Leitfaden für Microsoft Entra-SecOps

Microsoft verfolgt einen erfolgreichen und bewährten Ansatz der Zero Trust-Sicherheit unter Verwendung von Prinzipien der tiefgehenden Verteidigung, bei denen die Identität als Steuerungsebene dient. Organisationen nutzen weiterhin eine Hybridumgebung mit Workloads für Skalierung, Kosteneinsparungen und Sicherheit. Microsoft Entra ID spielt eine entscheidende Rolle bei Ihrer Strategie für die Identitätsverwaltung. Nachrichten aus der letzten Zeit zu Angriffen auf Identität und Sicherheit haben IT-Abteilungen in Unternehmen zunehmend veranlasst, ihren Identitätssicherheitsstatus als Gradmesser ihres Erfolgs bei der defensiven Sicherheit zu überdenken.

Organisationen sehen sich immer mehr mit einer Kombination aus lokalen und Cloudanwendungen konfrontiert, auf die Benutzer sowohl mit lokalen als auch mit ausschließlich cloudbasierten Konten zugreifen können. Szenarien, in denen Benutzer, Anwendungen und Geräte sowohl lokal als auch in der Cloud verwaltet werden, stellen eine Herausforderung dar.

Hybrididentität

Microsoft Entra ID bildet eine gemeinsame Benutzeridentität für die Authentifizierung und Autorisierung bei allen Ressourcen, unabhängig vom Standort. Wir bezeichnen dies als Hybrididentität.

Um Hybrididentität in Microsoft Entra ID zu erreichen, kann je nach Szenario eine von drei Authentifizierungsmethoden verwendet werden. Die drei Methoden sind:

• Kennworthashsynchronisierung (Password hash synchronization, PHS)
• Passthrough-Authentifizierung (PTA)
• Verbund (AD FS)

Während Sie Ihre aktuellen Sicherheitsvorgänge überprüfen oder Sicherheitsvorgänge für Ihre Azure-Umgebung einrichten, berücksichtigen Sie unsere folgenden Empfehlungen:

• Lesen Sie bestimmte Teile des Microsoft-Sicherheitsleitfadens, um sich ein Grundwissen zur Sicherheit Ihrer cloudbasierten oder hybriden Azure-Umgebung anzueignen.
• Überprüfen Sie Ihre Konto- und Kennwortstrategie sowie Authentifizierungsmethoden, um die gängigsten Angriffsvektoren abzuschwächen.
• Erstellen Sie eine Strategie für die kontinuierliche Überwachung und Benachrichtigung bei Aktivitäten, die auf eine Sicherheitsbedrohung hindeuten können.

Zielgruppe

Der Microsoft Entra-SecOps-Leitfaden richtet sich an IT-Identitäts- und Sicherheitsbetriebsteams von Unternehmen sowie an Anbieter verwalteter Dienste, die sich durch eine bessere Identitätssicherheitskonfiguration und Überwachungsprofile vor Bedrohungen schützen müssen. Dieser Leitfaden ist besonders für IT-Administratoren und Identitätsarchitekten relevant, die Security Operations Center-Teams (SOC) bei defensiven und Penetrationstests beraten, um ihren Identitätssicherheitsstatus zu verbessern und aufrechtzuerhalten.

`Scope`

Diese Einführung enthält Empfehlungen für die vorbereitende Lektüre sowie zur Kennwortüberwachung und Strategie. Dieser Artikel bietet auch eine Übersicht über die Tools, die für Hybrid- und vollständig cloudbasierte Azure-Umgebungen verfügbar sind. Schließlich stellen wir eine Liste der Datenquellen zur Verfügung, die Sie für die Überwachung und Benachrichtigung sowie bei der Konfiguration Ihrer SIEM-Strategie und -Umgebung (Security Information and Event Management) verwenden können. Gegen Ende des Leitfadens werden Überwachungs- und Warnungsstrategien in den folgenden Bereichen vorgestellt:

• Benutzerkonten: Leitfäden speziell zu nicht privilegierten Benutzerkonten ohne Administratorrechte, einschließlich anomaler Kontoerstellung und -nutzung sowie ungewöhnlicher Anmeldungen

• Privilegierte Konten: Leitfäden für privilegierte Benutzerkonten, die über erhöhte Berechtigungen zum Ausführen von administrativen Aufgaben verfügen. Zu diesen Aufgaben gehören Microsoft Entra-Rollenzuweisungen, Azure-Ressourcenrollenzuweisungen und die Zugriffsverwaltung für Azure-Ressourcen und -Abonnements.

