Freigeben über


Microsoft Entra-SecOps für Privileged Identity Management

Die Sicherheit der Geschäftsressourcen hängt von der Integrität der privilegierten Konten ab, mit denen Ihre IT-Systeme verwaltet werden. Cyberangreifer haben es beim Diebstahl von Anmeldeinformationen besonders auf Administratorkonten und andere privilegierte Zugriffskonten abgesehen, um Zugriff auf vertrauliche Daten zu erhalten.

Bei Clouddiensten sind Cloud-Dienstanbieter und Kunde gemeinsam verantwortlich für Prävention und Reaktion.

Klassischerweise haben sich Unternehmen bezüglich der Sicherheit auf die Ein- und Ausstiegspunkte eines Netzwerks als Sicherheitsperimeter konzentriert. Mit SaaS-Apps und persönlichen Geräten hat dieser Ansatz jedoch an Wirksamkeit verloren. In Microsoft Entra ID wird der Netzwerksicherheitsperimeter durch eine Authentifizierung in der Identitätsschicht Ihrer Organisation ersetzt. Da Benutzern privilegierte Administratorrollen erteilt werden, muss ihr Zugriff in lokalen, cloudbasierten und hybriden Umgebungen geschützt werden.

Sie sind für alle Sicherheitsebenen Ihrer lokalen IT-Umgebung verantwortlich. Wenn Sie Azure-Dienste verwenden, liegen die Vorbeugung und Reaktion in der gemeinsamen Verantwortung von Microsoft als Clouddienstanbieter und Ihnen als Kunde.

Privileged Identity Management (PIM) ist Microsoft Entra-Dienst, mit dem Sie den Zugriff auf wichtige Ressourcen innerhalb Ihrer Organisation verwalten, steuern und überwachen können. Diese Ressourcen umfassen Ressourcen in  Microsoft Entra ID, Azure und anderen Microsoft-Onlinediensten wie Microsoft 365 oder Microsoft Intune. Mit PIM können Sie die folgenden Risiken minimieren:

  • Identifizieren und Minimieren der Anzahl der Personen, die Zugriff auf sichere Informationen oder Ressourcen haben

  • Erkennen übermäßiger, unnötiger oder missbräuchlich genutzter Zugriffsberechtigungen auf vertrauliche Ressourcen

  • Verringern der Wahrscheinlichkeit, dass böswillige Akteure Zugriff auf gesicherte Informationen oder Ressourcen haben

  • Verringern der Wahrscheinlichkeit, dass ein nicht autorisierter Benutzer versehentlich vertrauliche Ressourcen beeinträchtigen kann

In diesem Artikel finden Sie Anleitungen zum Festlegen von Baselines, zum Überprüfen von Anmeldungen und zur Verwendung von privilegierten Konten. Verwenden Sie die Überwachungsprotokollquelle, um die Integrität von privilegierten Konten sicherzustellen.

Zu untersuchende Protokolle

Zur Untersuchung und Überwachung verwenden Sie die folgenden Protokolldateien:

Zeigen Sie im Azure-Portal die Azure AD-Überwachungsprotokolle an und als CSV- oder JSON-Dateien (Comma-Separated Value bzw. JavaScript Object Notation) herunterladen. Das Azure-Portal bietet mehrere Möglichkeiten zur Integration von Microsoft Entra-Protokollen in andere Tools, die eine Automatisierung von Überwachung und Benachrichtigungen ermöglichen:

  • Microsoft Sentinel : Ermöglicht intelligente Sicherheitsanalysen auf Unternehmensebene, indem SIEM-Funktionen (Security Information and Event Management) zur Verfügung gestellt werden.

  • Sigma-Regeln: Sigma ist ein sich in Entwicklung befindender offener Standard zum Schreiben von Regeln und Vorlagen, die automatisierte Verwaltungstools zum Parsen von Protokolldateien verwenden können. Wenn Sigma-Vorlagen für unsere empfohlenen Suchkriterien vorhanden sind, verweist ein Link zum Sigma-Repository. Sigma-Vorlagen werden von Microsoft weder geschrieben, noch getestet und verwaltet. Das Repository und die Vorlagen werden von der weltweiten IT-Sicherheitscommunity erstellt und gesammelt.

