Was ist Microsoft Entra ID Protection?

Microsoft Entra ID Protection unterstützt Organisationen dabei, identitätsbasierte Risiken zu erkennen, zu untersuchen und zu beseitigen. Diese identitätsbasierten Risiken können auch im Rahmen des bedingten Zugriffs genutzt werden, um Zugriffsentscheidungen zu treffen oder zur weiteren Untersuchung und Korrelation an ein SIEM-Tool (Security Information & Event Management) übergeben werden.

Diagramm: Funktionsweise von ID Protection.

Erkennen von Risiken

Microsoft fügt kontinuierlich Erkennungen unserem Katalog hinzu und aktualisiert diese, um Organisationen zu schützen. Diese Erkennungen stammen aus unseren Erkenntnissen aus der Analyse von Billionen von Signalen, die täglich aus Active Directory, Microsoft-Konten und beim Spielen mit Xbox eingehen. Diese breite Palette von Signalen hilft ID Protection, riskante Verhaltensweisen zu erkennen, z. B.:

  • Verwendung anonymer IP-Adressen
  • Kennwortspray-Angriffe
  • Kompromittierte Anmeldeinformationen
  • und vieles mehr...

Bei jeder Anmeldung führt der ID-Schutz alle Echtzeit-Anmeldeerkennungen durch und erstellt eine Risikostufe für die Anmeldesitzung, die angibt, wie wahrscheinlich die Anmeldung kompromittiert ist. Basierend auf dieser Risikostufe werden dann Richtlinien angewendet, um Benutzer*innen und die Organisation zu schützen.

Eine vollständige Liste der Risiken und deren Erkennung finden Sie im Artikel Was ist Risiko.

Untersuchen

Alle bei einer Identität erkannten Risiken werden in Berichten nachverfolgt. ID Protection stellt drei wichtige Berichte für Administratoren bereit, um Risiken zu untersuchen und Maßnahmen zu ergreifen:

  • Risikoerkennungen: Jedes erkannte Risiko wird als Risikoerkennung gemeldet.
  • Riskante Anmeldungen: Eine riskante Anmeldung wird gemeldet, wenn mindestens eine Risikoerkennung für diese Anmeldung gemeldet wird.
  • Risikobenutzer*innen: Risikobenutzer*innen werden gemeldet, wenn mindestens einer der beiden folgenden Punkte zutrifft:
    • Der Benutzer verfügt über eine oder mehrere riskante Anmeldungen.
    • Mindestens eine Risikoerkennung wird gemeldet.

Weitere Informationen zur Verwendung der Berichte finden Sie im Artikel Vorgehensweise: Untersuchen des Risikos.

Beseitigen von Risiken

Warum ist Automatisierung für die Sicherheit von entscheidender Bedeutung?

Im Blogbeitrag Cyber-Signale: Abwehren von Cyberbedrohungen mithilfe neuester Forschungserkenntnisse und Trends vom 3. Februar 2022 hat Microsoft eine kurze Threat Intelligence-Beschreibung einschließlich folgender Statistiken geteilt:

Analysiert... 24 Billionen mit Intelligenz kombinierte Sicherheitssignale, die wir durch Überwachung von mehr als 40 nationalstaatlichen Gruppen und über 140 Bedrohungsgruppen verfolgen...

... Von Januar 2021 bis Dezember 2021 haben wir bei der Microsoft Entra-Authentifizierung mehr als 25,6 Milliarden Brute Force-Angriffe blockiert...

Das schiere Ausmaß an Signalen und Angriffen erfordert einen gewissen Grad von Automatisierung, nur um Schritt halten zu können.

Automatische Korrektur

Risikobasierte Richtlinien für bedingten Zugriff können aktiviert werden, um Zugriffskontrollen zu erfordern, z. B. die Bereitstellung einer starken Authentifizierungsmethode, die Multi-Faktor-Authentifizierung oder die Durchführung einer sicheren Kennwortzurücksetzung basierend auf der erkannten Risikostufe. Wenn der Benutzer die Zugangskontrolle erfolgreich abschließt, wird das Risiko automatisch beseitigt.

Manuelle Korrektur

Wenn die Benutzerkorrektur nicht aktiviert ist, muss ein Administrator sie manuell in den Berichten im Portal, über die API oder in Microsoft 365 Defender überprüfen. Administratoren können manuelle Aktionen ausführen, um die Risiken zu verwerfen, als sicher zu bestätigen oder eine Kompromittierung zu bestätigen.

