Verwendung von Microsoft Defender for Identity zur Erkennung komplexer Angriffe

Verwendung von Microsoft Defender for Identity zur Erkennung komplexer Angriffe

14.07.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Verwendung von Microsoft Defender for Identity (MDI) helfen, einer cloudbasierten Sicherheitslösung, die lokale Active Directory-Signale nutzt, um komplexe Bedrohungen und kompromittierte Identitäten zu identifizieren, zu erkennen und zu untersuchen. MDI ist ein integraler Bestandteil der Microsoft 365 Defender-Suite und bietet wichtige Einblicke in verdächtige Aktivitäten in der Identitätsumgebung [1].

Einführung

Identitäten sind der neue Sicherheitsbereich. Moderne Cyberangriffe zielen häufig darauf ab, Benutzer- und Administratoranmeldeinformationen zu kompromittieren, um privilegierten Zugriff zu erhalten, laterale Bewegungen durchzuführen und Daten zu exfiltrieren. Herkömmliche Netzwerksicherheitslösungen reichen oft nicht aus, um diese raffinierten Taktiken zu erkennen. Microsoft Defender for Identity schließt diese Lücke, indem es den Netzwerkverkehr und die Ereignisprotokolle von Domänencontrollern überwacht, um anomale Verhaltensweisen zu identifizieren, die auf Identitätsangriffe wie Pass-the-Hash, Pass-the-Ticket, Netzwerkaufklärung und Rechteausweitung hinweisen [2].

Dieser praktische Leitfaden behandelt die Konfiguration und Verwendung von MDI, von der Bereitstellung von Sensoren über die Analyse von Warnungen bis hin zur Untersuchung von Vorfällen. Es werden Schritt-für-Schritt-Anleitungen, Beispielerkennungen und Validierungsmethoden bereitgestellt, damit Leser den Schutz ihrer Identitäten implementieren und verstärken, die Risikoexposition verringern und die Reaktionsfähigkeit auf komplexe Bedrohungen in ihrer Microsoft-Umgebung verbessern können.

Warum ist Microsoft Defender for Identity so wichtig?

  • Identitätsbasierte Angriffserkennung: Identifiziert gängige Taktiken, Techniken und Verfahren (TTPs), die bei Identitätsangriffen wie Pass-the-Hash, Pass-the-Ticket, Golden Ticket, Netzwerkaufklärung und Privilegieneskalation verwendet werden.
  • Umfassende Sichtbarkeit: Überwacht den Netzwerkverkehr von Domänencontrollern und Ereignisprotokollen, um ein Profil des normalen Benutzerverhaltens zu erstellen und Anomalien zu erkennen.
  • Integration mit Microsoft 365 Defender: Korreliert MDI-Warnungen mit Signalen von anderen Defender-Lösungen (Endpoint, Office 365, Cloud Apps) für eine einheitliche Ansicht von Vorfällen.
  • Verhaltensanalyse: Verwendet maschinelles Lernen und Verhaltensanalysen, um Bedrohungen zu erkennen, die von herkömmlichen Signaturen unbemerkt bleiben würden.
  • False Positives reduzieren: Microsoft Threat Intelligence und Verhaltensprofilierung hilft Ihnen, den Lärm zu durchdringen und sich auf echte Bedrohungen zu konzentrieren.

Voraussetzungen

Um Microsoft Defender for Identity zu implementieren, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Eine Microsoft 365 E5 Security-, Microsoft 365 E5-, Enterprise Mobility + Security E5-Lizenz oder eine eigenständige Defender for Identity-Lizenz [3].
  2. Administratorzugriff: Ein Konto mit der Rolle „Globaler Administrator“ oder „Sicherheitsadministrator“ im Microsoft 365 Defender-Portal („https://security.microsoft.com“).
  3. Active Directory Local: Eine lokale Active Directory-Domäne mit mindestens einem Domänencontroller.
  4. Server für Sensor (optional, aber empfohlen): Ein Windows Server-Server (2012 R2 oder höher) zur Installation des eigenständigen MDI-Sensors, wenn Sie ihn nicht direkt auf den Domänencontrollern installieren möchten. Bei Installation auf einem Domänencontroller nutzt der Sensor Ressourcen vom DC.
  5. Netzwerkkonnektivität: Der Sensorserver (oder Domänencontroller) muss über ausgehende Konnektivität zu den Cloud-MDI-Dienstendpunkten verfügen (TCP-Port 443).

