Freigeben über


SecOps für privilegierte Konten in Microsoft Entra ID

Die Sicherheit der Geschäftsressourcen hängt von der Integrität der privilegierten Konten ab, mit denen Ihre IT-Systeme verwaltet werden. Cyberkriminelle haben es beim Diebstahl von Anmeldeinformationen besonders auf Administratorkonten und andere privilegierte Zugriffsmöglichkeiten abgesehen, um Zugriff auf sensible Daten zu erhalten.

Klassischerweise haben sich Unternehmen bezüglich der Sicherheit auf die Ein- und Ausstiegspunkte eines Netzwerks als Sicherheitsperimeter konzentriert. Durch SaaS-Anwendungen (Software-as-a-Service) und persönliche Geräte im Internet ist dieser Ansatz jedoch weniger effektiv.

Microsoft Entra ID verwendet identitäts- und Zugriffsverwaltung (identity and access management, IAM) als Steuerungsebene. Auf der Identitätsebene Ihrer Organisation haben Benutzer, denen privilegierte Administratorrollen zugewiesen sind, die Kontrolle. Die für den Zugriff verwendeten Konten müssen geschützt werden, unabhängig davon, ob es sich um eine lokale, eine Cloud- oder eine Hybridumgebung handelt.

Sie sind für alle Sicherheitsebenen Ihrer lokalen IT-Umgebung verantwortlich. Wenn Sie Azure-Dienste verwenden, sind Microsoft als Clouddienstanbieter und Sie als Kunde für Prävention und Reaktion gemeinsam verantwortlich.

Zu überwachende Protokolldateien

Zur Untersuchung und Überwachung verwenden Sie die folgenden Protokolldateien:

Im Azure-Portal können Sie die Microsoft Entra-Überwachungsprotokolle anzeigen und als CSV-Datei (Comma Separated Value) oder JSON-Datei (JavaScript Object Notation) herunterladen. Das Azure-Portal bietet mehrere Möglichkeiten zur Integration von Microsoft Entra-Protokollen in andere Tools, die eine umfassendere Automatisierung von Überwachung und Benachrichtigungen ermöglichen:

  • Microsoft Sentinel. Ermöglicht intelligente Sicherheitsanalysen auf Unternehmensebene, indem SIEM-Funktionen (Security Information and Event Management) zur Verfügung gestellt werden.

  • Sigma-Regeln: Sigma ist ein sich in Entwicklung befindender offener Standard zum Schreiben von Regeln und Vorlagen, die automatisierte Verwaltungstools zum Parsen von Protokolldateien verwenden können. Dort, wo Sigma-Vorlagen für die empfohlenen Suchkriterien vorhanden sind, wurde ein Link zum Sigma-Repository hinzugefügt. Die Sigma-Vorlagen werden nicht von Microsoft geschrieben, getestet und verwaltet. Das Repository und die Vorlagen werden von der weltweiten IT-Sicherheitscommunity erstellt und gesammelt.

  • Azure Monitor. Ermöglicht die automatisierte Überwachung verschiedener Bedingungen und entsprechende Warnungen. Mit dem Tool können Arbeitsmappen erstellt werden, die sich zum Kombinieren von Daten aus verschiedenen Quellen eignen.

  • Azure Event Hubs mit Integration in ein SIEM-System. Ermöglicht das Pushen von Microsoft Entra-Protokollen über die Azure Event Hubs-Integration in andere SIEM-Systeme, z. B. Splunk, ArcSight, QRadar und Sumo Logic. Weitere Informationen finden Sie unter Streamen von Microsoft Entra-Protokollen an einen Azure Event Hub.

  • Microsoft Defender for Cloud Apps. Ermöglicht die Erkennung und Verwaltung von Apps, die Steuerung von Apps und Ressourcen sowie die Überprüfung der Compliance Ihrer Cloud-Apps.

  • Microsoft Graph. Ermöglicht es Ihnen, Daten zu exportieren und Microsoft Graph zu verwenden, um weitere Analysen durchzuführen. Weitere Informationen finden Sie unter Microsoft Graph PowerShell SDK und Microsoft Entra ID Protection.

  • Microsoft Entra ID Protection. Generiert drei wichtige Berichte, die Sie bei der Untersuchung verwenden können:

    • Riskante Benutzer. Enthält Informationen darüber, welche Benutzer gefährdet sind, Details zu Erkennungen, den Verlauf aller riskante Anmeldungen und den Risikoverlauf.

    • Riskante Anmeldungen. Enthält Informationen zu den Umständen einer Anmeldung, die auf verdächtige Situationen hinweisen können. Weitere Informationen zum Untersuchen von Informationen aus diesem Bericht finden Sie unter Untersuchen von Risiken.

