docs.microsoft.com Open in urlscan Pro
2a02:26f0:3500:38c::353e  Public Scan

Form analysis
0 forms found in the DOM

Text Content

Weiter zum Hauptinhalt


Dieser Browser wird nicht mehr unterstützt.

Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features,
Sicherheitsupdates und den technischen Support zu nutzen.

Microsoft Edge herunterladen Weitere Informationen

Inhaltsverzeichnis Fokusmodus beenden

Auf Englisch lesen Speichern
Inhaltsverzeichnis Auf Englisch lesen Speichern

Twitter LinkedIn Facebook E-Mail
Inhaltsverzeichnis


WAS BEDEUTET RISIKO?

 * Artikel
 * 06/02/2022
 * 11 Minuten Lesedauer
 * 8 Mitwirkende




IN DIESEM ARTIKEL

Risikoerkennungen in Azure AD Identity Protection umfassen alle identifizierten
verdächtigen Aktionen im Zusammenhang mit Benutzerkonten im Verzeichnis.
Risikoerkennungen (im Zusammenhang mit Benutzern und Anmeldungen) tragen zur
Gesamtrisikobewertung des Benutzers bei, die im Bericht zu riskanten Benutzern
enthalten ist.

Identity Protection bietet Organisationen Zugriff auf leistungsstarke
Ressourcen, um diese verdächtigen Aktionen zu erkennen und schnell darauf zu
reagieren.



Hinweis

Identity Protection generiert Risikoerkennungen nur, wenn die richtigen
Anmeldeinformationen verwendet werden. Wenn bei der Anmeldung falsche
Anmeldeinformationen verwendet werden, stellt dies kein Risiko durch eine
Gefährdung der Anmeldeinformationen dar.


RISIKOTYPEN UND ERKENNUNG

Risiken können auf Ebene der Benutzer und der Anmeldungen erkannt werden, und es
gibt zwei Arten der Erkennung oder Berechnung (Echtzeit und Offline). Einige
Risiken werden als Premium eingestuft, die nur für Azure AD Premium P2-Kunden
verfügbar sind, während andere für Free- und Azure AD Premium P1-Kunden zur
Verfügung stehen.

Ein Anmelderisiko stellt die Wahrscheinlichkeit dar, dass eine bestimmte
Authentifizierungsanforderung vom Identitätsbesitzer nicht autorisiert wurde.
Bei einem Benutzer können riskante Aktivitäten erkannt werden, die nicht mit
einer bestimmten bösartigen Anmeldung, sondern mit dem Benutzer selbst verbunden
sind.

Echtzeit-Erkennungen werden möglicherweise erst nach fünf bis 10 Minuten in den
Berichten angezeigt. Offline-Erkennungen werden unter Umständen erst nach 48
Stunden in der Berichterstattung angezeigt.

Hinweis

Unser System erkennt möglicherweise, dass das Risikoereignis, das zur
Risikobewertung „Risikobenutzer“ beigetragen hat, falsch positiv war oder das
Benutzerrisiko durch die Richtliniendurchsetzung behoben wurde, wie z. B. das
Abschließen einer Multi-Faktor-Authentifizierung oder die Änderung in ein
sicheres Kennwort. Aus diesem Grund wird der Risikostatus von unserem System
verworfen, und es wird ein Risikodetail angezeigt, dass die KI die Anmeldung als
sicher bestätigt, sodass dies nicht mehr zum Risiko des Benutzers beiträgt.


PREMIUM-ERKENNUNGEN

Premium-Erkennungen sind nur für Azure AD Premium P2-Kunden sichtbar. Kunden
ohne Azure AD Premium P2-Lizenzen erhalten weiterhin die Premium-Erkennungen,
sie werden aber als „Zusätzliches Risiko erkannt“ bezeichnet.


