Microsoft Entra-SecOps für Privileged Identity Management

Die Sicherheit der Geschäftsressourcen hängt von der Integrität der privilegierten Konten ab, mit denen Ihre IT-Systeme verwaltet werden. Cyberangreifer haben es beim Diebstahl von Anmeldeinformationen besonders auf Administratorkonten und andere privilegierte Zugriffskonten abgesehen, um Zugriff auf vertrauliche Daten zu erhalten.

Bei Clouddiensten sind Cloud-Dienstanbieter und Kunde gemeinsam verantwortlich für Prävention und Reaktion.

Klassischerweise haben sich Unternehmen bezüglich der Sicherheit auf die Ein- und Ausstiegspunkte eines Netzwerks als Sicherheitsperimeter konzentriert. Mit SaaS-Apps und persönlichen Geräten hat dieser Ansatz jedoch an Wirksamkeit verloren. In Microsoft Entra ID wird der Netzwerksicherheitsperimeter durch eine Authentifizierung in der Identitätsschicht Ihrer Organisation ersetzt. Da Benutzern privilegierte Administratorrollen erteilt werden, muss ihr Zugriff in lokalen, cloudbasierten und hybriden Umgebungen geschützt werden.

Sie sind für alle Sicherheitsebenen Ihrer lokalen IT-Umgebung verantwortlich. Wenn Sie Azure-Dienste verwenden, liegen die Vorbeugung und Reaktion in der gemeinsamen Verantwortung von Microsoft als Clouddienstanbieter und Ihnen als Kunde.

• Weitere Informationen zum Modell der gemeinsamen Verantwortung finden Sie unter Gemeinsame Verantwortung in der Cloud.

• Weitere Informationen zum Schützen des Zugriffs für privilegierte Benutzer finden Sie unter Schützen des privilegierten Zugriffs für hybride und Cloudbereitstellungen in Microsoft Entra ID.

• Eine Vielzahl von Videos, Schrittanleitungen und Ressourcen zu wichtigen Konzepten zu privilegierten Identitäten finden Sie in der Dokumentation für Privileged Identity Management.

Privileged Identity Management (PIM) ist Microsoft Entra-Dienst, mit dem Sie den Zugriff auf wichtige Ressourcen innerhalb Ihrer Organisation verwalten, steuern und überwachen können. Diese Ressourcen umfassen Ressourcen in Microsoft Entra ID, Azure und anderen Microsoft-Onlinediensten wie Microsoft 365 oder Microsoft Intune. Mit PIM können Sie die folgenden Risiken minimieren:

• Identifizieren und Minimieren der Anzahl der Personen, die Zugriff auf sichere Informationen oder Ressourcen haben.

• Erkennen übermäßiger, unnötiger oder missbräuchlich genutzter Zugriffsberechtigungen auf vertrauliche Ressourcen.

• Verringern der Wahrscheinlichkeit, dass böswillige Akteure Zugriff auf gesicherte Informationen oder Ressourcen haben.

• Verringern der Wahrscheinlichkeit, dass ein nicht autorisierter Benutzer versehentlich vertrauliche Ressourcen beeinträchtigen kann.

In diesem Artikel finden Sie Anleitungen zum Festlegen von Baselines, zum Überprüfen von Anmeldungen und zur Verwendung von privilegierten Konten. Verwenden Sie die Überwachungsprotokollquelle, um die Integrität von privilegierten Konten sicherzustellen.

Zu untersuchende Protokolle

Zur Untersuchung und Überwachung verwenden Sie die folgenden Protokolldateien:

• Microsoft Entra-Überwachungsprotokolle

• Anmeldeprotokolle

• Microsoft 365-Überwachungsprotokolle

• Azure Key Vault-Protokolle

Zeigen Sie im Azure-Portal die Azure AD-Überwachungsprotokolle an und als CSV- oder JSON-Dateien (Comma-Separated Value bzw. JavaScript Object Notation) herunterladen. Das Azure-Portal bietet mehrere Möglichkeiten zur Integration von Microsoft Entra-Protokollen in andere Tools, die eine Automatisierung von Überwachung und Benachrichtigungen ermöglichen:

• Microsoft Sentinel: Ermöglicht intelligente Sicherheitsanalysen auf Unternehmensebene, indem SIEM-Funktionen (Security Information and Event Management) zur Verfügung gestellt werden.

