Anleitung: Untersuchen eines Risikos

Identity Protection stellt Organisationen Berichtsfunktionen zur Verfügung, mit denen sie Identitätsrisiken in ihrer Umgebung untersuchen können. Diese Berichte umfassen Risikobenutzer, Risikoanmeldungen, risikobehaftete Workloadidentitätenund Risikoerkennungen. Die Untersuchung von Ereignissen ist entscheidend, um alle Schwachpunkte in Ihrer Sicherheitsstrategie besser zu verstehen und zu identifizieren. Alle Berichte ermöglichen das Herunterladen von Ereignissen im CSV-Format oder die Integration in andere Sicherheitslösungen wie ein dediziertes SIEM-Tool zur weiteren Analyse.

Organisationen können die Microsoft Graph-API-Integrationen nutzen, um Daten mit anderen Quellen zu aggregieren, auf die sie möglicherweise als Organisation zugreifen können.

Die drei Berichte befinden sich im Microsoft Entra Admin Center>Schutz>Identitätsschutz.

Navigieren in den Berichten

Jeder Bericht wird mit einer Liste aller Erkennungen für den Zeitraum gestartet, der oben im Bericht angezeigt wird. Jeder Bericht ermöglicht das Hinzufügen oder Entfernen von Spalten auf der Grundlage von Administratoreinstellungen. Administratoren können die Daten im CSV- oder JSON-Format herunterladen. Berichte können über die Filter am oberen Rand des Berichts gefiltert werden.

Durch Auswählen von einzelnen Einträgen können am Anfang des Berichts weitere Einträge ermöglicht werden, z. B. die Möglichkeit, eine Anmeldung als gefährdet oder sicher zu bestätigen, einen Benutzer als gefährdet zu bestätigen oder das Benutzerrisiko zu verwerfen.

Werden einzelne Einträge ausgewählt, wird das Fenster „Details“ unterhalb der Erkennungen erweitert. In der Detailansicht können Administratoren jede Erkennung untersuchen und die entsprechende Maßnahme ergreifen.

Riskante Benutzer

Der Bericht „Risikobenutzer“ listet alle Benutzer auf, deren Konten derzeit gefährdet sind oder als gefährdet eingestuft wurden. Risikobenutzer sollten untersucht und bereinigt werden, um nicht autorisierten Zugriff auf Ressourcen zu verhindern.

Warum ist ein Benutzer risikobehaftet?

Ein Benutzer wird zu einem Risikobenutzer, wenn:

• Sie verfügen über eine oder mehrere Risikoanmeldungen.
• Es gibt mindestens ein Risiko, das für das Konto des Benutzers erkannt wurde, z. B. kompromittierte Anmeldeinformationen.

Wie untersucht man Risikobenutzer?

Um die Risikoanmeldungen eines Benutzers anzuzeigen und zu untersuchen, wählen Sie die Registerkarte „Kürzliche Risikoanmeldungen“ oder den Link „Risikoanmeldungen des Benutzers“ aus.

Wählen Sie zum Anzeigen und Untersuchen von Risiken für das Konto eines Benutzers die Registerkarte „Erkennungen ohne Bezug zu einer Anmeldung“ oder den Link "Risikoerkennungen des Benutzers" aus.

Auf der Registerkarte „Risikoverlauf“ werden außerdem alle Ereignisse angezeigt, die in den letzten 90 Tagen zu einer Änderung des Benutzerrisikos geführt haben. Diese Liste enthält Risikoerkennungen, die das Risiko des Benutzers erhöht, sowie Abhilfemaßnahmen von Administratoren, die das Risiko des Benutzers verringert haben. Zeigen Sie sie an, um zu verstehen, wie sich das Risiko eines Benutzers geändert hat.

Mit den Informationen im Bericht „Riskante Benutzer“ können Administratoren folgendes ermitteln:

• Welche Benutzer sind gefährdet und für welche Benutzer wurden Risiken behoben oder verworfen?
• Details zu Erkennungen
• Verlauf aller riskanten Anmeldungen
• Risikoverlauf

Administratoren können dann Aktionen für diese Ereignisse ausführen. Administratoren haben folgende Möglichkeiten:

• Benutzerkennwort festlegen
• Benutzergefährdung bestätigen
• Benutzerrisiko verwerfen
• Anmeldung eines Benutzers blockieren
• Weitere Untersuchungen mithilfe von Microsoft Defender for Identity