    • Risikoerkennungen. Enthält Informationen zu anderen Risiken, die bei Erkennung eines Risikos ausgelöst werden, sowie andere relevante Informationen wie den Anmeldeort und Details von Microsoft Defender für Cloud Apps.

  • Schützen von Workloadidentitäten mit Microsoft Entra ID Protection. Ermöglicht die Erkennung von Risiken für Workloadidentitäten über das Anmeldeverhalten und Offlineindikatoren für eine Gefährdung.

Privilegierte Konten können über ständige Administratorrechte verfügen, wovon wir jedoch abraten. Wenn Sie sich für die Verwendung von ständigen Berechtigungen entscheiden und das Konto kompromittiert wird, kann dies sehr negative Auswirkungen haben. Wir empfehlen Ihnen, die Überwachung privilegierter Konten zu priorisieren und die Konten in Ihre Konfiguration von Privileged Identity Management (PIM) einzuschließen. Weitere Informationen zu PIM finden Sie unter Einstieg in Privileged Identity Management. Außerdem empfehlen wir Ihnen, folgendes für Administratorkonten zu überprüfen:

  • Die Administratorkonten sind erforderlich.
  • Den Administratorkonten sind die geringsten Berechtigungen zum Ausführen der erforderlichen Aktivitäten zugewiesen.
  • Sind zumindest mit Multi-Faktor-Authentifizierung geschützt.
  • Die Administratorkonten werden auf Privileged Access Workstations (PAWs) oder Secure Admin Workstations (SAWs) ausgeführt.

Im weiteren Verlauf dieses Artikels wird beschrieben, was Sie überwachen und warnen sollten. Der Artikel ist nach Art der Bedrohung organisiert. Wenn es spezielle vorgefertigte Lösungen gibt, sind diese im Anschluss an die Tabelle aufgeführt. Andernfalls können Sie Warnungen mithilfe der oben beschriebenen Tools erstellen.

Dieser Artikel enthält Details zum Festlegen von Baselines sowie zum Überwachen der Anmeldung und Nutzung privilegierter Konten. Außerdem werden Tools und Ressourcen erläutert, die Sie verwenden können, um die Integrität Ihrer privilegierten Konten aufrechtzuerhalten. Der Inhalt ist in die folgenden Themenbereiche unterteilt:

  • Konten für den Notfallzugriff/Notfallkonten
  • Anmeldung mit privilegiertem Konto
  • Änderungen von privilegierten Konten
  • Privilegierte Gruppen
  • Rechtezuweisung und Rechteerweiterungen

Konten für den Notfallzugriff

Es ist wichtig, dass Sie verhindern, versehentlich aus Ihrem Microsoft Entra-Mandanten ausgesperrt zu werden.

Microsoft empfiehlt Organisationen, zwei Nur-Cloud-Notfallzugriffskonten dauerhaft der Rolle Globaler Administrator zugewiesen zu haben. Diese Konten verfügen über hohe Zugriffsrechte und sind keinen bestimmten Einzelpersonen zugewiesen. Die Konten sind auf Notfall- oder Unterbrechungsglasszenarien beschränkt, in denen normale Konten nicht verwendet werden können oder alle anderen Administratoren versehentlich gesperrt sind. Diese Konten sollten nach den Empfehlungen für das Notfallzugriffskonto erstellt werden.

Senden Sie bei jeder Verwendung eines Kontos für den Notfallzugriff eine Warnung mit hoher Priorität.

Ermittlung

Da Notfallkonten nur bei einem Notfall verwendet werden, sollte Ihre Überwachung keine Kontoaktivitäten ermitteln. Senden Sie bei jeder Verwendung oder Änderung eines Kontos für den Notfallzugriff eine Warnung mit hoher Priorität. Jedes der folgenden Ereignisse kann darauf hindeuten, dass ein böswilliger Akteur versucht, Ihre Umgebungen zu gefährden.

  • Anmelden:
  • Änderung des Kontokennworts.
  • Änderung von Kontoberechtigungen/-rollen.
  • Hinzugefügte oder geänderte Anmeldeinformationen oder Authentifizierungsmethode.

Weitere Informationen zum Verwalten dieser Konten finden Sie unter Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID. Ausführliche Informationen zum Erstellen einer Warnung für ein Notfallkonto finden Sie unter Erstellen einer Warnungsregel.

