SecOps für privilegierte Konten in Microsoft Entra ID
Die Sicherheit der Geschäftsressourcen hängt von der Integrität der privilegierten Konten ab, mit denen Ihre IT-Systeme verwaltet werden. Cyberkriminelle haben es beim Diebstahl von Anmeldeinformationen besonders auf Administratorkonten und andere privilegierte Zugriffsmöglichkeiten abgesehen, um Zugriff auf sensible Daten zu erhalten.
Bisher haben sich Unternehmen bezüglich der Organisationssicherheit auf die Ein- und Ausstiegspunkte eines Netzwerks als Sicherheitsperimeter konzentriert. Durch SaaS-Anwendungen (Software-as-a-Service) und persönliche Geräte im Internet ist dieser Ansatz jedoch weniger effektiv.
Microsoft Entra ID verwendet identitäts- und Zugriffsverwaltung (identity and access management, IAM) als Steuerungsebene. Auf der Identitätsebene Ihrer Organisation haben Benutzer, denen privilegierte Administratorrollen zugewiesen sind, die Kontrolle. Die für den Zugriff verwendeten Konten müssen geschützt werden, unabhängig davon, ob es sich um eine lokale, eine Cloud- oder eine Hybridumgebung handelt.
Sie sind für alle Sicherheitsebenen Ihrer lokalen IT-Umgebung verantwortlich. Wenn Sie Azure-Dienste verwenden, sind Microsoft als Clouddienstanbieter und Sie als Kunde für Prävention und Reaktion gemeinsam verantwortlich.
- Weitere Informationen zum Modell der gemeinsamen Verantwortung finden Sie unter Gemeinsame Verantwortung in der Cloud.
- Weitere Informationen zum Schützen des Zugriffs für privilegierte Benutzer finden Sie unter Schützen des privilegierten Zugriffs für hybride und Cloudbereitstellungen in Microsoft Entra ID.
- Eine Vielzahl von Videos, Schrittanleitungen und Inhalten wichtiger Konzepte für privilegierte Identitäten finden Sie in der Privileged Identity Management-Dokumentation.
Zu überwachende Protokolldateien
Zur Untersuchung und Überwachung verwenden Sie die folgenden Protokolldateien:
Im Azure-Portal können Sie die Microsoft Entra-Überwachungsprotokolle anzeigen und als CSV-Datei (Comma Separated Value) oder JSON-Datei (JavaScript Object Notation) herunterladen. Das Azure-Portal bietet mehrere Möglichkeiten zur Integration von Microsoft Entra-Protokollen in andere Tools, die eine umfassendere Automatisierung von Überwachung und Benachrichtigungen ermöglichen:
Microsoft Sentinel. Ermöglicht intelligente Sicherheitsanalysen auf Unternehmensebene, indem SIEM-Funktionen (Security Information and Event Management) zur Verfügung gestellt werden.
Sigma-Regeln: Sigma ist ein sich in Entwicklung befindender offener Standard zum Schreiben von Regeln und Vorlagen, die automatisierte Verwaltungstools zum Parsen von Protokolldateien verwenden können. Dort, wo Sigma-Vorlagen für die empfohlenen Suchkriterien vorhanden sind, wurde ein Link zum Sigma-Repository hinzugefügt. Die Sigma-Vorlagen werden nicht von Microsoft geschrieben, getestet und verwaltet. Das Repository und die Vorlagen werden von der weltweiten IT-Sicherheitscommunity erstellt und gesammelt.
Azure Monitor. Ermöglicht die automatisierte Überwachung verschiedener Bedingungen und entsprechende Warnungen. Damit können Arbeitsmappen erstellt oder verwendet werden, um Daten aus verschiedenen Quellen zu kombinieren.
Azure Event Hubs mit Integration in ein SIEM-System. Ermöglicht das Pushen von Microsoft Entra-Protokollen über die Azure Event Hubs-Integration in andere SIEM-Systeme, z. B. Splunk, ArcSight, QRadar und Sumo Logic. Weitere Informationen finden Sie unter Streamen von Microsoft Entra-Protokollen an einen Azure Event Hub.
Microsoft Defender für Cloud Apps. Ermöglicht die Erkennung und Verwaltung von Apps, die Steuerung von Apps und Ressourcen sowie die Überprüfung der Compliance Ihrer Cloud-Apps.
Microsoft Graph. Ermöglicht es Ihnen, Daten zu exportieren und Microsoft Graph zu verwenden, um weitere Analysen durchzuführen. Weitere Informationen finden Sie unter Microsoft Graph PowerShell SDK und Microsoft Entra ID Protection.
