Verwendung von Azure AD Identity Protection zur Risikoerkennung und -behebung

Verwendung von Azure AD Identity Protection zur Risikoerkennung und -behebung

14.12.2024

Ziel dieses technischen und lehrreichen Artikels ist es, Sicherheitsanalysten, IT-Administratoren und Systemingenieure bei der Verwendung von Azure AD Identity Protection anzuleiten, um Identitätsrisiken in ihren Umgebungen zu erkennen, zu untersuchen und zu beheben. Azure AD Identity Protection ist eine Funktion von Microsoft Entra ID (ehemals Azure Active Directory), die die Erkennung und Behebung identitätsbasierter Risiken automatisiert und Unternehmen vor Bedrohungen wie kompromittierten Anmeldeinformationen, Brute-Force-Angriffen und unbefugtem Zugriff schützt [1].

Einführung

Identitäten sind der neue Sicherheitsbereich. Mit der Umstellung auf die Cloud und Remote-Arbeit ist der Schutz der Benutzeridentitäten wichtiger denn je. Phishing-Angriffe, Lecks von Anmeldeinformationen, Passwort-Spraying und Zugriffe von ungewöhnlichen Orten aus sind ständige Bedrohungen, die zu einer Kontokompromittierung und in der Folge zu Datenschutzverletzungen und Dienstunterbrechungen führen können. Azure AD Identity Protection bietet eine proaktive, automatisierte Lösung zur Identifizierung riskanter Aktivitäten, zur Bewertung des mit Benutzern und Anmeldungen verbundenen Risikoniveaus und zur Anwendung von Korrekturrichtlinien in Echtzeit, um die Identitäten Ihres Unternehmens zu schützen [2].

In diesem praktischen Leitfaden werden die grundlegenden Konzepte von Azure AD Identity Protection behandelt, einschließlich Risikoerkennungstypen, Benutzer- und Anmelderisikorichtlinien, Konfigurieren dieser Richtlinien, Integration mit Azure AD Conditional Access sowie Risikountersuchung und -behebung. Es werden Schritt-für-Schritt-Anleitungen und Konfigurationsbeispiele bereitgestellt, damit der Leser Azure AD Identity Protection implementieren und validieren, die Sicherheit seiner Identitäten stärken und eine wirksame Reaktion auf Identitätssicherheitsvorfälle auf autonome, professionelle und zuverlässige Weise gewährleisten kann.

Warum ist Azure AD Identity Protection so wichtig?

  • Risikoerkennung in Echtzeit: Nutzt maschinelles Lernen und Threat-Intelligence-Algorithmen von Microsoft, um verdächtige Aktivitäten wie Anmeldungen von anonymen Standorten, infizierte IP-Adressen, unmögliche Reisen und durchgesickerte Anmeldeinformationen automatisch zu erkennen.
  • Adaptive Risikobewertung: Weist jedem Benutzer und jeder Eingabe basierend auf einer Vielzahl von Faktoren eine Risikostufe (niedrig, mittel, hoch) zu und ermöglicht so angemessene Reaktionen auf die Bedrohung.
  • Automatisierte Korrekturrichtlinien: Ermöglicht Ihnen die Konfiguration von Richtlinien, die automatisch MFA erfordern, Kennwörter zurücksetzen oder den Zugriff als Reaktion auf bestimmte Risikostufen blockieren.
  • Integration des bedingten Zugriffs: Funktioniert in Verbindung mit dem bedingten Zugriff von Azure AD, um adaptive Zugriffskontrollen basierend auf dem Identitätsrisiko durchzusetzen.
  • Sichtbarkeit und Untersuchung: Bietet detaillierte Berichte über Risikoerkennungen, Risikobenutzer und Risikoeingaben und erleichtert so die Untersuchung und Reaktion auf Vorfälle.
  • SOC-Arbeitslast reduzieren: Automatisiert die Triage und Behebung vieler Identitätsvorfälle, sodass sich das Sicherheitspersonal auf komplexere Bedrohungen konzentrieren kann.