Anmeldung mit privilegiertem Konto

Überwachen Sie alle Anmeldeaktivitäten von privilegierten Konten mithilfe der Microsoft Entra-Anmeldeprotokolle als Datenquelle. Zusätzlich zu den Informationen zu erfolgreichen und fehlerhaften Anmeldungen enthalten die Protokolle die folgenden Details:

  • Interrupts
  • Sicherungsmedium
  • Location
  • Risiko
  • Application
  • Datum und Uhrzeit
  • Ob das Konto deaktiviert ist
  • Sperre
  • MFA-Betrug
  • Bedingter Zugriff Fehler

Zu überwachende Ereignisse

Sie können Anmeldeereignisse privilegierter Konten in den Microsoft Entra-Anmeldeprotokollen überwachen. Erstellen Sie eine Warnung für und untersuchen Sie die folgenden Ereignisse für privilegierte Konten.

Zu überwachende Elemente Risikostufe Dabei gilt: Filter/Subfilter Hinweise
Anmeldefehler, Schwellenwert für falsches Kennwort Hoch Microsoft Entra-Anmeldeprotokoll Status = Fehler
- und -
Fehlercode = 50126
Legen Sie einen Basisschwellenwert fest, den Sie dann überwachen und entsprechend dem Verhalten Ihres Unternehmens anpassen können, um zu verhindern, dass Fehlwarnungen generiert werden.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Fehler aufgrund der Anforderung für bedingten Zugriff Hoch Microsoft Entra-Anmeldeprotokoll Status = Fehler
- und -
Fehlercode = 53003
- und -
Fehlerursache = Durch bedingten Zugriff blockiert
Dies kann ein Hinweis darauf sein, dass ein Angreifer versucht, auf das Konto zuzugreifen.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Privilegierte Konten, die nicht der Benennungsrichtlinie entsprechen Azure-Abonnement Auflisten von Azure-Rollenzuweisungen über das Azure-Portal Listen Sie Rollenzuweisungen für Abonnements auf, und geben Sie eine Warnung aus, wenn der Anmeldename nicht dem Format Ihrer Organisation entspricht. Ein Beispiel ist die Verwendung von ADM_ als Präfix.
Interrupt Hoch, mittel Microsoft Entra Anmeldungen Status = Unterbrochen
- und -
Fehlercode = 50074
- und -
Fehlergrund = Strenge Authentifizierung erforderlich
Status = Unterbrochen
- und -
Fehlercode = 500121
Fehlergrund = Fehler bei der Authentifizierung während der Anforderung einer strengen Authentifizierung
Dies kann ein Hinweis darauf sein, dass ein Angreifer über das Kennwort für das Konto verfügt, die MFA-Abfrage aber nicht erfolgreich abschließen kann.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Privilegierte Konten, die nicht der Benennungsrichtlinie entsprechen Hoch Microsoft Entra Verzeichnis Auflisten von Microsoft Entra-Rollenzuweisungen Listen Sie Rollenzuweisungen für Microsoft Entra-Rollen auf, und geben Sie eine Warnung aus, wenn der UPN nicht dem Format Ihrer Organisation entspricht. Ein Beispiel ist die Verwendung von ADM_ als Präfix.
Ermitteln privilegierter Konten, die nicht für Multi-Faktor-Authentifizierung registriert sind Hoch Microsoft Graph-API Abfrage von IsMFARegistered ist für Administratorkonten FALSE. CredentialUserRegistrationDetails auflisten – Microsoft Graph-Betaversion Überwachen und untersuchen Sie, um zu ermitteln, ob Absicht oder ein Versehen vorliegt.
Kontosperrung Hoch Microsoft Entra-Anmeldeprotokoll Status = Fehler
- und -
Fehlercode = 50053
Legen Sie einen Basisschwellenwert fest, den Sie dann überwachen und entsprechend dem Verhalten Ihres Unternehmens anpassen können, um zu verhindern, dass Fehlwarnungen generiert werden.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Konto für Anmeldungen deaktiviert/blockiert Niedrig Microsoft Entra-Anmeldeprotokoll Status = Fehler
- und -
Ziel = Benutzer-UPN
- und -
Fehlercode = 50057
Dieses Ereignis kann darauf hindeuten, dass jemand versucht, zugriff auf ein Konto zu erhalten, nachdem er die Organisation verlassen hat. Trotz der Blockierung des Kontos ist es dennoch wichtig, diese Aktivität zu protokollieren und eine entsprechende Warnung auszugeben.
Microsoft Sentinel-Vorlage