  • Azure Monitor : ermöglicht die automatisierte Überwachung verschiedener Bedingungen und entsprechende Warnungen. Mit dem Tool können Arbeitsmappen erstellt werden, die sich zum Kombinieren von Daten aus verschiedenen Quellen eignen.

  • Azure Event Hubs mit Integration mit einem SIEM-System- Microsoft Entra-Protokolle können in andere SIEM-Systeme wie Splunk, ArcSight, QRadar und Sumo Logic über die Azure Event Hub-Integration integriert werden.

  • Microsoft Defender for Cloud Apps: Ermöglicht die Erkennung und Verwaltung von Apps, die Steuerung von Apps und Ressourcen sowie die Überprüfung der Kompatibilität von Cloud-Apps.

  • Sichern von Workload Identities mit Microsoft Entra ID Protection: Wird verwendet, um Risiken für Workload Identities über das Anmeldeverhalten und Offline-Kompromittierungsindikatoren zu erkennen.

Im weiteren Teil dieses Artikels erhalten Sie Empfehlungen zum Festlegen einer Baseline zur Überwachung und Benachrichtigung mithilfe eines Ebenenmodells. Links zu vordefinierten Lösungen werden im Anschluss an die Tabelle angezeigt. Sie können Warnungen mithilfe der oben genannten Tools erstellen. Der Inhalt ist in die folgenden Bereiche unterteilt:

  • Basislinien

  • Rollenzuweisung bei Microsoft Entra

  • Einstellungen für die Rollenzuweisung bei Microsoft Entra

  • Rollenzuweisung zu Azure-Ressourcen

  • Zugriffsverwaltung für Azure-Ressourcen

  • Erhöhte Zugriffsrechte zum Verwalten von Azure-Abonnements

Basislinien

Im Folgenden sind empfohlene Baselineeinstellungen angegeben:

Zu überwachende Elemente Risikostufe Empfehlung Rollen Hinweise
Rollenzuweisung bei Microsoft Entra Hoch Begründung für die Aktivierung erfordern Genehmigung für die Aktivierung erfordern Zweistufigen Genehmigungsprozess festlegen Bei Aktivierung die Multi-Faktor-Authentifizierung von Microsoft Entra anfordern. Maximale Dauer für die Rechteerweiterung auf 8 Stunden festlegen Sicherheitsadministrator, Administrator für privilegierter Rolle, Globaler Administrator Ein Administrator für privilegierte Rollen kann PIM in seiner Microsoft Entra-Organisation anpassen und hierbei auch die Art ändern, in der Benutzer eine berechtigte Rollenzuweisung aktivieren.
Konfiguration von Azure-Ressourcenrollen Hoch Begründung für die Aktivierung erfordern Genehmigung für die Aktivierung erfordern Zweistufigen Genehmigungsprozess festlegen Bei Aktivierung die Multi-Faktor-Authentifizierung von Microsoft Entra anfordern. Maximale Dauer für die Rechteerweiterung auf 8 Stunden festlegen Besitzer, Benutzerzugriffsadministrator Wenn es sich um keine geplante Änderung handelt, sollten Sie sie sofort untersuchen. Diese Einstellung könnte einem Angreifer Zugriff auf Azure-Abonnements in Ihrer Umgebung ermöglichen.

Privileged Identity Management-Warnungen

Privileged Identity Management (PIM) generiert bei verdächtigen oder nicht sicheren Aktivitäten in Ihrer Microsoft Entra-Organisation Warnungen. Wenn eine Warnung generiert wird, wird sie auf dem Privileged Identity Management-Dashboard angezeigt. Sie können auch eine E-Mail-Benachrichtigung konfigurieren oder die Benachrichtigung über die Graph-API an Ihr SIEM senden. Da sich diese Warnungen speziell auf administrative Rollen konzentrieren, sollten Sie alle Warnungen genau überwachen.

