learn.microsoft.com Open in urlscan Pro
2a02:26f0:480:380::3544  Public Scan

Submitted URL: https://go.microsoft.com/fwlink/?linkid=2016442
Effective URL: https://learn.microsoft.com/de-de/entra/id-protection/concept-identity-protection-risks
Submission: On February 05 via api from DE — Scanned from DE

Form analysis 3 forms found in the DOM

Name: nav-bar-search-formGET /de-de/search/

<form class="nav-bar-search-form" method="GET" name="nav-bar-search-form" role="search" id="nav-bar-search-form" aria-label="Suche" action="/de-de/search/">
  <div class="autocomplete" data-bi-name="autocomplete"><!---->
    <div class="field-body control ">
      <input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="site-search-input" data-test-id="site-search-input" class="autocomplete-input input input-sm
						
						" type="search" name="terms" aria-expanded="false" aria-owns="ax-46-listbox" aria-controls="ax-46-listbox" aria-activedescendant="" aria-label="Suche" aria-describedby="ms--site-search-input-description" placeholder="Suche" pattern=".*">
      <span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
      <span hidden="" id="ms--site-search-input-description"> Vorschläge werden während der Eingabe gefiltert </span>
    </div>
    <ul role="listbox" id="ax-46-listbox" data-test-id="site-search-input-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Vorschläge" hidden="">
    </ul>
    <!---->
  </div>
  <!-- mobile safari will not dispatch submit event unless there's a submit button that is not display:none -->
  <button type="submit" class="visually-hidden" tabindex="-1" aria-hidden="true"></button>
  <input name="category" hidden="" value="">
</form>

Name: nav-bar-search-formGET /de-de/search/

<form class="nav-bar-search-form" method="GET" name="nav-bar-search-form" role="search" id="nav-bar-search-form-desktop" aria-label="Suche" action="/de-de/search/">
  <div class="autocomplete" data-bi-name="autocomplete"><!---->
    <div class="field-body control has-icons-left">
      <input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="site-search-input-desktop" data-test-id="site-search-input-desktop" class="autocomplete-input input input-sm
						control has-icons-left
						" type="search" name="terms" aria-expanded="false" aria-owns="ax-47-listbox" aria-controls="ax-47-listbox" aria-activedescendant="" aria-label="Suche" aria-describedby="ms--site-search-input-desktop-description" placeholder="Suche"
        pattern=".*">
      <span aria-hidden="true" class="icon is-small is-left">
        <span class="has-text-primary docon docon-search"></span>
      </span>
      <span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
      <span hidden="" id="ms--site-search-input-desktop-description"> Vorschläge werden während der Eingabe gefiltert </span>
    </div>
    <ul role="listbox" id="ax-47-listbox" data-test-id="site-search-input-desktop-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Vorschläge" hidden="">
    </ul>
    <!---->
  </div>
  <!-- mobile safari will not dispatch submit event unless there's a submit button that is not display:none -->
  <button type="submit" class="visually-hidden" tabindex="-1" aria-hidden="true"></button>
  <input name="category" hidden="" value="">
</form>

javascript:

<form action="javascript:" role="search" aria-label="Suche" class="margin-bottom-xxs"><label class="visually-hidden" for="ax-49">Suche</label>
  <div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
    <div class="field-body control has-icons-left">
      <input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="ax-49" data-test-id="ax-49" class="autocomplete-input input input-sm
						control has-icons-left
						width-full" type="text" aria-expanded="false" aria-owns="ax-50-listbox" aria-controls="ax-50-listbox" aria-activedescendant="" aria-describedby="ms--ax-49-description" placeholder="Nach Titel filtern" pattern=".*">
      <span aria-hidden="true" class="icon is-small is-left">
        <span class="has-text-primary docon docon-filter-settings"></span>
      </span>
      <span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
      <span hidden="" id="ms--ax-49-description"> Vorschläge werden während der Eingabe gefiltert </span>
    </div>
    <ul role="listbox" id="ax-50-listbox" data-test-id="ax-49-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Vorschläge" hidden="">
    </ul>
    <!---->
  </div>
</form>

