Untersuchung von Risiken

Microsoft Entra ID Protection bietet mehrere Risikoberichte , mit denen Identitätsrisiken in Ihrer Umgebung untersucht werden können. Die Untersuchung von Ereignissen ist entscheidend, um alle Schwachpunkte in Ihrer Sicherheitsstrategie besser zu verstehen und zu identifizieren. ID Protection-Berichte können zur weiteren Analyse für die Speicherung archiviert oder in SIEM-Tools (Security Information and Event Management) integriert werden. Organisationen können auch microsoft Defender-, Microsoft Sentinel- und Microsoft Graph-API-Integrationen nutzen, um Daten mit anderen Quellen zu aggregieren.

Es gibt viele Möglichkeiten, risiken in Ihrer Umgebung zu untersuchen, und noch mehr Details, die sie während ihrer Untersuchung berücksichtigen sollten. Dieser Artikel enthält ein Framework, das Ihnen bei den ersten Schritten hilft, und beschreibt einige der am häufigsten verwendeten Szenarien und empfohlenen Aktionen.

Voraussetzungen

• Microsoft Entra ID P2- oder Microsoft Entra Suite-Lizenz ist erforderlich, um vollzugriff auf Microsoft Entra ID Protection-Features zu erhalten.
• Der globale Reader ist die am wenigsten privilegierte Rolle, die zum Anzeigen der Risikoberichte erforderlich ist.
• Der Berichtsleser ist die am wenigsten privilegierte Rolle, die zum Anzeigen der Anmelde- und Überwachungsprotokolle erforderlich ist.

Anfängliche Triage

Beim Starten der anfänglichen Triage empfehlen wir die folgenden Aktionen:

1. Überprüfen Sie das ID Protection-Dashboard , um die Anzahl der Angriffe, die Anzahl der Benutzer mit hohem Risiko und andere wichtige Metriken basierend auf Erkennungen in Ihrer Umgebung zu visualisieren.

2. Überprüfen Sie die Risikoberichte , um die Details aller kürzlich riskanten Benutzer, Anmeldungen oder Erkennungen zu untersuchen.

3. Überprüfen Sie die Arbeitsmappe "Auswirkungsanalyse" , um die Szenarien zu verstehen, in denen Risiken in Ihrer Umgebung offensichtlich sind und welche risikobasierten Zugriffsrichtlinien aktiviert werden sollten, um Benutzer und Anmeldungen mit hohem Risiko zu verwalten.

4. Überprüfen Sie die Anmeldeprotokolle , um ähnliche Aktivitäten mit denselben Merkmalen zu identifizieren. Diese Aktivität könnte ein Hinweis auf weitere kompromittierte Konten sein.

   1. Wenn es gängige Merkmale wie IP-Adresse, geografische Lage, Erfolg/ Fehler usw. gibt, sollten Sie in Erwägung ziehen, sie mit einer Richtlinie für bedingten Zugang zu blockieren.
   2. Prüfen Sie, welche Ressourcen gefährdet sein könnten, einschließlich möglicher Datendownloads oder administrativer Änderungen.
   3. Aktivieren Sie Self-Remediation-Richtlinien über bedingten Zugriff.

5. Mit Dem Insider-Risikomanagement über Microsoft Purview können Sie überprüfen, ob der Benutzer andere riskante Aktivitäten ausgeführt hat, z. B. das Herunterladen einer großen Menge von Dateien von einem neuen Speicherort. Dieses Verhalten ist ein deutlicher Hinweis auf eine mögliche Kompromittierung.

Wenn Sie vermuten, dass sich ein Angreifender als Benutzender ausgeben kann, sollten Sie vom Benutzenden verlangen, dass er sein Passwort zurücksetzt und MFA durchführt, oder den Benutzenden sperren und alle Aktualisierungs- und Zugriffstoken widerrufen.

Framework für Untersuchungen und Risikobehebung

Organisationen können das folgende Framework verwenden, um verdächtige Aktivitäten zu untersuchen. Wenn das Risiko erkannt wird, ist der empfohlene erste Schritt selbstbehebung, wenn es sich um eine Option handelt. Self-Remediation kann über die Self-Service-Kennwortzurücksetzung oder durch den Wartungsfluss einer risikobasierten Richtlinie für bedingten Zugriff erfolgen.