Sigma-Regeln
MFA-Betrugswarnung/Blockierung Hoch Microsoft Entra-Anmeldeprotokoll/Azure Log Analytics Anmeldungen>Authentifizierungsdetails Ergebnisdetails = MFA verweigert, Betrugscode eingegeben Der privilegierte Benutzer hat angegeben, dass er die MFA-Eingabeaufforderung nicht veranlasst hat, was darauf hindeuten könnte, dass ein Angreifer über das Kennwort für das Konto verfügt.
Microsoft Sentinel-Vorlage

Sigma-Regeln
MFA-Betrugswarnung/Blockierung Hoch Microsoft Entra-Überwachungsprotokoll/Azure Log Analytics Aktivitätstyp = Betrug gemeldet – Benutzer für MFA gesperrt oder Betrug gemeldet – keine Aktion ausgeführt (auf Basis der Einstellungen für Betrugsberichte auf Mandantenebene) Der privilegierte Benutzer hat angegeben, dass er die MFA-Eingabeaufforderung nicht veranlasst hat, was darauf hindeuten könnte, dass ein Angreifer über das Kennwort für das Konto verfügt.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Anmeldungen mit privilegierten Konten außerhalb der erwarteten Kontrollen Microsoft Entra-Anmeldeprotokoll Status = Fehler
UserPricipalName = <Administratorkonto>
Standort = <Nicht genehmigter Standort>
IP-Adresse = <Nicht genehmigte IP-Adresse>
Geräteinformationen = <nicht genehmigter Browser, nicht genehmigtes Betriebssystem>
Überwachen Sie Einträge, die Sie als nicht genehmigt definiert haben, und geben Sie Warnungen dafür aus.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Außerhalb der normalen Anmeldezeiten Hoch Microsoft Entra-Anmeldeprotokoll Status = Erfolg
- und -
Standort =
- und -
Zeit = außerhalb der Arbeitszeiten
Überwachen und warnen Sie, wenn Anmeldungen außerhalb der erwarteten Zeiten erfolgen. Es ist wichtig, das normale Arbeitsmuster für jedes privilegierte Konto zu ermitteln und eine Warnung auszugeben, wenn ungeplante Änderungen außerhalb der normalen Arbeitszeiten vorgenommen werden. Anmeldungen außerhalb der normalen Arbeitszeiten können auf eine Gefährdung oder auf mögliche Insiderbedrohungen hinweisen.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Microsoft Entra ID Protection Risiko Hoch ID-Schutzprotokolle Risikozustand = Gefährdet
- und -
Risikostufe = Niedrig, Mittel, Hoch
- und -
Aktivität = Unbekannte Anmeldung/TOR usw.
Dies deutet darauf hin, dass bei der Anmeldung für das Konto eine gewisse Anomalie erkannt wurde und eine entsprechende Warnung ausgegeben werden sollte.
Kennwortänderung Hoch Microsoft Entra-Überwachungsprotokolle Aktivitätsakteur = Administrator/Self-Service
- und -
Ziel = Benutzer
- und -
Status = Erfolg oder Fehler
Warnung, wenn sich ein Kennwort für ein Administratorkonto ändert. Schreiben Sie eine Abfrage für privilegierte Konten.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Änderung des Legacyauthentifizierungsprotokolls Hoch Microsoft Entra-Anmeldeprotokoll Client-App = Anderer Client, IMAP, POP3, MAPI, SMTP usw.
- und -
Benutzername = UPN
- und -
Anwendung = Exchange (Beispiel)
Bei vielen Angriffen wird die Legacyauthentifizierung verwendet. Daher kann eine Änderung des Authentifizierungsprotokolls für den Benutzer ein Hinweis auf einen Angriff sein.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Neues Gerät oder neuer Standort Hoch Microsoft Entra-Anmeldeprotokoll Geräteinformationen = Geräte-ID
- und -
Browser
- und -
Betriebssystem
- und -
Kompatibel/verwaltet
- und -
Ziel = Benutzer
- und -
Location
Die meisten Administratoraktivitäten sollten auf Geräten mit privilegiertem Zugriff ausgeführt werden und von einer begrenzten Anzahl von Standorten aus erfolgen. Aus diesem Grund sollten Sie Warnungen für neue Geräte oder Standorte verwenden.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Die Einstellung für Überwachungswarnungen ist geändert Hoch Microsoft Entra-Überwachungsprotokolle Dienst = PIM
- und -
Kategorie = Role Management (Rollenverwaltung)
- und -
Aktivität = PIM-Warnung deaktivieren
- und -
Status = Erfolg
Bei unerwarteten Änderungen an einer wichtigen Warnung sollte eine Warnmeldung ausgegeben werden.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Administratoren, die sich für andere Microsoft Entra-Mandanten authentifizieren Medium Microsoft Entra-Anmeldeprotokoll Status = Erfolg

Ressourcenmandanten-ID != Basismandanten-ID
Wenn der Bereich auf privilegierte Benutzer festgelegt ist, wird erkannt, wenn sich ein Administrator erfolgreich bei einem anderen Microsoft Entra-Mandanten mit einer Identität im Mandanten Ihrer Organisation authentifiziert hat.