Text Content

Weiter zum Hauptinhalt

Wir verwenden optionale Cookies, um Ihre Erfahrung auf unseren Websites zu
verbessern, z. B. durch Verbindungen zu sozialen Medien, und um personalisierte
Werbung auf der Grundlage Ihrer Online-Aktivitäten anzuzeigen. Wenn Sie
optionale Cookies ablehnen, werden nur die Cookies verwendet, die zur
Bereitstellung der Dienste erforderlich sind. Sie können Ihre Auswahl ändern,
indem Sie am Ende der Seite auf „Cookies verwalten“ klicken.
Datenschutzerklärung Cookies von Drittanbietern

Annehmen Ablehnen Cookies verwalten

Dieser Browser wird nicht mehr unterstützt.

Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features,
Sicherheitsupdates und den technischen Support zu nutzen.

Microsoft Edge herunterladen Weitere Informationen zu Internet Explorer und
Microsoft Edge

Dokumentation
Globale Navigation
 * Learn
   
 * Dokumentation
   
 * Training
   
 * Leistungsnachweis
   
 * Q&A
   
 * Codebeispiele
   
 * Bewertungen
   
 * Zeigt Folgendes an
   
 * Mehr
     
   * Dokumentation
     
   * Training
     
   * Leistungsnachweis
     
   * Q&A
     
   * Codebeispiele
     
   * Bewertungen
     
   * Zeigt Folgendes an
     
   

Vorschläge werden während der Eingabe gefiltert
Vorschläge werden während der Eingabe gefiltert
Suche
Anmelden

 * Profil
 * Einstellungen

Abmelden
Microsoft Entra
   
 * Microsoft Entra ID
   
 * Externe ID
   
 * Globaler sicherer Zugriff
   
 * ID-Governance
   
 * Verwaltung von Berechtigungen
   
 * Microsoft-Dokumentation zur Sicherheit
   
 * Mehr
     
   * Microsoft Entra ID
     
   * Externe ID
     
   * Globaler sicherer Zugriff
     
   * ID-Governance
     
   * Verwaltung von Berechtigungen
     
   * Microsoft-Dokumentation zur Sicherheit
     
   

 1. Admin Center

Inhaltsverzeichnis Fokusmodus beenden

Suche
Vorschläge werden während der Eingabe gefiltert
 * Dokumentation zu Microsoft Entra ID Protection
 * Übersicht
 * Konzepte
   * Microsoft Entra ID Protection-Dashboard
   * Was sind Risiken?
   * Richtlinien für die risikobasierte Zugriffssteuerung
   * Benutzeranmeldung
   * Schützen von Workloadidentitäten
   * Microsoft Entra ID Protection- und B2B-Benutzer
 * Anleitungen
   * Bereitstellen von Microsoft Entra ID Protection
   * Konfigurieren von Benachrichtigungen
   * Richtlinienkonfiguration
   * Simulieren von Risikoerkennungen
   * Untersuchen und Beheben
   * Bereitstellen von Feedback zu Risikoerkennungen
   * Häufig gestellte Fragen
 * Verweis
 * Ressourcen

PDF herunterladen
    
 1. Learn
    
    
 2. Microsoft Entra
    
    
 3. Microsoft Entra ID Protection
    

    
 1. Learn
    
    
 2. Microsoft Entra
    
    
 3. Microsoft Entra ID Protection
    

Auf Englisch lesen Hinzufügen
Inhaltsverzeichnis Auf Englisch lesen Hinzufügen Drucken

Twitter LinkedIn Facebook E-Mail
Inhaltsverzeichnis


WAS SIND RISIKOERKENNUNGEN?

