Beschreiben des Microsoft Entra ID-Schutzes

  • 7 Minuten

Microsoft Entra ID Protection unterstützt Organisationen dabei, identitätsbasierte Risiken zu erkennen, zu untersuchen und zu beseitigen. Dazu gehören Benutzeridentitäten und Workloadidentitäten.

Diese identitätsbasierten Risiken können auch im Rahmen des bedingten Zugriffs genutzt werden, um Zugriffsentscheidungen zu treffen oder zur weiteren Untersuchung und Korrelation an ein SIEM-Tool (Security Information & Event Management) übergeben werden.

Diagramm, das Bausteine von Microsoft Entra ID Protection zeigt. Die Signale zum Erkennen von Risiken, die Risikotypen und Schritte zur Untersuchung und Behebung von Risiken.

Erkennen von Risiken

Microsoft analysiert Billionen Signale pro Tag, um mögliche Bedrohungen zu erkennen. Diese Signale stammen von den Erkenntnissen, die Microsoft aus verschiedenen Quellen gewonnen hat, wie Microsoft Entra ID, Verbraucherbereich mit Microsoft-Konten und Gaming mit Xbox.

Microsoft Entra ID Protection bietet Organisationen Informationen zu verdächtigen Aktivitäten in ihrem Mandanten und ermöglicht es ihnen, schnell zu reagieren, um weitere Risiken zu verhindern. Risikoerkennungen können jegliche verdächtige oder ungewöhnliche Aktivitäten im Zusammenhang mit einem Benutzerkonto im Verzeichnis umfassen. ID Protection-Risikoerkennungen können mit einem Anmeldeereignis (Anmelderisiko) oder einem einzelnen Benutzer (Benutzerrisiko) im Zusammenhang stehen.

  • Anmelderisiko Ein Anmelderisiko ist die Wahrscheinlichkeit, dass eine bestimmte Authentifizierungsanforderung nicht vom Identitätsbesitzer autorisiert wird. Beispiele hierfür sind eine Anmeldung von einer anonymen IP-Adresse, atypische Vorgänge (zwei Anmeldungen, die von geografisch entfernten Standorten stammen), unbekannte Anmeldeeigenschaften und andere.

  • Benutzerrisiko: Ein Benutzerrisiko stellt die Wahrscheinlichkeit dar, dass eine bestimmte Identität oder ein bestimmtes Konto kompromittiert wurde. Beispiele hierfür sind kompromittierte Anmeldeinformationen, vom Benutzer gemeldete verdächtige Aktivitäten, verdächtige Sendemuster und andere.

Eine detaillierte Liste der Anmelde- und Benutzerrisikoerkennungen finden Sie unter Risikoerkennungen, die riskEventType zugeordnet sind.

Identity Protection generiert nur die Risikoerkennung, wenn die richtigen Anmeldeinformationen in der Authentifizierungsanforderung verwendet werden. Wenn ein Benutzer falsche Anmeldeinformationen verwendet, wird dies von Identity Protection nicht gekennzeichnet, da kein Risiko einer Kompromittierung von Anmeldeinformationen besteht. Ein solches entsteht nur, wenn ein böswilliger Akteur die richtigen Informationen verwendet.

Risikoerkennungen können Aktionen auslösen. So müssen Benutzer ggf. eine Multi-Faktor-Authentifizierung durchführen oder ihr Kennwort zurücksetzen. Möglicherweise wird auch der Zugriff blockiert, bis ein Administrator eine Aktion durchführt.

Untersuchen von Risiken

Alle bei einer Identität erkannten Risiken werden in Berichten nachverfolgt. Identity Protection stellt drei wichtige Berichte für Administratoren bereit, um Risiken zu untersuchen und Maßnahmen zu ergreifen:

  • Risikoerkennungen: Jedes erkannte Risiko wird als Risikoerkennung gemeldet.

  • Riskante Anmeldungen: Eine riskante Anmeldung wird gemeldet, wenn mindestens eine Risikoerkennung für diese Anmeldung gemeldet wird.

  • Riskante Benutzer: Ein riskanter Benutzer wird gemeldet, wenn mindestens einer der beiden folgenden Punkte zutrifft:

    • Der Benutzer verfügt über eine oder mehrere riskante Anmeldungen.
    • Mindestens eine Risikoerkennung wird gemeldet.

    Für Unternehmen, die in den Microsoft Security Copilot eingebunden sind, bietet der Bericht für risikobehaftete Benutzende die Funktionen des Microsoft Security Copilot , um die Risikostufe eines Benutzenden zusammenzufassen, Einblicke in den jeweiligen Vorfall zu geben und Empfehlungen für eine schnelle Riskominderung zu geben.

Die Untersuchung von Ereignissen ist entscheidend, um alle Schwachpunkte in Ihrer Sicherheitsstrategie zu verstehen und zu identifizieren.

Korrigieren

Nachdem Sie eine Untersuchung durchgeführt haben, möchten Administratoren Maßnahmen ergreifen, um das Risiko zu beheben oder die Benutzer zu entsperren. Organisationen können die automatisierte Wartung mithilfe ihrer Risikorichtlinien aktivieren. Beispielsweise können risikobasierte Richtlinien für bedingten Zugriff aktiviert werden, um Zugriffskontrollen zu erfordern, z. B. die Bereitstellung einer starken Authentifizierungsmethode, die Multi-Faktor-Authentifizierung oder die Durchführung einer sicheren Kennwortzurücksetzung basierend auf der erkannten Risikostufe. Wenn der Benutzer die Zugangskontrolle erfolgreich abschließt, wird das Risiko automatisch beseitigt.

Wenn die automatische Behebung nicht aktiviert ist, muss ein Administrator die in den Berichten identifizierten Risiken manuell über das Portal, die API oder in Microsoft Defender XDR überprüfen. Administratoren können manuelle Aktionen ausführen, um die Risiken zu verwerfen, als sicher zu bestätigen oder eine Kompromittierung zu bestätigen.

Exportieren

Daten aus Identity Protection können zur Archivierung sowie für weitere Untersuchungen und Korrelationsschritte in andere Tools exportiert werden. Dank der Microsoft Graph-basierten APIs können Organisationen diese Daten zur weiteren Verarbeitung in einem Tool (beispielsweise SIEM) sammeln. Die Daten können auch an einen Log Analytics-Arbeitsbereich gesendet, in einem Speicherkonto archiviert sowie an Event Hubs oder an Lösungen gestreamt werden.