Microsoft Entra ID Protection-Dashboard (Vorschau)

Microsoft Entra ID Protection verhindert Identitätsgefährdungen, indem Identitätsangriffe erkannt und Risiken gemeldet werden. Kunden können ihre Organisationen schützen, indem sie Risiken überwachen, sie untersuchen und risikobasierte Zugriffsrichtlinien konfigurieren, um vertraulichen Zugriff zu schützen und Risiken automatisch beheben zu lassen.

Unser neues Dashboard hilft Kunden dabei, ihren Sicherheitsstatus besser zu analysieren, zu verstehen, wie gut sie geschützt sind, Sicherheitsrisiken zu identifizieren und empfohlene Aktionen auszuführen.

Screenshot showing the new Microsoft Entra ID Protection overview dashboard.

Dieses Dashboard wurde entwickelt, um Organisationen mit umfassenden Einblicken und handlungsrelevanten Empfehlungen, die auf Ihren Mandanten zugeschnitten sind, zu unterstützen. Diese Informationen bieten einen besseren Einblick in den Sicherheitsstatus Ihrer Organisation und ermöglichen es Ihnen, effektive Schutzmaßnahmen entsprechend zu aktivieren. Sie haben Zugriff auf wichtige Metriken, Angriffsgrafiken, eine Landkarte mit hervorgehobenen riskanten Standorten, die wichtigsten Empfehlungen zur Verbesserung des Sicherheitsstatus und aktuelle Aktivitäten.

Voraussetzungen

Für den Zugriff auf dieses neue Dashboard benötigen Sie Folgendes:

  • Microsoft Entra ID Free oder Microsoft Entra ID P1 oder Microsoft Entra ID P2-Lizenzen für Ihre Benutzer.
  • Benutzern muss mindestens die Rolle Sicherheitsleseberechtigter zugewiesen werden.
  • Zum Anzeigen einer umfassenden Liste von Empfehlungen und zum Auswählen der empfohlenen Aktionslinks benötigen Sie Microsoft Entra ID P2-Lizenzen.

Zugreifen auf das Dashboard

In Ihrer Organisation können Sie auf das neue Dashboard wie folgt zugreifen:

  1. Melden Sie sich beim Microsoft Entra Admin Center an.
  2. Browsen Sie zu Schutz>Identitätsschutz>Dashboard (Vorschau).

Metrikkarten

Während Sie mehr Sicherheitsmaßnahmen wie z. B. risikobasierte Richtlinien implementieren, wird ihr Mandantenschutz gestärkt. Deshalb stellen wir jetzt vier wichtige Metriken bereit, die Ihnen helfen sollen, die Effektivität der von Ihnen eingerichteten Sicherheitsmaßnahmen zu verstehen.

Screenshot showing the metric graphs in the dashboard.

Metrik Metrikdefinition Aktualisierungshäufigkeit Anzeigen von Details
Anzahl der blockierten Angriffe Anzahl der für diesen Mandanten an jedem Tag blockierten Angriffe.

Ein Angriff gilt als blockiert, wenn die Risikoanmeldung durch eine beliebige Zugriffsrichtlinie unterbrochen wurde. Die von der Richtlinie geforderte Zugriffssteuerung sollte verhindern, dass der Angreifer sich anmeldet, wodurch der Angriff blockiert wird.
Alle 24 Stunden Zeigen Sie die durch die Risikoerkennungen ermittelten Angriffe im Bericht „Risikoerkennungen“ an, und filtern Sie „Risikostatus“ nach:

- Behoben
- Verworfen
-** Als sicher bestätigt**
Anzahl der geschützten Benutzer Anzahl der Benutzer in diesem Mandanten, deren Risikostatus an jedem Tag von Gefährdet in Behoben oder Verworfen geändert wurde.

Der Risikostatus Behoben gibt an, dass der Benutzer sein Benutzerrisiko selbst behoben hat, indem er MFA oder eine sichere Kennwortänderung abgeschlossen hat, und dass sein Konto deshalb geschützt ist.

Der Risikostatus Verworfen gibt an, dass ein Administrator das Risiko des Benutzers verworfen hat, weil er dessen Konto als sicher identifiziert hat.
Alle 24 Stunden Zeigen Sie geschützte Benutzer im Bericht „Riskante Benutzer“ an, und filtern Sie „Risikostatus“ nach:

- Behoben
- Verworfen
Durchschnittliche Zeit, die Ihre Benutzer zur Selbstbehebung ihrer Risiken benötigen Durchschnittliche Zeit für die Änderung des Risikostatus riskanter Benutzer in Ihrem Mandanten von Gefährdet in Behoben.