• Privileged Identity Management (PIM): Leitfäden speziell zur Verwendung von PIM zum Verwalten, Steuern und Überwachen des Zugriffs auf Ressourcen

• Anwendungen: Leitfäden speziell zu Konten, die der Authentifizierung von Anwendungen dienen

• Geräte: Leitfäden speziell zur Überwachung von Geräten, die nicht gemäß den Richtlinien registriert oder eingebunden wurden, von nicht konformer Nutzung, von Geräteverwaltungsrollen und von Anmeldungen auf VMs sowie zu entsprechenden Benachrichtigungen

• Infrastruktur. Leitfäden speziell für die Überwachung und Benachrichtigung bei Bedrohungen hybrider oder rein cloudbasierter Umgebungen

Wichtige Referenzinhalte

Microsoft bietet viele Produkte und Dienste, mit denen Sie Ihre IT-Umgebung an Ihre Anforderungen anpassen können. Es wird empfohlen, die folgenden Leitfäden für Ihre Betriebsumgebung zu lesen:

• Windows-Betriebssysteme

  • Sicherheitsbaseline (endgültige Version) für Windows 10 v1909 und Windows Server v1909
  • Sicherheitsbaseline für Windows 11
  • Sicherheitsbaseline für Windows Server 2022

• Lokale Umgebungen

  • Microsoft Defender for Identity-Architektur
  • Schnellstart: Herstellen einer Verbindung zwischen Microsoft Defender for Identity und Active Directory
  • Azure-Sicherheitsbaseline für Microsoft Defender for Identity
  • Überwachen von Active Directory auf Anzeichen einer Sicherheitsgefährdung

• Cloudbasierte Azure-Umgebungen

  • Überwachen von Anmeldungen mit dem Microsoft Entra-Anmeldeprotokoll
  • Berichte zu Überwachungsaktivitäten im Azure-Portal
  • Untersuchen von Risiken mit Microsoft Entra ID Protection
  • Verbinden von Microsoft Entra ID Protection-Daten mit Microsoft Sentinel

• Active Directory Domain Services (AD DS)

  • Empfehlungen zu Überwachungsrichtlinien

• Active Directory-Verbunddienste (Active Directory Federation Services, AD FS)

  • AD FS-Problembehandlung: Überwachen von Ereignissen und Protokollierung

Datenquellen

Zur Untersuchung und Überwachung verwenden Sie die folgenden Protokolldateien:

• Microsoft Entra-Überwachungsprotokolle
• Anmeldeprotokolle
• Microsoft 365-Überwachungsprotokolle
• Azure Key Vault-Protokolle

Sie können die Microsoft Entra-Überwachungsprotokolle im Azure-Portal anzeigen. Laden Sie Protokolle als CSV-Dateien oder JSON-Dateien (JavaScript Object Notation) herunter. Das Azure-Portal bietet mehrere Möglichkeiten zur Integration von Microsoft Entra-Protokollen in andere Tools, die eine umfassendere Automatisierung von Überwachung und Benachrichtigungen ermöglichen:

• Microsoft Sentinel: Ermöglicht intelligente Sicherheitsanalysen auf Unternehmensebene, indem SIEM-Funktionen (Security Information and Event Management) zur Verfügung gestellt werden.