Voraussetzungen

Um Azure AD Identity Protection verwenden zu können, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Azure AD Identity Protection erfordert eine Microsoft Entra ID P2-Lizenz (ehemals Azure AD Premium P2) [3].
  2. Administratorzugriff: Ein Konto mit der Rolle „Sicherheitsadministrator“, „Administrator für bedingten Zugriff“ oder „Globaler Administrator“ im Azure-Portal („https://portal.azure.com“).
  3. MFA konfiguriert: Damit Anmelde- und Benutzerrisikorichtlinien effektiv funktionieren, müssen Benutzer die Multi-Faktor-Authentifizierung (MFA) konfiguriert und registriert haben. Die Verwendung der Azure AD Multi-Faktor-Authentifizierung wird empfohlen.

Schritt für Schritt: Azure AD Identity Protection konfigurieren

Wir konfigurieren Risikorichtlinien, um Ihre Identitäten zu schützen.

1. Zugriff auf Azure AD Identity Protection

  1. Öffnen Sie Ihren Browser und navigieren Sie zum Azure-Portal: „https://portal.azure.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  3. Geben Sie im oberen Suchfeld „Azure AD Identity Protection“ ein und wählen Sie es aus den Ergebnissen aus.

2. Konfigurieren der Benutzerrisikorichtlinie

Diese Richtlinie definiert die Aktion, die ausgeführt werden soll, wenn ein Benutzer erkannt wirdals gefährdet eingestuft (z. B. durchgesickerte Zugangsdaten, anhaltende anomale Aktivitäten).

  1. Wählen Sie im linken Navigationsbereich von Azure AD Identity Protection Benutzerrisikorichtlinien aus.

  2. Verantwortlichkeiten:

    • Wählen Sie unter „Benutzer“ „Alle Benutzer“ oder „Einzelpersonen und Gruppen auswählen“, um die Richtlinie auf bestimmte Benutzer oder Testgruppen anzuwenden. Zunächst empfiehlt es sich, sich bei einer Testgruppe zu bewerben.
    • Optional können Sie „Benutzer und Gruppen löschen“ (z. B. Dienstkonten, Notfalladministratoren).

  3. Bedingungen:

    • Legen Sie unter „Benutzerrisiko“ die Risikostufe fest, die die Richtlinie auslösen soll (z. B. „Hoch“). Sie können mit „Mittel und höher“ beginnen und nach Bedarf anpassen.

  4. Kontrollen:

    • Zugriff: Wählen Sie „Zugriff zulassen“.
    • Richtlinie erzwingen: Wählen Sie „Änderung des sicheren Passworts erforderlich“.
      • Erklärung: Wenn ein Benutzer die konfigurierte Risikostufe erreicht, wird er gezwungen, sein Passwort bei der nächsten Anmeldung zu ändern. Dies ist entscheidend für durchgesickerte Zugangsdaten.

  5. Richtlinie aktivieren: Auf „Ein“ setzen.

  6. Klicken Sie auf Speichern.

3. Konfigurieren der Anmelderisikorichtlinie

Diese Richtlinie definiert die zu ergreifende Aktion, wenn ein Anmeldeversuch als riskant erkannt wird (z. B. von einem ungewöhnlichen Standort, anonymer IP, infizierter IP).

  1. Wählen Sie im linken Navigationsbereich von Azure AD Identity Protection Richtlinien für eingehende Risiken aus.

  2. Verantwortlichkeiten:

    • Wählen Sie unter „Benutzer“ „Alle Benutzer“ oder „Einzelpersonen und Gruppen auswählen“.
    • Optional können Sie „Benutzer und Gruppen löschen“.

  3. Bedingungen:

    • Definieren Sie unter „Eingaberisiko“ die Risikostufe, die die Richtlinie auslöst (z. B. „Mittel“).