ANMELDERISIKO

PREMIUM-ERKENNUNGEN BEI ANMELDERISIKEN

Risikoerkennung Erkennungstyp BESCHREIBUNG Ungewöhnlicher Ortswechsel Offline
Mit diesem Risikoerkennungstyp werden zwei Anmeldungen identifiziert, die von
weit entfernten Orten durchgeführt wurden und bei denen mindestens einer der
Orte aufgrund des bisherigen Verhaltens atypisch für den Benutzer ist. Neben
zahlreichen anderen Faktoren berücksichtigt dieser Machine Learning-Algorithmus
die Zeit zwischen den beiden Anmeldungen sowie die Zeit, die der Benutzer für
einen Ortswechsel benötigen würde, wovon sich ableiten lässt, dass ein anderer
Benutzer die gleichen Anmeldeinformationen verwendet.

Bei diesem Algorithmus werden offensichtliche falsch positive Ergebnisse
ignoriert, die zu den unmöglichen Ortswechselbedingungen beitragen. Hierzu
zählen etwa VPNs und regelmäßig von anderen Benutzern der Organisation
verwendete Standorte. Das System verfügt über einen anfänglichen Lernzeitraum
von 14 Tagen oder 10 Anmeldungen (je nachdem, welcher Punkt früher erreicht
wird), in dem das Anmeldeverhalten des neuen Benutzers erlernt wird. Anomales
Token Offline Diese Erkennung deutet darauf hin, dass der Token ungewöhnliche
Merkmale aufweist, z.B. eine ungewöhnliche Gültigkeitsdauer oder einen Token,
der von einem unbekannten Ort aus gespielt wird. Diese Erkennung deckt
Sitzungstoken und Aktualisierungstoken ab.

HINWEIS: Ein anomales Token wird optimiert, um mehr Rauschen als andere
Erkennungen auf derselben Risikostufe zu generieren. Dieser Kompromiss wird
gewählt, um die Wahrscheinlichkeit zu erhöhen, dass wiedergegebene Token erkannt
werden, die andernfalls möglicherweise unbemerkt bleiben. Weil dies eine
Erkennung mit hohen Rauschen ist, ist die Wahrscheinlichkeit höher, dass einige
der von dieser Erkennung gekennzeichneten Sitzungen falsch positive Ergebnisse
sind. Wir empfehlen, die von dieser Erkennung gekennzeichneten Sitzungen im
Kontext anderer Anmeldungen des Benutzers zu untersuchen. Wenn der Standort, die
Anwendung, die IP-Adresse, der Benutzer-Agent oder andere Merkmale für den
Benutzer unerwartet sind, sollte der Mandantenadministrator dies als Indikator
für eine potenzielle Tokenwiedergabe betrachten. Anomaler Tokenaussteller
Offline Diese Risikoerkennung gibt an, dass der SAML-Tokenaussteller für das
zugeordnete SAML-Token möglicherweise kompromittiert ist. Die im Token
enthaltenen Ansprüche sind ungewöhnlich oder stimmen mit bekannten
Angriffsmustern überein. Mit Schadsoftware verknüpfte IP-Adresse Offline Mit
diesem Risikoerkennungstyp werden Anmeldungen von IP-Adressen identifiziert, die
mit Schadsoftware infiziert sind und bekanntermaßen aktiv mit einem Botserver
kommunizieren. Diese Erkennung wird ermittelt, indem IP-Adressen des
Benutzergeräts mit IP-Adressen korreliert werden, die in Kontakt mit einem
Botserver gestanden haben, während der Botserver aktiv war.