• Sigma-Regeln: Sigma ist ein sich in Entwicklung befindender offener Standard zum Schreiben von Regeln und Vorlagen, die automatisierte Verwaltungstools zum Parsen von Protokolldateien verwenden können. Dort, wo Sigma-Vorlagen für die empfohlenen Suchkriterien vorhanden sind, wurde ein Link zum Sigma-Repository hinzugefügt. Die Sigma-Vorlagen werden nicht von Microsoft geschrieben, getestet und verwaltet. Das Repository und die Vorlagen werden von der weltweiten IT-Sicherheitscommunity erstellt und gesammelt.

• Azure Monitor: Ermöglicht die automatisierte Überwachung verschiedener Bedingungen und entsprechende Warnungen. Damit können Arbeitsmappen erstellt oder verwendet werden, um Daten aus verschiedenen Quellen zu kombinieren.

• Azure Event Hubs mit Integration in ein SIEM-System. Microsoft Entra-Protokolle können über die Azure Event Hubs-Integration in andere SIEM-Systeme wie Splunk, ArcSight, QRadar und Sumo Logic integriert werden. Weitere Informationen finden Sie unter Streamen von Microsoft Entra-Protokollen an einen Azure Event Hub.

• Microsoft Defender für Cloud Apps: Ermöglicht Ihnen die Erkennung und Verwaltung von Apps, die Steuerung von Apps und Ressourcen sowie die Überprüfung der Compliance Ihrer Cloud-Apps.

• Sichern von Workloadidentitäten mit Identity Protection (Preview): Wird verwendet, um Risiken für Workloadidentitäten über das Anmeldeverhalten und Offlineindikatoren für eine Gefährdung zu erkennen.

Ein Großteil der Überwachung und zugehörigen Warnungen hängt von den Auswirkungen Ihrer Richtlinien für bedingten Zugriff ab. Sie können die Arbeitsmappe „Erkenntnisse und Berichterstellung zum bedingten Zugriff“ verwenden, um die Auswirkungen einer oder mehrere Richtlinien für bedingten Zugriff auf Ihre Anmeldungen sowie die Ergebnisse von Richtlinien (einschließlich Gerätestatus) zu untersuchen. Diese Arbeitsmappe bietet Ihnen die Möglichkeit, eine Zusammenfassung der Auswirkungen anzuzeigen und die Auswirkungen über einen bestimmten Zeitraum zu ermitteln. Sie können mithilfe der Arbeitsmappe auch die Anmeldungen eines bestimmten Benutzers untersuchen. Weitere Informationen finden Sie unter Erkenntnisse und Berichterstellung zum bedingten Zugriff.

Im weiteren Verlauf dieses Artikels wird beschrieben, was Sie überwachen und wofür Sie Warnungen erstellen sollten. Wo es spezielle vordefinierte Lösungen gibt, verweisen wir auf diese oder stellen Beispiele im Anschluss an die Tabelle zur Verfügung. Andernfalls können Sie Warnungen mithilfe der oben genannten Tools erstellen.

• Identity Protection generiert drei wichtige Berichte, die Sie bei der Untersuchung verwenden können:

• Riskobenutzer: enthält Informationen darüber, welche Benutzer*innen gefährdet sind, Details zu Erkennungen, den Verlauf aller riskante Anmeldungen und den Risikoverlauf.

• Risikoanmeldungen: enthält Informationen zu den Umständen einer Anmeldung, die auf verdächtige Situationen hinweisen können. Weitere Informationen zum Untersuchen von Informationen aus diesem Bericht finden Sie unter Untersuchen von Risiken.

• Risikoerkennungen: enthält Informationen zu Risikosignalen, die von Microsoft Entra ID Protection erkannt wurden und die Grundlage für die Bestimmung des Anmelde- und Benutzerrisikos darstellen. Weitere Informationen finden Sie im Microsoft Entra-Leitfaden zu Sicherheitsvorgängen für Benutzerkonten.

Weitere Informationen finden Sie unter Was ist Identity Protection?.

