Azure Active Directory: Leitfaden zu Sicherheitsvorgängen

Microsoft verfolgt einen erfolgreichen und bewährten Ansatz der Zero Trust-Sicherheit unter Verwendung von Prinzipien der tiefgehenden Verteidigung, bei denen die Identität als Steuerungsebene dient. Organisationen nutzen weiterhin eine Hybridumgebung mit Workloads für Skalierung, Kosteneinsparungen und Sicherheit. Azure Active Directory (Azure AD) spielt eine entscheidende Rolle bei Ihrer Strategie für die Identitätsverwaltung. Nachrichten aus der letzten Zeit zu Angriffen auf Identität und Sicherheit haben IT-Abteilungen in Unternehmen zunehmend veranlasst, ihren Identitätssicherheitsstatus als Gradmesser ihres Erfolgs bei der defensiven Sicherheit zu überdenken.

Organisationen sehen sich immer mehr mit einer Kombination aus lokalen und Cloudanwendungen konfrontiert, auf die Benutzer sowohl mit lokalen als auch mit ausschließlich cloudbasierten Konten zugreifen können. Szenarien, in denen Benutzer, Anwendungen und Geräte sowohl lokal als auch in der Cloud verwaltet werden, stellen eine Herausforderung dar.

Hybrididentität

Azure Active Directory bildet eine gemeinsame Benutzeridentität für die Authentifizierung und Autorisierung bei allen Ressourcen, unabhängig vom Standort. Wir bezeichnen dies als Hybrididentität.

Um Hybrididentität in Azure AD zu erreichen, kann je nach Szenario eine von drei Authentifizierungsmethoden verwendet werden. Die drei Methoden sind:

Während Sie Ihre aktuellen Sicherheitsvorgänge überprüfen oder Sicherheitsvorgänge für Ihre Azure-Umgebung einrichten, berücksichtigen Sie unsere folgenden Empfehlungen:

  • Lesen Sie bestimmte Teile des Microsoft-Sicherheitsleitfadens, um sich ein Grundwissen zur Sicherheit Ihrer cloudbasierten oder hybriden Azure-Umgebung anzueignen.
  • Überprüfen Sie Ihre Konto- und Kennwortstrategie sowie Authentifizierungsmethoden, um die gängigsten Angriffsvektoren abzuschwächen.
  • Erstellen Sie eine Strategie für die kontinuierliche Überwachung und Benachrichtigung bei Aktivitäten, die auf eine Sicherheitsbedrohung hindeuten können.

Zielgruppe

Der Azure AD-SecOps-Leitfaden richtet sich an IT-Identitäts- und Sicherheitsbetriebsteams von Unternehmen sowie an Anbieter verwalteter Dienste, die sich durch eine bessere Identitätssicherheitskonfiguration und Überwachungsprofile vor Bedrohungen schützen müssen. Dieser Leitfaden ist besonders für IT-Administratoren und Identitätsarchitekten relevant, die Security Operations Center-Teams (SOC) bei defensiven und Penetrationstests beraten, um ihren Identitätssicherheitsstatus zu verbessern und aufrechtzuerhalten.

`Scope`

Diese Einführung enthält Empfehlungen für die vorbereitende Lektüre sowie zur Kennwortüberwachung und Strategie. Dieser Artikel bietet auch eine Übersicht über die Tools, die für Hybrid- und vollständig cloudbasierte Azure-Umgebungen verfügbar sind. Schließlich stellen wir eine Liste der Datenquellen zur Verfügung, die Sie für die Überwachung und Benachrichtigung sowie bei der Konfiguration Ihrer SIEM-Strategie und -Umgebung (Security Information and Event Management) verwenden können. Gegen Ende des Leitfadens werden Überwachungs- und Warnungsstrategien in den folgenden Bereichen vorgestellt:

  • Benutzerkonten: Leitfäden speziell zu nicht privilegierten Benutzerkonten ohne Administratorrechte, einschließlich anomaler Kontoerstellung und -nutzung sowie ungewöhnlicher Anmeldungen

  • Privilegierte Konten: Leitfäden für privilegierte Benutzerkonten, die über erhöhte Berechtigungen zum Ausführen von administrativen Aufgaben verfügen. Zu diesen Aufgaben gehören Azure AD-Rollenzuweisungen, Azure-Ressourcenrollenzuweisungen und die Zugriffsverwaltung für Azure-Ressourcen und -Abonnements.