Identitätsschutz. Generiert drei wichtige Berichte, die Sie bei der Untersuchung verwenden können:
Riskante Benutzer. Enthält Informationen darüber, welche Benutzer gefährdet sind, Details zu Erkennungen, den Verlauf aller riskante Anmeldungen und den Risikoverlauf.
Riskante Anmeldungen. Enthält Informationen zu den Umständen einer Anmeldung, die auf verdächtige Situationen hinweisen können. Weitere Informationen zum Untersuchen von Informationen aus diesem Bericht finden Sie unter Untersuchen von Risiken.
Risikoerkennungen. Enthält Informationen zu anderen Risiken, die bei Erkennung eines Risikos ausgelöst werden, sowie andere relevante Informationen wie den Anmeldeort und Details von Microsoft Defender für Cloud Apps.
Sichern von Workloadidentitäten mit Identity Protection (Vorschau). Ermöglicht die Erkennung von Risiken für Workloadidentitäten über das Anmeldeverhalten und Offlineindikatoren für eine Gefährdung.
Privilegierte Konten können über ständige Administratorrechte verfügen, wovon wir jedoch abraten. Wenn Sie sich für die Verwendung von ständigen Berechtigungen entscheiden und das Konto kompromittiert wird, kann dies sehr negative Auswirkungen haben. Wir empfehlen Ihnen, die Überwachung privilegierter Konten zu priorisieren und die Konten in Ihre Konfiguration von Privileged Identity Management (PIM) einzuschließen. Weitere Informationen zu PIM finden Sie unter Einstieg in Privileged Identity Management. Außerdem empfehlen wir Ihnen, folgendes für Administratorkonten zu überprüfen:
- Die Administratorkonten sind erforderlich.
- Den Administratorkonten sind die geringsten Berechtigungen zum Ausführen der erforderlichen Aktivitäten zugewiesen.
- Sind zumindest mit Multi-Faktor-Authentifizierung geschützt.
- Die Administratorkonten werden auf Privileged Access Workstations (PAWs) oder Secure Admin Workstations (SAWs) ausgeführt.
Im weiteren Verlauf dieses Artikels wird beschrieben, was Sie überwachen und warnen sollten. Der Artikel ist nach Art der Bedrohung organisiert. Wenn es spezielle vorgefertigte Lösungen gibt, sind diese im Anschluss an die Tabelle aufgeführt. Andernfalls können Sie Warnungen mithilfe der oben beschriebenen Tools erstellen.
Dieser Artikel enthält Details zum Festlegen von Baselines sowie zum Überwachen der Anmeldung und Nutzung privilegierter Konten. Außerdem werden Tools und Ressourcen erläutert, die Sie verwenden können, um die Integrität Ihrer privilegierten Konten aufrechtzuerhalten. Der Inhalt ist in die folgenden Themenbereiche unterteilt:
- Konten für den Notfallzugriff/Notfallkonten
- Anmeldung mit privilegiertem Konto
- Änderungen von privilegierten Konten
- Privilegierte Gruppen
- Rechtezuweisung und Rechteerweiterungen
Konten für den Notfallzugriff
Es ist wichtig, dass Sie verhindern, versehentlich aus Ihrem Microsoft Entra-Mandanten ausgesperrt zu werden. Sie können die Auswirkungen eines versehentlichen Aussperrens abmildern, indem Sie in Ihrer Organisation Konten für den Notfallzugriff erstellen. Konten für den Notfallzugriff werden auch als Notfallkonten bezeichnet – engl. „break-glass accounts“ in Anlehnung an die Meldungen „break glass in case of emergency“, die auf physischen Sicherheitsvorrichtungen wie Feueralarmmeldern zu finden sind.
Konten für den Notfallzugriff verfügen über umfangreiche Rechte und werden keinen Einzelpersonen zugewiesen. Konten für den Notfallzugriff sind auf Notfallsituationen oder Szenarien beschränkt, in denen normale, privilegierte Konten nicht verwendet werden können. Ein Beispiel hierfür ist, wenn eine Richtlinie für bedingten Zugriff falsch konfiguriert ist und alle normalen Administratorkonten sperrt. Verwenden Sie Notfallkonten nur in Fällen, in denen dies unbedingt erforderlich ist.
Eine Anleitung zum Vorgehen im Notfall finden Sie unter Sichere Zugriffspraktiken für Administratoren in Microsoft Entra ID.
Senden Sie bei jeder Verwendung eines Kontos für den Notfallzugriff eine Warnung mit hoher Priorität.
Ermittlung
Da Notfallkonten nur bei einem Notfall verwendet werden, sollte Ihre Überwachung keine Kontoaktivitäten ermitteln. Senden Sie bei jeder Verwendung oder Änderung eines Kontos für den Notfallzugriff eine Warnung mit hoher Priorität. Jedes der folgenden Ereignisse kann darauf hindeuten, dass ein böswilliger Akteur versucht, Ihre Umgebungen zu gefährden.