Datenquellen für die Domänencontrollerüberwachung

Um die besten Ergebnisse zu erzielen, wird empfohlen, dass Sie Ihre Domänencontroller mithilfe von Microsoft Defender for Identity überwachen. Dieser Ansatz ermöglicht die besten Erkennungs- und Automatisierungsfunktionen. Befolgen Sie die Leitfäden in diesen Ressourcen:

• Microsoft Defender for Identity-Architektur
• Schnellstart: Herstellen einer Verbindung zwischen Microsoft Defender for Identity und Active Directory

Wenn Sie nicht planen, Microsoft Defender for Identity zu verwenden, überwachen Sie Ihre Domänencontroller anhand eines der folgenden Ansätze:

• Ereignisprotokollmeldungen. Weitere Informationen finden Sie unter Überwachen von Active Directory auf Anzeichen einer Sicherheitsgefährdung.
• PowerShell-Cmdlets. Weitere Informationen finden Sie unter Problembehandlung der Domänencontrollerbereitstellung.

Komponenten der Hybridauthentifizierung

In einer Azure-Hybridumgebung sollte Folgendes als Minimum für eine Überwachungs- und Warnungsstrategie gelten.

• PTA-Agent: Der Passthrough-Authentifizierungs-Agent wird zum Aktivieren der Passthrough-Authentifizierung verwendet und lokal installiert. Informationen zum Überprüfen Ihrer Agent-Version und zu den nächsten Schritten finden Sie unter Microsoft Entra-Passthrough-Authentifizierung: Versionsverlauf des Agents.

• AD FS / WAP ermöglichen die sichere Freigabe von digitalen Identitäten und Zugriffsrechten über Ihre Sicherheits- und Unternehmensgrenzen hinweg. Informationen über bewährte Sicherheitspraktiken finden Sie unter Best practices for securing Active Directory Federation Services.

• Microsoft Entra Connect Health-Agent: Dieser Agent stellt eine Kommunikationsverbindung mit Microsoft Entra Connect Health bereit. Informationen zur Installation des Agents finden Sie unter Installieren der Microsoft Entra Connect Health-Agents.

• Microsoft Entra Connect-Synchronisierungsmodul: Die lokale Komponente, die auch als Synchronisierungsmodul bezeichnet wird. Informationen zu diesem Feature finden Sie unter Features des Microsoft Entra Connect-Synchronisierungsdiensts.

• Kennwortschutz-DC-Agent: Der DC-Agent für den Azure-Kennwortschutz unterstützt bei der Überwachung und dem Reporting von Ereignisprotokollmeldungen. Informationen dazu finden Sie unter Erzwingen des lokalen Microsoft Entra-Kennwortschutzes für Active Directory Domain Services.

• Kennwortfilter-DLL: Die Kennwortfilter-DLL des DC-Agents empfängt Anforderungen zur Kennwortüberprüfung vom Betriebssystem. Der Filter leitet diese an den DC-Agent-Dienst weiter, der lokal auf dem Domänencontroller ausgeführt wird. Informationen zur Verwendung der DLL finden Sie unter Erzwingen des lokalen Microsoft Entra-Kennwortschutzes für Active Directory Domain Services.

• Kennwortrückschreibungs-Agent: Kennwortrückschreiben ist eine Funktion, die mit Microsoft Entra Connect aktiviert wurde und es ermöglicht, Kennwortänderungen in der Cloud in Echtzeit in ein vorhandenes lokales Verzeichnis zurückzuschreiben. Weitere Informationen zu diesem Feature finden Sie unter Funktionsweise des Rückschreibens von Self-Service-Kennwortzurücksetzungen in Microsoft Entra ID.

• Private Microsoft Entra-Netzwerkconnectors: einfache Agents, die lokal eingerichtet werden und die ausgehende Verbindung mit dem Anwendungsproxydienst vereinfachen. Weitere Informationen finden Sie unter Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectors.

Komponenten der cloudbasierten Authentifizierung

Im Rahmen einer cloudbasierten Azure-Umgebung sollte Folgendes als Minimum für eine Überwachungs- und Warnungsstrategie gelten.

• Microsoft Entra-Anwendungsproxy: Dieser Clouddienst ermöglicht den sicheren Remotezugriff auf lokal gehostete Webanwendungen. Weitere Informationen finden Sie unter Remotezugriff auf lokale Anwendungen über den Microsoft Entra-Anwendungsproxy.

