Konfigurieren von Microsoft Entra für Zero Trust: Überwachen und Erkennen von Cyberthreats

Das Vorhandensein von robusten Gesundheitsüberwachungs- und Bedrohungserkennungsfunktionen ist eine der sechs Säulen der Secure Future Initiative. Diese Richtlinien sollen Ihnen dabei helfen, ein umfassendes Protokollierungssystem für Archivierung und Analyse einzurichten. Wir enthalten Empfehlungen im Zusammenhang mit der Triage riskanter Anmeldungen, riskanten Benutzern und Authentifizierungsmethoden.

Der erste Schritt zur Ausrichtung an dieser Säule besteht darin, Diagnoseeinstellungen für alle Microsoft Entra-Protokolle zu konfigurieren, damit alle in Ihrem Mandanten vorgenommenen Änderungen zur Analyse gespeichert und zugänglich sind. Weitere Empfehlungen in dieser Säule konzentrieren sich auf die rechtzeitige Triage von Risikowarnungen und Microsoft Entra-Empfehlungen. Die wichtigste Erkenntnis besteht darin, zu wissen, welche Protokolle, Berichte und Gesundheitsüberwachungstools verfügbar sind und sie regelmäßig zu überwachen.

Sicherheitsleitfaden

Diagnoseeinstellungen sind für alle Microsoft Entra-Protokolle konfiguriert.

Die Aktivitätsprotokolle und -berichte in Microsoft Entra können dabei helfen, nicht autorisierte Zugriffsversuche zu erkennen oder zu identifizieren, wenn sich die Mandantenkonfiguration ändert. Wenn Protokolle mit SIEM-Tools (Security Information and Event Management) archiviert oder integriert sind, können Sicherheitsteams leistungsstarke Überwachungs- und Erkennungssicherheitskontrollen, proaktive Bedrohungssuche und Prozesse zur Reaktion auf Vorfälle implementieren. Die Protokolle und Überwachungsfeatures können verwendet werden, um die Mandantenintegrität zu bewerten und Nachweise für Compliance und Audits bereitzustellen.

Wenn Protokolle nicht regelmäßig archiviert oder zum Abfragen an ein SIEM-Tool gesendet werden, ist es schwierig, Anmeldeprobleme zu untersuchen. Das Fehlen von Verlaufsprotokollen bedeutet, dass Sicherheitsteams möglicherweise Muster fehlgeschlagener Anmeldeversuche, ungewöhnliche Aktivitäten und andere Kompromittierungsindikatoren verpassen können. Dieser Mangel an Sichtbarkeit kann die rechtzeitige Erkennung von Verstößen verhindern, sodass Angreifer den nicht erkannten Zugriff für längere Zeiträume beibehalten können.

Wartungsaktion

• Konfigurieren von Microsoft Entra-Diagnoseeinstellungen
• Integrieren von Microsoft Entra-Protokollen in Azure Monitor-Protokolle
• Stream Microsoft Entra protokolliert an einem Event Hub-

Aktivierungen privilegierter Rollen haben Überwachung und Benachrichtigungen konfiguriert.

Organisationen ohne ordnungsgemäße Aktivierungswarnungen für hoch privilegierte Rollen haben keine Sichtbarkeit, wenn Benutzer auf diese kritischen Berechtigungen zugreifen. Bedrohungsakteure können diese Überwachungslücke ausnutzen, um eine Berechtigungseskalation durchzuführen, indem sie hoch privilegierte Rollen ohne Erkennung aktivieren und dann per Persistenz durch die Erstellung eines Administratorkontos oder Sicherheitsrichtlinienänderungen einrichten. Das Fehlen von Echtzeitwarnungen ermöglicht Es Angreifern, laterale Bewegungen durchzuführen, Überwachungskonfigurationen zu ändern und Sicherheitskontrollen zu deaktivieren, ohne sofortige Reaktionsverfahren auszulösen.

Wartungsaktion

• Konfigurieren von Microsoft Entra-Rolleneinstellungen in Privileged Identity Management

Aktivierungswarnung für Rollenzuweisungen des Globalen Administrators

Ohne Aktivierungswarnungen für globale Administratorrollenzuweisungen können Bedrohungsakteure berechtigungen eskalieren, die nicht erkannt wurden. Dieser Mangel an Sichtbarkeit schafft einen blinden Ort, an dem Angreifer die privilegierteste Rolle aktivieren und bösartige Aktionen ausführen können, z. B. das Erstellen von Backdoor-Konten, das Ändern von Sicherheitsrichtlinien oder den Zugriff auf vertrauliche Daten.