• Sigma-Regeln: Sigma ist ein sich in Entwicklung befindender offener Standard zum Schreiben von Regeln und Vorlagen, die automatisierte Verwaltungstools zum Parsen von Protokolldateien verwenden können. Wenn Sigma-Vorlagen für unsere empfohlenen Suchkriterien vorhanden sind, verweist ein Link zum Sigma-Repository. Sigma-Vorlagen werden von Microsoft weder geschrieben, noch getestet und verwaltet. Das Repository und die Vorlagen werden von der weltweiten IT-Sicherheitscommunity erstellt und gesammelt.

• Azure Monitor: ermöglicht die automatisierte Überwachung verschiedener Bedingungen und entsprechende Warnungen. Mit dem Tool können Arbeitsmappen erstellt werden, die sich zum Kombinieren von Daten aus verschiedenen Quellen eignen.

• Azure Event Hubs mit Integration mit einem SIEM-System- Microsoft Entra-Protokolle können in andere SIEM-Systeme wie Splunk, ArcSight, QRadar und Sumo Logic über die Azure Event Hub-Integration integriert werden.

• Microsoft Defender for Cloud Apps: Ermöglicht die Erkennung und Verwaltung von Apps, die Steuerung von Apps und Ressourcen sowie die Überprüfung der Kompatibilität von Cloud-Apps.

• Sichern von Workload Identities mit Microsoft Entra ID Protection: Wird verwendet, um Risiken für Workload Identities über das Anmeldeverhalten und Offline-Kompromittierungsindikatoren zu erkennen.

Im weiteren Teil dieses Artikels erhalten Sie Empfehlungen zum Festlegen einer Baseline zur Überwachung und Benachrichtigung mithilfe eines Ebenenmodells. Links zu vordefinierten Lösungen werden im Anschluss an die Tabelle angezeigt. Sie können Warnungen mithilfe der oben genannten Tools erstellen. Der Inhalt ist in die folgenden Bereiche unterteilt:

• Basislinien

• Rollenzuweisung bei Microsoft Entra

• Einstellungen für die Rollenzuweisung bei Microsoft Entra

• Rollenzuweisung zu Azure-Ressourcen

• Zugriffsverwaltung für Azure-Ressourcen

• Erhöhte Zugriffsrechte zum Verwalten von Azure-Abonnements

Basislinien

Im Folgenden sind empfohlene Baselineeinstellungen angegeben:

Zu überwachende Elemente	Risikostufe	Empfehlung	Rollen	Hinweise
Rollenzuweisung bei Microsoft Entra	Hoch	Begründung für die Aktivierung erfordern. Genehmigung zum Aktivieren anfordern. Zweistufigen Genehmigungsprozess festlegen. Bei Aktivierung die Multi-Faktor-Authentifizierung von Microsoft Entra anfordern. Maximale Dauer für die Rechteerweiterung auf 8 Stunden festlegen.	Sicherheitsadministrator, Administrator für privilegierter Rolle, Globaler Administrator	Ein Administrator für privilegierte Rollen kann PIM in seiner Microsoft Entra-Organisation anpassen und hierbei auch die Art ändern, in der Benutzer eine berechtigte Rollenzuweisung aktivieren.
Konfiguration von Azure-Ressourcenrollen	Hoch	Begründung für die Aktivierung erfordern. Genehmigung zum Aktivieren anfordern. Zweistufigen Genehmigungsprozess festlegen. Bei Aktivierung die Multi-Faktor-Authentifizierung von Microsoft Entra anfordern. Maximale Dauer für die Rechteerweiterung auf 8 Stunden festlegen.	Besitzer, Benutzerzugriffsadministrator	Wenn es sich um keine geplante Änderung handelt, sollten Sie sie sofort untersuchen. Diese Einstellung könnte einem Angreifer Zugriff auf Azure-Abonnements in Ihrer Umgebung ermöglichen.

Privileged Identity Management-Warnungen

Privileged Identity Management (PIM) generiert bei verdächtigen oder nicht sicheren Aktivitäten in Ihrer Microsoft Entra-Organisation Warnungen. Wenn eine Warnung generiert wird, wird sie auf dem Privileged Identity Management-Dashboard angezeigt. Sie können auch eine E-Mail-Benachrichtigung konfigurieren oder die Benachrichtigung über die Graph-API an Ihr SIEM senden. Da sich diese Warnungen speziell auf administrative Rollen konzentrieren, sollten Sie alle Warnungen genau überwachen.