• Microsoft Entra Connect: Dienste, die für eine Microsoft Entra Connect-Lösung verwendet werden. Weitere Informationen finden Sie unter Informationen zu Microsoft Entra Connect.

• Microsoft Entra Connect Health: Service Health bietet Ihnen ein anpassbares Dashboard, mit dem Sie die Integrität Ihrer Azure-Dienste in den Regionen nachverfolgen, in denen Sie sie verwenden. Weitere Informationen finden Sie unter Microsoft Entra Connect Health.

• Microsoft Entra Multi-Faktor-Authentifizierung: Bei der Multi-Faktor-Authentifizierung müssen Benutzer zur Authentifizierung mehr als einen Identitätsnachweis erbringen. Dieser Ansatz kann einen proaktiven ersten Schritt zum Schützen Ihrer Umgebung bilden. Weitere Informationen finden Sie unter Microsoft Entra-Multi-Faktor-Authentifizierung.

• Dynamische Gruppen: Dynamische Konfiguration der Sicherheitsgruppenmitgliedschaft für Microsoft Entra. Administrator*innen können Regeln festlegen, nach denen Gruppen aufgefüllt werden, die in Microsoft Entra ID auf der Grundlage von Benutzerattributen erstellt werden. Weitere Informationen finden Sie unter Dynamische Gruppen und Microsoft Entra B2B-Zusammenarbeit.

• Bedingter Zugriff: Der bedingte Zugriff ist das Tool, das von Microsoft Entra ID verwendet wird, um Signale zusammenzuführen, Entscheidungen zu treffen und Organisationsrichtlinien zu erzwingen. Der bedingte Zugriff ist der Kern der neuen identitätsbasierten Steuerungsebene. Weitere Informationen finden Sie unter Was ist bedingter Zugriff?

• Identity Protection: Ein Tool, mit dem Organisationen die Erkennung und Behebung identitätsbasierter Risiken automatisieren, Risiken anhand von Daten im Portal untersuchen und Risikoerkennungsdaten an Ihr SIEM exportieren können. Weitere Informationen finden Sie unter Was ist Identity Protection?.

• Gruppenbasierte Lizenzierung: Lizenzen können Gruppen statt Benutzern direkt zugewiesen werden. Microsoft Entra ID speichert Informationen zum Lizenzzuweisungsstatus für Benutzer*innen.

• Bereitstellungsdienst: Die Bereitstellung bezieht sich auf das Erstellen von Benutzeridentitäten und -rollen in den Cloudanwendungen, auf die Benutzer Zugriff benötigen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern. Weitere Informationen finden Sie unter Funktionsweise der Anwendungsbereitstellung in Microsoft Entra ID.

• Graph-API: Die Microsoft Graph-API ist eine RESTful-Web-API, die Ihnen den Zugriff auf Microsoft Cloud-Dienstressourcen ermöglicht. Nachdem Sie Ihre App registriert und Authentifizierungstoken für einen Benutzer oder Dienst abgerufen haben, können Sie Anforderungen an die Microsoft Graph-API senden. Weitere Informationen finden Sie in der Übersicht zu Microsoft Graph.

• Domain Services: Microsoft Entra Domain Services stellt verwaltete Domänendienste wie Domänenbeitritt und Gruppenrichtlinien bereit. Weitere Informationen finden Sie unter Was ist Microsoft Entra Domain Services.

• Azure Resource Manager : Azure Resource Manager ist der Bereitstellungs- und Verwaltungsdienst für Azure. Er bietet eine Verwaltungsebene, die das Erstellen, Aktualisieren und Löschen von Ressourcen in Ihrem Azure-Konto ermöglicht. Weitere Informationen finden Sie unter Was ist Azure Resource Manager?.

• Verwaltete Identität: Dank verwalteter Identitäten müssen Entwickler keine Anmeldeinformationen mehr verwalten. Verwaltete Identitäten stellen eine Identität bereit, mit deren Hilfe Anwendungen eine Verbindung mit Ressourcen herstellen können, welche die Microsoft Entra-Authentifizierung unterstützen. Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen.