Die Überwachung dieser Aktivierungswarnungen kann Sicherheitsteams dabei helfen, zwischen autorisierten und nicht autorisierten Berechtigungseskalationsaktivitäten zu unterscheiden.

Wartungsaktion

• Konfigurieren von Benachrichtigungen für privilegierte Rollen

Aktivierungswarnung für alle privilegierten Rollenzuweisungen

Ohne Aktivierungswarnungen für privilegierte Rollenzuweisungen können Bedrohungsakteure nicht erkannte Berechtigungen eskalieren. Dieser Mangel an Sichtbarkeit schafft einen blinden Ort, an dem Angreifer die privilegierteste Rolle aktivieren und bösartige Aktionen ausführen können, z. B. das Erstellen von Backdoor-Konten, das Ändern von Sicherheitsrichtlinien oder den Zugriff auf vertrauliche Daten.

Die Überwachung dieser Aktivierungswarnungen kann Sicherheitsteams dabei helfen, zwischen autorisierten und nicht autorisierten Berechtigungseskalationsaktivitäten zu unterscheiden.

Wartungsaktion

• Konfigurieren von Benachrichtigungen für privilegierte Rollen

Privilegierte Benutzer melden sich mit Phishing-resistenten Methoden an

Ohne Phishing-beständige Authentifizierungsmethoden sind privilegierte Benutzer anfälliger für Phishingangriffe. Diese Arten von Angriffen führen dazu, dass Benutzer ihre Anmeldeinformationen offenlegen, um unbefugten Zugriff auf Angreifer zu gewähren. Wenn nicht phishingsichere Authentifizierungsmethoden verwendet werden, können Angreifer Anmeldeinformationen und Token über Methoden wie Angreifer in der Mitte abfangen und die Sicherheit des privilegierten Kontos unterminieren.

Sobald ein privilegiertes Konto oder eine privilegierte Sitzung aufgrund schwacher Authentifizierungsmethoden kompromittiert wurde, können Angreifer das Konto manipulieren, um den langfristigen Zugriff aufrechtzuerhalten, andere Hintertüren zu erstellen oder Benutzerberechtigungen zu ändern. Angreifer können auch das kompromittierte privilegierte Konto verwenden, um ihren Zugriff noch weiter zu eskalieren und potenziell die Kontrolle über sensiblere Systeme zu erlangen.

Wartungsaktion

• Erste Schritte mit einer phishingsicheren kennwortlosen Authentifizierungsbereitstellung
• Sicherstellen, dass privilegierte Konten Phishing-widerstandsfähige Methoden registrieren und verwenden
• Bereitstellen einer Richtlinie für bedingten Zugriff für privilegierte Konten und Erfordern von Phishing-beständigen Anmeldeinformationen
• Überwachen der Authentifizierungsmethodenaktivität

Alle Benutzer mit hohem Risiko werden triagediert.

Benutzer, die von Microsoft Entra ID Protection als hohes Risiko angesehen werden, haben eine hohe Wahrscheinlichkeit von Kompromittierung durch Bedrohungsakteure. Bedrohungsakteure können über kompromittierte gültige Konten zugriffen, bei denen ihre verdächtigen Aktivitäten trotz auslösender Risikoindikatoren fortgesetzt werden. Diese Aufsicht kann die Persistenz ermöglichen, da Bedrohungsakteure Aktivitäten ausführen, die normalerweise eine Untersuchung erfordern, z. B. ungewöhnliche Anmeldemuster oder verdächtige Posteingangsmanipulation.

Ein Mangel an Triage dieser riskanten Benutzer ermöglicht erweiterte Aufklärungsaktivitäten und laterale Bewegungen, wobei anomale Verhaltensmuster weiterhin nicht investierte Warnungen generieren. Bedrohungsakteure werden ermutigt, da Sicherheitsteams zeigen, dass sie nicht aktiv auf Risikoindikatoren reagieren.

Wartungsaktion

• Untersuchen von Benutzern mit hohem Risiko in Microsoft Entra ID Protection
• Beheben von Benutzern mit hohem Risiko und Aufheben der Blockierung von in Microsoft Entra ID Protection

Alle Anmeldungen mit hohem Risiko werden triagediert.