  4. Kontrollen:

    • Zugriff: Wählen Sie „Zugriff zulassen“.
    • Richtlinie erzwingen: Wählen Sie „Multi-Faktor-Authentifizierung erforderlich“ aus.
      • Erklärung: Wenn ein Eintrag als riskant erkannt wird, muss der Benutzer eine MFA-Herausforderung abschließen, auch wenn dies normalerweise nicht erforderlich ist. Dies hilft, die Identität des Benutzers zu überprüfen.

  5. Richtlinie aktivieren: Auf „Ein“ setzen.

  6. Klicken Sie auf Speichern.

4. Konfigurieren der Registrierungs-MFA-Richtlinie

Diese Richtlinie stellt sicher, dass neue Benutzer oder Benutzer, die MFA noch nicht registriert haben, dazu aufgefordert werden, was eine Voraussetzung für Risikorichtlinien ist.

  1. Wählen Sie im linken Navigationsbereich von Azure AD Identity Protection MFA-Registrierungsrichtlinie aus.

  2. Verantwortlichkeiten:

    • Wählen Sie unter „Benutzer“ „Alle Benutzer“ oder „Einzelpersonen und Gruppen auswählen“.
    • Optional können Sie „Benutzer und Gruppen löschen“.

  3. Richtlinie erzwingen: Auf „Aktiviert“ setzen.

  4. Klicken Sie auf Speichern.

5. Untersuchung riskanter Benutzer und Eingaben

Identity Protection stellt Berichte zur Überwachung und Untersuchung riskanter Aktivitäten bereit.

  1. Wählen Sie im linken Navigationsbereich von Azure AD Identity Protection Risikobenutzer aus.

    • In diesem Bericht werden Benutzer aufgeführt, die als gefährdet erkannt wurden, zusammen mit ihrer Risikostufe und der letzten Risikoerkennung.

  2. Klicken Sie auf einen Benutzer, um die Risikodetails anzuzeigen, einschließlich spezifischer Risikoerkennungen (z. B. „Durchgesickerte Anmeldeinformationen“, „Anonymer IP-Eintrag“).

  3. Wählen Sie im linken Navigationsbereich Risikoeingaben aus.

    • In diesem Bericht werden Anmeldeversuche aufgeführt, die als riskant erkannt wurden, zusammen mit der Risikostufe und den Anmeldedetails.

  4. Klicken Sie auf einen Risikoeintrag, um alle Details anzuzeigen, einschließlich Erkennungstyp, Standort, Gerät und Anwendung.

6. Risiken manuell beheben

Obwohl Richtlinien die Behebung automatisieren, müssen Sie Risiken möglicherweise manuell beheben.

  1. Für riskante Benutzer:

    • Wählen Sie im Bericht „Risikobenutzer“ einen Benutzer aus.
    • Sie können „Benutzerkompromittierung bestätigen“ (dies löst die Benutzerrisikorichtlinie aus und erzwingt eine Passwortänderung) oder „Benutzerrisiko verwerfen“ (wenn Sie feststellen, dass das Risiko falsch positiv ist).

  2. Für Risikoeingaben:

    • Wählen Sie im Bericht „Risikoeingaben“ einen Eintrag aus.
    • Sie können „Kompromittierung bestätigen“ oder „Sicherheit bestätigen“ wählen (wenn es sich um ein falsches Positiv handelt).

Validierung und Tests

Das Testen von Azure AD Identity Protection ist von entscheidender Bedeutung, um sicherzustellen, dass Richtlinien ordnungsgemäß funktionieren.wie erwartet.

1. Inbound Risk Simulation (Anonymous IP)

  1. Verwenden Sie ein VPN oder einen Proxy, um eine Verbindung zum Internet von einem anderen Standort als Ihrem üblichen Arbeitsplatz aus herzustellen, der als anonyme IP-Adresse klassifiziert werden kann (z. B. ein öffentlicher Proxyserver, Tor).