Der Risikostatus eines Benutzers ändert sich in Behoben, wenn er sein Benutzerrisiko durch MFA oder sichere Kennwortänderung selbst behoben hat.

Um die Zeit für die Selbstbehebung in Ihrem Mandanten zu verkürzen, stellen Sie risikobasierte Richtlinien für bedingten Zugriff bereit.
Alle 24 Stunden Zeigen Sie Benutzer mit behobenem Risiko im Bericht „Riskante Benutzer“ an, und filtern Sie „Risikostatus“ nach:

- Behoben
Anzahl der erkannten neuen Benutzer mit hohem Risiko Die Anzahl der an jedem Tag erkannten neuen riskanten Benutzer mit der Risikostufe Hoch. Alle 24 Stunden Zeigen Sie Benutzer mit hohem Risiko im Bericht „Riskante Benutzer“ an, und filtern Sie die Risikostufe nach

- „Hoch“

Die Datenaggregation für die folgenden drei Metriken wurde am 22. Juni 2023 gestartet, sodass diese Metriken ab diesem Datum verfügbar sind. Wir arbeiten zurzeit daran, das Diagramm entsprechend zu aktualisieren.

  • Anzahl der blockierten Angriffe
  • Anzahl der geschützten Benutzer
  • Durchschnittliche Zeit zum Beheben des Benutzerrisikos

Die Diagramme stellen ein rollierendes Datenfenster von 12 Monaten bereit.

Angriffsgrafik

Damit Sie Ihr Risikopotenzial besser verstehen können, führen wir zurzeit eine innovative Angriffsgrafik ein. Sie zeigt häufige identitätsbasierte Angriffsmuster an, die bei Ihrem Mandanten erkannt wurden. Die Angriffsmuster werden durch MITRE ATT&CK-Techniken dargestellt und durch unsere erweiterten Risikoerkennungen ermittelt. Weitere Informationen finden Sie im Abschnitt Risikoerkennungstyp zur Zuordnung von MITRE-Angriffstypen.

Screenshot showing the attack graphic in the dashboard.

Was gilt in Microsoft Entra ID Protection als Angriff?

Jeder Typ der Risikoerkennung entspricht einer MITRE ATT&CK-Technik. Wenn während einer Anmeldung Risiken erkannt werden, werden Risikoerkennungen generiert, und die Anmeldung wird zu einer Risikoanmeldung. Angriffe werden dann basierend auf den Risikoerkennungen identifiziert. In der Tabelle weiter unten finden Sie die Zuordnung zwischen Microsoft Entra ID Protection-Risikoerkennungen und Angriffen, kategorisiert nach MITRE ATT&CK-Techniken.

Wie wird die Angriffsgrafik interpretiert?

Die Grafik zeigt Angriffstypen, die sich während der letzten 30 Tage auf Ihren Mandanten ausgewirkt haben, und informiert, ob sie während der Anmeldung blockiert wurden. Auf der linken Seite sehen Sie das Volumen jedes Angriffstyps. Auf der rechten Seite wird die Anzahl der blockierten und noch zu behebenden Angriffe angezeigt. Das Diagramm wird alle 24 Stunden aktualisiert, sodass die angezeigten Volumen Ihr neuestes Erkennungsvolumen im Bericht „Risikoerkennungen“ möglicherweise nicht exakt widerspiegeln.

  • Blockiert: Ein Angriff wird als „blockiert“ klassifiziert, wenn die zugehörige Risikoanmeldung durch eine Zugriffsrichtlinie unterbrochen wurde, beispielsweise durch die Anforderung einer Multi-Faktor-Authentifizierung (MFA). Diese Aktion verhindert die Anmeldung des Angreifers und blockiert den Angriff.
  • Nicht behoben: Erfolgreiche Risikoanmeldungen, die nicht unterbrochen wurden, müssen behoben werden. Deshalb müssen Risikoerkennungen, die diesen Risikoanmeldungen zugeordnet sind, ebenfalls behoben werden. Sie können diese Anmeldungen und die zugehörigen Risikoerkennungen im Bericht „Risikoanmeldungen“ anzeigen, indem Sie mit dem Risikostatus „Gefährdet" filtern.