Diese Erkennung ist veraltet . Identity Protection generiert keine neuen
Erkennungen des Typs „Mit Schadsoftware verknüpfte IP-Adresse“ mehr. Kunden, die
derzeit Erkennungen des Typs „Mit Schadsoftware verknüpfte IP-Adresse“ in ihrem
Mandanten haben, können diese bis zum Erreichen der 90-tägigen
Aufbewahrungsdauer für Erkennungen weiterhin anzeigen, bereinigen oder
verwerfen. Verdächtiger Browser Offline Die Erkennung „Verdächtiger Browser“
weist auf ein anomales Verhalten hin, das auf verdächtigen Anmeldeaktivitäten
mehrerer Mandanten aus verschiedenen Ländern im selben Browser beruht.
Ungewöhnliche Anmeldeeigenschaften Echtzeit Dieser Risikoerkennungstyp
betrachtet den Anmeldungsverlauf, um nach anomalen Anmeldungen zu suchen. Das
System speichert Informationen zu früheren Anmeldungen und löst eine
Risikoerkennung aus, wenn eine Anmeldung mit Eigenschaften auftritt, die dem
Benutzer nicht vertraut sind. Zu diesen Eigenschaften zählen IP, ASN, Standort,
Gerät, Browser und Mandanten-IP-Subnetz. Neu angelegte Benutzer befinden sich
eine Zeitlang im „Lernmodus“, in dem die Risikoerkennung unbekannter
Anmeldeeigenschaften ausgeschaltet wird, während unsere Algorithmen das
Verhalten des Benutzers lernen. Die Dauer des Lernmodus ist dynamisch und hängt
davon ab, wie lange es dauert, bis der Algorithmus genügend Informationen über
die Anmeldemuster des Benutzers gesammelt hat. Die Mindestdauer beträgt fünf
Tage. Ein Benutzer kann nach einer langen Zeit der Inaktivität erneut in den
Lernmodus wechseln.

Diese Erkennung wird auch für die Standardauthentifizierung (bzw. ältere
Protokolle) ausgeführt. Da diese Protokolle nicht über moderne Eigenschaften wie
die Client-ID verfügen, gibt es nur begrenzte Telemetriedaten, um Fehlalarme zu
reduzieren. Wir empfehlen unseren Kunden, auf eine moderne Authentifizierung
umzusteigen.

Unbekannte Anmeldungseigenschaften können sowohl bei interaktiven als auch bei
nicht-interaktiven Anmeldungen erkannt werden. Wenn diese Erkennung bei
nicht-interaktiven Anmeldungen festgestellt wird, sollte sie aufgrund des
Risikos von Token-Wiederholungsangriffen besonders sorgfältig geprüft werden.
Schädliche IP-Adresse Offline Diese Erkennung gibt eine Anmeldung über eine
schädliche IP-Adresse an. Eine IP-Adresse wird wegen hoher Fehlerraten aufgrund
von ungültige Anmeldeinformationen, die von der IP-Adresse oder anderen
IP-Zuverlässigkeitsquellen empfangen wurden, als schädlich eingestuft.
Verdächtige Regeln zur Posteingangsänderung Offline Diese Erkennung wird von
Microsoft Defender für Cloud Apps erkannt. Diese Erkennung erstellt ein Profil
Ihrer Umgebung und löst Warnungen aus, wenn verdächtige Regeln zum Löschen oder
Verschieben von Nachrichten oder Ordnern für den Posteingang eines Benutzers
festgelegt werden. Diese Erkennung kann darauf hinweisen, dass das Konto des
Benutzers kompromittiert ist, dass Nachrichten absichtlich ausgeblendet werden
und das Postfach zum Verteilen von Spam und Schadsoftware in Ihrer Organisation
verwendet wird. Kennwortspray Offline Bei einem Kennwortspray-Angriff werden
mehrere Benutzernamen unter Verwendung gängiger Kennwörter im Rahmen eines
koordinierten Brute-Force-Angriffs angegriffen, um nicht autorisierten Zugriff
zu erhalten. Die Risikoerkennung wird ausgelöst, wenn ein Kennwortspray-Angriff
erfolgt ist. Unmöglicher Ortswechsel Offline Diese Erkennung wird von Microsoft
Defender für Cloud Apps erkannt. Diese Erkennung identifiziert zwei
Benutzeraktivitäten (in einer einzelnen Sitzung oder in mehreren Sitzungen), die
von unterschiedlichen geografischen Standorten stammen und in einem Zeitraum
liegen, der kürzer ist als die Zeit, die der Benutzer benötigt, um von Standort
A zu Standort B zu gelangen. Dies deutet darauf hin, dass ein anderer Benutzer
die gleichen Anmeldeinformationen verwendet. Neues Land/neue Region Offline
Diese Erkennung wird von Microsoft Defender für Cloud Apps erkannt. Bei dieser
Erkennungsmethode werden anhand von in der Vergangenheit verwendeten
Aktivitätsstandorten neue und selten verwendete Standorte ermittelt. Die
Anomalieerkennungsengine speichert Informationen zu Standorten, die Benutzer der
Organisation in der Vergangenheit verwendet haben. Aktivität über anonyme
IP-Adresse Offline Diese Erkennung wird von Microsoft Defender für Cloud Apps
erkannt. Diese Erkennung stellt fest, ob Benutzer eine IP-Adresse verwendet
haben, die als anonyme Proxy-IP-Adresse identifiziert wurde. Verdächtige
Weiterleitung des Posteingangs Offline Diese Erkennung wird von Microsoft
Defender für Cloud Apps erkannt. Durch diese Erkennungsmethode werden
verdächtige Regeln zur E-Mail-Weiterleitung erkannt. Hierzu gehört
beispielsweise die Erstellung einer Posteingangsregel, die eine Kopie aller
E-Mails an eine externe Adresse weiterleitet. Massenzugriff auf vertrauliche
Dateien Offline Diese Erkennung wird von Microsoft Defender für Cloud Apps
erkannt. Diese Erkennung profiled Ihre Umgebung und löst Warnungen aus, wenn
Benutzer*innen auf mehrere Dateien von Microsoft SharePoint oder Microsoft
OneDrive zugreifen. Eine Warnung wird nur ausgelöst, wenn die Anzahl der
abgerufenen Dateien für den*die Benutzer*in ungewöhnlich ist und die Dateien
vertrauliche Informationen enthalten könnten.