  2. Versuchen Sie, sich mit einem Testkonto beim Azure-Portal oder einer mit Azure AD verbundenen Anwendung anzumelden.

    • Erwartetes Ergebnis: Wenn die Anmelderisikorichtlinie auf „Mittel“ oder „Hoch“ und „Mehrfaktorauthentifizierung erforderlich“ eingestellt ist, sollten Sie aufgefordert werden, MFA abzuschließen. Wenn das Risiko „Hoch“ ist und die Richtlinie auf „Zugriff blockieren“ eingestellt ist, wird der Zugriff verweigert.

  3. Überprüfen Sie den Bericht „Risikoeinträge“ in Azure AD Identity Protection. Für das Testkonto sollte ein Risikoeintrag mit dem Erkennungstyp „Anonymer IP-Eintrag“ angezeigt werden.

2. User Risk Simulation (Leaked Credentials)

Sie können durchgesickerte Anmeldeinformationen nicht direkt simulieren, aber Sie können die Benutzerrisikorichtlinie testen, indem Sie einen Testbenutzer manuell auf die Risikostufe „Hoch“ setzen (nur zu Testzwecken in einer kontrollierten Umgebung).

  1. Wählen Sie im Bericht „Risikobenutzer“ einen Testbenutzer aus.
  2. Klicken Sie auf „Kompromittierten Benutzer bestätigen“ (dadurch wird das Benutzerrisiko auf „Hoch“ gesetzt und die Richtlinie ausgelöst).
  3. Ask the test user to try to log in.
    • Erwartetes Ergebnis: Der Benutzer sollte bei der nächsten Anmeldung aufgefordert werden, sein Passwort zu ändern, wie in der Benutzerrisikorichtlinie konfiguriert.

3. Checking Audit Logs and Input Logs

  1. Navigieren Sie im Azure-Portal zu „Azure Active Directory“ > „Überwachung“ > „Eingehende Protokolle“.
  2. Filtern Sie die Protokolle nach „Eingaberisikostatus“ und „Benutzerrisikostatus“, um ausgewertete Eingaben und ergriffene Maßnahmen anzuzeigen.

Sicherheitstipps und Best Practices

  • Beginnen Sie mit dem Berichtsmodus: Beginnen Sie beim Konfigurieren von Risikorichtlinien mit dem Modus „Nur Bericht“, um die Auswirkungen der Richtlinien zu verstehen, bevor Sie sie im Durchsetzungsmodus anwenden. Dies hilft, Fehlalarme zu erkennen, ohne die Benutzer zu unterbrechen.
  • Benutzerschulung: Informieren Sie Benutzer über die Bedeutung von MFA und wie sie auf Passwortänderungsanfragen oder MFA-Herausforderungen reagieren sollen. Erklären Sie ihnen die Vorteile des Identitätsschutzes.
  • Integration mit bedingtem Zugriff: Verwenden Sie Identitätsschutz in Verbindung mit bedingtem Zugriff, um ausgefeiltere adaptive Zugriffsrichtlinien zu erstellen. Blockieren Sie beispielsweise den Zugriff auf kritische Anwendungen, wenn das Eintrittsrisiko „hoch“ ist.
  • Kontinuierliche Überwachung: Überwachen Sie regelmäßig die Berichte „Risikobenutzer“ und „Risikoeingaben“, um verdächtige Aktivitäten zu untersuchen und sicherzustellen, dass Richtlinien wie erwartet funktionieren.
  • Regelmäßige Überprüfung der Richtlinien: Überprüfen und passen Sie Ihre Risikorichtlinien regelmäßig an, um sie an Änderungen in der Bedrohungslandschaft und den Geschäftsanforderungen anzupassen.
  • SIEM/SOAR-Integration: Integrieren Sie Azure AD Identity Protection-Warnungen mit Ihrem SIEM (z. B. Microsoft Sentinel) für eine zentrale Ansicht und eine umfassendere Automatisierung der Reaktion auf Vorfälle.
  • Privilegierte Benutzer priorisieren: Konzentrieren Sie sich auf den Schutz hochprivilegierter Benutzer (Administratoren) mit den strengsten Risikorichtlinien.