Wo kann ich die Angriffe anzeigen?

Führen Sie zum Anzeigen der Risikoerkennungen, von denen die Angriffe identifiziert wurden, die folgenden Schritte aus:

  1. Sehen Sie sich die Tabelle im Abschnitt Risikoerkennungstyp zur Zuordnung von MITRE-Angriffstypen an. Suchen Sie nach den Erkennungstypen, die dem Sie interessierenden Angriffstyp entsprechen.
  2. Wechseln Sie zum Bericht „Risikoerkennungen“.
  3. Verwenden Sie den Filter Erkennungstyp, und wählen Sie die in Schritt 1 identifizierten Risikoerkennungstypen aus. Wenden Sie den Filter an, um Erkennungen nur für den Angriffstyp anzuzeigen.

Wir verbessern zurzeit unseren Bericht „Risikoerkennungen“, um einen Filter „Angriffstyp“ einzubeziehen und den zugehörigen Angriffstyp für jeden Erkennungstyp anzuzeigen. Dieses Feature erleichtert Ihnen das Anzeigen von Erkennungen, die bestimmten Angriffstypen entsprechen.

Anwenden von Filtern

Auf das Diagramm können zwei Filter angewendet werden:

  • Angriffstypen: Mit diesem Filter können Sie nur ausgewählte Angriffsmuster anzeigen.
  • Verarbeitete Angriffe: Verwenden Sie diesen Filter, um blockierte oder nicht behobene Angriffe separat anzuzeigen.

Zuordnung von Risikoerkennungstyp zu MITRE-Angriffstyp

Microsoft Entra ID Protection-Risikoerkennungstyp MITRE ATT&CK-Technikzuordnung Anzeigename des Angriffs
Ungewöhnliche Anmeldeeigenschaften T1078.004 Zugriff über ein gültiges Konto (bei der Anmeldung erkannt)
Unmöglicher Ortswechsel T1078 Zugriff über ein gültiges Konto (offline erkannt)
Verdächtige Anmeldungen T1078 Zugriff über ein gültiges Konto (offline erkannt)
Neues MCAS-Land T1078 Zugriff über ein gültiges Konto (offline erkannt)
Anonyme IP-Adresse für MCAS T1078 Zugriff über ein gültiges Konto (offline erkannt)
Überprüfte Bedrohungsakteur-IP T1078 Zugriff über ein gültiges Konto (offline erkannt)
Verdächtiger Browser T1078 Zugriff über ein gültiges Konto (offline erkannt)
Threat Intelligence von Microsoft Entra (Benutzer*in) T1078 Zugriff über ein gültiges Konto (offline erkannt)
Threat Intelligence von Microsoft Entra (Anmeldung) T1078 Zugriff über ein gültiges Konto (offline erkannt)
Anomale Benutzeraktivität T1098 Kontobearbeitung
Kennwortspray T1110.003 Brute-Force: Kennwortspray-Angriffe
Massenzugriff auf vertrauliche Dateien TA0009 Sammlung
Massenzugriff auf vertrauliche Dateien TA0009 Sammlung
MCAS-Bearbeitung T1114.003 E-Mail-Sammlung/Ausblenden von Artefakten
MCAS: Verdächtige Weiterleitung des Posteingangs T1114.003 E-Mail-Sammlung/Ausblenden von Artefakten
Anomaler Tokenaussteller T1606.002 Gefälschte Webanmeldeinformationen: SAML-Token
Kompromittierte Anmeldeinformationen T1589.001 Sammeln von Opfer-Identitätsinformationen
Anonyme IP-Adresse T1090 Verschleierung/Zugriff mithilfe des Proxys
Schädliche IP-Adressen T1090 Verschleierung/Zugriff mithilfe des Proxys
Möglicher Versuch, auf primäres Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen T1528 Stehlen des Anwendungstokens
Anomales Token T1539 Stehlen des Websitzungscookies/Tokendiebstahl

Zuordnung

Eine Karte wird bereitgestellt, um das Land des Standorts der Risikoanmeldungen in Ihrem Mandanten anzuzeigen. Die Größe der Blase spiegelt das Volumen der Risikoanmeldungen an diesem Standort wider. Wenn Sie mit dem Mauszeiger auf die Blase zeigen, wird ein Aufruffeld angezeigt, in dem der Name des Landes und die Anzahl der Risikoanmeldungen von diesem Ort aus angegeben Ist.

Screenshot showing the map graphic in the dashboard.