Warnung, wenn die Ressourcenmandanten-ID nicht mit der Basismandanten-ID identisch ist
Microsoft Sentinel-Vorlage

Sigma-Regeln
Administratorstatus von „Gast“ in „Mitglied“ geändert Medium Microsoft Entra-Überwachungsprotokolle Aktivität: Benutzer aktualisieren

Kategorie: UserManagement

Benutzertyp (UserType) von „Gast“ in „Mitglied“ geändert
Überwachen von und Warnen bei Änderung des Benutzertyps von „Gast“ in „Mitglied“.

Wurde diese Änderung erwartet?
Microsoft Sentinel-Vorlage

Sigma-Regeln
Gastbenutzer, die von nicht genehmigten Einladenden zum Mandanten eingeladen wurden Medium Microsoft Entra-Überwachungsprotokolle Aktivität: Externe Benutzer einladen

Kategorie: UserManagement

Initiiert von (Akteur): Benutzerprinzipalname
Überwachen von und Warnen bei nicht genehmigten Akteuren, die externe Benutzer einladen.
Microsoft Sentinel-Vorlage

Sigma-Regeln

Änderungen durch privilegierte Konten

Überwachen Sie alle abgeschlossenen und versuchten Änderungen durch ein privilegiertes Konto. Anhand dieser Daten können Sie die normale Aktivität für jedes privilegierte Konto ermitteln und bei Aktivitäten, die von den erwarteten abweichen, warnen. Die Microsoft Entra-Überwachungsprotokolle werden zum Aufzeichnen dieses Ereignistyps verwendet. Weitere Informationen zu Microsoft Entra Überwachungsprotokollen finden Sie unter Überwachungsprotokolle in Microsoft Entra ID.

Microsoft Entra Domain Services

Privilegierte Konten, denen Berechtigungen in Microsoft Entra Domain Services zugewiesen wurden, können Aufgaben für Microsoft Entra Domain Services ausführen, die sich auf den Sicherheitsstatus Ihrer von Azure gehosteten virtuellen Computer auswirken, die Microsoft Entra Domain Services verwenden. Aktivieren Sie Sicherheitsüberwachungen auf virtuellen Computern, und überwachen Sie die Protokolle. Weitere Informationen zum Aktivieren von Microsoft Entra Domain Services-Überprüfungen und eine Liste der als sensibel geltenden Rechte finden Sie in den folgenden Ressourcen:

Zu überwachende Elemente Risikostufe Dabei gilt: Filter/Subfilter Hinweise
Versuchte und abgeschlossene Änderungen Hoch Microsoft Entra-Überwachungsprotokolle Datum und Uhrzeit
- und -
Dienst
- und -
Kategorie und Name der Aktivität (Was)
- und -
Status = Erfolg oder Fehler
- und -
Ziel
- und -
Initiator oder Akteur (wer)
Für alle ungeplanten Änderungen sollten sofort Warnungen ausgegeben werden. Diese Protokolle sollten aufbewahrt werden, damit sie bei Untersuchungen herangezogen werden können. Alle Änderungen auf Mandantenebene sollten sofort untersucht werden (Link zum Infrastrukturdokument), falls diese den Sicherheitsstatus Ihres Mandanten verringern würden. Ein Beispiel ist das Ausschließen von Konten aus der Multi-Faktor-Authentifizierung oder aus bedingtem Zugriff. Geben Sie Warnungen bei Ergänzungen zu oder Änderungen an Anwendungen aus. Weitere Informationen finden Sie unter Leitfaden für Microsoft Entra-SecOps für Anwendungen.
Beispiel
Versuchte oder abgeschlossene Änderung an wertvollen Apps oder Diensten
Hoch Überwachungsprotokoll Dienst
- und -
Kategorie und Name der Aktivität
Datum und Uhrzeit, Dienst, Kategorie und Name der Aktivität, Status = Erfolg oder Fehler, Ziel, Initiator oder Akteur (wer)
Privilegierte Änderungen in Microsoft Entra Domain Services Hoch Microsoft Entra Domain Services Suchen nach dem Ereignis 4673 Aktivieren von Sicherheitsüberwachungen für Microsoft Entra Domain Services
Eine Liste aller privilegierten Ereignisse finden Sie unter Sensible Verwendung von Rechten überwachen.