 * Artikel
 * 30.10.2023
 * 18 Mitwirkende

Feedback



IN DIESEM ARTIKEL

    
 1. Risikotypen und Erkennung
    
 2. Premium-Erkennungen
    
 3. Nicht-Premium-Erkennungen
    
 4. Häufig gestellte Fragen
    
 5. Nächste Schritte
    

Risikoerkennungen in Microsoft Entra ID Protection umfassen alle identifizierten
verdächtigen Aktionen im Zusammenhang mit Benutzerkonten im Verzeichnis.
Risikoerkennungen (im Zusammenhang mit Benutzern und Anmeldungen) tragen zur
Gesamtrisikobewertung des Benutzers bei, die im Bericht zu riskanten Benutzern
enthalten ist.

ID  Protection bietet Organisationen Zugriff auf leistungsstarke Ressourcen, um
diese verdächtigen Aktionen zu erkennen und schnell darauf zu reagieren.



Hinweis

ID Protection generiert nur dann Risikoerkennungen, wenn die richtigen
Anmeldeinformationen verwendet werden. Wenn bei der Anmeldung falsche
Anmeldeinformationen verwendet werden, stellt dies kein Risiko durch eine
Gefährdung der Anmeldeinformationen dar.


RISIKOTYPEN UND ERKENNUNG

Risiken können auf Ebene der Benutzer und der Anmeldungen erkannt werden, und es
gibt zwei Arten der Erkennung oder Berechnung (Echtzeit und Offline). Einige
Risiken werden als „Premium“ betrachtet und sind nur für Kund*innen von
Microsoft Entra ID P2 verfügbar, während andere auch Microsoft Entra
ID-Kund*innen mit Free- und P1-Lizenzen zur Verfügung stehen.

Ein Anmelderisiko stellt die Wahrscheinlichkeit dar, dass es sich bei einer
bestimmten Authentifizierungsanforderung nicht um den autorisierten
Identitätsinhaber handelt. Bei einem Benutzer können riskante Aktivitäten
erkannt werden, die nicht mit einer bestimmten bösartigen Anmeldung, sondern mit
dem Benutzer selbst verbunden sind.

Echtzeit-Erkennungen werden möglicherweise erst nach 5 bis 10 Minuten in den
Berichten angezeigt. Offline-Erkennungen werden unter Umständen erst nach 48
Stunden in der Berichterstattung angezeigt.

Hinweis

Unser System kann feststellen, dass das Risikoereignis, das zur
Risikorisikobewertung beigetragen hat, eine der folgenden Möglichkeiten war:

 * Ein falscher Positivbefund
 * Das Benutzerrisiko wurde behoben mit einer Richtlinie durch eine der
   folgenden Möglichkeiten:
   * Durchführen der Multi-Faktor-Authentifizierung
   * Sichere Kennwortzeichenfolge.

Unser System wird den Risikostatus verwerfen und das Risikodetail „Sichere
Anmeldung durch KI bestätigt“ wird angezeigt. Das Ereignis trägt somit nicht
mehr zum Gesamtrisiko des Benutzers bei.


RISIKOERKENNUNGEN VON ANMELDUNGEN

Tabelle erweitern

Risikoerkennung Erkennungstyp Typ Ungewöhnlicher Ortswechsel Offline Premium
Anomales Token Offline Premium Anomales Token Echtzeit oder offline Premium Mit
Schadsoftware verknüpfte IP-Adresse Offline Premium Diese Erkennung ist
veraltet. Verdächtiger Browser Offline Premium Ungewöhnliche
Anmeldeeigenschaften Echtzeit Premium Schädliche IP-Adresse Offline Premium
Verdächtige Regeln zur Posteingangsänderung Offline Premium Kennwortspray
Offline Premium Unmöglicher Ortswechsel Offline Premium Neues Land/neue Region
Offline Premium Aktivität über anonyme IP-Adresse Offline Premium Verdächtige
Weiterleitung des Posteingangs Offline Premium Massenzugriff auf vertrauliche
Dateien Offline Premium Überprüfte Bedrohungsakteur-IP Echtzeit Premium
Zusätzliches Risiko erkannt Echtzeit oder offline Nicht-Premium Anonyme
IP-Adresse Echtzeit Nicht-Premium Benutzergefährdung durch Administrator
bestätigt Offline Nicht-Premium Threat Intelligence von Microsoft Entra Echtzeit
oder offline Nicht-Premium