- Anmelden:
- Änderung des Kontokennworts
- Änderung von Kontoberechtigungen/-rollen
- Hinzugefügte oder geänderte Anmeldeinformationen oder Authentifizierungsmethode
Weitere Informationen zum Verwalten dieser Konten finden Sie unter Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID. Ausführliche Informationen zum Erstellen einer Warnung für ein Notfallkonto finden Sie unter Erstellen einer Warnungsregel.
Anmeldung mit privilegiertem Konto
Überwachen Sie alle Anmeldeaktivitäten von privilegierten Konten mithilfe der Microsoft Entra-Anmeldeprotokolle als Datenquelle. Zusätzlich zu den Informationen zu erfolgreichen und fehlerhaften Anmeldungen enthalten die Protokolle die folgenden Details:
- Interrupts
- Gerät
- Standort
- Risiko
- Application
- Datum und Uhrzeit
- Ob das Konto deaktiviert ist
- Sperrung
- MFA-Betrug
- Bedingter Zugriff Fehler
Zu überwachende Ereignisse
Sie können Anmeldeereignisse privilegierter Konten in den Microsoft Entra-Anmeldeprotokollen überwachen. Erstellen Sie eine Warnung für und untersuchen Sie die folgenden Ereignisse für privilegierte Konten.
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Subfilter | Notizen |
|---|---|---|---|---|
| Anmeldefehler, Schwellenwert für falsches Kennwort | Hoch | Microsoft Entra-Anmeldeprotokoll | Status = Fehler - und - Fehlercode = 50126 |
Legen Sie einen Basisschwellenwert fest, den Sie dann überwachen und entsprechend dem Verhalten Ihres Unternehmens anpassen können, um zu verhindern, dass Fehlwarnungen generiert werden. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Fehler aufgrund der Anforderung für bedingten Zugriff | Hoch | Microsoft Entra-Anmeldeprotokoll | Status = Fehler - und - Fehlercode = 53003 - und - Fehlerursache = Durch bedingten Zugriff blockiert |
Dies kann ein Hinweis darauf sein, dass ein Angreifer versucht, auf das Konto zuzugreifen. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Privilegierte Konten, die nicht der Benennungsrichtlinie entsprechen. | Azure-Abonnement | Auflisten von Azure-Rollenzuweisungen über das Azure-Portal | Listen Sie Rollenzuweisungen für Abonnements auf, und geben Sie eine Warnung aus, wenn der Anmeldename nicht dem Format Ihrer Organisation entspricht. Ein Beispiel ist die Verwendung von ADM_ als Präfix. | |
| Interrupt | Hoch, mittel | Microsoft Entra Anmeldungen | Status = Unterbrochen - und - Fehlercode = 50074 - und - Fehlergrund = Strenge Authentifizierung erforderlich Status = Unterbrochen - und - Fehlercode = 500121 Fehlergrund = Fehler bei der Authentifizierung während der Anforderung einer strengen Authentifizierung |
Dies kann ein Hinweis darauf sein, dass ein Angreifer über das Kennwort für das Konto verfügt, die MFA-Abfrage aber nicht erfolgreich abschließen kann. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Privilegierte Konten, die nicht der Benennungsrichtlinie entsprechen. | Hoch | Microsoft Entra Verzeichnis | Auflisten von Microsoft Entra-Rollenzuweisungen | Listen Sie Rollenzuweisungen für Microsoft Entra-Rollen auf, und geben Sie eine Warnung aus, wenn der UPN nicht dem Format Ihrer Organisation entspricht. Ein Beispiel ist die Verwendung von ADM_ als Präfix. |
| Ermitteln privilegierter Konten, die nicht für Multi-Faktor-Authentifizierung registriert sind | Hoch | Microsoft Graph-API | Abfrage von IsMFARegistered ist für Administratorkonten FALSE. CredentialUserRegistrationDetails auflisten – Microsoft Graph-Betaversion | Überwachen und untersuchen Sie, um zu ermitteln, ob Absicht oder ein Versehen vorliegt. |
| Kontosperrung | Hoch | Microsoft Entra-Anmeldeprotokoll | Status = Fehler - und - Fehlercode = 50053 |
Legen Sie einen Basisschwellenwert fest, den Sie dann überwachen und entsprechend dem Verhalten Ihres Unternehmens anpassen können, um zu verhindern, dass Fehlwarnungen generiert werden. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Konto für Anmeldungen deaktiviert/blockiert | Niedrig | Microsoft Entra-Anmeldeprotokoll | Status = Fehler - und - Ziel = Benutzer-UPN - und - Fehlercode = 50057 |
Dieses Ereignis kann darauf hindeuten, dass jemand versucht, zugriff auf ein Konto zu erhalten, nachdem er die Organisation verlassen hat. Trotz der Blockierung des Kontos ist es dennoch wichtig, diese Aktivität zu protokollieren und eine entsprechende Warnung auszugeben. Microsoft Sentinel-Vorlage Sigma-Regeln |