  • Privileged Identity Management (PIM): Leitfäden speziell zur Verwendung von PIM zum Verwalten, Steuern und Überwachen des Zugriffs auf Ressourcen

  • Anwendungen: Leitfäden speziell zu Konten, die der Authentifizierung von Anwendungen dienen

  • Geräte: Leitfäden speziell zur Überwachung von Geräten, die nicht gemäß den Richtlinien registriert oder eingebunden wurden, von nicht konformer Nutzung, von Geräteverwaltungsrollen und von Anmeldungen auf VMs sowie zu entsprechenden Benachrichtigungen

  • Infrastruktur. Leitfäden speziell für die Überwachung und Benachrichtigung bei Bedrohungen hybrider oder rein cloudbasierter Umgebungen

Wichtige Referenzinhalte

Microsoft bietet viele Produkte und Dienste, mit denen Sie Ihre IT-Umgebung an Ihre Anforderungen anpassen können. Es wird empfohlen, die folgenden Leitfäden für Ihre Betriebsumgebung zu lesen:

Datenquellen

Zur Untersuchung und Überwachung verwenden Sie die folgenden Protokolldateien:

Sie können die Azure AD-Überwachungsprotokolle im Azure-Portal anzeigen. Laden Sie Protokolle als CSV-Dateien oder JSON-Dateien (JavaScript Object Notation) herunter. Das Azure-Portal bietet mehrere Möglichkeiten zur Integration von Azure AD-Protokollen in andere Tools, die eine umfassendere Automatisierung von Überwachung und Benachrichtigungen ermöglichen:

  • Microsoft Sentinel: Ermöglicht intelligente Sicherheitsanalysen auf Unternehmensebene, indem SIEM-Funktionen (Security Information and Event Management) zur Verfügung gestellt werden.

  • Sigma-Regeln: Sigma ist ein sich in Entwicklung befindender offener Standard zum Schreiben von Regeln und Vorlagen, die automatisierte Verwaltungstools zum Parsen von Protokolldateien verwenden können. Dort, wo Sigma-Vorlagen für die empfohlenen Suchkriterien vorhanden sind, wurde ein Link zum Sigma-Repository hinzugefügt. Die Sigma-Vorlagen werden nicht von Microsoft geschrieben, getestet und verwaltet. Das Repository und die Vorlagen werden von der weltweiten IT-Sicherheitscommunity erstellt und gesammelt.

  • Azure Monitor: Ermöglicht die automatisierte Überwachung verschiedener Bedingungen und entsprechende Warnungen. Damit können Arbeitsmappen erstellt oder verwendet werden, um Daten aus verschiedenen Quellen zu kombinieren.

  • Azure Event Hubs mit Integration in ein SIEM-System: Azure AD-Protokolle können über die Azure Event Hubs-Integration in andere SIEM-Systeme wie Splunk, ArcSight, QRadar und Sumo Logic integriert werden. Weitere Informationen finden Sie im Artikel zum Streamen von Azure Active Directory-Protokollen an einen Azure Event Hub.

  • Microsoft Defender für Cloud Apps: Ermöglicht Ihnen die Erkennung und Verwaltung von Apps, die Steuerung von Apps und Ressourcen sowie die Überprüfung der Compliance Ihrer Cloud-Apps.