NICHT-PREMIUM-ERKENNUNGEN BEI ANMELDERISIKEN

Risikoerkennung Erkennungstyp BESCHREIBUNG Zusätzliches Risiko erkannt Echtzeit
oder offline Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt
wurde. Da die Premium-Erkennungen nur für Azure AD Premium P2-Kunden sichtbar
sind, werden sie für Kunden ohne Azure AD Premium P2-Lizenz als "zusätzliches
Risiko erkannt" bezeichnet. Anonyme IP-Adresse Echtzeit Dieser
Risikoerkennungstyp gibt Anmeldungen über eine anonyme IP-Adresse (z.B.
Tor-Browser oder ein anonymisiertes VPN) an. Diese IP-Adressen werden in der
Regel von Akteuren verwendet, die ihre Anmeldetelemetrie (IP-Adresse, Standort,
Gerät usw.) für mögliche böswillige Absichten verbergen wollen.
Benutzergefährdung durch Administrator bestätigt Offline Diese Erkennung gibt
an, dass ein Administrator auf der Benutzeroberfläche für riskante Benutzer oder
mithilfe der riskyUsers-API die Option „Benutzergefährdung bestätigen“
ausgewählt hat. Überprüfen Sie den Risikoverlauf des Benutzers (auf der
Benutzeroberfläche oder über die API), um zu überprüfen, welcher Administrator
diese Benutzergefährdung bestätigt hat. Azure AD Threat Intelligence Offline
Dieser Risikoerkennungstyp gibt Benutzeraktivitäten an, die für den angegebenen
Benutzer unüblich oder mit bekannten Angriffsmustern konsistent sind (basierend
auf internen und externen Threat Intelligence-Quellen von Microsoft).