BENUTZERRISIKOERKENNUNGEN

Tabelle erweitern

Risikoerkennung Erkennungstyp Typ Möglicher Versuch, auf primäres
Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen Offline Premium
Anomale Benutzeraktivität Offline Premium Der Benutzer hat verdächtige
Aktivitäten gemeldet Offline Premium Verdächtiges Senden von Mustern Offline
Premium Zusätzliches Risiko erkannt Echtzeit oder offline Nicht-Premium
Kompromittierte Anmeldeinformationen Offline Nicht-Premium Threat Intelligence
von Microsoft Entra Offline Nicht-Premium


PREMIUM-ERKENNUNGEN

Die folgenden Premium-Erkennungen sind nur für Microsoft Entra ID P2-Kund*innen
sichtbar.


PREMIUM-ERKENNUNGEN BEI ANMELDERISIKEN

UNGEWÖHNLICHER ORTSWECHSEL

Offline berechnet. Mit diesem Risikoerkennungstyp werden zwei Anmeldungen
identifiziert, die von weit entfernten Orten durchgeführt wurden und bei denen
mindestens einer der Orte aufgrund des bisherigen Verhaltens atypisch für den
Benutzer ist. Der Algorithmus berücksichtigt mehrere Faktoren wie etwa die Zeit
zwischen zwei Anmeldungen und die Zeit, die es für den Benutzer erfordern würde,
vom ersten zum zweiten Ort zu reisen. Dieses Risiko könnte darauf hindeuten,
dass ein anderer Benutzer die gleichen Anmeldeinformationen verwendet.

Bei diesem Algorithmus werden offensichtliche falsch positive Ergebnisse
ignoriert, die zu den unmöglichen Ortswechselbedingungen beitragen. Hierzu
zählen etwa VPNs und regelmäßig von anderen Benutzern der Organisation
verwendete Standorte. Das System verfügt über einen anfänglichen Lernzeitraum
von 14 Tagen oder 10 Anmeldungen (je nachdem, welcher Punkt früher erreicht
wird), in dem das Anmeldeverhalten des neuen Benutzers erlernt wird.

UNTERSUCHEN VON ERKENNUNGEN UNGEWÖHNLICHER ORTSWECHSEL

 1. Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen
    Benutzer oder einer legitimen Benutzerin ausgeführt wurde:
    1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und
       rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per
       Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die
       Benutzerin, wenn der Angreifer/die Angreiferin Zugriff auf die
       Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, und setzen Sie
       das Kennwort zurück.
 2. Wenn bekannt ist, dass der Benutzer bzw. die Benutzerin die IP-Adresse im
    Rahmen seiner/ihrer Aufgaben verwendet:
    1. Empfohlene Aktion: Schließen Sie die Warnung.
 3. Wenn Sie bestätigen können, dass der Benutzer oder die Benutzerin sich vor
    Kurzem an dem in der Warnung genannten Ziel befunden hat:
    1. Empfohlene Aktion: Schließen Sie die Warnung.
 4. Wenn Sie bestätigen können, dass der IP-Adressbereich aus einem genehmigten
    VPN stammt:
    1. Empfohlene Aktion: Markieren Sie die Anmeldung als sicher, und fügen Sie
       den VPN-IP-Adressbereich zu den benannten Speicherorten in Azure AD und
       Microsoft Defender for Cloud Apps hinzu.

