Freigeben über


Microsoft Entra-SecOps für Geräte

Geräte sind in der Regel nicht Ziel von identitätsbasierten Angriffen, können jedoch verwendet werden, um Sicherheitskontrollen zu umgehen und die Identität von Benutzern anzunehmen. Zwischen Geräten und Microsoft Entra ID kann eine von vier Beziehungen bestehen:

Für registrierte und eingebundene Geräte wird ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) ausgestellt, das als primäres Authentifizierungsartefakt und gelegentlich auch als Artefakt für eine mehrstufige Authentifizierung verwendet werden kann. Angreifer*innen können versuchen, eigene Geräte zu registrieren, mit PRTs auf rechtmäßigen Geräten auf Geschäftsdaten zuzugreifen, PRT-basierte Token von rechtmäßigen Benutzergeräten zu stehlen oder Konfigurationsfehler in gerätebasierten Kontrollen in Microsoft Entra ID ausfindig zu machen. Bei hybrid in Microsoft Entra eingebundenen Geräten wird die Einbindung von Administrator*innen initiiert und kontrolliert. Dadurch wird die Gefahr möglicher Angriffe reduziert.

Weitere Informationen zu Methoden für die Geräteintegration finden Sie unter Auswählen Ihrer Integrationsmethoden im Artikel Planen der Microsoft Entra-Gerätebereitstellung.

Verringern Sie die Gefahr, dass böswillige Akteure über Geräte auf Ihre Infrastruktur zugreifen, indem Sie Folgendes überwachen

  • Geräteregistrierung und Microsoft Entra-Beitritt

  • Nicht konforme Geräte, die auf Anwendungen zugreifen

  • Abruf von BitLocker-Schlüsseln

  • Geräteadministratorrollen

  • Anmeldungen bei virtuellen Computern

Zu untersuchende Protokolle

Zur Untersuchung und Überwachung verwenden Sie die folgenden Protokolldateien:

Im Azure-Portal können Sie die Microsoft Entra-Überwachungsprotokolle anzeigen und als CSV-Datei (Comma Separated Value) oder JSON-Datei (JavaScript Object Notation) herunterladen. Das Azure-Portal bietet mehrere Möglichkeiten zur Integration von Microsoft Entra-Protokollen in andere Tools, die eine umfassendere Automatisierung von Überwachung und Benachrichtigungen ermöglichen:

  • Microsoft Sentinel : Ermöglicht intelligente Sicherheitsanalysen auf Unternehmensebene, indem SIEM-Funktionen (Security Information and Event Management) zur Verfügung gestellt werden.

  • Sigma-Regeln: Sigma ist ein sich in Entwicklung befindender offener Standard zum Schreiben von Regeln und Vorlagen, die automatisierte Verwaltungstools zum Parsen von Protokolldateien verwenden können. Wenn Sigma-Vorlagen für unsere empfohlenen Suchkriterien vorhanden sind, verweist ein Link zum Sigma-Repository. Sigma-Vorlagen werden von Microsoft weder geschrieben, noch getestet und verwaltet. Das Repository und die Vorlagen werden von der weltweiten IT-Sicherheitscommunity erstellt und gesammelt.

  • Azure Monitor : ermöglicht die automatisierte Überwachung verschiedener Bedingungen und entsprechende Warnungen. Mit dem Tool können Arbeitsmappen erstellt werden, die sich zum Kombinieren von Daten aus verschiedenen Quellen eignen.

  • Azure Event Hubs mit Integration mit einem SIEM-System- Microsoft Entra-Protokolle können in andere SIEM-Systeme wie Splunk, ArcSight, QRadar und Sumo Logic über die Azure Event Hub-Integration integriert werden.

  • Microsoft Defender for Cloud Apps: Ermöglicht die Erkennung und Verwaltung von Apps, die Steuerung von Apps und Ressourcen sowie die Überprüfung der Kompatibilität von Cloud-Apps.