MIT DEM BENUTZER VERKNÜPFTE ERKENNUNGEN

PREMIUM-BENUTZERRISIKOERKENNUNG

Risikoerkennung Erkennungstyp BESCHREIBUNG Möglicher Versuch, auf primäres
Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen Offline Dieser
Risikoerkennungstyp wird von Microsoft Defender für Endpunkt (MDE) erkannt. Ein
primäres Aktualisierungstoken (Primary Refresh Token, PRT) ist ein
Schlüsselartefakt der Azure AD-Authentifizierung auf Geräten mit Windows 10,
Windows Server 2016 und höheren Versionen, iOS und Android. Bei einem PRT
handelt es sich um ein JSON Web Token (JWT), das speziell für
Microsoft-Erstanbieter-Tokenbroker ausgestellt wird, um einmaliges Anmelden
(Single Sign-On, SSO) für die Anwendungen zu ermöglichen, die auf diesen Geräten
verwendet werden. Angreifer können versuchen, auf diese Ressource zuzugreifen,
um sich im gesamten Netzwerk zu bewegen oder Anmeldeinformationen zu stehlen.
Diese Erkennung birgt für Benutzer ein hohes Risiko und wird nur in
Organisationen ausgelöst, die MDE bereitgestellt haben. Es handelt sich hierbei
um eine Erkennung mit geringem Umfang, die in den meisten Organisationen nur
selten vorkommt. Wenn sie jedoch erfolgt, stellt dies ein hohes Risiko dar, das
für Benutzer beseitigt werden sollte.

NICHT-PREMIUM-BENUTZERRISIKOERKENNUNG

Risikoerkennung Erkennungstyp BESCHREIBUNG Zusätzliches Risiko erkannt Echtzeit
oder offline Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt
wurde. Da die Premium-Erkennungen nur für Azure AD Premium P2-Kunden sichtbar
sind, werden sie für Kunden ohne Azure AD Premium P2-Lizenz als "zusätzliches
Risiko erkannt" bezeichnet. Kompromittierte Anmeldeinformationen Offline Dieser
Risikoerkennungstyp gibt an, dass die gültigen Anmeldeinformationen des
Benutzers kompromittiert wurden. Wenn Internetkriminelle an gültige Kennwörter
von berechtigten Benutzern gelangen, geben sie diese Anmeldeinformationen häufig
weiter. Diese Freigabe erfolgt in der Regel durch eine Veröffentlichung im
Darknet oder auf Paste Sites oder durch den Handel und Verkauf der
Anmeldeinformationen auf dem Schwarzmarkt. Wenn der Microsoft-Dienst für
durchgesickerte Anmeldedaten Benutzeranmeldedaten aus dem Dark Web, von
Paste-Sites oder anderen Quellen erhält, werden diese mit den aktuellen gültigen
Anmeldedaten der Azure AD-Benutzer abgeglichen, um gültige Übereinstimmungen zu
finden. Weitere Informationen zu kompromittierten Anmeldeinformationen finden
Sie unter Häufig gestellte Fragen. Azure AD Threat Intelligence Offline Dieser
Risikoerkennungstyp gibt Benutzeraktivitäten an, die für den angegebenen
Benutzer unüblich oder mit bekannten Angriffsmustern konsistent sind (basierend
auf internen und externen Threat Intelligence-Quellen von Microsoft).


HÄUFIG GESTELLTE FRAGEN


RISIKOSTUFEN

Mit Identity Protection werden Risiken in drei Stufen eingeteilt: niedrig,
mittel und hoch. Wenn Sie benutzerdefinierte Richtlinien für den
Identitätsschutz konfigurieren, können Sie diese auch so konfigurieren, dass sie
auf der Ebene Kein Risiko ausgelöst werden. Kein Risiko bedeutet, dass es keine
aktiven Anzeichen dafür gibt, dass die Identität des Benutzers kompromittiert
wurde.

Microsoft stellt zwar keine spezifischen Details zur Risikoberechnung bereit,
aber wir sagen, dass jede Stufe ein höheres Maß an Sicherheit bietet, dass der
Benutzer oder die Anmeldung kompromittiert ist. Beispielsweise sind einmalige
ungewöhnliche Anmeldeeigenschaften eines Benutzers unter Umständen nicht so
riskant wie kompromittierte Anmeldeinformationen eines anderen Benutzers.


KENNWORTHASHSYNCHRONISIERUNG

Damit Risiken wie kompromittierte Anmeldeinformationen erkannt werden können,
müssen Kennworthashes vorhanden sein. Weitere Informationen zur
Kennworthashsynchronisierung finden Sie unter Implementieren der
Kennworthashsynchronisierung mit der Azure AD Connect-Synchronisierung.


WARUM WERDEN RISIKOERKENNUNGEN FÜR DEAKTIVIERTE BENUTZERKONTEN GENERIERT?