Allgemeine Fehlerbehebung

  • Benutzer werden nicht zur Änderung von MFA/Passwort aufgefordert: Stellen Sie sicher, dass der Benutzer über eine Azure AD P2-Lizenz verfügt. Stellen Sie sicher, dass die Risikorichtlinien „Aktiviert“ sind und der Benutzer in den Zuweisungen enthalten ist. Check if the user has already registered MFA.
  • Falsch-positive Risikomeldungen: Untersuchen Sie Risikoerkennungen, um zu verstehen, warum sie ausgelöst wurden. Sie können „Sicherheit bestätigen“ für Einträge oder „Benutzerrisiko verwerfen“ für Benutzer wählen, wenn Sie sicher sind, dass keine Bedrohung vorliegt. Passen Sie die Bedingungen der Risikorichtlinie bei Bedarf an (z. B. erhöhen Sie das Risikoniveau, das die Richtlinie auslöst).
  • Benutzer fälschlicherweise blockiert: Wenn die Anmelderisikorichtlinie auf „Zugriff blockieren“ für ein „mittleres“ oder „geringes“ Risiko eingestellt ist, kann dies zu übermäßigen Blockierungen führen. Review the risk level and policy action. Erwägen Sie bei mittleren Risiken die Verwendung von „Multi-Faktor-Authentifizierung erforderlich“ anstelle von „Zugriff blockieren“.
  • MFA-Registrierungsprobleme: Stellen Sie sicher, dass die MFA-Registrierungsrichtlinie „Aktiviert“ ist und Benutzer enthalten sindDu. Suchen Sie nach anderen Richtlinien für bedingten Zugriff, die möglicherweise störend sein könnten.
  • Risikoerkennungen werden nicht angezeigt: Stellen Sie sicher, dass Identity Protection aktiviert ist und Authentifizierungsdatenverkehr in Ihrem Azure AD vorhanden ist. Es kann einige Zeit dauern, bis Risikoerkennungen angezeigt werden, insbesondere bei Benutzerrisiken.

Fazit

Azure AD Identity Protection ist ein unverzichtbares Tool zum Schutz von Identitäten in modernen cloudbasierten Umgebungen. Durch die Automatisierung der Erkennung und Behebung von Identitätsrisiken können Unternehmen schnell auf Bedrohungen reagieren, die Angriffsfläche verringern und ihre allgemeine Sicherheitslage stärken. Durch die sorgfältige Umsetzung von Risikorichtlinien in Kombination mit Benutzerschulung und kontinuierlicher Überwachung können Sicherheitsteams die kritischsten Identitäten proaktiv schützen. Mit diesem praktischen Leitfaden sind Sicherheitsexperten gut gerüstet, um Azure AD Identity Protection zu konfigurieren, zu validieren und zu verwalten und sicherzustellen, dass ihre Identitäten sicher und widerstandsfähig gegen sich ständig weiterentwickelnde Cyber-Bedrohungen bleiben.

Referenzen:

[1] Microsoft Learn. Was ist Microsoft Entra ID Protection?. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection [2] Microsoft Learn. Was sind Risikoerkennungen?. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/id-protection/concept-identity-protection-risks [3] Microsoft Learn. Lizenzanforderungen für Microsoft Entra ID Protection. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection#license-requirements [4] Microsoft Learn. Konfigurieren Sie Risikorichtlinien für Microsoft Entra ID Protection. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-configure-risk-policies [5] Microsoft Learn. Untersuchen Sie Risiken mit Microsoft Entra ID Protection. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-investigate-risk [6] Microsoft Learn. Risiken beseitigen und Benutzer entsperren. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-remediate-unblock