ANOMALES TOKEN

In Echtzeit oder offline berechnet. Diese Erkennung deutet darauf hin, dass der
Token ungewöhnliche Merkmale aufweist, z.B. eine ungewöhnliche Gültigkeitsdauer
oder einen Token, der von einem unbekannten Ort aus gespielt wird. Diese
Erkennung deckt Sitzungstoken und Aktualisierungstoken ab.

Hinweis

Ein anomales Token wird optimiert, um mehr Rauschen als andere Erkennungen auf
derselben Risikostufe zu generieren. Dieser Kompromiss wird gewählt, um die
Wahrscheinlichkeit zu erhöhen, dass wiedergegebene Token erkannt werden, die
andernfalls möglicherweise unbemerkt bleiben. Weil dies eine Erkennung mit hohen
Rauschen ist, ist die Wahrscheinlichkeit höher, dass einige der von dieser
Erkennung gekennzeichneten Sitzungen falsch positive Ergebnisse sind. Wir
empfehlen, die von dieser Erkennung gekennzeichneten Sitzungen im Kontext
anderer Anmeldungen des Benutzers zu untersuchen. Wenn der Standort, die
Anwendung, die IP-Adresse, der Benutzer-Agent oder andere Merkmale für den
Benutzer unerwartet sind, sollte der Mandantenadministrator dieses Risiko als
Indikator für eine potenzielle Tokenwiedergabe betrachten.

UNTERSUCHEN VON ERKENNUNGEN ANOMALER TOKEN

 1. Wenn Sie bestätigen können, dass die Aktivität nicht von einem berechtigten
    Benutzer bzw. einer berechtigten Benutzerin ausgeführt wurde, da eine
    Kombination aus Risikowarnung, Standort, Anwendung, IP-Adresse,
    Benutzer-Agent oder anderen Merkmalen verwendet wurde, die für den Benutzer
    oder die Benutzerin unerwartet sind:
    1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und
       rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per
       Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die
       Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die
       Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das
       Kennwort zurück, und widerrufen Sie alle Token.
 2. Wenn Sie den Standort, die Anwendung, die IP-Adresse, den Benutzer-Agent
    oder andere Merkmale für den Benutzer oder die Benutzerin bestätigen können
    und es keine weiteren Anzeichen für eine Kompromittierung gibt:
    1. Empfohlene Aktion: Ermöglichen Sie dem Benutzer oder der Benutzerin eine
       Eigenwartung mithilfe einer Risikorichtlinie für bedingten Zugriff, oder
       veranlassen Sie, dass ein Administrator oder eine Administratorin die
       Anmeldung als sicher bestätigt.

Weitere Informationen zu tokenbasierten Erkennungen finden Sie im Artikel Token
tactics: How to prevent, detect, and respond to cloud token theft
(Tokentaktiken: Verhindern, Erkennen und Reagieren auf den Diebstahl von
Cloudtoken) und im Playbook zur Untersuchung von Tokendiebstahl.

ANOMALIE BEIM TOKENAUSSTELLER

Offline berechnet. Diese Risikoerkennung gibt an, dass der SAML-Tokenaussteller
für das zugeordnete SAML-Token möglicherweise kompromittiert ist. Die im Token
enthaltenen Ansprüche sind ungewöhnlich oder stimmen mit bekannten
Angriffsmustern überein.

UNTERSUCHEN VON ANOMALIEERKENNUNGEN BEI TOKENHERAUSGEBERN

 1. Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen
    Benutzer oder einer legitimen Benutzerin ausgeführt wurde:
    1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und
       rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per
       Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die
       Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die
       Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das
       Kennwort zurück, und widerrufen Sie alle Token.
 2. Wenn der Benutzer bzw. die Benutzerin bestätigt hat, dass diese Aktion von
    ihm/ihr ausgeführt wurde, und es keine anderen Hinweise auf eine Gefährdung
    gibt:
    1. Empfohlene Aktion: Ermöglichen Sie dem Benutzer oder der Benutzerin eine
       Eigenwartung mithilfe einer Risikorichtlinie für bedingten Zugriff, oder
       veranlassen Sie, dass ein Administrator oder eine Administratorin die
       Anmeldung als sicher bestätigt.