Zu überwachende Elemente Risikostufe Hierbei gilt: Optionen für Filter/Unterfilter Hinweise
Rollen werden außerhalb von Privileged Identity Management zugewiesen Hoch Privileged Identity Management, Warnungen Rollen werden außerhalb von Privileged Identity Management zugewiesen Konfigurieren von Sicherheitswarnungen
Sigma-Regeln
Potenzielle veraltete Konten mit einer privilegierten Rolle Medium Privileged Identity Management, Warnungen Potenzielle veraltete Konten mit einer privilegierten Rolle Konfigurieren von Sicherheitswarnungen
Sigma-Regeln
Administratoren verwenden ihre privilegierten Rollen nicht Niedrig Privileged Identity Management, Warnungen Administratoren verwenden ihre privilegierten Rollen nicht Konfigurieren von Sicherheitswarnungen
Sigma-Regeln
Rollen erfordern für die Aktivierung keine Multi-Faktor-Authentifizierung Niedrig Privileged Identity Management, Warnungen Rollen erfordern für die Aktivierung keine Multi-Faktor-Authentifizierung Konfigurieren von Sicherheitswarnungen
Sigma-Regeln
Die Organisation hat weder Microsoft Entra ID P2 noch Microsoft Entra ID Governance Niedrig Privileged Identity Management, Warnungen Die Organisation hat weder Microsoft Entra ID P2 noch Microsoft Entra ID Governance Konfigurieren von Sicherheitswarnungen
Sigma-Regeln
Es gibt zu viele globale Administratoren Niedrig Privileged Identity Management, Warnungen Es gibt zu viele globale Administratoren Konfigurieren von Sicherheitswarnungen
Sigma-Regeln
Rollen werden zu häufig aktiviert Niedrig Privileged Identity Management, Warnungen Rollen werden zu häufig aktiviert Konfigurieren von Sicherheitswarnungen
Sigma-Regeln

Rollenzuweisung bei Microsoft Entra

Ein Administrator für privilegierte Rollen kann PIM in seiner Microsoft Entra-Organisation anpassen und hierbei auch die Art ändern, in der Benutzer eine berechtigte Rollenzuweisung aktivieren:

  • Verhindern, dass ein böswilliger Akteur die Anforderungen für die Multi-Faktor-Authentifizierung von Microsoft Entra entfernt, um sich privilegierten Zugriff zu verschaffen.

  • Verhindern, dass ein böswilliger Akteur bei der Aktivierung des privilegierten Zugriffs die Begründung und Genehmigung umgeht

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Warnung zu „Add changes to privileged account permissions“ (Änderungen an Berechtigungen für privilegierter Konten hinzufügen) Hoch Microsoft Entra-Überwachungsprotokolle Kategorie = Role Management (Rollenverwaltung)
-und-
Aktivitätstyp – Add eligible member (permanent) (Berechtigtes Mitglied hinzufügen (dauerhaft))
-und-
Aktivitätstyp – Add eligible member (eligible) (Berechtigtes Mitglied hinzufügen (berechtigt))
-und-
Status = Erfolg/Fehler
- und -
Geänderte Eigenschaften = Role.DisplayName
Überwachen Sie Änderungen an den Rollen „Administrator für privilegierte Rollen“ und „Globaler Administrator“, und richten Sie Warnungen für jegliche Änderungen ein. Dies kann ein Hinweis darauf sein, dass ein Angreifer versucht, Berechtigungen zum Ändern von Rollenzuweisungseinstellungen zu erlangen. Wenn Sie keinen Schwellenwert definieren, sollten Sie für Benutzer bei 4 Änderungen innerhalb von 60 Minuten und für privilegierte Konten bei 2 Änderungen innerhalb von 60 Minuten warnen.