| MFA-Betrugswarnung/Blockierung | Hoch | Microsoft Entra-Anmeldeprotokoll/Azure Log Analytics | Anmeldungen>Authentifizierungsdetails Ergebnisdetails = MFA verweigert, Betrugscode eingegeben | Der privilegierte Benutzer hat angegeben, dass er die MFA-Eingabeaufforderung nicht veranlasst hat, was darauf hindeuten könnte, dass ein Angreifer über das Kennwort für das Konto verfügt. Microsoft Sentinel-Vorlage Sigma-Regeln |
| MFA-Betrugswarnung/Blockierung | Hoch | Microsoft Entra-Überwachungsprotokoll/Azure Log Analytics | Aktivitätstyp = Betrug gemeldet – Benutzer für MFA gesperrt oder Betrug gemeldet – keine Aktion ausgeführt (auf Basis der Einstellungen für Betrugsberichte auf Mandantenebene) | Der privilegierte Benutzer hat angegeben, dass er die MFA-Eingabeaufforderung nicht veranlasst hat, was darauf hindeuten könnte, dass ein Angreifer über das Kennwort für das Konto verfügt. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Anmeldungen mit privilegierten Konten außerhalb der erwarteten Kontrollen. | Microsoft Entra-Anmeldeprotokoll | Status = Fehler UserPricipalName = <Administratorkonto> Standort = <Nicht genehmigter Standort> IP-Adresse = <Nicht genehmigte IP-Adresse> Geräteinformationen = <nicht genehmigter Browser, nicht genehmigtes Betriebssystem> |
Überwachen Sie Einträge, die Sie als nicht genehmigt definiert haben, und geben Sie Warnungen dafür aus. Microsoft Sentinel-Vorlage Sigma-Regeln |
|
| Außerhalb der normalen Anmeldezeiten | Hoch | Microsoft Entra-Anmeldeprotokoll | Status = Erfolg - und - Standort = - und - Zeit = außerhalb der Arbeitszeiten |
Überwachen und warnen Sie, wenn Anmeldungen außerhalb der erwarteten Zeiten erfolgen. Es ist wichtig, das normale Arbeitsmuster für jedes privilegierte Konto zu ermitteln und eine Warnung auszugeben, wenn ungeplante Änderungen außerhalb der normalen Arbeitszeiten vorgenommen werden. Anmeldungen außerhalb der normalen Arbeitszeiten können auf eine Gefährdung oder auf mögliche Insiderbedrohungen hinweisen. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Identitätsschutzrisiken | Hoch | Identity Protection-Protokolle | Risikozustand = Gefährdet - und - Risikostufe = Niedrig, Mittel, Hoch - und - Aktivität = Unbekannte Anmeldung/TOR usw. |
Dies deutet darauf hin, dass bei der Anmeldung für das Konto eine gewisse Anomalie erkannt wurde und eine entsprechende Warnung ausgegeben werden sollte. |
| Kennwortänderung | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivitätsakteur = Administrator/Self-Service - und - Ziel = Benutzer - und - Status = Erfolg oder Fehler |
Geben Sie Warnungen bei Änderungen von Administratorkontenkennwörtern aus. Dies gilt insbesondere für Konten von globalen Administratoren, Benutzeradministratoren und Abonnementadministratoren sowie für Konten für den Notfallzugriff. Schreiben Sie eine Abfrage für alle privilegierten Konten. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Änderung des Legacyauthentifizierungsprotokolls | Hoch | Microsoft Entra-Anmeldeprotokoll | Client-App = Anderer Client, IMAP, POP3, MAPI, SMTP usw. - und - Benutzername = UPN - und - Anwendung = Exchange (Beispiel) |
Bei vielen Angriffen wird die Legacyauthentifizierung verwendet. Daher kann eine Änderung des Authentifizierungsprotokolls für den Benutzer ein Hinweis auf einen Angriff sein. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Neues Gerät oder neuer Standort | Hoch | Microsoft Entra-Anmeldeprotokoll | Geräteinformationen = Geräte-ID - und - Browser - und - Betriebssystem - und - Kompatibel/verwaltet - und - Ziel = Benutzer - und - Standort |
Die meisten Administratoraktivitäten sollten auf Geräten mit privilegiertem Zugriff ausgeführt werden und von einer begrenzten Anzahl von Standorten aus erfolgen. Aus diesem Grund sollten Sie Warnungen für neue Geräte oder Standorte verwenden. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Die Einstellung für Überwachungswarnungen ist geändert. | Hoch | Microsoft Entra-Überwachungsprotokolle | Dienst = PIM - und - Kategorie = Role Management (Rollenverwaltung) - und - Aktivität = PIM-Warnung deaktivieren - und - Status = Erfolg |
Bei unerwarteten Änderungen an einer wichtigen Warnung sollte eine Warnmeldung ausgegeben werden. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Administratoren, die sich für andere Microsoft Entra-Mandanten authentifizieren | Medium | Microsoft Entra-Anmeldeprotokoll | Status = Erfolg Ressourcenmandanten-ID != Basismandanten-ID |