Schritt für Schritt: Konfigurieren und Verwenden von Microsoft Defender for Identity

Wir behandeln den Sensoreinsatz und die Alarmanalyse.

1. Zugriff auf das Microsoft 365 Defender-Portal und Konfigurieren von MDI

  1. Öffnen Sie Ihren Browser und navigieren Sie zu „https://security.microsoft.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  3. Wählen Sie im linken Navigationsbereich Einstellungen > Identitäten.
  4. Auf der Seite mit den Identitätseinstellungen sehen Sie den Status Ihrer MDI-Umgebung. Wenn es noch nicht eingerichtet ist, befolgen Sie die Anweisungen, um mit der Einrichtung zu beginnen.

2. Herunterladen und Installieren von Microsoft Defender für Identity Sensor

Der MDI-Sensor kann direkt in die Dom-Controller eingebaut werdeninium oder auf einem dedizierten Server (Standalone-Sensor).

  1. Gehen Sie im Microsoft 365 Defender-Portal zu Einstellungen > Identitäten > Sensoren.
  2. Klicken Sie auf Sensor hinzufügen.

  3. Kopieren Sie den „Zugriffsschlüssel“ und laden Sie das „Sensor-Installationspaket“ herunter.

  4. Auf dem Server (Domänencontroller oder dedizierter Server), auf dem Sie den Sensor installieren möchten:

    • Führen Sie das Installationspaket („Azure Advanced Threat Protection Sensor Setup.exe“) aus.
    • Befolgen Sie die Anweisungen des Assistenten. Fügen Sie den „Zugriffsschlüssel“ ein, wenn Sie dazu aufgefordert werden.
    • Hinweis für eigenständigen Sensor: Wenn Sie einen eigenständigen Sensor installieren, stellen Sie sicher, dass die Portspiegelung auf Ihren Netzwerk-Switches konfiguriert ist, um Netzwerkverkehr von Domänencontrollern an die Netzwerkschnittstelle des eigenständigen Sensors zu senden.

  5. Nach der Installation sollte der Sensor auf der Seite Sensoren des MDI-Portals als „Wird ausgeführt“ angezeigt werden.

3. Konfigurieren der Sensoreinstellungen

Es ist wichtig, die Sensoreinstellungen zu konfigurieren, um eine optimale Erkennung zu gewährleisten.

  1. Gehen Sie im Microsoft 365 Defender-Portal zu Einstellungen > Identitäten > Sensoren.
  2. Klicken Sie auf einen Sensor, um seine Einstellungen zu bearbeiten.
  3. Prüfen und konfigurieren:
    • Domänencontroller: Stellen Sie sicher, dass alle relevanten Domänencontroller aufgelistet sind.
    • Konten synchronisieren: Wenn Sie über mehrere Active Directory-Gesamtstrukturen verfügen, konfigurieren Sie Synchronisierungskonten für jede Gesamtstruktur.
    • Ausschlüsse: (Mit Vorsicht) Konfigurieren Sie Ausschlüsse für Entitäten oder Aktivitäten, von denen Sie wissen, dass sie legitim sind und falsch positive Ergebnisse generieren.

4. Sicherheitswarnungen analysieren

MDI generiert Warnungen, wenn es verdächtige oder böswillige Aktivitäten erkennt. Diese Warnungen sind im Microsoft 365 Defender-Portal sichtbar.