Sigma-Regeln
Warnung bei Änderungen der Massenlöschung von Berechtigungen privilegierter Konten Hoch Microsoft Entra-Überwachungsprotokolle Kategorie = Role Management (Rollenverwaltung)
-und-
Aktivitätstyp – Remove eligible member (permanent) (Berechtigtes Mitglied entfernen (dauerhaft))
-und-
Aktivitätstyp – Remove eligible member (eligible) (Berechtigtes Mitglied entfernen (berechtigt))
-und-
Status = Erfolg/Fehler
- und -
Geänderte Eigenschaften = Role.DisplayName
Wenn es sich um keine geplante Änderung handelt, sollten Sie sie sofort untersuchen. Diese Einstellung könnte einem Angreifer Zugriff auf Azure-Abonnements in Ihrer Umgebung ermöglichen.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Änderungen an PIM-Einstellungen Hoch Microsoft Entra Überwachungsprotokoll Dienst = PIM
- und -
Kategorie = Role Management (Rollenverwaltung)
- und -
Aktivitätstyp = Rolleneinstellung in PIM aktualisieren
- und -
Statusursache = MFA on activation disabled (MFA bei Aktivierung deaktiviert) (Beispiel)
Überwachen Sie Änderungen an den Rollen „Administrator für privilegierte Rollen“ und „Globaler Administrator“, und richten Sie Warnungen für jegliche Änderungen ein. Dies kann ein Hinweis darauf sein, dass ein Angreifer Zugriff erhalten hat und die Einstellungen für Rollenzuweisungen ändern kann. Eine dieser Aktionen könnte die Sicherheit der PIM-Rechteerweiterungen verringern und Angreifern den Erwerb eines privilegierten Kontos erleichtern.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Rechteerweiterungen genehmigen und verweigern Hoch Microsoft Entra Überwachungsprotokoll Dienst = Zugriffsüberprüfung
- und -
Kategorie = Benutzerverwaltung
- und -
Aktivitätstyp = Anforderung genehmigt/abgelehnt
- und -
Initiated actor (Initiierender Akteur) = UPN
Alle Rechteerweiterungen sollten überwacht werden. Protokollieren Sie alle Rechteerweiterungen, um eine eindeutige Zeitachse für einen Angriff zu erhalten.
Microsoft Sentinel-Vorlage

Sigma-Regeln
Deaktivierung von Warnungseinstellungen Hoch Microsoft Entra-Überwachungsprotokolle Dienst = PIM
- und -
Kategorie = Role Management (Rollenverwaltung)
- und -
Aktivitätstyp = Disable PIM Alert (PIM-Warnung deaktivieren)
- und -
Status = Erfolg/Fehler
Lassen Sie immer warnen. Hilft bei der Erkennung böswilliger Akteure, die Warnungen zu den Anforderungen bzgl. Multi-Faktor-Authentifizierung von Microsoft Entra entfernen, um sich privilegierten Zugriff zu verschaffen. Hilft bei der Erkennung verdächtiger oder unsicherer Aktivitäten
Microsoft Sentinel-Vorlage

Sigma-Regeln

Weitere Informationen zum Identifizieren von Änderungen an Rolleneinstellungen im Microsoft Entra-Überwachungsprotokoll finden Sie unter Anzeigen des Überwachungsverlaufs für Microsoft Entra-Rollen in Privileged Identity Management.

Rollenzuweisung zu Azure-Ressourcen

Die Überwachung von Azure-Ressourcenrollenzuweisungen ermöglicht den Einblick in Aktivitäten und Aktivierungen für Ressourcenrollen. Diese Zuweisungen könnten missbräuchlich verwendet werden, um eine Angriffsfläche auf eine Ressource zu schaffen. Achten Sie bei der Überwachung solcher Aktivitäten auf Folgendes:

  • Abfragen von Rollenzuweisungen für bestimmte Ressourcen

  • Rollenzuweisungen für alle untergeordneten Ressourcen

  • Alle Änderungen an aktiven und berechtigten Rollenzuweisungen

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Überwachungswarnungen, Ressourcenüberwachungsprotokoll auf Aktivitäten für privilegierte Konten überprüfen Hoch In PIM, unter „Azure-Ressourcen“, „Ressourcenüberwachung“ Aktion: Hinzufügen von berechtigtem Mitglied zu Rolle in PIM abgeschlossen (zeitgebunden)
-und-
Primäres Ziel
-und-
Type User (Typbenutzer)
- und -
Status = Erfolgreich
Lassen Sie immer warnen. Hilft bei der Erkennung eines böswilligen Akteurs, der berechtigte Rollen hinzufügt, um alle Ressourcen in Azure zu verwalten
Überwachungswarnungen, Ressourcenüberwachung für die Deaktivierung von Warnungen Medium In PIM, unter „Azure-Ressourcen“, „Ressourcenüberwachung“ Aktion: Warnung deaktivieren
- und -
Primäres Ziel: Zu viele Besitzer zu Ressource zugewiesen
- und -
Status = Erfolgreich
Hilft bei der Erkennung eines böswilligen Akteurs, der Warnungen im Warnungsbereich deaktiviert, womit die Untersuchung böswilliger Aktivitäten umgangen werden kann
Überwachungswarnungen, Ressourcenüberwachung für die Deaktivierung von Warnungen Medium In PIM, unter „Azure-Ressourcen“, „Ressourcenüberwachung“ Aktion: Warnung deaktivieren
- und -
Primäres Ziel: Zu viele dauerhafte Besitzer zu Ressource zugewiesen
- und -
Status = Erfolgreich
Hindern Sie böswillige Akteure daran, Warnungen im Warnungsbereich zu deaktivieren, womit die Untersuchung böswilliger Aktivitäten umgangen werden kann.
Überwachungswarnungen, Ressourcenüberwachung für die Deaktivierung von Warnungen Medium In PIM, unter „Azure-Ressourcen“, „Ressourcenüberwachung“ Aktion: Warnung deaktivieren
- und -
Primäres Ziel: Doppelte Rolle erstellt
- und -
Status = Erfolgreich
Hindern Sie böswillige Akteure daran, Warnungen im Warnungsbereich zu deaktivieren, womit die Untersuchung böswilliger Aktivitäten umgangen werden kann.

Weitere Informationen zum Konfigurieren von Warnungen und Überwachen von Azure-Ressourcenrollen finden Sie unter:

Zugriffsverwaltung für Azure-Ressourcen und -Abonnements

Benutzer oder Gruppenmitglieder, die der Abonnementsrolle „Besitzer“ oder „Benutzerzugriffsadministrator“ zugewiesen sind, sowie globale Microsoft Entra-Administratoren, die die Abonnementverwaltung in Microsoft Entra ermöglichen, haben standardmäßig Ressourcenadministratorberechtigungen. Die Administratoren können Rollen zuweisen, Rolleneinstellungen konfigurieren und mit Privileged Identity Management (PIM) den Zugriff auf Azure-Ressourcen überprüfen.

Ein Benutzer mit Ressourcenadministratorberechtigungen kann PIM für Ressourcen verwalten. Das damit einhergehende Risiko, das Sie überwachen und minimieren müssen, besteht darin, dass die Funktion böswilligen Akteuren privilegierten Zugriff auf Azure-Abonnementressourcen wie virtuelle Computer (VMs) oder Speicherkonten ermöglichen kann.

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Höhenangaben Hoch Microsoft Entra ID, unter Verwalten, Eigenschaften Überprüfen Sie die Einstellung in regelmäßigen Abständen.
Zugriffsverwaltung für Azure-Ressourcen
Globale Administratoren können Rechte erhöhen, indem sie die Zugriffsverwaltung für Azure-Ressourcen aktivieren.
Vergewissern Sie sich, dass keine böswilligen Akteure über Berechtigungen für das Zuweisen von Rollen in allen Azure-Abonnements und -Verwaltungsgruppen verfügen, die mit Active Directory verknüpft sind.

Weitere Informationen finden Sie unter Zuweisen von Azure-Ressourcenrollen in Privileged Identity Management.

Nächste Schritte

Übersicht zu Microsoft Entra-SecOps

Sicherheitsvorgänge für Benutzerkonten

Sicherheitsvorgänge für Consumerkonten

Sicherheitsvorgänge für privilegierte Konten

Sicherheitsvorgänge für Anwendungen

Sicherheitsvorgänge für Geräte

Sicherheitsvorgänge für die Infrastruktur