  • Sichern von Workload Identities mit Microsoft Entra ID Protection: Wird verwendet, um Risiken für Workload Identities über das Anmeldeverhalten und Offline-Kompromittierungsindikatoren zu erkennen.

Ein Großteil der Überwachung und zugehörigen Warnungen hängt von den Auswirkungen Ihrer Richtlinien für bedingten Zugriff ab. Sie können die Arbeitsmappe Erkenntnisse und Berichterstellung zum bedingten Zugriff verwenden, um die Auswirkungen einer oder mehrere Richtlinien für bedingten Zugriff auf Ihre Anmeldungen sowie die Ergebnisse von Richtlinien, einschließlich Gerätestatus, zu untersuchen. Diese Arbeitsmappe bietet Ihnen die Möglichkeit, eine Zusammenfassung anzuzeigen und die Auswirkungen über einen bestimmten Zeitraum zu ermitteln. Sie können mithilfe der Arbeitsmappe auch die Anmeldungen eines bestimmten Benutzers untersuchen.

Im restlichen Teil dieses Artikels wird beschrieben, was wir Ihnen zur Überwachung und für zugehörige Warnungen empfehlen, und zwar gegliedert nach der Art der Bedrohung. Wo es spezielle vordefinierte Lösungen gibt, verweisen wir auf diese oder stellen Beispiele im Anschluss an die Tabelle zur Verfügung. Andernfalls können Sie Warnungen mithilfe der oben genannten Tools erstellen.

Geräteregistrierungen und -einbindungen außerhalb der Richtlinie

Bei Microsoft Entra registrierte und in Microsoft Entra eingebundene Geräte verfügen über primäre Aktualisierungstoken (Primary Refresh Tokens, PRTs), die einem einzelnen Authentifizierungsfaktor entsprechen. Diese Geräte können bisweilen den Anspruch auf eine strenge Authentifizierung enthalten. Weitere Informationen dazu, wann PRTs den Anspruch auf eine strenge Authentifizierung enthalten, finden Sie unter Wann erhält ein PRT einen MFA-Anspruch? Verlangen Sie zum Registrieren oder Einbinden von Geräten die Multi-Faktor-Authentifizierung (MFA), um Angreifer*innen davon abzuhalten sich zu registrieren oder Geräte einzubinden. Dann können Sie überwachen, ob Geräte ohne MFA registriert oder eingebunden werden. Darüber hinaus müssen Sie darauf achten, ob an MFA-Einstellungen und -Richtlinien Änderungen vorgenommen und die Konformitätsrichtlinien für Geräte eingehalten werden.

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Registrierung oder Einbindung eines Geräts ohne MFA Medium Anmeldeprotokolle Aktivität: erfolgreiche Authentifizierung beim Geräteregistrierungsdienst
Und
Keine MFA erforderlich
Warnung, wenn: Ein Gerät wird ohne MFA registriert oder eingebunden.
Microsoft Sentinel-Vorlage
Sigma-Regeln
Änderungen an der MFA-Umschaltfläche für die Geräteregistrierung in Microsoft Entra ID Hoch Überwachungsprotokoll Aktivität: Festlegen von Richtlinien für die Geräteregistrierung Suchen nach: Die Umschaltung wurde deaktiviert. Im Überwachungsprotokoll ist kein Eintrag vorhanden. Regelmäßige Überprüfungen planen.
Sigma-Regeln
Änderungen an den Richtlinien für bedingten Zugriff, die in Domänen eingebundene oder konforme Geräte erfordern. Hoch Überwachungsprotokoll Änderungen an Richtlinien für bedingten Zugriff
Warnung, wenn: Änderung an einer Richtlinie, die Domänenbeitritt oder -konformität erfordert, Änderungen an vertrauenswürdigen Speicherorten oder Hinzufügen von Konten oder Geräten zu MFA-Richtlinienausnahmen

Sie können eine Warnung erstellen, die die entsprechenden Administratoren benachrichtigt, wenn ein Gerät ohne MFA registriert oder eingebunden wird, indem Sie Microsoft Sentinel verwenden.

SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"

Sie können auch Konformitätsrichtlinien zum Festlegen von Regeln für Geräte verwenden, die Sie mit Intune verwalten.

Anmeldung von nicht konformen Geräten

Es ist unter Umständen nicht möglich, den Zugriff auf alle Cloud- und Software-as-a-Service-Anwendungen mit Richtlinien für bedingten Zugriff, die konforme Geräte erfordern, zu blockieren.

Mit der Verwaltung mobiler Geräte (Mobile Device Management, MDM) können Sie Windows 10-Geräte konform halten. Mit Windows 1809 wurde eine Sicherheitsbaseline von Richtlinien veröffentlicht. Microsoft Entra ID kann in MDM integriert werden, um die Gerätekonformität mit Unternehmensrichtlinien durchzusetzen und den Konformitätsstatus eines Geräts zu melden.

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Anmeldungen durch nicht konforme Geräte Hoch Anmeldeprotokolle DeviceDetail.isCompliant == false Bei erforderlicher Anmeldung von konformen Geräten, Warnung, wenn: Anmeldung durch nicht konforme Geräte oder Zugriff ohne MFA oder vertrauenswürdigen Speicherort

Wenn Sie darauf hinarbeiten, dass Geräte konform sein müssen, achten Sie auf verdächtige Anmeldungen.

Sigma-Regeln

Anmeldungen durch unbekannte Geräte Niedrig Anmeldeprotokolle „DeviceDetail“ ist leer, eine einstufige Authentifizierung oder von einem nicht vertrauenswürdigen Speicherort Suchen nach: Zugriff von Geräten außerhalb der Konformität, Zugriff ohne MFA oder vertrauenswürdigen Speicherort
Microsoft Sentinel-Vorlage

Sigma-Regeln

Verwenden von LogAnalytics für Abfragen

Anmeldungen durch nicht konforme Geräte

SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"

Anmeldungen durch unbekannte Geräte


SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"

Veraltete Geräte

Veraltete Geräte sind Geräte, die für einen bestimmten Zeitraum nicht angemeldet waren. Geräte können veralten, wenn Benutzer*innen ein neues Gerät erhalten oder ein Gerät verlieren, oder wenn ein in Microsoft Entra eingebundenes Gerät zurückgesetzt oder neu bereitgestellt wird. Geräte können auch registriert oder eingebunden bleiben, wenn Benutzer*innen nicht mehr dem Mandanten zugeordnet sind. Veraltete Geräte sollten entfernt werden, damit die primären Aktualisierungstoken (Primary Refresh Tokens, PRTs) nicht verwendet werden können.

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Datum der letzten Anmeldung Niedrig Graph-API approximateLastSignInDateTime Verwendung von Graph API oder PowerShell, um veraltete Geräte zu erkennen und zu entfernen

Abruf von BitLocker-Schlüsseln

Angreifer*innen, die ein Benutzergerät kompromittiert haben, können die BitLocker-Schlüssel in Microsoft Entra ID abrufen. Da es nicht üblich ist, dass Benutzer Schlüssel abrufen, sollten diese Vorgänge überwacht und untersucht werden.

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Abruf von Schlüsseln Medium Überwachungsprotokolle OperationName == "Read BitLocker key" Suchen nach: Schlüsselabruf, anderem ungewöhnlichen Verhalten durch Benutzer*innen beim Abrufen von Schlüsseln
Microsoft Sentinel-Vorlage

Sigma-Regeln

Erstellen Sie in LogAnalytics eine Abfrage wie die folgende:

AuditLogs
| where OperationName == "Read BitLocker key" 

Geräteadministratorrollen

Die Rollen Lokaler Administrator des in Microsoft Entra eingebundenen Geräts und Globaler Administrator erhalten automatisch auf allen in Microsoft Entra eingebundenen Geräten lokale Administratorrechte. Daher ist es wichtig, zu überwachen, wer über diese Rechte verfügt, damit Ihre Umgebung sicher bleibt.