Grundlegendes zum Umfang

1. Erwägen Sie die Erstellung einer Datenbank für Personen, die sich bekanntermaßen von unterschiedlichen Orten aus anmelden, um die entsprechende Berichterstellung in der Organisation zu aktualisieren, und verwenden Sie die Datenbank zum Abgleich mit Reiseaktivitäten.
2. Fügen Sie unternehmenseigene VPNs und IP-Adressbereiche zu benannten Standorten hinzu, um False Positives zu reduzieren.
3. Überprüfen Sie die Protokolle, um ähnliche Aktivitäten mit denselben Merkmalen zu identifizieren. Dies könnte ein Hinweis auf weitere kompromittierte Konten sein.
   1. Wenn Merkmale wie IP-Adresse, Geografie, Erfolg/Fehler usw. übereinstimmen, sollten Sie diese Konten mithilfe einer Richtlinie für bedingten Zugriff blockieren.
   2. Überprüfen Sie, welche Ressource möglicherweise kompromittiert wurde, z. B. potenzielle Datendownloads oder administrative Änderungen.
   3. Aktivieren von Richtlinien für eine Eigenwartung mithilfe des bedingten Zugriffs
4. Wenn Sie feststellen, dass Benutzer*innen andere riskante Aktivitäten ausgeführt haben – z. B. das Herunterladen einer großen Anzahl von Dateien von einem neuen Speicherort –, ist dies ein deutlicher Hinweis auf eine mögliche Kompromittierung.

Riskante Anmeldungen

Der Bericht „Risikoanmeldungen“ enthält filterbare Daten der letzten 30 Tage (1 Monat).

Mit den Informationen im Bericht „Riskante Anmeldungen“ können Administratoren Folgendes ermitteln:

• Als Risiko klassifizierte, als gefährdet bzw. sicher bestätigte, verworfene oder behandelte Anmeldungen.
• Echtzeit- und Aggregatrisikostufen in Verbindung mit Anmeldeversuchen.
• Ausgelöste Erkennungstypen
• Angewendete Richtlinien für bedingten Zugriff
• MFA-Details
• Geräteinformationen
• Anwendungsinformationen
• Standortinformationen

Administratoren können dann Aktionen für diese Ereignisse ausführen. Administratoren haben folgende Möglichkeiten:

• Anmeldung als gefährdet bestätigen
• Anmeldung als sicher bestätigen

Risikoerkennungen

Der Bericht „Risikoerkennungen“ enthält filterbare Daten der letzten 90 Tage (3 Monate).

Mit den Informationen im Bericht „Risikoerkennungen“ können Administratoren folgendes ermitteln:

• Informationen zu den einzelnen Risikoerkennungen, einschließlich des Typs.
• Andere, gleichzeitig ausgelöste Risiken
• Ort des Anmeldeversuchs
• Ausgehender Link zu weiteren Details aus Microsoft Defender for Cloud-Apps.

Administratoren können dann zum Risiko- oder Anmeldebericht des Benutzers zurückkehren, um basierend auf gesammelten Informationen Aktionen auszuführen.

Untersuchungsframework

Organisationen mithilfe der folgenden Frameworks ihre Untersuchung von verdächtigen Aktivitäten beginnen. Untersuchungen erfordern möglicherweise eine Unterhaltung mit dem betreffenden Benutzer, eine Überprüfung der Anmeldeprotokolle oder eine Überprüfung der Überwachungsprotokolle, um nur einige zu nennen.

1. Überprüfen Sie die Protokolle, und überprüfen Sie, ob die verdächtige Aktivität bei dem angegebenen Benutzer normal ist.
   1. Sehen Sie sich die bisherigen Aktivitäten des Benutzers an, einschließlich mindestens der folgenden Eigenschaften, um festzustellen, ob sie für den angegebenen Benutzer normal sind.
      1. Anwendung
      2. Gerät: Ist das Gerät registriert oder konform?
      3. Standort: Ist der Benutzer zu einem anderen Standort unterwegs oder greift er von mehreren Standorten aus auf Geräte zu?
      4. IP address (IP-Adresse)
      5. Benutzer-Agent-Zeichenfolge
   2. Wenn Sie Zugriff auf andere Sicherheitstools wie Microsoft Sentinel haben, suchen Sie nach entsprechenden Warnungen, die möglicherweise auf ein größeres Problem hinweisen.
   3. Organisationen mit Zugriff auf Microsoft 365 Defender können Risikoereignis eines Benutzers über andere zugehörige Warnungen und Vorfällen sowie die MITRE ATT&CK-Kette verfolgen.
      1. Wählen Sie den Benutzer aus dem Bericht „Risikobenutzer“ aus.
      2. Wählen Sie die Auslassungspunkte (...) in der Symbolleiste und dann Untersuchen mit Microsoft 365 Defender aus.
2. Wenden Sie sich an den Benutzer, damit er bestätigt, dass er die Anmeldung erkennt. Methoden wie E-Mail oder Teams sind möglicherweise gefährdet.
   1. Vergewissern Sie sich, dass Sie folgende Informationen haben:
      1. Application
      2. Gerät
      3. Standort
      4. IP-Adresse