  • Sichern von Workloadidentitäten mit Identity Protection (Preview): Wird verwendet, um Risiken für Workloadidentitäten über das Anmeldeverhalten und Offlineindikatoren für eine Gefährdung zu erkennen.

Ein Großteil der Überwachung und zugehörigen Warnungen hängt von den Auswirkungen Ihrer Richtlinien für bedingten Zugriff ab. Sie können die Arbeitsmappe „Erkenntnisse und Berichterstellung zum bedingten Zugriff“ verwenden, um die Auswirkungen einer oder mehrere Richtlinien für bedingten Zugriff auf Ihre Anmeldungen sowie die Ergebnisse von Richtlinien (einschließlich Gerätestatus) zu untersuchen. Diese Arbeitsmappe bietet Ihnen die Möglichkeit, eine Zusammenfassung der Auswirkungen anzuzeigen und die Auswirkungen über einen bestimmten Zeitraum zu ermitteln. Sie können mithilfe der Arbeitsmappe auch die Anmeldungen eines bestimmten Benutzers untersuchen. Weitere Informationen finden Sie unter Erkenntnisse und Berichterstellung zum bedingten Zugriff.

Im weiteren Verlauf dieses Artikels wird beschrieben, was Sie überwachen und wofür Sie Warnungen erstellen sollten. Wo es spezielle vordefinierte Lösungen gibt, verweisen wir auf diese oder stellen Beispiele im Anschluss an die Tabelle zur Verfügung. Andernfalls können Sie Warnungen mithilfe der oben genannten Tools erstellen.

  • Identity Protection generiert drei wichtige Berichte, die Sie bei der Untersuchung verwenden können:

  • Riskobenutzer: enthält Informationen darüber, welche Benutzer*innen gefährdet sind, Details zu Erkennungen, den Verlauf aller riskante Anmeldungen und den Risikoverlauf.

  • Risikoanmeldungen: enthält Informationen zu den Umständen einer Anmeldung, die auf verdächtige Situationen hinweisen können. Weitere Informationen zum Untersuchen von Informationen aus diesem Bericht finden Sie unter Untersuchen von Risiken.

  • Risikoerkennungen: enthält Informationen zu Risikosignalen, die von Azure AD Identity Protection erkannt wurden und die Grundlage für die Bestimmung des Anmelde- und Benutzerrisikos darstellen. Weitere Informationen finden Sie im Azure AD-Leitfaden zu Sicherheitsvorgängen für Benutzerkonten.

Weitere Informationen finden Sie unter Was ist Identity Protection?.

Datenquellen für die Domänencontrollerüberwachung

Um die besten Ergebnisse zu erzielen, wird empfohlen, dass Sie Ihre Domänencontroller mithilfe von Microsoft Defender for Identity überwachen. Dieser Ansatz ermöglicht die besten Erkennungs- und Automatisierungsfunktionen. Befolgen Sie die Leitfäden in diesen Ressourcen:

Wenn Sie nicht planen, Microsoft Defender for Identity zu verwenden, überwachen Sie Ihre Domänencontroller anhand eines der folgenden Ansätze:

Komponenten der Hybridauthentifizierung

In einer Azure-Hybridumgebung sollte Folgendes als Minimum für eine Überwachungs- und Warnungsstrategie gelten.

Komponenten der cloudbasierten Authentifizierung

Im Rahmen einer cloudbasierten Azure-Umgebung sollte Folgendes als Minimum für eine Überwachungs- und Warnungsstrategie gelten.

  • Azure Active Directory-Anwendungsproxy: Dieser Clouddienst ermöglicht den sicheren Remotezugriff auf lokal gehostete Webanwendungen. Weitere Informationen finden Sie unter Remotezugriff auf lokale Anwendungen über den Azure AD-Anwendungsproxy.

  • Azure AD Connect: Für eine Azure AD Connect-Lösung verwendete Dienste. Weitere Informationen finden Sie unter Was ist Azure AD Connect?