  1. Wählen Sie im linken Navigationsbereich des Microsoft 365 Defender-Portals Vorfälle und Warnungen > Warnungen aus.
  2. Filtern Sie Warnungen nach „Dienst“ = „Microsoft Defender for Identity“.
  3. Klicken Sie auf eine Warnung, um Details anzuzeigen, einschließlich:
    • Beschreibung: Erklärt die Art des Angriffs.
    • Betroffene Einheiten: Beteiligte Benutzer, Computer und Ressourcen.
    • Zeitleiste des Angriffs: Eine visuelle Darstellung der Abfolge der Ereignisse.
    • Empfohlene Maßnahmen: Schritte zur Untersuchung und Behebung der Warnung.

5. Vorfälle untersuchen

MDI korreliert verwandte Warnungen über Vorfälle hinweg und bietet so eine einheitliche Sicht auf einen Angriff.

  1. Wählen Sie im linken Navigationsbereich des Microsoft 365 Defender-Portals Vorfälle und Warnungen > Vorfälle aus.
  2. Klicken Sie auf einen Vorfall, um alle Warnungen und zugehörigen Entitäten sowie den vollständigen Angriffsverlauf anzuzeigen.
  3. Verwenden Sie Untersuchungstools, um die Analyse zu vertiefen, z. B. „Advanced Hunting“ für benutzerdefinierte KQL-Abfragen (Kusto Query Language).

Validierung und Tests

Die Validierung des MDI ist wichtig, um sicherzustellen, dass es Bedrohungen korrekt erkennt und Warnungen generiert.

1. Simulation eines Pass-the-Hash (PtH)-Angriffs

Um einen PtH-Angriff zu simulieren, benötigen Sie eine Testumgebung mit einem Domänencontroller und einem Client-Computer. Dieser Test muss mit äußerster Vorsicht und nur in kontrollierten Umgebungen durchgeführt werden.

  1. Verwenden Sie auf einem Client-Computer ein Tool wie Mimikatz, um den NTLM-Hash für einen privilegierten Benutzer (z. B. „Administrator“) zu extrahieren.
    • Befehl (Beispiel: erfordert erhöhte Berechtigungen): „cmd Privileg::Debug sekurlsa::logonpasswords „
  2. Versuchen Sie mit dem erhaltenen Hash, sich ohne das echte Passwort bei einem anderen Computer im Netzwerk zu authentifizieren.
    • Befehl (Beispiel: erfordert erhöhte Berechtigungen): „cmd sekurlsa::pth /user:Administrator /domain:mydomain.com /ntlm:HASH_DO_ADMIN /run:cmd.exe „
  3. Warten Sie einige Minuten.
  4. Überprüfen Sie das Microsoft 365 Defender-Portal auf eine „Verdächtige seitliche Bewegung (Pass-the-Hash)“ oder eine ähnliche Warnung von Microsoft Defender for Identity.

2. Simulation einer Netzwerkaufklärung

  1. Führen Sie auf einem Testcomputer einen Netzwerkerkennungsbefehl aus, den MDI erkennen kann.
    • Befehl (Beispiel-LDAP-Abfrage für alle Benutzer): „cmd nltest /domain_trusts „ oder „cmd dsquery-Benutzer -limit 0 „
  2. Warten Sie einige Minuten.
  3. Überprüfen Sie das Microsoft 36-Portal5 Schützen Sie sich vor einer „Netzwerkbekanntheit (Benutzer-/Gruppenaufzählung)“ oder einer ähnlichen Warnung von Microsoft Defender for Identity.