Riskante Anmeldungen, die von Microsoft Entra ID Protection gekennzeichnet sind, deuten auf eine hohe Wahrscheinlichkeit nicht autorisierter Zugriffsversuche hin. Bedrohungsakteure verwenden diese Anmeldungen, um eine erste Fußzeile zu erhalten. Wenn diese Anmeldungen nicht investiert werden, können Angreifer persistenz durch wiederholte Authentifizierung unter dem Vorwand legitimer Benutzer herstellen.

Ein Mangel an Reaktion ermöglicht Es Angreifern, aufklärungsfähig zu sein, ihren Zugriff zu eskalieren und in normale Muster einzublenden. Wenn untriagierte Anmeldungen weiterhin Warnungen generieren und es keine Interventionen gibt, verbreitern sich Sicherheitslücken, wodurch laterale Bewegungen und Verteidigungshinterziehung erleichtert werden, da Angreifer erkennen, dass keine aktive Sicherheitsantwort vorhanden ist.

Wartungsaktion

• Untersuchen riskanter Anmeldungen
• Beheben von Risiken und Aufheben der Blockierung von Benutzern

Alle riskanten Workloadidentitäten werden triagediert

Kompromittierte Workloadidentitäten (Dienstprinzipale und Anwendungen) ermöglichen Es Bedrohungsakteuren, dauerhaften Zugriff ohne Benutzerinteraktion oder mehrstufige Authentifizierung zu erhalten. Microsoft Entra ID Protection überwacht diese Identitäten auf verdächtige Aktivitäten wie durchleckte Anmeldeinformationen, anomale API-Datenverkehr und bösartige Anwendungen. Unaddressierte riskante Workloadidentitäten ermöglichen die Eskalation von Berechtigungen, laterale Bewegungen, Datenexfiltration und persistente Hintertüren, die herkömmliche Sicherheitskontrollen umgehen. Organisationen müssen diese Risiken systematisch untersuchen und beheben, um unbefugten Zugriff zu verhindern.

Wartungsaktion

• Untersuchen und Beheben riskanter Workload-Identitäten
• Anwendung von Richtlinien für bedingten Zugriff auf Workload-Identitäten

Für alle Benutzeranmeldungsaktivitäten werden starke Authentifizierungsmethoden verwendet.

Angreifer erhalten möglicherweise Zugriff, wenn die mehrstufige Authentifizierung (Multifactor Authentication, MFA) nicht universell erzwungen wird oder wenn Ausnahmen vorhanden sind. Angreifer erhalten möglicherweise Zugriff, indem sie Schwachstellen schwächerer MFA-Methoden wie SMS und Telefonanrufe über Social Engineering-Techniken ausnutzen. Diese Techniken können SIM-Swapping oder Phishing umfassen, um Authentifizierungscodes abzufangen.

Angreifer verwenden diese Konten möglicherweise als Einstiegspunkte in den Mandanten. Durch die Verwendung abgefangener Benutzersitzungen können Angreifer ihre Aktivitäten als legitime Benutzeraktionen verschleiern, die Erkennung umgehen und ihren Angriff fortsetzen, ohne verdachtsfrei zu werden. Von dort aus versuchen sie möglicherweise, MFA-Einstellungen zu bearbeiten, um Persistenz, Plan und weitere Angriffe basierend auf den Berechtigungen kompromittierter Konten einzurichten.

Wartungsaktion

• Bereitstellen der mehrstufigen Authentifizierung
• Erste Schritte mit einer phishingsicheren kennwortlosen Authentifizierungsbereitstellung
• Bereitstellen einer Richtlinie für bedingten Zugriff, um phishingsichere MFA für alle Benutzer zu erfordern
• Überprüfen der Aktivität der Authentifizierungsmethoden

Empfehlungen für Microsoft Entra mit hoher Priorität werden behandelt.

Wenn Microsoft Entra-Empfehlungen mit hoher Priorität nicht behoben werden, kann eine Lücke im Sicherheitsstatus einer Organisation entstehen und Bedrohungsakteuren Möglichkeiten bieten, bekannte Schwachstellen auszunutzen. Wenn sie nicht auf diese Elemente angewendet werden, kann dies zu einer erhöhten Angriffsfläche, zu suboptimalen Vorgängen oder zu einer schlechten Benutzererfahrung führen.