Wenn eine Selbstbehebung nicht möglich ist, muss ein Administrator das Risiko beseitigen. Die Behebung erfolgt durch das Zurücksetzen des Kennworts, die erneute Registrierung für MFA, das Blockieren des Benutzers oder das Widerrufen von Benutzersitzungen. Das folgende Flussdiagramm zeigt den empfohlenen Ablauf, wenn ein Risiko erkannt wird:

Sobald das Risiko enthalten ist, kann eine weitere Untersuchung erforderlich sein, um das Risiko als sicher, kompromittiert oder abzulehnen zu markieren.

1. Überprüfen Sie die Anmeldeprotokolle, und überprüfen Sie, ob die Aktivität für den angegebenen Benutzer normal ist.

   1. Schauen Sie sich die vergangenen Aktivitäten des Benutzenden an, einschließlich der folgenden Eigenschaften, um zu sehen, ob sie für den jeweiligen Benutzenden normal sind.
      • Anwendung – Wird die App häufig vom Benutzer verwendet?
      • Gerät: Ist das Gerät registriert oder konform?
      • Standort: Ist der Benutzer zu einem anderen Standort unterwegs oder greift er von mehreren Standorten aus auf Geräte zu?
      • IP address (IP-Adresse)
      • Zeichenfolge des Benutzer-Agenten

2. Untersuchen Sie die Verwendung anderer Sicherheitstools, sofern verfügbar.

   • Wenn Sie Über Microsoft Sentinel verfügen, suchen Sie nach entsprechenden Warnungen, die auf ein größeres Problem hinweisen können.

   • Wenn Sie über Microsoft Defender XDR verfügen, können Sie ein Benutzerrisikoereignis über andere verwandte Warnungen, Vorfälle und die MITRE ATT&CK-Kette verfolgen.

     • Um aus dem Bericht "Riskante Benutzer" zu navigieren, wählen Sie einen Benutzer > aus, der die Auslassungspunkte (...) auswählt. > Wählen Sie "Mit Microsoft 365 Defender untersuchen" aus.

     Bereich "Riskante Benutzerdetails" mit hervorgehobenem Drei-Punkte-Menü und der Option "Untersuchen" in Microsoft Defender XDR.

3. Wenden Sie sich an den Benutzer, um zu bestätigen, ob er die Anmeldung erkennt; Bedenken Sie jedoch, dass E-Mails oder Teams kompromittiert werden können.

   1. Vergewissern Sie sich, dass Sie folgende Informationen haben:
      • Zeitstempel
      • Anwendung
      • Gerät
      • Standort
      • IP address (IP-Adresse)

4. Je nach den Ergebnissen der Untersuchung markieren Sie den Benutzenden oder die Anmeldung als gefährdet oder sicher oder weisen das Risiko zurück.

5. Legen Sie risikobasierte Richtlinien für den bedingten Zugriff fest, um ähnliche Angriffe zu verhindern oder Lücken in der Abdeckung zu schließen.

Spezifische Spezifische Erkennungen untersuchen untersuchen

Bestimmte Risikoerkennungen erfordern spezifische Untersuchungsschritte. In den folgenden Abschnitten werden einige der häufigsten Risikoerkennungen und empfohlenen Aktionen beschrieben.

Threat Intelligence von Microsoft Entra

Um eine Microsoft Entra Threat Intelligence-Risikoerkennung zu untersuchen, führen Sie die folgenden Schritte basierend auf den Informationen aus, die im Bereich "Zusätzliche Informationen" des Bereichs "Risikoerkennungsdetails" angegeben sind:

• Wenn die Anmeldung von einer verdächtigen IP-Adresse stammt:

  1. Vergewissern Sie sich, ob die IP-Adresse verdächtiges Verhalten in Ihrer Umgebung zeigt.
  2. Generiert die IP-Adresse eine hohe Anzahl von Fehlern bei einem Benutzer oder einer Gruppe von Benutzern in Ihrem Verzeichnis?
  3. Stammt der Datenverkehr der IP-Adresse aus einem unerwarteten Protokoll oder einer unerwarteten Anwendung, z. B. Exchange-Legacyprotokollen?
  4. Wenn die IP-Adresse einem Clouddienstanbieter entspricht, schließen Sie aus, dass keine legitimen Unternehmensanwendungen über dieselbe IP-Adresse ausgeführt werden.

