Untersuchen von Angriffen mit Microsoft Defender for Identity

  • 20 Minuten

Sie haben gelernt, dass Sie Microsoft Defender for Identity verwenden können, um verschiedene Arten von Angriffen auf die Identitäten Ihrer Organisation zu erkennen. Als Sicherheitsanalyst für Ihre Organisation müssen Sie sie aber auch verstehen können, damit Sie sie behandeln und verhindern können, dass sie in Zukunft erneut auftreten. Hier erfahren Sie, wie Sie Untersuchungen als Reaktion auf Angriffe durchführen.

Schädliche Aktivitäten untersuchen

Ein Angriff kann innerhalb Ihrer Unternehmensdomäne oder von außen erfolgen. In der Regel versucht ein Angreifer, einen einzelnen Computer oder ein Benutzerkonto von außen zu kompromittieren und dann als Startfeld für eine Beeinträchtigung des restlichen Systems zu verwenden. Wenn Sie beobachten, dass Warnungen aufgrund ungewöhnlicher Aktivitäten ausgelöst werden, sollten Sie die Quellen dieser Warnungen in Ihrem Netzwerk untersuchen. Microsoft Defender for Identity erfasst Informationen, mit denen Sie die verschiedenen Benutzerkonten, Computer und anderen Entitäten untersuchen können, die beteiligt sein können.

Untersuchen von Benutzern

Wenn für einen bestimmten Benutzer Aktivitäten erkannt werden, können Sie die von Microsoft Defender for Identity generierten Protokolle verwenden, um die folgenden Fragen zu beantworten:

  • Wer ist dieser Benutzer? Sollte dieses Benutzerkonto tatsächlich vorhanden sein oder wurde es heimlich erstellt? Verfügt dieser Benutzer über Administratorrechte? Haben sie die Kontrolle über vertrauliche Informationen im System? Befinden sie sich auf einer Überwachungsliste. Haben Sie zuvor ungewöhnliche Aktivitäten von diesem Konto beobachtet?
  • Hat dieser Benutzer andere Benachrichtigungen in Microsoft Defender for Identity oder in anderen Tools wie z. B. Microsoft Defender für Endpunkt oder Microsoft Defender for Cloud Apps ausgelöst?
  • Verfügt dieser Benutzer über eine Aufzeichnung fehlgeschlagener Anmeldeversuche?
  • Auf welche Ressourcen dieser Benutzer normalerweise zugreift und welches Konto nun ein Muster ungewöhnlicher Anforderungen aufweist. Versucht der Benutzer jetzt, auf vertrauliche Daten zuzugreifen?
  • Auf welchen Computern ist dieser Benutzer angemeldet und stellt normalerweise eine Verbindung mit diesen Computern her?
  • Gibt es einen Lateral Movement-Pfad zwischen diesem Benutzer und einem Konto, das Zugriff auf vertrauliche Daten hat? Ein relativ ungeschütztes Konto auf einem Computer ist möglicherweise Teil einer Gruppe, die Zugriff auf wichtigere Daten auf einem anderen Computer hat. Ein Lateral Movement-Pfad ermöglicht es einem Angreifer, die Anmeldeinformationen für das schwach geschützte Konto auszunutzen, das an anderer Stelle in der Domäne verwendet werden soll.

Ein Screenshot, der die Benutzeraktivität für eine Untersuchung in Microsoft Defender for Identity zeigt.

Untersuchen von Computern

Sie können Microsoft Defender for Identity verwenden, um die Aktivität auch nach Computer nachzuverfolgen. Anhand dieser Informationen können Sie die folgenden Fragen stellen, wenn Warnungen ausgelöst werden:

  • Welcher Benutzer wurde am Computer angemeldet? Verwendet dieser Benutzer diesen Computer normalerweise? Auf welche Ressourcen auf dem Computer hat der Benutzer versucht zuzugreifen?
  • Gab es viele kürzlich fehlgeschlagene Anmeldeversuche bei diesem Computer?
  • Hat dieser Computer andere Warnungen in Microsoft Defender for Identity oder anderen Lösungen wie Microsoft Defender für Endpunkt ausgelöst?
  • Wurden neue Programme auf diesem Computer installiert?
  • Wurden Dateien auf diesen oder von diesem Computer hochgeladen?

Screenshot der Computeraktivität für eine Untersuchung in Microsoft Defender for Identity.

Untersuchen von Lateral Movement-Pfaden

Lateral Movement-Pfade ergeben sich aus Konten, die als gefährdet eingestuft werden. Sobald ein gefährdetes Konto kompromittiert wurde, können andere Konten im Lateral Movement-Pfad zu Zielen werden. Microsoft Defender for Identity kann Berichte generieren, die mögliche Lateral Movement-Pfade für ein Konto angeben.

Ein Screenshot, der zeigt, wie Lateral Movement-Pfade in Microsoft Defender for Identity heruntergeladen werden.

Um die Möglichkeiten von Lateral Movement-Pfaden zu minimieren, können Sie die folgenden bewährten Methoden berücksichtigen:

  • Stellen Sie sicher, dass Benutzer nur bei Verwendung von gehärteten Computern Administratoranmeldeinformationen angeben. Wenn ein Benutzer keine Administratoraufgaben ausführen muss, sollte er sich mit einem normalen, nicht administrativen Konto anmelden.
  • Erteilen Sie Benutzern und Gruppen nur die erforderlichen Rechte.
  • Gewähren Sie nur Zugriff auf die Ressourcen, die von Benutzern und Gruppen benötigt werden.

Untersuchen von Entitäten

Eine Entität ist ein Benutzer, Computer oder Gerät innerhalb einer Domäne. Mit Microsoft Defender for Identity erhalten Sie eine Detailseite für jede Entität in einer Domäne. Er enthält ausführliche Informationen, einschließlich der Ressourcen, auf die die Entität Zugriff hat, und ihres Verlaufs. Auf der Profilseite wird die Microsoft Defender for Identity logische Aktivitätsübersetzung verwendet, die eine Gruppe von Aktivitäten anzeigen (aggregiert bis zu einer Minute) und sie in einer einzelnen logischen Aktivität gruppieren kann, um Ihnen ein besseres Verständnis der tatsächlichen Aktivitäten Ihrer Benutzer zu vermitteln.

Untersuchung und Reaktion auf Angriffe erkunden

Untersuchen von und Reagieren auf Angriffe mit Microsoft Defender for Identity.

Klicken Sie auf die Vollbildmodus-Option im Video Player. Wenn Sie fertig sind, verwenden Sie den Zurück-Pfeil in Ihrem Browser, um zu dieser Seite zurückzukehren.