Was ist Microsoft Entra ID Protection?
Microsoft Entra ID Protection unterstützt Organisationen dabei, identitätsbasierte Risiken zu erkennen, zu untersuchen und zu beseitigen. Diese identitätsbasierten Risiken können auch im Rahmen des bedingten Zugriffs genutzt werden, um Zugriffsentscheidungen zu treffen oder zur weiteren Untersuchung und Korrelation an ein SIEM-Tool (Security Information & Event Management) übergeben werden.
Erkennen von Risiken
Microsoft fügt kontinuierlich Erkennungen unserem Katalog hinzu und aktualisiert diese, um Organisationen zu schützen. Diese Erkennungen stammen aus unseren Erkenntnissen aus der Analyse von Billionen von Signalen, die täglich aus Active Directory, Microsoft-Konten und beim Spielen mit Xbox eingehen. Diese breite Palette von Signalen hilft ID Protection, riskante Verhaltensweisen zu erkennen, z. B.:
- Verwendung anonymer IP-Adressen
- Kennwortspray-Angriffe
- Kompromittierte Anmeldeinformationen
- und vieles mehr...
Bei jeder Anmeldung führt der ID-Schutz alle Echtzeit-Anmeldeerkennungen durch und erstellt eine Risikostufe für die Anmeldesitzung, die angibt, wie wahrscheinlich die Anmeldung kompromittiert ist. Basierend auf dieser Risikostufe werden dann Richtlinien angewendet, um Benutzer*innen und die Organisation zu schützen.
Eine vollständige Liste der Risiken und deren Erkennung finden Sie im Artikel Was ist Risiko.
Untersuchen
Alle bei einer Identität erkannten Risiken werden in Berichten nachverfolgt. ID Protection stellt drei wichtige Berichte für Administratoren bereit, um Risiken zu untersuchen und Maßnahmen zu ergreifen:
- Risikoerkennungen: Jedes erkannte Risiko wird als Risikoerkennung gemeldet.
- Riskante Anmeldungen: Eine riskante Anmeldung wird gemeldet, wenn mindestens eine Risikoerkennung für diese Anmeldung gemeldet wird.
- Risikobenutzer*innen: Risikobenutzer*innen werden gemeldet, wenn mindestens einer der beiden folgenden Punkte zutrifft:
- Der Benutzer verfügt über eine oder mehrere riskante Anmeldungen.
- Mindestens eine Risikoerkennung wird gemeldet.
Weitere Informationen zur Verwendung der Berichte finden Sie im Artikel Vorgehensweise: Untersuchen des Risikos.
Beseitigen von Risiken
Warum ist Automatisierung für die Sicherheit von entscheidender Bedeutung?
Im Blogbeitrag Cyber-Signale: Abwehren von Cyberbedrohungen mithilfe neuester Forschungserkenntnisse und Trends vom 3. Februar 2022 hat Microsoft eine kurze Threat Intelligence-Beschreibung einschließlich folgender Statistiken geteilt:
Analysiert... 24 Billionen mit Intelligenz kombinierte Sicherheitssignale, die wir durch Überwachung von mehr als 40 nationalstaatlichen Gruppen und über 140 Bedrohungsgruppen verfolgen...
... Von Januar 2021 bis Dezember 2021 haben wir bei der Microsoft Entra-Authentifizierung mehr als 25,6 Milliarden Brute Force-Angriffe blockiert...
Das schiere Ausmaß an Signalen und Angriffen erfordert einen gewissen Grad von Automatisierung, nur um Schritt halten zu können.
Automatische Korrektur
Risikobasierte Richtlinien für bedingten Zugriff können aktiviert werden, um Zugriffskontrollen zu erfordern, z. B. die Bereitstellung einer starken Authentifizierungsmethode, die Multi-Faktor-Authentifizierung oder die Durchführung einer sicheren Kennwortzurücksetzung basierend auf der erkannten Risikostufe. Wenn der Benutzer die Zugangskontrolle erfolgreich abschließt, wird das Risiko automatisch beseitigt.
Manuelle Korrektur
Wenn die Benutzerkorrektur nicht aktiviert ist, muss ein Administrator sie manuell in den Berichten im Portal, über die API oder in Microsoft 365 Defender überprüfen. Administratoren können manuelle Aktionen ausführen, um die Risiken zu verwerfen, als sicher zu bestätigen oder eine Kompromittierung zu bestätigen.