  • Azure AD Connect Health: Service Health bietet Ihnen ein anpassbares Dashboard, mit dem Sie die Integrität Ihrer Azure-Dienste in den Regionen nachverfolgen, in denen Sie sie verwenden. Weitere Informationen finden Sie unter Azure AD Connect Health.

  • Azure AD Multi-Faktor-Authentifizierung: Bei der Azure AD Multi-Factor Authentication müssen Benutzer zur Authentifizierung mehr als einen Identitätsnachweis erbringen. Dieser Ansatz kann einen proaktiven ersten Schritt zum Schützen Ihrer Umgebung bilden. Weitere Informationen finden Sie unter Azure AD-Multi-Faktor-Authentifizierung.

  • Dynamische Gruppen: Dynamische Konfiguration der Sicherheitsgruppenmitgliedschaft für Azure AD. Administrator*innen können Regeln festlegen, nach denen Gruppen aufgefüllt werden, die in Azure AD auf der Grundlage von Benutzerattributen erstellt werden. Weitere Informationen finden Sie unter Dynamische Gruppen und Azure Active Directory B2B-Zusammenarbeit.

  • Bedingter Zugriff: Der bedingte Zugriff ist das Tool, das von Azure Active Directory verwendet wird, um Signale zusammenzuführen, Entscheidungen zu treffen und Organisationsrichtlinien zu erzwingen. Der bedingte Zugriff ist der Kern der neuen identitätsbasierten Steuerungsebene. Weitere Informationen finden Sie unter Was ist bedingter Zugriff?

  • Identity Protection: Ein Tool, mit dem Organisationen die Erkennung und Behebung identitätsbasierter Risiken automatisieren, Risiken anhand von Daten im Portal untersuchen und Risikoerkennungsdaten an Ihr SIEM exportieren können. Weitere Informationen finden Sie unter Was ist Identity Protection?.

  • Gruppenbasierte Lizenzierung: Lizenzen können Gruppen statt Benutzern direkt zugewiesen werden. Azure AD speichert Informationen zum Lizenzzuweisungsstatus für Benutzer.

  • Bereitstellungsdienst: Die Bereitstellung bezieht sich auf das Erstellen von Benutzeridentitäten und -rollen in den Cloudanwendungen, auf die Benutzer Zugriff benötigen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern. Weitere Informationen finden Sie unter Funktionsweise der Anwendungsbereitstellung in Azure Active Directory.

  • Graph-API: Die Microsoft Graph-API ist eine RESTful-Web-API, die Ihnen den Zugriff auf Microsoft Cloud-Dienstressourcen ermöglicht. Nachdem Sie Ihre App registriert und Authentifizierungstoken für einen Benutzer oder Dienst abgerufen haben, können Sie Anforderungen an die Microsoft Graph-API senden. Weitere Informationen finden Sie in der Übersicht zu Microsoft Graph.

  • Domain Services: Azure Active Directory Domain Services stellt verwaltete Domänendienste wie Domänenbeitritt und Gruppenrichtlinien bereit. Weitere Informationen finden Sie unter Was ist Azure Active Directory Domain Services?.

  • Azure Resource Manager : Azure Resource Manager ist der Bereitstellungs- und Verwaltungsdienst für Azure. Er bietet eine Verwaltungsebene, die das Erstellen, Aktualisieren und Löschen von Ressourcen in Ihrem Azure-Konto ermöglicht. Weitere Informationen finden Sie unter Was ist Azure Resource Manager?.

  • Verwaltete Identität: Dank verwalteter Identitäten müssen Entwickler keine Anmeldeinformationen mehr verwalten. Verwaltete Identitäten stellen eine Identität bereit, mit deren Hilfe Anwendungen eine Verbindung mit Ressourcen herstellen können, die die Azure AD-Authentifizierung unterstützen. Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen.