Änderungen an privilegierten Konten

Untersuchen Sie Änderungen an den Authentifizierungsregeln und -berechtigungen von privilegierten Konten, insbesondere wenn die Änderung größere Berechtigungen oder die Möglichkeit bietet, Aufgaben in Ihrer Microsoft Entra-Umgebung auszuführen.

Zu überwachende Elemente Risikostufe Dabei gilt: Filter/Subfilter Hinweise
Erstellung privilegierter Konten Medium Microsoft Entra-Überwachungsprotokolle Dienst = Azure AD-Kerndienst
- und -
Kategorie = Benutzerverwaltung
- und -
Aktivitätstyp = Benutzer hinzufügen
– Korrelation mit –
Kategorietyp = Rollenverwaltung
- und -
Aktivitätstyp = Mitglied zu Rolle hinzufügen
- und -
Geänderte Eigenschaften = Role.DisplayName
Überwachen Sie die Erstellung privilegierter Konten. Achten Sie auf eine Korrelation einer kurzen Zeitspanne zwischen der Erstellung und Löschung von Konten.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Änderungen an Authentifizierungsmethoden Hoch Microsoft Entra-Überwachungsprotokolle Dienst = Authentifizierungsmethode
- und -
Aktivitätstyp = Vom Benutzer registrierte Sicherheitsinformationen
- und -
Kategorie = Benutzerverwaltung
Diese Änderung könnte ein Hinweis darauf sein, dass ein Angreifer dem Konto eine Authentifizierungsmethode hinzugefügt hat, um weiterhin Zugriff zu haben.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Warnung bei Änderungen an Berechtigungen privilegierter Konten Hoch Microsoft Entra-Überwachungsprotokolle Kategorie = Role Management (Rollenverwaltung)
- und -
Aktivitätstyp – Add eligible member (permanent)
Oder
Aktivitätstyp – Add eligible member (eligible)
- und -
Status = Erfolg oder Fehler
- und -
Geänderte Eigenschaften = Role.DisplayName
Dieser Hinweis ist insbesondere für Konten, denen Rollen zugewiesen werden, die nicht bekannt sind oder außerhalb ihrer normalen Zuständigkeiten liegen.

Sigma-Regeln
Nicht verwendete privilegierte Konten Medium Microsoft Entra-Zugriffsüberprüfungen Führen Sie für inaktive privilegierte Benutzerkonten eine monatliche Überprüfung durch.
Sigma-Regeln
Konten, die von Richtlinien für bedingten Zugriff ausgenommen sind Hoch Azure Monitor-Protokolle
Oder
Zugriffsüberprüfungen
Bedingter Zugriff: Erkenntnisse und Berichterstellung Alle Konten, die von den Richtlinien für den bedingten Zugriff ausgenommen sind, umgehen höchstwahrscheinlich Sicherheitskontrollen und sind anfälliger für Kompromittierung. Notfallkonten sind davon ausgenommen. Informationen zum Überwachen von Notfallkonten finden Sie weiter unten in diesem Artikel.
Hinzufügen eines befristeten Zugriffspasses zu einem privilegierten Konto Hoch Microsoft Entra-Überwachungsprotokolle Aktivität: Vom Administrator registrierte Sicherheitsinformationen

Statusursache: Administrator hat die Methode für den befristeten Zugriffspass für Benutzer registriert

Kategorie: UserManagement

Initiiert von (Akteur): Benutzerprinzipalname

Ziel: Benutzerprinzipalname
Überwachen von und Warnen bei eines befristeten Zugriffspasses, der für einen privilegierten Benutzer erstellt wird.
Microsoft Sentinel-Vorlage

Sigma-Regeln

Weitere Informationen zum Überwachen von Ausnahmen von Richtlinien für bedingten Zugriff finden Sie unter Erkenntnisse und Berichterstellung zum bedingten Zugriff.

Weitere Informationen zum Erkennen nicht verwendeter privilegierter Konten finden Sie unter Erstellen einer Zugriffsüberprüfung von Microsoft Entra-Rollen in Privileged Identity Management.

Zuweisung und Rechteerweiterungen

Privilegierte Konten, die permanent über erhöhte Rechte verfügen, können die Angriffsfläche und das Risiko für Ihre Sicherheitsgrenzen vergrößern. Verwenden Sie stattdessen einen Just-in-Time-Zugriff mit einem Rechteerweiterungsverfahren. Mit dieser Art von System können Sie Berechtigungen für privilegierte Rollen zuweisen. Administratoren erhöhen ihre Berechtigungen auf diese Rollen nur, wenn sie Aufgaben ausführen, die diese Berechtigungen benötigen. Mithilfe eines Rechteerweiterungsverfahrens können Sie Rechteerweiterungen und die Nichtverwendung privilegierter Konten überwachen.