• Konto wurde Opfer eines Passwort-Spray-Angriffs

  1. Überprüfen Sie, ob keine anderen Benutzer in Ihrem Verzeichnis Ziele desselben Angriffs sind.
  2. Ermitteln Sie, ob andere Benutzer Über Anmeldungen mit ähnlichen atypischen Mustern verfügen, die im erkannten Anmeldevorgang innerhalb des gleichen Zeitrahmens zu sehen sind. Passwort-Spray-Angriffe können ungewöhnliche Muster aufweisen in:
     • Benutzer-Agent-Zeichenfolge
     • Anwendung
     • Protokoll
     • Bereiche von IP-Adressen/ASNs
     • Uhrzeit und Häufigkeit von Anmeldungen

• Die Erkennung wurde durch eine Echtzeitregel ausgelöst.

  1. Überprüfen Sie, ob keine anderen Benutzer in Ihrem Verzeichnis Ziele desselben Angriffs sind. Diese Informationen können über die der Regel zugewiesene Nummer TI_RI_#### abgerufen werden.
  2. Echtzeitregeln schützen vor neuartigen Angriffen, die durch die Threat Intelligence von Microsoft identifiziert werden. Wenn mehrere Benutzer in Ihrem Verzeichnis Ziel desselben Angriffs waren, untersuchen Sie ungewöhnliche Muster in anderen Attributen der Anmeldung.

Atypische Reiseerkennungen

• Wenn Sie bestätigen, dass die Aktivität nicht von einem berechtigten Benutzer ausgeführt wurde:
  1. Kennzeichnen Sie die Anmeldung als kompromittiert, und initiieren Sie eine Kennwortzurücksetzung, wenn sie noch nicht durch Selbstbehebung ausgeführt wurde.
  2. Blockieren Sie den Benutzer, wenn Angreifer Zugriff auf das Zurücksetzen des Kennworts haben oder MFA ausführen und das Kennwort zurücksetzen können.
• Wenn ein Benutzer bekannt ist, dass er die IP-Adresse im Umfang seiner Aufgaben verwendet, bestätigen Sie die Anmeldung als sicher.
• Wenn Sie bestätigen, dass der Benutzer kürzlich zu dem in der Warnung aufgeführten Ziel reiste, bestätigen Sie die Anmeldung als sicher.
• Wenn Sie bestätigen, dass der IP-Adressbereich von einem sanktionierten VPN stammt, bestätigen Sie die Anmeldung als sicher, und fügen Sie den VPN-IP-Adressbereich zu benannten Speicherorten in Microsoft Entra ID und Microsoft Defender für Cloud-Apps hinzu.

Anomalieerkennungen bei Token und Tokenherausgebern

• Wenn Sie bestätigen, dass die Aktivität nicht von einem legitimen Benutzer durchgeführt wurde, indem Sie eine Kombination aus Risikowarnung, Standort, Anwendung, IP-Adresse, Benutzer-Agent oder anderen Merkmalen verwenden, die für den Benutzer unerwartet sind:

  1. Kennzeichnen Sie die Anmeldung als kompromittiert, und initiieren Sie eine Kennwortzurücksetzung, wenn sie noch nicht durch Selbstbehebung ausgeführt wurde.
  2. Sperren Sie den Benutzenden, wenn ein Angreifender Zugriff auf das Zurücksetzen des Passworts hat oder es ausführt.
  3. Richten Sie risikobasierte Richtlinien für bedingten Zugriff ein, um die Kennwortzurücksetzung zu verlangen, MFA durchzuführen oder den Zugriff für alle Hochrisikoanmeldungen zu blockieren.

• Wenn Sie den Standort, die Anwendung, die IP-Adresse, den Benutzer-Agent oder andere Merkmale für den Benutzer bestätigen und es keine Anzeichen für eine Kompromittierung gibt, lassen Sie den Benutzer mit einer risikobasierten Zugriffsrichtlinie für Bedingten Zugriff selbst Maßnahmen ergreifen oder lassen Sie einen Administrator bestätigen, dass die Anmeldung sicher ist.

Weitere Untersuchungen zu tokenbasierten Erkennungen finden Sie im Blogbeitrag Token-Taktiken: Wie man den Diebstahl von Cloud-Tokens verhindert, erkennt und darauf reagiert das Playbook zur Untersuchung von Token-Diebstahl.