  • Privileged Identity Management (PIM) ist ein Dienst in Azure AD, mit dem Sie den Zugriff auf wichtige Ressourcen innerhalb Ihrer Organisation verwalten, steuern und überwachen können. Weitere Informationen finden Sie unter Was ist Azure AD Privileged Identity Management?.

  • Zugriffsüberprüfungen Mithilfe von Azure AD-Zugriffsüberprüfungen können Unternehmen Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen sowie Rollenzuweisungen effizient verwalten. Der Benutzerzugriff kann regelmäßig überprüft werden, um sicherzustellen, dass nur die richtigen Personen weiterhin Zugriff haben. Weitere Informationen finden Sie unter Was sind Azure AD-Zugriffsüberprüfungen?.

  • Identitätsgovernance: Die Azure AD-Berechtigungsverwaltung ist ein Identitätsgovernance-Feature. Damit können Organisationen Identitäts- und Zugriffslebenszyklen nach Bedarf verwalten, indem sie Workflows für Zugriffsanforderungen, Zugriffszuweisungen, Überprüfungen und Ablauf automatisieren. Weitere Informationen finden Sie unter Was ist die Azure AD-Berechtigungsverwaltung?.

  • Aktivitätsprotokoll: Das Aktivitätsprotokoll ist ein Azure-Plattformprotokoll, das einen Einblick in Ereignisse auf Abonnementebene ermöglicht. Dieses Protokoll umfasst beispielsweise Informationen wie das Ändern einer Ressource oder das Starten einer VM. Weitere Informationen finden Sie unter Azure-Aktivitätsprotokoll.

  • Self-Service-Kennwortzurücksetzung: Mit der Self-Service-Kennwortzurücksetzung (SSPR) von Azure AD können Benutzer*innen ihr Kennwort ohne Beteiligung von Administrator*innen oder des Helpdesk ändern oder zurücksetzen. Administrator*innen oder der Helpdesk sind nicht erforderlich. Weitere Informationen finden Sie unter Vorgehensweise: Self-Service-Kennwortzurücksetzung in Azure AD.

  • Gerätedienste: Die Geräteidentitätsverwaltung stellt die Grundlage für gerätebasierten bedingten Zugriff dar. Mit Richtlinien für gerätebasierten bedingten Zugriff können Sie sicherstellen, dass nur mit verwalteten Geräten auf Ressourcen in Ihrer Umgebung zugegriffen werden kann. Weitere Informationen finden Sie unter Was ist eine Geräteidentität?.

  • Self-Service-Gruppenverwaltung: Sie können Benutzern die Erstellung und Verwaltung ihrer eigenen Sicherheitsgruppen oder Microsoft 365-Gruppen in Azure AD ermöglichen. Der Besitzer der Gruppe kann Mitgliedschaftsanforderungen genehmigen oder ablehnen sowie die Steuerung der Gruppenmitgliedschaft delegieren. Self-Service-Funktionen zur Gruppenverwaltung sind nicht für E-Mail-aktivierte Sicherheitsgruppen oder Verteilerlisten verfügbar. Weitere Informationen finden Sie unter Einrichten der Self-Service-Gruppenverwaltung in Azure Active Directory.

  • Risikoerkennungen: Enthält Informationen zu anderen Risiken, die bei Erkennung eines Risikos ausgelöst werden, sowie andere relevante Informationen wie den Anmeldeort und Details von Microsoft Defender für Cloud Apps.

Nächste Schritte

Weitere Informationen finden Sie in den folgenden Artikeln im Leitfaden zu Sicherheitsvorgängen:

Sicherheitsvorgänge für Benutzerkonten

Sicherheitsvorgänge für Consumerkonten

Sicherheitsvorgänge für privilegierte Konten

Sicherheitsvorgänge für Privileged Identity Management

Sicherheitsvorgänge für Anwendungen

Sicherheitsvorgänge für Geräte

Sicherheitsvorgänge für die Infrastruktur