Artikel Verknüpfen von Daten aus Azure AD Identity Protection.

Organisationen können Daten über einen längeren Zeitraum speichern, indem sie die Diagnoseeinstellungen in Azure AD ändern. Sie können Daten an einen Log Analytics-Arbeitsbereich senden, Daten in einem Speicherkonto archivieren, Daten an Event Hubs streamen oder Daten an eine Partnerlösung senden. Ausführliche Informationen dazu finden Sie im Artikel Anleitung: Exportieren von Risikodaten.

Erforderliche Rollen

Benutzer müssen über die Rolle „Benutzer mit Leseberechtigung für Sicherheitsfunktionen“, „Sicherheitsoperator“, „Sicherheitsadministrator“, „Globaler Leser“ oder „Globaler Administrator“ verfügen, um auf Identity Protection zugreifen zu können.

Role Möglich Nicht möglich
Globaler Administrator Vollzugriff auf Identity Protection
Sicherheitsadministrator Vollzugriff auf Identity Protection Zurücksetzen des Kennworts für einen Benutzer
Sicherheitsoperator Anzeigen aller Identity Protection-Berichte und der Übersicht

Ignorieren des Benutzerrisikos, Bestätigen der sicheren Anmeldung, Bestätigen der Kompromittierung
Konfigurieren oder Ändern von Richtlinien

Zurücksetzen des Kennworts für einen Benutzer

Konfigurieren von Warnungen
Sicherheitsleseberechtigter Anzeigen aller Identity Protection-Berichte und der Übersicht Konfigurieren oder Ändern von Richtlinien

Zurücksetzen des Kennworts für einen Benutzer

Konfigurieren von Warnungen

Bereitstellen von Feedback zu Erkennungen
Globaler Leser Schreibgeschützter Zugriff auf Identity Protection

Derzeit kann die Rolle „Sicherheitsoperator“ nicht auf den Bericht „Riskante Anmeldungen“ zugreifen.

Administratoren für bedingten Zugriff können Richtlinien erstellen, bei denen das Benutzer- oder Anmelderisiko als Bedingung berücksichtigt wird. Weitere Informationen finden Sie im Artikel Bedingter Zugriff: Bedingungen.

Lizenzanforderungen

Für die Verwendung dieses Features sind Azure AD Premium P2-Lizenzen erforderlich. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Azure AD.

Funktion Details Azure AD Free/Microsoft 365-Apps Azure AD Premium P1 Azure AD Premium P2
Risikorichtlinien Benutzerrisiko-Richtlinie (über Identity Protection) Nein Nein Ja
Risikorichtlinien Anmelderisiko-Richtlinie (über Identity Protection oder bedingten Zugriff) Nein Nein Ja
Sicherheitsberichte Übersicht Nein Nein Ja
Sicherheitsberichte Riskante Benutzer Eingeschränkte Informationen. Nur Benutzer mit mittlerem und hohem Risiko werden angezeigt. Kein Drawer „Details“ oder Risikoverlauf. Eingeschränkte Informationen. Nur Benutzer mit mittlerem und hohem Risiko werden angezeigt. Kein Drawer „Details“ oder Risikoverlauf. Vollzugriff
Sicherheitsberichte Riskante Anmeldungen Eingeschränkte Informationen. Es werden keine Risikodetails oder Risikostufen angezeigt. Eingeschränkte Informationen. Es werden keine Risikodetails oder Risikostufen angezeigt. Vollzugriff
Sicherheitsberichte Risikoerkennungen Nein Eingeschränkte Informationen. Kein Drawer „Details“. Vollzugriff
Benachrichtigungen Warnungen zu erkannten gefährdeten Benutzern Nein Nein Ja
Benachrichtigungen Wöchentliche Übersicht Nein Nein Ja
Richtlinie für MFA-Registrierung Nein Nein Ja

Weitere Informationen zu diesen umfassenden Berichten finden Sie im Artikel zu den Risiken.

Nächste Schritte