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Benutzer, die den Rollen „Globaler Administrator“ oder „Geräteadministrator“ hinzugefügt wurden Hoch Überwachungsprotokolle Aktivitätstyp = Mitglied zu Rolle hinzufügen Suchen Sie nach: neuen Benutzer*innen, die diesen Microsoft Entra-Rollen hinzugefügt wurden, anschließendem ungewöhnlichen Verhalten von Computern oder Benutzer*innen.
Microsoft Sentinel-Vorlage

Sigma-Regeln

Anmeldungen bei virtuellen Computern ohne Azure AD

Anmeldungen bei Windows- oder LINUX-VMs sollten auf Anmeldungen durch Konten überwacht werden, bei denen es sich nicht um Microsoft Entra-Konten handelt.

Microsoft Entra-Anmeldung für LINUX

Mit der Microsoft Entra-Anmeldung für LINUX können sich Organisationen unter Verwendung von Microsoft Entra-Konten mithilfe des SSH-Protokolls (Secure Shell) bei ihren Azure-LINUX-VMs anmelden.

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Anmeldungen über Konten, bei denen es sich nicht um Azure AD-Konten handelt, insbesondere Anmeldungen über SSH Hoch Protokolle für lokale Authentifizierung Ubuntu:
monitor /var/log/auth.log for SSH use
RedHat:
Überwachung von „/var/log/sssd/“ auf SSH-Verwendung
Suchen nach: Einträgen, bei denen über Konten, bei denen es sich nicht um Azure AD-Konten handelt, eine Verbindung mit virtuellen Computern hergestellt wurde Siehe folgendes Beispiel:

Ubuntu-Beispiel:

May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Version: 1.0.015570001; user: localusertest01

May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: User 'localusertest01' is not a Microsoft Entra user; returning empty result.

May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: Version: 1.0.015570001; user: localusertest01

May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: User 'localusertest01' is not a Microsoft Entra user; returning empty result.

May 9 23:49:43 ubuntu1804 sshd[3909]: Accepted publicly for localusertest01 from 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

May 9 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): session opened for user localusertest01 by (uid=0).

Sie können Richtlinien für Anmeldungen durch virtuelle LINUX-Computer festlegen und virtuelle Linux-Computer, denen nicht genehmigte lokale Konten hinzugefügt wurden, erkennen und kennzeichnen. Weitere Informationen finden Sie unter Verwenden von Azure Policy zum Sicherstellen von Standards und für die Konformitätsbewertung.

Microsoft Entra-Anmeldungen für Windows Server

Mit Microsoft Entra-Anmeldungen für Windows kann sich Ihre Organisation unter Verwendung von Microsoft Entra-Konten über das Remotedesktopprotokoll (RDP) bei Ihren Azure-VMs anmelden, auf denen Windows 2019 oder höher ausgeführt wird.

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Anmeldungen über Konten, bei denen es sich nicht um Azure AD-Konten handelt, insbesondere Anmeldungen über RDP Hoch Windows Server-Ereignisprotokolle Interaktive Anmeldung bei virtuellen Windows-Computern Ereignis 528, Anmeldetyp 10 (RemoteInteractive).
Gibt an, wenn sich ein Benutzer über Terminaldienste oder Remotedesktop anmeldet.

Nächste Schritte

Übersicht zu Microsoft Entra-SecOps

Sicherheitsvorgänge für Benutzerkonten

Sicherheitsvorgänge für Consumerkonten

Sicherheitsvorgänge für privilegierte Konten

Sicherheitsvorgänge für Privileged Identity Management

Sicherheitsvorgänge für Anwendungen

Sicherheitsvorgänge für die Infrastruktur