Weitere Untersuchungen von tokenbasierten Erkennungen finden Sie im Artikel
Token tactics: How to prevent, detect, and respond to cloud token theft
(Tokentaktiken: Verhindern, Erkennen und Reagieren auf den Diebstahl von
Cloudtoken).

MIT SCHADSOFTWARE VERKNÜPFTE IP-ADRESSE (VERALTET)

Offline berechnet. Mit diesem Risikoerkennungstyp werden Anmeldungen von
IP-Adressen identifiziert, die mit Schadsoftware infiziert sind und
bekanntermaßen aktiv mit einem Botserver kommunizieren. Dies wird ermittelt,
indem IP-Adressen des Benutzergeräts mit IP-Adressen korreliert werden, die in
Kontakt mit einem Botserver gestanden haben, während der Botserver aktiv war.
Diese Erkennung ist veraltet . ID Protection generiert keine neuen Erkennungen
des Typs „Mit Schadsoftware verknüpfte IP-Adresse“ mehr. Kunden, die derzeit
Erkennungen des Typs „Mit Schadsoftware verknüpfte IP-Adresse“ in ihrem
Mandanten haben, können diese bis zum Erreichen der 90-tägigen
Aufbewahrungsdauer für Erkennungen weiterhin anzeigen, bereinigen oder
verwerfen.

VERDÄCHTIGER BROWSER

Offline berechnet. Die Erkennung „Verdächtiger Browser“ weist auf ein anomales
Verhalten hin, das auf verdächtigen Anmeldeaktivitäten mehrerer Mandanten aus
verschiedenen Ländern im selben Browser beruht.

UNTERSUCHEN VON ERKENNUNGEN VERDÄCHTIGER BROWSERVERWENDUNGEN

 1. Der Browser wird vom Benutzer bzw. von der Benutzer im Allgemeinen nicht
    verwendet, oder die Aktivität im Browser entspricht nicht dem normalen
    Benutzerverhalten.
    1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und
       rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per
       Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die
       Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die
       Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das
       Kennwort zurück, und widerrufen Sie alle Token.

UNGEWÖHNLICHE ANMELDEEIGENSCHAFTEN

In Echtzeit berechnet. Dieser Risikoerkennungstyp betrachtet den
Anmeldungsverlauf, um nach anomalen Anmeldungen zu suchen. Das System speichert
Informationen zu früheren Anmeldungen und löst eine Risikoerkennung aus, wenn
eine Anmeldung mit Eigenschaften auftritt, die dem Benutzer nicht vertraut sind.
Zu diesen Eigenschaften zählen IP, ASN, Standort, Gerät, Browser und
Mandanten-IP-Subnetz. Neu erstellte Benutzer befinden sich im „Lernmodus“, in
dem die Risikoerkennung für unbekannte Anmeldeeigenschaften ausgeschaltet ist,
während unsere Algorithmen das Verhalten des Benutzers erlernen. Die Dauer des
Lernmodus ist dynamisch und hängt davon ab, wie lange es dauert, bis der
Algorithmus genügend Informationen über die Anmeldemuster des Benutzers
gesammelt hat. Die Mindestdauer beträgt fünf Tage. Ein Benutzer kann nach einer
langen Zeit der Inaktivität erneut in den Lernmodus wechseln.

Diese Erkennung wird auch für die Standardauthentifizierung (bzw. ältere
Protokolle) ausgeführt. Da diese Protokolle nicht über moderne Eigenschaften wie
die Client-ID verfügen, gibt es nur begrenzte Telemetriedaten, um Fehlalarme zu
reduzieren. Wir empfehlen unseren Kunden, auf eine moderne Authentifizierung
umzusteigen.