Wenn der Bereich auf privilegierte Benutzer festgelegt ist, wird erkannt, wenn sich ein Administrator erfolgreich bei einem anderen Microsoft Entra-Mandanten mit einer Identität im Mandanten Ihrer Organisation authentifiziert hat. Warnung, wenn die Ressourcenmandanten-ID nicht mit der Basismandanten-ID identisch ist Microsoft Sentinel-Vorlage Sigma-Regeln |
| Administratorstatus von „Gast“ in „Mitglied“ geändert | Medium | Microsoft Entra-Überwachungsprotokolle | Aktivität: Benutzer aktualisieren Kategorie: Benutzerverwaltung Benutzertyp (UserType) von „Gast“ in „Mitglied“ geändert |
Überwachen von und Warnen bei Änderung des Benutzertyps von „Gast“ in „Mitglied“ Wurde diese Änderung erwartet? Microsoft Sentinel-Vorlage Sigma-Regeln |
| Gastbenutzer, die von nicht genehmigten Einladenden zum Mandanten eingeladen wurden | Medium | Microsoft Entra-Überwachungsprotokolle | Aktivität: Externe Benutzer einladen Kategorie: Benutzerverwaltung Initiiert von (Akteur): Benutzerprinzipalname |
Überwachen von und Warnen bei nicht genehmigten Akteuren, die externe Benutzer einladen Microsoft Sentinel-Vorlage Sigma-Regeln |
Änderungen durch privilegierte Konten
Überwachen Sie alle abgeschlossenen und versuchten Änderungen durch ein privilegiertes Konto. Anhand dieser Daten können Sie die normale Aktivität für jedes privilegierte Konto ermitteln und bei Aktivitäten, die von den erwarteten abweichen, warnen. Die Microsoft Entra-Überwachungsprotokolle werden zum Aufzeichnen dieses Ereignistyps verwendet. Weitere Informationen zu Microsoft Entra Überwachungsprotokollen finden Sie unter Überwachungsprotokolle in Microsoft Entra ID.
Microsoft Entra Domain Services
Privilegierte Konten, denen Berechtigungen in Microsoft Entra Domain Services zugewiesen wurden, können Aufgaben für Microsoft Entra Domain Services ausführen, die sich auf den Sicherheitsstatus Ihrer von Azure gehosteten virtuellen Computer auswirken, die Microsoft Entra Domain Services verwenden. Aktivieren Sie Sicherheitsüberwachungen auf virtuellen Computern, und überwachen Sie die Protokolle. Weitere Informationen zum Aktivieren von Microsoft Entra Domain Services-Überprüfungen und eine Liste der als sensibel geltenden Rechte finden Sie in den folgenden Ressourcen:
- Aktivieren von Sicherheitsüberwachungen für Microsoft Entra Domain Services
- Sensible Verwendung von Rechten überwachen
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Subfilter | Notizen |
|---|---|---|---|---|
| Versuchte und abgeschlossene Änderungen | Hoch | Microsoft Entra-Überwachungsprotokolle | Datum und Uhrzeit - und - Dienst - und - Kategorie und Name der Aktivität (Was) - und - Status = Erfolg oder Fehler - und - Ziel - und - Initiator oder Akteur (wer) |
Für alle ungeplanten Änderungen sollten sofort Warnungen ausgegeben werden. Diese Protokolle sollten aufbewahrt werden, damit sie bei Untersuchungen herangezogen werden können. Alle Änderungen auf Mandantenebene sollten sofort untersucht werden (Link zum Infrastrukturdokument), falls diese den Sicherheitsstatus Ihres Mandanten verringern würden. Ein Beispiel ist das Ausschließen von Konten aus der Multi-Faktor-Authentifizierung oder aus bedingtem Zugriff. Geben Sie Warnungen bei Ergänzungen zu oder Änderungen an Anwendungen aus. Weitere Informationen finden Sie unter Leitfaden für Microsoft Entra-SecOps für Anwendungen. |
| Beispiel Versuchte oder abgeschlossene Änderung an wertvollen Apps oder Diensten |
Hoch | Überwachungsprotokoll | Dienst - und - Kategorie und Name der Aktivität |
Datum und Uhrzeit, Dienst, Kategorie und Name der Aktivität, Status = Erfolg oder Fehler, Ziel, Initiator oder Akteur (wer) |
| Privilegierte Änderungen in Microsoft Entra Domain Services | Hoch | Microsoft Entra Domain Services | Suchen nach dem Ereignis 4673 | Aktivieren von Sicherheitsüberwachungen für Microsoft Entra Domain Services Eine Liste aller privilegierten Ereignisse finden Sie unter Sensible Verwendung von Rechten überwachen. |
Änderungen an privilegierten Konten
Untersuchen Sie Änderungen an den Authentifizierungsregeln und -berechtigungen von privilegierten Konten, insbesondere wenn die Änderung größere Berechtigungen oder die Möglichkeit bietet, Aufgaben in Ihrer Microsoft Entra-Umgebung auszuführen.