Sicherheitstipps und Best Practices

  • Vollständige Abdeckung des Domänencontrollers: Installieren Sie MDI-Sensoren auf allen Domänencontrollern, um eine vollständige Abdeckung des Authentifizierungsverkehrs und der Protokolle sicherzustellen.
  • Korrekte Portspiegelung: Stellen Sie bei eigenständigen Sensoren sicher, dass die Portspiegelung richtig konfiguriert ist, um den gesamten relevanten Datenverkehr zu erfassen.
  • Kontinuierliche Warnungsüberwachung: Überwachen Sie aktiv von MDI generierte Warnungen im Microsoft 365 Defender-Portal und untersuchen Sie sie umgehend.
  • SIEM/SOAR-Integration: Integrieren Sie MDI-Warnungen in Ihr SIEM (z. B. Microsoft Sentinel) oder SOAR, um die Reaktion auf Vorfälle zu automatisieren und mit anderen Sicherheitsdaten zu korrelieren.
  • Active Directory-Hygiene: Halten Sie Active Directory sauber und sicher, indem Sie inaktive Konten entfernen, das Prinzip der geringsten Rechte anwenden und privilegierte Konten schützen.
  • Schutz privilegierter Konten: Implementieren Sie PIM (Privileged Identity Management) in Verbindung mit MDI, um privilegierte Konten zusätzlich zu schützen.
  • Patches und Updates: Halten Sie Domänencontroller und Server, auf denen MDI-Sensoren gehostet werden, mit den neuesten Sicherheitspatches auf dem neuesten Stand.

Allgemeine Fehlerbehebung

  • Sensor wird nicht als „Wird ausgeführt“ angezeigt: Überprüfen Sie die Netzwerkkonnektivität des Sensors zum Cloud-MDI-Dienst (Port 443). Überprüfen Sie die Ereignisprotokolle auf dem Sensorserver auf Installations- oder Kommunikationsfehler. Starten Sie den Sensordienst neu.
  • Keine Warnung generiert: Überprüfen Sie, ob der Sensor „In Betrieb“ ist. Stellen Sie sicher, dass der Netzwerkverkehr von den Domänencontrollern korrekt auf den eigenständigen Sensor gespiegelt wird (falls zutreffend). Suchen Sie nach konfigurierten Ausschlüssen, die möglicherweise die Erkennung verhindern.
  • Falsch-positive Warnungen: Untersuchen Sie die Warnungsdetails. Möglicherweise müssen Sie Ausschlüsse oder Einstellungen anpassen, um das Rauschen zu reduzieren. Gehen Sie dabei jedoch vorsichtig vor, um echte Bedrohungen nicht zu ignorieren.
  • Leistungsprobleme mit dem Domänencontroller: Wenn der MDI-Sensor direkt auf einem Domänencontroller installiert ist und Leistungsprobleme auftreten, überprüfen Sie die Hardwareanforderungen und erwägen Sie die Installation eines eigenständigen Sensors auf einem dedizierten Server.
  • Probleme mit der Domänensynchronisierung: Stellen Sie sicher, dass die Synchronisierungskonten für jede AD-Gesamtstruktur in den MDI-Einstellungen korrekt konfiguriert sind.

Fazit

Microsoft Defender for Identity ist ein wesentliches Tool zur Abwehr komplexer Angriffe, die auf die Identitätsinfrastruktur einer Organisation abzielen. Durch die Bereitstellung umfassender Einblicke in Active Directory und die Erkennung von anomalem Verhalten in Echtzeit versetzt MDI Sicherheitsteams in die Lage, Bedrohungen wie laterale Bewegungen, Rechteausweitung und Kompromittierung von Anmeldeinformationen schnell zu erkennen und darauf zu reagieren. Durch die sorgfältige Implementierung von MDI in Kombination mit Best Practices für die Identitätssicherheit und der Integration mit anderen Microsoft 365 Defender-Lösungen wird die allgemeine Sicherheitslage erheblich gestärkt. Mit diesem praktischen Leitfaden können Sicherheitsexperten Microsoft Defender for Identity verwenden, um ihre wertvollsten Identitäten zu schützen und so eine sicherere und widerstandsfähigere Umgebung gegen die ausgefeiltesten Taktiken der Angreifer zu gewährleisten.

Referenzen:

[1] Microsoft Learn. Was ist Microsoft Defender for Identity?. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-for-identity/what-is [2] Microsoft Learn. Überblick über die Bereitstellung von Microsoft Defender for Identity. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-for-identity/deploy/deploy-defender-identity [3] Microsoft Learn. Microsoft Defender for Identity-Lizenzanforderungen. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-for-identity/what-is#licensing-requirements