Unbekannte Anmeldungseigenschaften können sowohl bei interaktiven als auch bei
nicht-interaktiven Anmeldungen erkannt werden. Wenn diese Erkennung bei
nicht-interaktiven Anmeldungen festgestellt wird, sollte sie aufgrund des
Risikos von Token-Wiederholungsangriffen besonders sorgfältig geprüft werden.

Wenn Sie ein Risiko „unbekannte Anmeldeeigenschaft“ auswählen, können Sie
zusätzliche Informationen anzeigen, die Ihnen weitere Details darüber liefern,
warum dieses Risiko ausgelöst wurde. Im folgenden Screenshot sehen Sie ein
Beispiel für diese Details.



SCHÄDLICHE IP-ADRESSE

Offline berechnet. Diese Erkennung gibt eine Anmeldung über eine schädliche
IP-Adresse an. Eine IP-Adresse wird wegen hoher Fehlerraten aufgrund von
ungültige Anmeldeinformationen, die von der IP-Adresse oder anderen
IP-Zuverlässigkeitsquellen empfangen wurden, als schädlich eingestuft.

UNTERSUCHEN VON ERKENNUNGEN SCHÄDLICHER IP-ADRESSEN

 1. Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen
    Benutzer oder einer legitimen Benutzerin ausgeführt wurde:
    1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und
       rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per
       Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die
       Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die
       Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das
       Kennwort zurück, und widerrufen Sie alle Token.
 2. Wenn bekannt ist, dass der Benutzer bzw. die Benutzerin die IP-Adresse im
    Rahmen seiner/ihrer Aufgaben verwendet:
    1. Empfohlene Aktion: Schließen Sie die Warnung.

VERDÄCHTIGE REGELN ZUR POSTEINGANGSÄNDERUNG

Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for
Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung erstellt ein
Profil Ihrer Umgebung und löst Warnungen aus, wenn verdächtige Regeln zum
Löschen oder Verschieben von Nachrichten oder Ordnern für den Posteingang eines
Benutzers festgelegt werden. Diese Erkennung kann darauf hinweisen, dass das
Konto des Benutzers kompromittiert ist, dass Nachrichten absichtlich
ausgeblendet werden und das Postfach zum Verteilen von Spam und Schadsoftware in
Ihrer Organisation verwendet wird.

KENNWORTSPRAY

Offline berechnet. Bei einem Kennwortspray-Angriff werden mehrere Benutzernamen
unter Verwendung gängiger Kennwörter im Rahmen eines koordinierten
Brute-Force-Angriffs angegriffen, um nicht autorisierten Zugriff zu erhalten.
Die Risikoerkennung wird ausgelöst, wenn ein Kennwortspray-Angriff erfolgreich
durchgeführt wurde. Der Angreifer wird beispielsweise in der erkannten Instanz
erfolgreich authentifiziert.

UNTERSUCHEN VON ERKENNUNGEN VON KENNWORTSPRAYS

 1. Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen
    Benutzer oder einer legitimen Benutzerin ausgeführt wurde:
    1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und
       rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per
       Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die
       Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die
       Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das
       Kennwort zurück, und widerrufen Sie alle Token.
 2. Wenn bekannt ist, dass der Benutzer bzw. die Benutzerin die IP-Adresse im
    Rahmen seiner/ihrer Aufgaben verwendet:
    1. Empfohlene Aktion: Schließen Sie die Warnung.
 3. Wenn Sie bestätigen können, dass das Konto nicht kompromittiert wurde, und
    keine Hinweise auf einen Brute-Force- oder Kennwortsprayangriff auf das
    Konto erkennbar sind.
    1. Empfohlene Aktion: Ermöglichen Sie dem Benutzer oder der Benutzerin eine
       Eigenwartung mithilfe einer Risikorichtlinie für bedingten Zugriff, oder
       veranlassen Sie, dass ein Administrator oder eine Administratorin die
       Anmeldung als sicher bestätigt.