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Subfilter | Notizen |
|---|---|---|---|---|
| Erstellung privilegierter Konten. | Medium | Microsoft Entra-Überwachungsprotokolle | Dienst = Azure AD-Kerndienst - und - Kategorie = Benutzerverwaltung - und - Aktivitätstyp = Benutzer hinzufügen – Korrelation mit – Kategorietyp = Rollenverwaltung - und - Aktivitätstyp = Mitglied zu Rolle hinzufügen - und - Geänderte Eigenschaften = Role.DisplayName |
Überwachen Sie die Erstellung privilegierter Konten. Achten Sie auf eine Korrelation einer kurzen Zeitspanne zwischen der Erstellung und Löschung von Konten. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Änderungen an Authentifizierungsmethoden. | Hoch | Microsoft Entra-Überwachungsprotokolle | Dienst = Authentifizierungsmethode - und - Aktivitätstyp = Vom Benutzer registrierte Sicherheitsinformationen - und - Kategorie = Benutzerverwaltung |
Diese Änderung könnte ein Hinweis darauf sein, dass ein Angreifer dem Konto eine Authentifizierungsmethode hinzugefügt hat, um weiterhin Zugriff zu haben. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Warnung bei Änderungen an Berechtigungen privilegierter Konten. | Hoch | Microsoft Entra-Überwachungsprotokolle | Kategorie = Role Management (Rollenverwaltung) - und - Aktivitätstyp – Add eligible member (permanent) - oder - Aktivitätstyp – Add eligible member (eligible) - und - Status = Erfolg oder Fehler - und - Geänderte Eigenschaften = Role.DisplayName |
Dieser Hinweis ist insbesondere für Konten, denen Rollen zugewiesen werden, die nicht bekannt sind oder außerhalb ihrer normalen Zuständigkeiten liegen. Sigma-Regeln |
| Nicht verwendete privilegierte Konten. | Medium | Microsoft Entra-Zugriffsüberprüfungen | Führen Sie für inaktive privilegierte Benutzerkonten eine monatliche Überprüfung durch. Sigma-Regeln |
|
| Konten, die von Richtlinien für bedingten Zugriff ausgenommen sind | Hoch | Azure Monitor-Protokolle Oder Zugriffsüberprüfungen |
Bedingter Zugriff: Erkenntnisse und Berichterstellung | Alle Konten, die von den Richtlinien für den bedingten Zugriff ausgenommen sind, umgehen höchstwahrscheinlich Sicherheitskontrollen und sind anfälliger für Kompromittierung. Notfallkonten sind davon ausgenommen. Informationen zum Überwachen von Notfallkonten finden Sie weiter unten in diesem Artikel. |
| Hinzufügen eines befristeten Zugriffspasses zu einem privilegierten Konto | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivität: Vom Administrator registrierte Sicherheitsinformationen Statusursache: Administrator hat die Methode für den befristeten Zugriffspass für Benutzer registriert. Kategorie: Benutzerverwaltung Initiiert von (Akteur): Benutzerprinzipalname Ziel: Benutzerprinzipalname |
Überwachen von und Warnen bei eines befristeten Zugriffspasses, der für einen privilegierten Benutzer erstellt wird Microsoft Sentinel-Vorlage Sigma-Regeln |
Weitere Informationen zum Überwachen von Ausnahmen von Richtlinien für bedingten Zugriff finden Sie unter Erkenntnisse und Berichterstellung zum bedingten Zugriff.
Weitere Informationen zum Erkennen nicht verwendeter privilegierter Konten finden Sie unter Erstellen einer Zugriffsüberprüfung von Microsoft Entra-Rollen in Privileged Identity Management.