• Privileged Identity Management (PIM) ist ein Dienst in Microsoft Entra ID, mit dem Sie den Zugriff auf wichtige Ressourcen innerhalb Ihrer Organisation verwalten, steuern und überwachen können. Weitere Informationen finden Sie unter Was ist Microsoft Entra Privileged Identity Management?.

• Zugriffsüberprüfungen: Mithilfe von Microsoft Entra-Zugriffsüberprüfungen können Unternehmen Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen sowie Rollenzuweisungen effizient verwalten. Der Benutzerzugriff kann regelmäßig überprüft werden, um sicherzustellen, dass nur die richtigen Personen weiterhin Zugriff haben. Weitere Informationen finden Sie unter Was sind Microsoft Entra-Zugriffsüberprüfungen?

• Berechtigungsverwaltung: Die Microsoft Entra-Berechtigungsverwaltung ist ein Identitätsgovernance-Feature. Damit können Organisationen Identitäts- und Zugriffslebenszyklen nach Bedarf verwalten, indem sie Workflows für Zugriffsanforderungen, Zugriffszuweisungen, Überprüfungen und Ablauf automatisieren. Weitere Informationen finden Sie unter Was ist die Microsoft Entra-Berechtigungsverwaltung?

• Aktivitätsprotokoll: Das Aktivitätsprotokoll ist ein Azure-Plattformprotokoll, das einen Einblick in Ereignisse auf Abonnementebene ermöglicht. Dieses Protokoll umfasst beispielsweise Informationen wie das Ändern einer Ressource oder das Starten einer VM. Weitere Informationen finden Sie unter Azure-Aktivitätsprotokoll.

• Self-Service-Kennwortzurücksetzung: Mit der Self-Service-Kennwortzurücksetzung (SSPR) von Microsoft Entra können Benutzer*innen ihr Kennwort ohne Beteiligung von Administrator*innen oder des Helpdesk ändern oder zurücksetzen. Administrator*innen oder der Helpdesk sind nicht erforderlich. Weitere Informationen finden Sie unter So geht‘s: Self-Service-Kennwortzurücksetzung in Microsoft Entra.

• Gerätedienste: Die Geräteidentitätsverwaltung stellt die Grundlage für gerätebasierten bedingten Zugriff dar. Mit Richtlinien für gerätebasierten bedingten Zugriff können Sie sicherstellen, dass nur mit verwalteten Geräten auf Ressourcen in Ihrer Umgebung zugegriffen werden kann. Weitere Informationen finden Sie unter Was ist eine Geräteidentität?.

• Self-Service-Gruppenverwaltung: Sie können Benutzern die Erstellung und Verwaltung ihrer eigenen Sicherheitsgruppen oder Microsoft 365-Gruppen in Microsoft Entra ID ermöglichen. Der Besitzer der Gruppe kann Mitgliedschaftsanforderungen genehmigen oder ablehnen sowie die Steuerung der Gruppenmitgliedschaft delegieren. Self-Service-Funktionen zur Gruppenverwaltung sind nicht für E-Mail-aktivierte Sicherheitsgruppen oder Verteilerlisten verfügbar. Weitere Informationen finden Sie unter Einrichten der Self-Service-Gruppenverwaltung in Microsoft Entra ID.

• Risikoerkennungen: Enthält Informationen zu anderen Risiken, die bei Erkennung eines Risikos ausgelöst werden, sowie andere relevante Informationen wie den Anmeldeort und Details von Microsoft Defender für Cloud Apps.

Nächste Schritte

Weitere Informationen finden Sie in den folgenden Artikeln im Leitfaden zu Sicherheitsvorgängen:

Sicherheitsvorgänge für Benutzerkonten

Sicherheitsvorgänge für Consumerkonten

Sicherheitsvorgänge für privilegierte Konten

Sicherheitsvorgänge für Privileged Identity Management

Sicherheitsvorgänge für Anwendungen

Sicherheitsvorgänge für Geräte

Sicherheitsvorgänge für die Infrastruktur