Nutzung der Daten

Daten aus ID Protection können zur Archivierung sowie für weitere Untersuchungen und Korrelationsschritte in andere Tools exportiert werden. Dank der Microsoft Graph-basierten APIs können Organisationen diese Daten zur weiteren Verarbeitung in einem Tool (beispielsweise SIEM) sammeln. Der Zugriff auf die ID Protection-API wird im Artikel Erste Schritte mit Microsoft Entra ID Protection und Microsoft Graph erläutert

Informationen zur Integration von ID Protection-Informationen in Microsoft Sentinel finden Sie im Artikel Verknüpfen von Daten aus Microsoft Entra ID Protection.

Organisationen könnten Daten über einen längeren Zeitraum speichern, indem sie die Diagnoseeinstellungen in Microsoft Entra ID ändern. Sie können Daten an einen Log Analytics-Arbeitsbereich senden, Daten in einem Speicherkonto archivieren, Daten an Event Hubs streamen oder Daten an eine andere Lösung senden. Ausführliche Informationen dazu finden Sie im Artikel Anleitung: Exportieren von Risikodaten.

Erforderliche Rollen

Der Identitätsschutz erfordert, dass Benutzern mindestens eine der folgenden Rollen zugewiesen wird, damit sie Zugriff erhalten.

Rolle Möglich Nicht möglich
Sicherheitsadministrator Vollzugriff auf ID Protection Zurücksetzen des Kennworts für einen Benutzer
Sicherheitsoperator Anzeigen aller ID Protection-Berichte und der Übersicht

Ignorieren des Benutzerrisikos, Bestätigen der sicheren Anmeldung, Bestätigen der Kompromittierung
Konfigurieren oder Ändern von Richtlinien

Zurücksetzen des Kennworts für einen Benutzer

Konfigurieren von Warnungen
Sicherheitsleseberechtigter Anzeigen aller ID Protection-Berichte und der Übersicht Konfigurieren oder Ändern von Richtlinien

Zurücksetzen des Kennworts für einen Benutzer

Konfigurieren von Warnungen

Bereitstellen von Feedback zu Erkennungen
Globaler Leser Schreibgeschützter Zugriff auf ID Protection
Benutzeradministrator Zurücksetzen von Benutzerkennwörtern

Derzeit kann die Rolle „Sicherheitsoperator“ nicht auf den Bericht „Riskante Anmeldungen“ zugreifen.

Administratoren für bedingten Zugriff können Richtlinien erstellen, bei denen das Benutzer- oder Anmelderisiko als Bedingung berücksichtigt wird. Weitere Informationen finden Sie im Artikel Bedingter Zugriff: Bedingungen.

Lizenzanforderungen

Für die Verwendung dieses Features werden Microsoft Entra ID P2-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.

Funktionalität Details Microsoft Entra ID Free / Microsoft 365 Apps Microsoft Entra ID P1 Microsoft Entra ID P2
Risikorichtlinien Richtlinien zu Anmelde- und Benutzerrisiken (über ID-Schutz und bedingten Zugriff) Nein Nein Ja
Sicherheitsberichte Übersicht Nein Nein Ja
Sicherheitsberichte Riskante Benutzer Eingeschränkte Informationen. Nur Benutzer mit mittlerem und hohem Risiko werden angezeigt. Kein Drawer „Details“ oder Risikoverlauf. Eingeschränkte Informationen. Nur Benutzer mit mittlerem und hohem Risiko werden angezeigt. Kein Drawer „Details“ oder Risikoverlauf. Vollzugriff
Sicherheitsberichte Riskante Anmeldungen Eingeschränkte Informationen. Es werden keine Risikodetails oder Risikostufen angezeigt. Eingeschränkte Informationen. Es werden keine Risikodetails oder Risikostufen angezeigt. Vollzugriff
Sicherheitsberichte Risikoerkennungen Nein Eingeschränkte Informationen. Kein Drawer „Details“. Vollzugriff
Benachrichtigungen Warnungen zu erkannten gefährdeten Benutzern Nein Nein Ja
Benachrichtigungen Wöchentliche Übersicht Nein Nein Ja
Richtlinie für MFA-Registrierung Nein Nein Ja

Weitere Informationen zu diesen umfassenden Berichten finden Sie im Artikel zu den Risiken.

Um das Workloadidentitätsrisiko zu nutzen, einschließlich der Registerkarten Riskante Workloadidentitäten und Erkennung von Workloadidentitäten im Bereich Risikoerkennungen im Admin Center, müssen Sie über die Premium-Lizenz für Workloadidentitäten verfügen. Weitere Informationen finden Sie im Artikel Sichern von Workloadidentitäten.

Nächste Schritte