Nutzung der Daten
Daten aus ID Protection können zur Archivierung sowie für weitere Untersuchungen und Korrelationsschritte in andere Tools exportiert werden. Dank der Microsoft Graph-basierten APIs können Organisationen diese Daten zur weiteren Verarbeitung in einem Tool (beispielsweise SIEM) sammeln. Der Zugriff auf die ID Protection-API wird im Artikel Erste Schritte mit Microsoft Entra ID Protection und Microsoft Graph erläutert
Informationen zur Integration von ID Protection-Informationen in Microsoft Sentinel finden Sie im Artikel Verknüpfen von Daten aus Microsoft Entra ID Protection.
Organisationen könnten Daten über einen längeren Zeitraum speichern, indem sie die Diagnoseeinstellungen in Microsoft Entra ID ändern. Sie können Daten an einen Log Analytics-Arbeitsbereich senden, Daten in einem Speicherkonto archivieren, Daten an Event Hubs streamen oder Daten an eine andere Lösung senden. Ausführliche Informationen dazu finden Sie im Artikel Anleitung: Exportieren von Risikodaten.
Erforderliche Rollen
Der Identitätsschutz erfordert, dass Benutzern mindestens eine der folgenden Rollen zugewiesen wird, damit sie Zugriff erhalten.
| Rolle | Möglich | Nicht möglich |
|---|---|---|
| Sicherheitsadministrator | Vollzugriff auf ID Protection | Zurücksetzen des Kennworts für einen Benutzer |
| Sicherheitsoperator | Anzeigen aller ID Protection-Berichte und der Übersicht Ignorieren des Benutzerrisikos, Bestätigen der sicheren Anmeldung, Bestätigen der Kompromittierung |
Konfigurieren oder Ändern von Richtlinien Zurücksetzen des Kennworts für einen Benutzer Konfigurieren von Warnungen |
| Sicherheitsleseberechtigter | Anzeigen aller ID Protection-Berichte und der Übersicht | Konfigurieren oder Ändern von Richtlinien Zurücksetzen des Kennworts für einen Benutzer Konfigurieren von Warnungen Bereitstellen von Feedback zu Erkennungen |
| Globaler Leser | Schreibgeschützter Zugriff auf ID Protection | |
| Benutzeradministrator | Zurücksetzen von Benutzerkennwörtern |
Derzeit kann die Rolle „Sicherheitsoperator“ nicht auf den Bericht „Riskante Anmeldungen“ zugreifen.
Administratoren für bedingten Zugriff können Richtlinien erstellen, bei denen das Benutzer- oder Anmelderisiko als Bedingung berücksichtigt wird. Weitere Informationen finden Sie im Artikel Bedingter Zugriff: Bedingungen.
Lizenzanforderungen
Für die Verwendung dieses Features werden Microsoft Entra ID P2-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.
| Funktionalität | Details | Microsoft Entra ID Free / Microsoft 365 Apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Risikorichtlinien | Richtlinien zu Anmelde- und Benutzerrisiken (über ID-Schutz und bedingten Zugriff) | Nein | Nein | Ja |
| Sicherheitsberichte | Übersicht | Nein | Nein | Ja |
| Sicherheitsberichte | Riskante Benutzer | Eingeschränkte Informationen. Nur Benutzer mit mittlerem und hohem Risiko werden angezeigt. Kein Drawer „Details“ oder Risikoverlauf. | Eingeschränkte Informationen. Nur Benutzer mit mittlerem und hohem Risiko werden angezeigt. Kein Drawer „Details“ oder Risikoverlauf. | Vollzugriff |
| Sicherheitsberichte | Riskante Anmeldungen | Eingeschränkte Informationen. Es werden keine Risikodetails oder Risikostufen angezeigt. | Eingeschränkte Informationen. Es werden keine Risikodetails oder Risikostufen angezeigt. | Vollzugriff |
| Sicherheitsberichte | Risikoerkennungen | Nein | Eingeschränkte Informationen. Kein Drawer „Details“. | Vollzugriff |
| Benachrichtigungen | Warnungen zu erkannten gefährdeten Benutzern | Nein | Nein | Ja |
| Benachrichtigungen | Wöchentliche Übersicht | Nein | Nein | Ja |
| Richtlinie für MFA-Registrierung | Nein | Nein | Ja |
Weitere Informationen zu diesen umfassenden Berichten finden Sie im Artikel zu den Risiken.
Um das Workloadidentitätsrisiko zu nutzen, einschließlich der Registerkarten Riskante Workloadidentitäten und Erkennung von Workloadidentitäten im Bereich Risikoerkennungen im Admin Center, müssen Sie über die Premium-Lizenz für Workloadidentitäten verfügen. Weitere Informationen finden Sie im Artikel Sichern von Workloadidentitäten.