Einrichten einer Baseline

Um Ausnahmen überwachen zu können, müssen Sie zunächst eine Baseline erstellen. Bestimmen Sie die folgenden Informationen für diese Elemente:

  • Administratorkonten

    • Ihre Strategie für privilegierte Konten
    • Verwendung von lokalen Konten zum Verwalten lokaler Ressourcen
    • Verwendung von cloudbasierten Konten zum Verwalten cloudbasierter Ressourcen
    • Ansatz zum Trennen und Überwachen von Administratorberechtigungen für lokale und cloudbasierte Ressourcen
  • Schutz privilegierter Rollen

    • Schutzstrategie für Rollen mit Administratorberechtigungen
    • Organisationsrichtlinie für die Verwendung privilegierter Konten
    • Strategie und Prinzipien für die Beibehaltung dauerhafter Berechtigungen im Vergleich zur Bereitstellung von zeitgebundenem und genehmigtem Zugriff

Die folgenden Konzepte und Informationen helfen Ihnen bei der Festlegung von Richtlinien:

  • Just-in-Time-Verwaltungsprinzipien. Verwenden Sie die Microsoft Entra-Protokolle, um Informationen zum Ausführen von administrativen Aufgaben zu erfassen, die in Ihrer Umgebung üblich sind. Bestimmen Sie den typischen erforderlichen Zeitaufwand für die Ausführung der Aufgaben.
  • Just-Enough-Verwaltungsprinzipien. Bestimmen Sie die Rolle mit den geringsten Berechtigungen, die möglicherweise eine benutzerdefinierte Rolle ist, die für administrative Aufgaben benötigt wird. Weitere Informationen finden Sie unter Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID.
  • Einrichten einer Richtlinie für erhöhte Rechte. Erstellen Sie Richtlinien, die die erhöhte Rechtenutzung für Ihre Umgebung widerspiegeln, nachdem Sie einen Einblick in den Typ der erforderlichen erhöhten Rechte und die erforderliche Dauer für die einzelnen Aufgaben erhalten haben. Definieren Sie beispielsweise eine Richtlinie, um die Rollenerweiterung auf eine Stunde zu beschränken.

Nachdem Sie Ihre Baseline eingerichtet und die Richtlinie festgelegt haben, können Sie die Überwachung so konfigurieren, dass eine von der Richtlinie abweichende Verwendung erkannt und eine Warnung ausgegeben wird.

Ermittlung

Es wird empfohlen, besonders auf Änderungen bei der Zuweisung und bei Rechteerweiterungen zu achten und diese zu untersuchen.

Zu überwachende Ereignisse

Sie können Änderungen an privilegierten Konten überwachen, indem Sie Microsoft Entra-Überwachungsprotokolle und Azure Monitor-Protokolle verwenden. Fügen Sie die folgenden Änderungen in Ihren Überwachungsprozess ein.