Zuweisung und Rechteerweiterungen
Privilegierte Konten, die permanent über erhöhte Rechte verfügen, können die Angriffsfläche und das Risiko für Ihre Sicherheitsgrenzen vergrößern. Verwenden Sie stattdessen einen Just-in-Time-Zugriff mit einem Rechteerweiterungsverfahren. Mit dieser Art von System können Sie Berechtigungen für privilegierte Rollen zuweisen. Administratoren erhöhen ihre Berechtigungen auf diese Rollen nur, wenn sie Aufgaben ausführen, die diese Berechtigungen benötigen. Mithilfe eines Rechteerweiterungsverfahrens können Sie Rechteerweiterungen und die Nichtverwendung privilegierter Konten überwachen.
Einrichten einer Baseline
Um Ausnahmen überwachen zu können, müssen Sie zunächst eine Baseline erstellen. Bestimmen Sie die folgenden Informationen für diese Elemente:
Administratorkonten
- Ihre Strategie für privilegierte Konten
- Verwendung von lokalen Konten zum Verwalten lokaler Ressourcen
- Verwendung von cloudbasierten Konten zum Verwalten cloudbasierter Ressourcen
- Ansatz zum Trennen und Überwachen von Administratorberechtigungen für lokale und cloudbasierte Ressourcen.
Schutz privilegierter Rollen
- Schutzstrategie für Rollen mit Administratorberechtigungen
- Organisationsrichtlinie für die Verwendung privilegierter Konten
- Strategie und Prinzipien für die Beibehaltung dauerhafter Berechtigungen im Vergleich zur Bereitstellung von zeitgebundenem und genehmigtem Zugriff
Die folgenden Konzepte und Informationen helfen Ihnen bei der Festlegung von Richtlinien:
- Just-in-Time-Verwaltungsprinzipien. Verwenden Sie die Microsoft Entra-Protokolle, um Informationen zum Ausführen von administrativen Aufgaben zu erfassen, die in Ihrer Umgebung üblich sind. Bestimmen Sie den typischen erforderlichen Zeitaufwand für die Ausführung der Aufgaben.
- Just-Enough-Verwaltungsprinzipien. Bestimmen Sie die Rolle mit den geringsten Berechtigungen, die möglicherweise eine benutzerdefinierte Rolle ist, die für administrative Aufgaben benötigt wird. Weitere Informationen finden Sie unter Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID.
- Einrichten einer Richtlinie für erhöhte Rechte. Erstellen Sie Richtlinien, die die erhöhte Rechtenutzung für Ihre Umgebung widerspiegeln, nachdem Sie einen Einblick in den Typ der erforderlichen erhöhten Rechte und die erforderliche Dauer für die einzelnen Aufgaben erhalten haben. Definieren Sie beispielsweise eine Richtlinie, die den Zugriff von Benutzer*innen mit der Rolle „Globaler Administrator“ auf eine Stunde beschränkt.
Nachdem Sie Ihre Baseline eingerichtet und die Richtlinie festgelegt haben, können Sie die Überwachung so konfigurieren, dass eine von der Richtlinie abweichende Verwendung erkannt und eine Warnung ausgegeben wird.
Ermittlung
Es wird empfohlen, besonders auf Änderungen bei der Zuweisung und bei Rechteerweiterungen zu achten und diese zu untersuchen.
Zu überwachende Ereignisse
Sie können Änderungen an privilegierten Konten überwachen, indem Sie Microsoft Entra-Überwachungsprotokolle und Azure Monitor-Protokolle verwenden. Fügen Sie die folgenden Änderungen in Ihren Überwachungsprozess ein.