Verdächtige Browsererkennungen

Diese Erkennung gibt an, dass der Benutzer den Browser oder die Aktivität im Browser nicht häufig verwendet, nicht mit dem normalen Verhalten des Benutzers übereinstimmt.

• Bestätigen Sie die Anmeldung als kompromittiert, und veranlassen Sie eine Passwortzurücksetzung, wenn diese noch nicht durch Selbstbehebung erfolgt ist. Sperren Sie den Benutzenden, wenn ein Angreifender Zugang zum Zurücksetzen des Passworts oder zur Durchführung von MFA hat.
• Richten Sie risikobasierte Richtlinien für bedingten Zugriff ein, um die Kennwortzurücksetzung zu verlangen, MFA durchzuführen oder den Zugriff für alle Hochrisikoanmeldungen zu blockieren.

Erkennung bösartiger IP-Adressen

• Wenn Sie bestätigen, dass die Aktivität nicht von einem legitimen Benutzer ausgeführt wurde:

  1. Bestätigen Sie die Anmeldung als kompromittiert, und veranlassen Sie eine Passwortzurücksetzung, wenn diese noch nicht durch Selbstbehebung erfolgt ist.
  2. Blockieren Sie den Benutzer/die Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen Sie alle Token.
  3. Richten Sie risikobasierte Richtlinien für Conditional Access ein, um die Kennwortzurücksetzung oder mehrstufige Authentifizierung (MFA) für alle Anmeldungen mit hohem Risiko anzufordern.

• Wenn Sie bestätigen, dass der Benutzer die IP-Adresse im Umfang seiner Aufgaben verwendet, bestätigen Sie die Anmeldung als sicher.

Erkennung von Kennwortsprühen

• Wenn Sie bestätigen, dass die Aktivität nicht von einem legitimen Benutzer ausgeführt wurde:

  1. Kennzeichnen Sie die Anmeldung als kompromittiert, und initiieren Sie eine Kennwortzurücksetzung, wenn sie noch nicht durch Selbstbehebung ausgeführt wurde.
  2. Blockieren Sie den Benutzer/die Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen Sie alle Token.

• Wenn Sie bestätigen, dass der Benutzer die IP-Adresse im Umfang seiner Aufgaben verwendet, bestätigen Sie die Anmeldung als sicher.

• Wenn Sie bestätigen, dass das Konto nicht kompromittiert ist und keine Brute Force- oder Kennwort-Spray-Indikatoren für das Konto angezeigt werden:

  1. Ermöglichen Sie dem Benutzer, sich selbst mit einer risikobasierten Richtlinie für bedingten Zugriff zu helfen, oder lassen Sie einen Administrator die Anmeldung als sicher bestätigen.
  2. Stellen Sie sicher, dass Microsoft Entra smart lockout entsprechend konfiguriert ist, um unnötige Kontosperrungen zu vermeiden.

Weitere Untersuchungen zur Erkennung von Kennwortspray-Risiken finden Sie in dem Artikel Kennwortspray-Untersuchung.

Erkennung von durchleckten Anmeldeinformationen

Wenn durch diese Erkennung eine geleakte Anmeldeinformation für einen Benutzer identifiziert wurde:

1. Bestätigen Sie den Benutzer als kompromittiert, und rufen Sie eine Kennwortzurücksetzung auf, wenn dies noch nicht durch die Selbstbehebung erfolgt ist.
2. Blockieren Sie den Benutzer/die Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen Sie alle Token.

Abmildern zukünftiger Risiken

• Fügen Sie unternehmenseigene VPNs und IP-Adressbereiche zu benannten Speicherorten in Ihren Richtlinien für bedingten Zugriff hinzu, um falsch positive Ergebnisse zu reduzieren.
• Erwägen Sie die Erstellung einer Datenbank für Personen, die sich bekanntermaßen von unterschiedlichen Orten aus anmelden, um die entsprechende Berichterstellung in der Organisation zu aktualisieren, und verwenden Sie die Datenbank zum Abgleich mit Reiseaktivitäten.
• Geben Sie Feedback in ID Protection , um die Erkennungsgenauigkeit zu verbessern und falsch positive Ergebnisse zu reduzieren.

Nächste Schritte

• Behandeln von Risiken und Aufheben der Blockierung von Benutzern
• Verfügbare Richtlinien zum Mindern von Risiken
• Aktivieren von Anmelde- und Benutzerrisikorichtlinien