Zu überwachende Elemente Risikostufe Dabei gilt: Filter/Subfilter Hinweise
Der berechtigten privilegierten Rolle hinzugefügt Hoch Microsoft Entra-Überwachungsprotokolle Dienst = PIM
- und -
Kategorie = Role Management (Rollenverwaltung)
- und -
Aktivitätstyp: Hinzufügen eines Mitglieds zur Rolle abgeschlossen (berechtigt)
- und -
Status = Erfolg oder Fehler
- und -
Geänderte Eigenschaften = Role.DisplayName
Jedem Konto, das für eine Rolle berechtigt ist, wird jetzt privilegierter Zugriff gewährt. Wenn die Zuweisung unerwartet ist oder für eine Rolle erfolgt, die nicht in der Zuständigkeit des Kontoinhabers liegt, untersuchen Sie dies.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Außerhalb von PIM zugewiesene Rollen Hoch Microsoft Entra-Überwachungsprotokolle Dienst = PIM
- und -
Kategorie = Role Management (Rollenverwaltung)
- und -
Aktivitätstyp = Mitglied zu Rolle hinzufügen (dauerhaft)
- und -
Status = Erfolg oder Fehler
- und -
Geänderte Eigenschaften = Role.DisplayName
Diese Rollen sollten genau überwacht und benachrichtigt werden. Benutzern sollten nach Möglichkeit keine Rollen außerhalb von PIM zugewiesen werden.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Höhenangaben Medium Microsoft Entra-Überwachungsprotokolle Dienst = PIM
- und -
Kategorie = Role Management (Rollenverwaltung)
- und -
Aktivitätstyp: Hinzufügen eines Mitglieds zur Rolle abgeschlossen (PIM-Aktivierung)
- und -
Status = Erfolg oder Fehler
- und -
Geänderte Eigenschaften = Role.DisplayName
Nach der Erhöhung der Rechte kann ein privilegiertes Konto Änderungen vornehmen, die sich auf die Sicherheit Ihres Mandanten auswirken können. Alle Rechteerweiterungen sollten protokolliert werden, und wenn diese außerhalb des Standardmusters für diesen Benutzer erfolgen, sollte eine Warnung ausgegeben, und sie sollten untersucht werden, falls dies nicht geplant war.
Genehmigungen und Verweigern von Rechteerweiterungen Niedrig Microsoft Entra-Überwachungsprotokolle Dienst = Zugriffsüberprüfung
- und -
Kategorie = Benutzerverwaltung
- und -
Aktivitätstyp = Anfrage genehmigt/abgelehnt
- und -
Initiated actor (Initiierender Akteur) = UPN
Überwachen Sie alle Rechteerweiterungen, da dies einen eindeutigen Hinweis auf die Zeitachse für einen Angriff liefern könnte.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Änderungen an PIM-Einstellungen Hoch Microsoft Entra-Überwachungsprotokolle Dienst = PIM
- und -
Kategorie = Role Management (Rollenverwaltung)
- und -
Aktivitätstyp = Rolleneinstellung in PIM aktualisieren
- und -
Statusursache = MFA on activation disabled (MFA bei Aktivierung deaktiviert) (Beispiel)
Eine dieser Aktionen könnte die Sicherheit der PIM-Rechteerweiterungen verringern und Angreifern den Erwerb eines privilegierten Kontos erleichtern.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Keine Rechteerweiterungen auf SAW/PAW Hoch Microsoft Entra-Anmeldeprotokolle Geräte-ID
- und -
Browser
- und -
Betriebssystem
- und -
Kompatibel/verwaltet
Korrelation mit:
Dienst = PIM
- und -
Kategorie = Role Management (Rollenverwaltung)
- und -
Aktivitätstyp: Hinzufügen eines Mitglieds zur Rolle abgeschlossen (PIM-Aktivierung)
- und -
Status = Erfolg oder Fehler
- und -
Geänderte Eigenschaften = Role.DisplayName
Wenn diese Änderung konfiguriert ist, sollte jeder Versuch, die Rechte auf einem Nicht-PAW/SAW-Gerät zu erhöhen, sofort untersucht werden, da dies darauf hindeuten kann, dass ein Angreifer versucht, das Konto zu verwenden.
Sigma-Regeln
Rechteerweiterungen zum Verwalten aller Azure-Abonnements Hoch Azure Monitor Registerkarte „Aktivitätsprotokoll“
Registerkarte „Verzeichnisaktivität“
Vorgangsname = Weist den Aufrufer der Rolle „Benutzerzugriffsadministrator“ zu
-und-
Ereigniskategorie = Administrativ
- und -
Status = Erfolgreich, Start, Fehler
- und -
Ereignis initiiert von
Diese Änderung sollte sofort untersucht werden, wenn sie nicht geplant ist. Diese Einstellung könnte einem Angreifer Zugriff auf Azure-Abonnements in Ihrer Umgebung ermöglichen.

Weitere Informationen zum Verwalten von Rechteerweiterungen finden Sie unter Erhöhen der Zugriffsrechte zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen. Informationen zum Überwachen von Erhöhungen mithilfe der in den Microsoft Entra-Protokollen verfügbaren Informationen finden Sie unter Azure-Aktivitätsprotokoll, das Teil der Azure Monitor-Dokumentation ist.

Informationen zum Konfigurieren von Warnungen für Azure-Rollen finden Sie unter Konfigurieren von Sicherheitswarnungen für Azure-Ressourcenrollen in Privileged Identity Management.

Nächste Schritte

Weitere Informationen finden Sie in den folgenden Artikeln im Leitfaden zu Sicherheitsvorgängen:

Übersicht zu Microsoft Entra-SecOps

Sicherheitsvorgänge für Benutzerkonten

Sicherheitsvorgänge für Consumerkonten

Sicherheitsvorgänge für Privileged Identity Management

Sicherheitsvorgänge für Anwendungen

Sicherheitsvorgänge für Geräte

Sicherheitsvorgänge für die Infrastruktur