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Subfilter | Notizen |
|---|---|---|---|---|
| Der berechtigten privilegierten Rolle hinzugefügt. | Hoch | Microsoft Entra-Überwachungsprotokolle | Dienst = PIM - und - Kategorie = Role Management (Rollenverwaltung) - und - Aktivitätstyp: Hinzufügen eines Mitglieds zur Rolle abgeschlossen (berechtigt) - und - Status = Erfolg oder Fehler - und - Geänderte Eigenschaften = Role.DisplayName |
Jedem Konto, das für eine Rolle berechtigt ist, wird jetzt privilegierter Zugriff gewährt. Wenn die Zuweisung unerwartet ist oder für eine Rolle erfolgt, die nicht in der Zuständigkeit des Kontoinhabers liegt, untersuchen Sie dies. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Außerhalb von PIM zugewiesene Rollen | Hoch | Microsoft Entra-Überwachungsprotokolle | Dienst = PIM - und - Kategorie = Role Management (Rollenverwaltung) - und - Aktivitätstyp = Mitglied zu Rolle hinzufügen (dauerhaft) - und - Status = Erfolg oder Fehler - und - Geänderte Eigenschaften = Role.DisplayName |
Diese Rollen sollten genau überwacht und benachrichtigt werden. Benutzern sollten nach Möglichkeit keine Rollen außerhalb von PIM zugewiesen werden. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Höhenangaben | Medium | Microsoft Entra-Überwachungsprotokolle | Dienst = PIM - und - Kategorie = Role Management (Rollenverwaltung) - und - Aktivitätstyp: Hinzufügen eines Mitglieds zur Rolle abgeschlossen (PIM-Aktivierung) -und- Status = Erfolg oder Fehler -und- Geänderte Eigenschaften = Role.DisplayName |
Nach der Erhöhung der Rechte kann ein privilegiertes Konto Änderungen vornehmen, die sich auf die Sicherheit Ihres Mandanten auswirken können. Alle Rechteerweiterungen sollten protokolliert werden, und wenn diese außerhalb des Standardmusters für diesen Benutzer erfolgen, sollte eine Warnung ausgegeben, und sie sollten untersucht werden, falls dies nicht geplant war. |
| Genehmigungen und Verweigern von Rechteerweiterungen | Niedrig | Microsoft Entra-Überwachungsprotokolle | Dienst = Zugriffsüberprüfung - und - Kategorie = Benutzerverwaltung - und - Aktivitätstyp = Anfrage genehmigt/abgelehnt - und - Initiierender Akteur = UPN |
Überwachen Sie alle Rechteerweiterungen, da dies einen eindeutigen Hinweis auf die Zeitachse für einen Angriff liefern könnte. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Änderungen an PIM-Einstellungen | Hoch | Microsoft Entra-Überwachungsprotokolle | Dienst = PIM - und - Kategorie = Role Management (Rollenverwaltung) - und - Aktivitätstyp = Rolleneinstellung in PIM aktualisieren - und - Statusursache = MFA on activation disabled (MFA bei Aktivierung deaktiviert) (Beispiel) |
Eine dieser Aktionen könnte die Sicherheit der PIM-Rechteerweiterungen verringern und Angreifern den Erwerb eines privilegierten Kontos erleichtern. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Keine Rechteerweiterungen auf SAW/PAW | Hoch | Microsoft Entra-Anmeldeprotokolle | Geräte-ID -und- Browser - und - Betriebssystem - und - Kompatibel/verwaltet Korrelation mit: Dienst = PIM - und - Kategorie = Role Management (Rollenverwaltung) - und - Aktivitätstyp: Hinzufügen eines Mitglieds zur Rolle abgeschlossen (PIM-Aktivierung) - und - Status = Erfolg oder Fehler - und - Geänderte Eigenschaften = Role.DisplayName |
Wenn diese Änderung konfiguriert ist, sollte jeder Versuch, die Rechte auf einem Nicht-PAW/SAW-Gerät zu erhöhen, sofort untersucht werden, da dies darauf hindeuten kann, dass ein Angreifer versucht, das Konto zu verwenden. Sigma-Regeln |
| Rechteerweiterungen zum Verwalten aller Azure-Abonnements | Hoch | Azure Monitor | Registerkarte „Aktivitätsprotokoll“ Registerkarte „Verzeichnisaktivität“ Vorgangsname = Weist den Aufrufer der Rolle „Benutzerzugriffsadministrator“ zu -und- Ereigniskategorie = Administrativ -und- Status = Erfolgreich, Start, Fehler - und - Ereignis initiiert von |
Diese Änderung sollte sofort untersucht werden, wenn sie nicht geplant ist. Diese Einstellung könnte einem Angreifer Zugriff auf Azure-Abonnements in Ihrer Umgebung ermöglichen. |
Weitere Informationen zum Verwalten von Rechteerweiterungen finden Sie unter Erhöhen der Zugriffsrechte zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen. Informationen zum Überwachen von Erhöhungen mithilfe der in den Microsoft Entra-Protokollen verfügbaren Informationen finden Sie unter Azure-Aktivitätsprotokoll, das Teil der Azure Monitor-Dokumentation ist.
Informationen zum Konfigurieren von Warnungen für Azure-Rollen finden Sie unter Konfigurieren von Sicherheitswarnungen für Azure-Ressourcenrollen in Privileged Identity Management.
Nächste Schritte
Weitere Informationen finden Sie in den folgenden Artikeln im Leitfaden zu Sicherheitsvorgängen:
Übersicht zu Microsoft Entra-SecOps
Sicherheitsvorgänge für Benutzerkonten
Sicherheitsvorgänge für Consumerkonten
Sicherheitsvorgänge für Privileged Identity Management
Sicherheitsvorgänge für Anwendungen