Zu überwachende Elemente	Risikostufe	Dabei gilt:	Optionen für Filter/Unterfilter	Hinweise
Rollen werden außerhalb von Privileged Identity Management zugewiesen	Hoch	Privileged Identity Management, Warnungen	Rollen werden außerhalb von Privileged Identity Management zugewiesen	Konfigurieren von Sicherheitswarnungen Sigma-Regeln
Potenzielle veraltete Konten mit einer privilegierten Rolle	Medium	Privileged Identity Management, Warnungen	Potenzielle veraltete Konten mit einer privilegierten Rolle	Konfigurieren von Sicherheitswarnungen Sigma-Regeln
Administratoren verwenden ihre privilegierten Rollen nicht	Niedrig	Privileged Identity Management, Warnungen	Administratoren verwenden ihre privilegierten Rollen nicht	Konfigurieren von Sicherheitswarnungen Sigma-Regeln
Rollen erfordern für die Aktivierung keine Multi-Faktor-Authentifizierung	Niedrig	Privileged Identity Management, Warnungen	Rollen erfordern für die Aktivierung keine Multi-Faktor-Authentifizierung	Konfigurieren von Sicherheitswarnungen Sigma-Regeln
Die Organisation hat weder Microsoft Entra ID P2 noch Microsoft Entra ID Governance	Niedrig	Privileged Identity Management, Warnungen	Die Organisation hat weder Microsoft Entra ID P2 noch Microsoft Entra ID Governance	Konfigurieren von Sicherheitswarnungen Sigma-Regeln
Es gibt zu viele globale Administratoren	Niedrig	Privileged Identity Management, Warnungen	Es gibt zu viele globale Administratoren	Konfigurieren von Sicherheitswarnungen Sigma-Regeln
Rollen werden zu häufig aktiviert	Niedrig	Privileged Identity Management, Warnungen	Rollen werden zu häufig aktiviert	Konfigurieren von Sicherheitswarnungen Sigma-Regeln

Rollenzuweisung bei Microsoft Entra

Ein Administrator für privilegierte Rollen kann PIM in seiner Microsoft Entra-Organisation anpassen und hierbei auch die Art ändern, in der Benutzer eine berechtigte Rollenzuweisung aktivieren:

• Verhindern, dass ein böswilliger Akteur die Anforderungen für die Multi-Faktor-Authentifizierung von Microsoft Entra entfernt, um sich privilegierten Zugriff zu verschaffen.

• Verhindern, dass ein böswilliger Akteur bei der Aktivierung des privilegierten Zugriffs die Begründung und Genehmigung umgeht.