Wartungsaktion

• Alle Empfehlungen mit hoher Priorität im Microsoft Entra Admin Center

ID-Schutzbenachrichtigungen aktiviert

Wenn Sie id Protection-Benachrichtigungen nicht aktivieren, verliert Ihre Organisation kritische Echtzeitwarnungen, wenn Bedrohungsakteure Benutzerkonten kompromittieren oder Aufklärungsaktivitäten durchführen. Wenn Microsoft Entra ID Protection Konten erkennt, die gefährdet sind, sendet er E-Mail-Benachrichtigungen mit gefährdeten Benutzern , die als Betreff erkannt wurden, und links zu den für den Risikobericht gekennzeichneten Benutzern . Ohne diese Benachrichtigungen wissen Sicherheitsteams nicht über aktive Bedrohungen, sodass Bedrohungsakteure die Persistenz in kompromittierten Konten beibehalten können, ohne erkannt zu werden. Sie können diese Risiken in Tools wie bedingten Zugriff integrieren, um Zugriffsentscheidungen zu treffen oder sie an ein SIEM-Tool (Security Information and Event Management) zur Untersuchung und Korrelation zu senden. Bedrohungsakteure können diese Erkennungslücke verwenden, um Lateral Movement-Aktivitäten, Berechtigungseskalationsversuche oder Datenexfiltrationsvorgänge durchzuführen, während Administratoren der laufenden Kompromittierung nicht wissen. Mit der verzögerten Reaktion können Bedrohungsakteure mehr Persistenzmechanismen einrichten, Benutzerberechtigungen ändern oder auf vertrauliche Ressourcen zugreifen, bevor Sie das Problem beheben können. Ohne proaktive Benachrichtigung über Risikoerkennungen müssen Organisationen sich ausschließlich auf die manuelle Überwachung von Risikoberichten verlassen, wodurch die Zeit, die zum Erkennen und Reagieren auf identitätsbasierte Angriffe benötigt wird, erheblich erhöht wird.

Wartungsaktion

• Konfigurieren von risikobehafteten Benutzern erkannter Warnungen

Keine Authentifizierungsaktivität der Legacyauthentifizierung

Ältere Authentifizierungsprotokolle wie die Standardauthentifizierung für SMTP und IMAP unterstützen keine modernen Sicherheitsfeatures wie die mehrstufige Authentifizierung (MFA), was für den Schutz vor unbefugtem Zugriff von entscheidender Bedeutung ist. Dieser Mangel an Schutz macht Konten mit diesen Protokollen anfällig für kennwortbasierte Angriffe und bietet Angreifern eine Möglichkeit, ersten Zugriff mit gestohlenen oder erratenen Anmeldeinformationen zu erhalten.

Wenn ein Angreifer erfolgreich nicht autorisierten Zugriff auf Anmeldeinformationen erhält, kann er sie verwenden, um auf verknüpfte Dienste zuzugreifen, indem er die schwache Authentifizierungsmethode als Einstiegspunkt verwendet. Angreifer, die über die Legacyauthentifizierung Zugriff erhalten, können Änderungen an Microsoft Exchange vornehmen, z. B. das Konfigurieren von E-Mail-Weiterleitungsregeln oder das Ändern anderer Einstellungen, sodass sie weiterhin auf vertrauliche Kommunikation zugreifen können.

Die Legacyauthentifizierung bietet Angreifern auch eine konsistente Methode, um ein System mithilfe kompromittierter Anmeldeinformationen erneut einzugeben, ohne Sicherheitswarnungen auszulösen oder eine erneute Authentifizierung zu erfordern.

Von dort aus können Angreifer ältere Protokolle verwenden, um auf andere Systeme zuzugreifen, die über das kompromittierte Konto zugänglich sind, wodurch die laterale Bewegung erleichtert wird. Angreifer, die ältere Protokolle verwenden, können sich mit legitimen Benutzeraktivitäten verbinden, was es Sicherheitsteams erschwert, zwischen normalen Nutzungs- und böswilligen Verhaltensweisen zu unterscheiden.

Wartungsaktion

• Exchange-Protokolle können in Exchange deaktiviert werden.
• Legacyauthentifizierungsprotokolle können mit bedingtem Zugriff blockiert
• Anmeldungen mithilfe einer älteren Authentifizierungsarbeitsmappe, um festzustellen, ob die Legacyauthentifizierung

Alle Microsoft Entra-Empfehlungen werden behandelt.

Microsoft Entra-Empfehlungen bieten Organisationen Möglichkeiten, bewährte Methoden zu implementieren und ihren Sicherheitsstatus zu optimieren. Wenn sie nicht auf diese Elemente angewendet werden, kann dies zu einer erhöhten Angriffsfläche, zu suboptimalen Vorgängen oder zu einer schlechten Benutzererfahrung führen.

Wartungsaktion

• Alle aktiven oder verschobenen Empfehlungen im Microsoft Entra Admin Center