Sie enthält die folgenden Elemente:

  • Datumsbereich: Wählen Sie den Datumsbereich aus, und zeigen Sie auf der Karte Risikoanmeldungen innerhalb dieses Zeitbereichs an. Verfügbare Werte sind: die letzten 24 Stunden, die letzten sieben Tage und der letzte Monat.
  • Risikostufe: Wählen Sie die Risikostufe der Risikoanmeldungen aus, die angezeigt werden sollen. Verfügbare Werte sind: „Hoch“, „Mittel“, „Niedrig“.
  • Anzahl riskanter Standorte:
    • Definition: Die Anzahl der Standorte, aus denen die Risikoanmeldungen Ihres Mandanten stammten.
    • Für diese Anzahl gelten der Datumsbereichs- und Risikostufenfilter.
    • Wenn Sie diese Anzahl auswählen, wird Ihnen der Bericht „Risikoanmeldungen“ angezeigt, der nach dem ausgewählten Datumsbereich und der ausgewählten Risikostufe gefiltert wurde.
  • Anzahl Risikoanmeldungen:
    • Definition: Die Anzahl der gesamten Risikoanmeldungen mit der ausgewählten Risikostufe im ausgewählten Datumsbereich.
    • Für diese Anzahl gelten der Datumsbereichs- und Risikostufenfilter.
    • Wenn Sie diese Anzahl auswählen, wird Ihnen der Bericht „Risikoanmeldungen“ angezeigt, der nach dem ausgewählten Datumsbereich und der ausgewählten Risikostufe gefiltert wurde.

Empfehlungen

Wir haben auch neue Microsoft Entra ID Protection-Empfehlungen für Kunden eingeführt, um deren Umgebung zu konfigurieren und so den Sicherheitsstatus zu erhöhen. Diese Empfehlungen basieren auf den Angriffen, die in Ihrem Mandanten während der letzten 30 Tage erkannt wurden. Die Empfehlungen werden bereitgestellt, um Ihre Sicherheitsmitarbeiter mit empfohlenen zu ergreifenden Maßnahmen zu leiten.

Screenshot showing recommendations in the dashboard.

Angezeigte häufige Angriffe (z. B. Kennwortspray, kompromittierte Anmeldeinformationen in Ihrem Mandanten und Massenzugriff auf vertrauliche Dateien) können Sie darüber informieren, dass es eine potenzielle Sicherheitsverletzung gab. Im vorhergehenden Screenshot mit dem Beispiel Identity Protection detected at least 20 users with leaked credentials in your tenant (Identity Protection hat mindestens 20 Benutzer mit kompromittierten Anmeldeinformationen in Ihrem Mandanten erkannt) wäre die empfohlene Aktion, eine Richtlinie für bedingten Zugriff zu erstellen, die bei riskanten Benutzern eine sichere Kennwortzurücksetzung erfordert.

In der Komponente „Empfehlungen“ unseres neuen Dashboards wird Kunden Folgendes angezeigt:

  • Bis zu drei Empfehlungen, wenn in ihrem Mandanten bestimmte Angriffe erfolgen.
  • Einblick in die Auswirkungen des Angriffs.
  • Direkte Links zum Ergreifen von geeigneten Maßnahmen für die Behebung.

Kunden mit P2-Lizenzen können eine umfassende Liste von Empfehlungen anzeigen, die Einblicke mit Aktionen bereitstellen. Wenn die Kunden „Alle anzeigen“ auswählen, wird ein Bereich mit weiteren Empfehlungen geöffnet, die basierend auf den Angriffen in ihrer Umgebung ausgelöst wurden.

Neueste Aktivitäten

„Neueste Aktivität“ enthält eine Zusammenfassung der neuesten risikobezogenen Aktivitäten in Ihrem Mandanten. Mögliche Aktivitätstypen sind die folgenden:

  1. Angriffsaktivität
  2. Admin-Wartungsaktivität
  3. Selbstbehebungsaktivität
  4. Neue Benutzer mit hohem Risiko

Screenshot showing recent activities in the dashboard.

Bekannte Probleme

Je nach der Konfiguration Ihres Mandanten gibt es in Ihrem Dashboard möglicherweise Empfehlungen oder neueste Aktivitäten. Wir arbeiten zurzeit an einer besseren Ansicht für keine neuen Empfehlungen oder neueste Aktivitäten, um die Erfahrung zu verbessern.

Nächste Schritte