Zu überwachende Elemente	Risikostufe	Dabei gilt:	Filter/Unterfilter	Hinweise
Warnung zu „Add changes to privileged account permissions“ (Änderungen an Berechtigungen für privilegierter Konten hinzufügen)	Hoch	Microsoft Entra-Überwachungsprotokolle	Kategorie = Role Management (Rollenverwaltung) - und - Aktivitätstyp – Add eligible member (permanent) (Berechtigtes Mitglied hinzufügen (dauerhaft)) - und - Aktivitätstyp – Add eligible member (eligible) (Berechtigtes Mitglied hinzufügen (berechtigt)) - und - Status = Erfolg/Fehler - und - Geänderte Eigenschaften = Role.DisplayName	Überwachen Sie Änderungen an den Rollen „Administrator für privilegierte Rollen“ und „Globaler Administrator“, und richten Sie Warnungen für jegliche Änderungen ein. Dies kann ein Hinweis darauf sein, dass ein Angreifer versucht, Berechtigungen zum Ändern von Rollenzuweisungseinstellungen zu erlangen. Wenn Sie keinen Schwellenwert definieren, sollten Sie für Benutzer bei 4 Änderungen innerhalb von 60 Minuten und für privilegierte Konten bei 2 Änderungen innerhalb von 60 Minuten warnen. Sigma-Regeln
Warnung bei Änderungen der Massenlöschung von Berechtigungen privilegierter Konten	Hoch	Microsoft Entra-Überwachungsprotokolle	Kategorie = Role Management (Rollenverwaltung) - und - Aktivitätstyp – Remove eligible member (permanent) (Berechtigtes Mitglied entfernen (dauerhaft)) - und - Aktivitätstyp – Remove eligible member (eligible) (Berechtigtes Mitglied entfernen (berechtigt)) - und - Status = Erfolg/Fehler - und - Geänderte Eigenschaften = Role.DisplayName	Wenn es sich um keine geplante Änderung handelt, sollten Sie sie sofort untersuchen. Diese Einstellung könnte einem Angreifer Zugriff auf Azure-Abonnements in Ihrer Umgebung ermöglichen. Microsoft Sentinel-Vorlage Sigma-Regeln
Änderungen an PIM-Einstellungen	Hoch	Microsoft Entra Überwachungsprotokoll	Dienst = PIM - und - Kategorie = Role Management (Rollenverwaltung) - und - Aktivitätstyp = Rolleneinstellung in PIM aktualisieren - und - Statusursache = MFA on activation disabled (MFA bei Aktivierung deaktiviert) (Beispiel)	Überwachen Sie Änderungen an den Rollen „Administrator für privilegierte Rollen“ und „Globaler Administrator“, und richten Sie Warnungen für jegliche Änderungen ein. Dies kann ein Hinweis darauf sein, dass ein Angreifer Zugriff erhalten hat und die Einstellungen für Rollenzuweisungen ändern kann. Eine dieser Aktionen könnte die Sicherheit der PIM-Rechteerweiterungen verringern und Angreifern den Erwerb eines privilegierten Kontos erleichtern. Microsoft Sentinel-Vorlage Sigma-Regeln
Genehmigungen und Verweigern von Rechteerweiterungen	Hoch	Microsoft Entra Überwachungsprotokoll	Dienst = Zugriffsüberprüfung - und - Kategorie = Benutzerverwaltung - und - Aktivitätstyp = Anforderung genehmigt/abgelehnt - und - Initiated actor (Initiierender Akteur) = UPN	Alle Rechteerweiterungen sollten überwacht werden. Protokollieren Sie alle Rechteerweiterungen, um eine eindeutige Zeitachse für einen Angriff zu erhalten. Microsoft Sentinel-Vorlage Sigma-Regeln
Deaktivierung von Warnungseinstellungen.	Hoch	Microsoft Entra-Überwachungsprotokolle	Dienst = PIM - und - Kategorie = Role Management (Rollenverwaltung) - und - Aktivitätstyp = Disable PIM Alert (PIM-Warnung deaktivieren) - und - Status = Erfolg/Fehler	Lassen Sie immer warnen. Hilft bei der Erkennung böswilliger Akteure, die Warnungen zu den Anforderungen bzgl. Multi-Faktor-Authentifizierung von Microsoft Entra entfernen, um sich privilegierten Zugriff zu verschaffen. Hilft bei der Erkennung verdächtiger oder unsicherer Aktivitäten. Microsoft Sentinel-Vorlage Sigma-Regeln

Weitere Informationen zum Identifizieren von Änderungen an Rolleneinstellungen im Microsoft Entra-Überwachungsprotokoll finden Sie unter Anzeigen des Überwachungsverlaufs für Microsoft Entra-Rollen in Privileged Identity Management.

Rollenzuweisung zu Azure-Ressourcen

Die Überwachung von Azure-Ressourcenrollenzuweisungen ermöglicht den Einblick in Aktivitäten und Aktivierungen für Ressourcenrollen. Diese Zuweisungen könnten missbräuchlich verwendet werden, um eine Angriffsfläche auf eine Ressource zu schaffen. Achten Sie bei der Überwachung solcher Aktivitäten auf Folgendes:

• Abfragen von Rollenzuweisungen für bestimmte Ressourcen

• Rollenzuweisungen für alle untergeordneten Ressourcen

• Alle Änderungen an aktiven und berechtigten Rollenzuweisungen

Zu überwachende Elemente	Risikostufe	Dabei gilt:	Filter/Unterfilter	Hinweise
Überwachungswarnungen, Ressourcenüberwachungsprotokoll auf Aktivitäten für privilegierte Konten überprüfen	Hoch	In PIM, unter „Azure-Ressourcen“, „Ressourcenüberwachung“	Aktion: Hinzufügen von berechtigtem Mitglied zu Rolle in PIM abgeschlossen (zeitgebunden) - und - Primäres Ziel - und - Type User (Typbenutzer) - und - Status = Erfolgreich	Lassen Sie immer warnen. Hilft bei der Erkennung eines böswilligen Akteurs, der berechtigte Rollen hinzufügt, um alle Ressourcen in Azure zu verwalten.
Überwachungswarnungen, Ressourcenüberwachung für die Deaktivierung von Warnungen	Medium	In PIM, unter „Azure-Ressourcen“, „Ressourcenüberwachung“	Aktion: Warnung deaktivieren - und - Primäres Ziel: Zu viele Besitzer zu Ressource zugewiesen - und - Status = Erfolgreich	Hilft bei der Erkennung eines böswilligen Akteurs, der Warnungen im Warnungsbereich deaktiviert, womit die Untersuchung böswilliger Aktivitäten umgangen werden kann
Überwachungswarnungen, Ressourcenüberwachung für die Deaktivierung von Warnungen	Medium	In PIM, unter „Azure-Ressourcen“, „Ressourcenüberwachung“	Aktion: Warnung deaktivieren - und - Primäres Ziel: Zu viele dauerhafte Besitzer zu Ressource zugewiesen - und - Status = Erfolgreich	Hindern Sie böswillige Akteure daran, Warnungen im Warnungsbereich zu deaktivieren, womit die Untersuchung böswilliger Aktivitäten umgangen werden kann
Überwachungswarnungen, Ressourcenüberwachung für die Deaktivierung von Warnungen	Medium	In PIM, unter „Azure-Ressourcen“, „Ressourcenüberwachung“	Aktion: Warnung deaktivieren - und - Primäres Ziel: Doppelte Rolle erstellt - und - Status = Erfolgreich	Hindern Sie böswillige Akteure daran, Warnungen im Warnungsbereich zu deaktivieren, womit die Untersuchung böswilliger Aktivitäten umgangen werden kann

Weitere Informationen zum Konfigurieren von Warnungen und Überwachen von Azure-Ressourcenrollen finden Sie unter:

• Konfigurieren von Sicherheitswarnungen für Azure-Ressourcenrollen in Privileged Identity Management

• Anzeigen von Aktivitäten und des Überwachungsverlaufs für Azure-Ressourcenrollen in Privileged Identity Management

Zugriffsverwaltung für Azure-Ressourcen und -Abonnements

Benutzer oder Gruppenmitglieder, die der Abonnementsrolle „Besitzer“ oder „Benutzerzugriffsadministrator“ zugewiesen sind, sowie globale Microsoft Entra-Administratoren, die die Abonnementverwaltung in Microsoft Entra ermöglichen, haben standardmäßig Ressourcenadministratorberechtigungen. Die Administratoren können Rollen zuweisen, Rolleneinstellungen konfigurieren und mit Privileged Identity Management (PIM) den Zugriff auf Azure-Ressourcen überprüfen.

Ein Benutzer mit Ressourcenadministratorberechtigungen kann PIM für Ressourcen verwalten. Das damit einhergehende Risiko, das Sie überwachen und minimieren müssen, besteht darin, dass die Funktion böswilligen Akteuren privilegierten Zugriff auf Azure-Abonnementressourcen wie virtuelle Computer (VMs) oder Speicherkonten ermöglichen kann.

Zu überwachende Elemente	Risikostufe	Dabei gilt:	Filter/Unterfilter	Hinweise
Höhenangaben	Hoch	Microsoft Entra ID, unter Verwalten, Eigenschaften	Überprüfen Sie die Einstellung in regelmäßigen Abständen. Zugriffsverwaltung für Azure-Ressourcen	Globale Administratoren können Rechte erhöhen, indem sie die Zugriffsverwaltung für Azure-Ressourcen aktivieren. Vergewissern Sie sich, dass keine böswilligen Akteure über Berechtigungen für das Zuweisen von Rollen in allen Azure-Abonnements und -Verwaltungsgruppen verfügen, die mit Active Directory verknüpft sind.

Weitere Informationen finden Sie unter Zuweisen von Azure-Ressourcenrollen in Privileged Identity Management

Nächste Schritte

Übersicht zu Microsoft Entra-SecOps

Sicherheitsvorgänge für Benutzerkonten

Sicherheitsvorgänge für Consumerkonten

Sicherheitsvorgänge für privilegierte Konten

Sicherheitsvorgänge für Anwendungen

Sicherheitsvorgänge für Geräte

Sicherheitsvorgänge für die Infrastruktur