Untersuchen von Erkennungen durch Microsoft Entra-Threat Intelligence

Führen Sie die folgenden Schritte aus, um eine Risikoerkennung durch Microsoft Entra-Threat Intelligence zu untersuchen:

Wenn weitere Informationen für die Erkennung angezeigt werden:

1. Anmeldung erfolgte über eine verdächtige IP-Adresse:
   1. Vergewissern Sie sich, ob die IP-Adresse verdächtiges Verhalten in Ihrer Umgebung zeigt.
   2. Generiert die IP-Adresse eine hohe Anzahl von Fehlern bei einem Benutzer oder einer Gruppe von Benutzern in Ihrem Verzeichnis?
   3. Stammt der Datenverkehr der IP-Adresse aus einem unerwarteten Protokoll oder einer unerwarteten Anwendung, z. B. Exchange-Legacyprotokollen?
   4. Wenn die IP-Adresse einem Clouddienstanbieter entspricht, schließen Sie aus, dass keine legitimen Unternehmensanwendungen über dieselbe IP-Adresse ausgeführt werden.
2. Dieses Konto war Opfer eines Kennwortsprayangriffs:
   1. Überprüfen Sie, ob keine anderen Benutzer in Ihrem Verzeichnis Ziele desselben Angriffs sind.
   2. Gibt es bei anderen Benutzern Anmeldungen mit ähnlichen atypischen Mustern, die in der erkannten Anmeldung innerhalb desselben Zeitrahmens angezeigt werden? Kennwortspray-Angriffe können ungewöhnliche Muster in Folgendem anzeigen:
      1. Benutzer-Agent-Zeichenfolge
      2. Anwendung
      3. Protokoll
      4. Bereiche von IP-Adressen/ASNs
      5. Uhrzeit und Häufigkeit von Anmeldungen
3. Diese Erkennung wurde durch eine Echtzeitregel ausgelöst:
   1. Überprüfen Sie, ob keine anderen Benutzer in Ihrem Verzeichnis Ziele desselben Angriffs sind. Dies finden Sie durch die TI_RI_####-Nummer, die der Regel zugewiesen ist.
   2. Echtzeitregeln schützen vor neuartigen Angriffen, die durch die Threat Intelligence von Microsoft identifiziert werden. Wenn mehrere Benutzer in Ihrem Verzeichnis Ziel desselben Angriffs waren, untersuchen Sie ungewöhnliche Muster in anderen Attributen der Anmeldung.

Untersuchen eines Risikos mit Microsoft 365 Defender

Organisationen, die Microsoft 365 Defender und Microsoft Defender for Identity bereitgestellt haben, profitieren von Identitätsschutzsignalen. Dieser Wert erfolgt in Form einer verbesserten Korrelation mit anderen Daten aus anderen Bereichen der Organisation und einer zusätzlichen automatisierten Untersuchung und Reaktion.

In Microsoft 365 Defender können Sicherheitsexperten und Administratoren Verbindungen zu verdächtigen Aktivitäten aus Bereichen herstellen, wie z. B.:

• Warnungen in Defender for Identity
• Microsoft Defender für den Endpunkt
• Microsoft Defender für Cloud
• Microsoft Defender for Cloud Apps

Weitere Informationen zum Untersuchen verdächtiger Aktivitäten mithilfe von Microsoft 365 Defender finden Sie in den Artikeln Untersuchen von Ressourcen in Microsoft Defender for Identity und Untersuchen von Vorfällen in Microsoft 365 Defender.

Weitere Informationen zu diesen Warnungen und ihrer Struktur finden Sie im Artikel Grundlegendes zu Sicherheitswarnungen.

Untersuchungsstatus

Wenn Sicherheitsmitarbeiter Risiken in Microsoft 365 Defender und Defender for Identity untersuchen, werden die folgenden Zustände und Gründe im Portal und den APIs an Identity Protection zurückgegeben.

Nächste Schritte

• Behandeln von Risiken und Aufheben der Blockierung von Benutzern
• Verfügbare Richtlinien zum Mindern von Risiken
• Aktivieren von Anmelde- und Benutzerrisikorichtlinien