Deaktivierte Benutzerkonten können erneut aktiviert werden. Wenn die
Anmeldeinformationen eines deaktivierten Kontos kompromittiert sind und das
Konto erneut aktiviert wird, könnten böswillige Akteure diese
Anmeldeinformationen verwenden, um Zugriff zu erhalten. Aus diesem Grund
generiert Identity Protection für deaktivierte Benutzerkonten Risikoerkennungen
bei verdächtigen Aktivitäten, um Kunden über eine potenzielle
Kontokompromittierung zu informieren. Wenn ein Konto nicht mehr verwendet und
auch nicht wieder aktiviert wird, sollten Kunden erwägen, es zu löschen, um eine
Kompromittierung zu verhindern. Für gelöschte Konten werden keine
Risikoerkennungen generiert.


KOMPROMITTIERTE ANMELDEINFORMATIONEN

WO FINDET MICROSOFT KOMPROMITTIERTE ANMELDEINFORMATIONEN?

Microsoft findet kompromittierte Anmeldeinformationen an verschiedenen Stellen.
Dazu zählen:

 * Öffentliche Paste-Websites, z. B. pastebin.com und paste.ca, auf denen
   böswillige Akteure in der Regel solche Materialien posten. Diese Stelle ist
   der erste Zwischenstopp von böswilligen Akteuren auf der Jagd nach
   gestohlenen Anmeldeinformationen.
 * Strafverfolgungsbehörden.
 * Andere Gruppen bei Microsoft, die das Darknet durchforsten.

WARUM SEHE ICH KEINE KOMPROMITTIERTEN ANMELDEINFORMATIONEN?

Kompromittierte Anmeldeinformationen werden jedes Mal, wenn Microsoft einen
neuen, öffentlich verfügbaren Batch findet, verarbeitet. Angesichts der
Sensibilität der Daten werden die kompromittierten Anmeldeinformationen kurz
nach der Verarbeitung gelöscht. Für Ihren Mandanten werden nur neue
kompromittierte Anmeldeinformationen, die nach dem Aktivieren der
Kennworthashsynchronisierung gefunden wurden, verarbeitet. Eine Überprüfung
anhand zuvor gefundener Anmeldeinformationspaare erfolgt nicht.

WARUM SIND MIR SEIT EINIGER ZEIT KEINE RISIKOEREIGNISSE MIT KOMPROMITTIERTEN
ANMELDEINFORMATIONEN MEHR ANGEZEIGT WORDEN?

Wenn Ihnen keine Risikoereignisse mit kompromittierten Anmeldeinformationen
angezeigt wurden, kann das folgende Ursachen haben:

 * Sie haben keine Kennworthashsynchronisierung für Ihren Mandanten aktiviert.
 * Microsoft hat keine kompromittierten Anmeldeinformationspaare gefunden, die
   mit Ihren Benutzern übereinstimmen.

WIE OFT VERARBEITET MICROSOFT NEUE ANMELDEINFORMATIONEN?

Anmeldeinformationen werden sofort nach deren Auffinden verarbeitet, in der
Regel in mehreren Batches pro Tag.


STANDORTE

Der Standort wird bei der Risikoerkennung durch die IP-Adresssuche bestimmt.


NÄCHSTE SCHRITTE

 * Verfügbare Richtlinien zum Mindern von Risiken
 * Untersuchen eines Risikos
 * Behandeln von Risiken und Aufheben der Blockierung von Benutzern
 * Sicherheitsübersicht






Design
 * Hell
 * Dunkel
 * Hoher Kontrast

 * 
 * Vorherige Dokumentversionen
 * Blog
 * Mitwirken
 * Datenschutz & Cookies
 * Nutzungsbedingungen
 * Impressum
 * Marken
 * © Microsoft 2022


IN DIESEM ARTIKEL




Design
 * Hell
 * Dunkel
 * Hoher Kontrast

 * 
 * Vorherige Dokumentversionen
 * Blog
 * Mitwirken
 * Datenschutz & Cookies
 * Nutzungsbedingungen
 * Impressum
 * Marken
 * © Microsoft 2022