Weitere Untersuchungen zur Erkennung von Risiken durch Kennwortsprays finden Sie
im Artikel Kennwortspray: Untersuchung.

UNMÖGLICHER ORTSWECHSEL

Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for
Cloud-Apps bereitgestellten Informationen erkannt. Es wurden zwei
Benutzeraktivitäten (in einer einzelnen Sitzung oder in mehreren Sitzungen)
festgestellt, die von unterschiedlichen geografischen Standorten stammen und in
einem Zeitraum liegen, der kürzer ist als die Zeit, die der Benutzer benötigt,
um von einem Ort zum anderen zu gelangen. Dieses Risiko könnte darauf hindeuten,
dass ein anderer Benutzer die gleichen Anmeldeinformationen verwendet.

NEUES LAND/NEUE REGION

Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for
Cloud-Apps bereitgestellten Informationen erkannt. Bei dieser Erkennungsmethode
werden anhand von in der Vergangenheit verwendeten Aktivitätsstandorten neue und
selten verwendete Standorte ermittelt. Die Anomalieerkennungsengine speichert
Informationen zu Standorten, die Benutzer der Organisation in der Vergangenheit
verwendet haben.

AKTIVITÄT ÜBER ANONYME IP-ADRESSE

Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for
Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung stellt fest,
ob Benutzer eine IP-Adresse verwendet haben, die als anonyme Proxy-IP-Adresse
identifiziert wurde.

VERDÄCHTIGE WEITERLEITUNG DES POSTEINGANGS

Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for
Cloud-Apps bereitgestellten Informationen erkannt. Durch diese Erkennungsmethode
werden verdächtige Regeln zur E-Mail-Weiterleitung erkannt. Hierzu gehört
beispielsweise die Erstellung einer Posteingangsregel, die eine Kopie aller
E-Mails an eine externe Adresse weiterleitet.

MASSENZUGRIFF AUF VERTRAULICHE DATEIEN

Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for
Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung erstellt ein
Profil Ihrer Umgebung und löst Warnungen aus, wenn Benutzer auf mehrere Dateien
von Microsoft SharePoint oder Microsoft OneDrive zugreifen. Eine Warnung wird
nur ausgelöst, wenn die Anzahl der abgerufenen Dateien für den*die Benutzer*in
ungewöhnlich ist und die Dateien vertrauliche Informationen enthalten könnten.

ÜBERPRÜFTE BEDROHUNGSAKTEUR-IP

In Echtzeit berechnet. Dieser Risikoerkennungstyp weist auf eine
Anmeldeaktivität hin, die mit bekannten IP-Adressen konsistent ist, welche
nationalen Zustandsakteuren oder Gruppen zur Bekämpfung der Internetkriminalität
zugeordnet sind, basierend auf Microsoft Threat Intelligence Center (MSTIC).


PREMIUM-BENUTZERRISIKOERKENNUNG

MÖGLICHER VERSUCH, AUF PRIMÄRES AKTUALISIERUNGSTOKEN (PRIMARY REFRESH TOKEN,
PRT) ZUZUGREIFEN

Offline berechnet. Dieser Risikoerkennungstyp wird mittels von durch Microsoft
Defender for Endpoint (MDE) bereitgestellten Informationen erkannt. Ein primäres
Aktualisierungstoken (Primary Refresh Token, PRT) ist ein Schlüsselartefakt der
Microsoft Entra-Authentifizierung auf Geräten unter Windows 10, Windows
Server 2016 und höheren Versionen, iOS und Android. Bei einem PRT handelt es
sich um ein JSON Web Token (JWT), das speziell für
Microsoft-Erstanbieter-Tokenbroker ausgestellt wird, um einmaliges Anmelden
(Single Sign-On, SSO) für die Anwendungen zu ermöglichen, die auf diesen Geräten
verwendet werden. Angreifer können versuchen, auf diese Ressource zuzugreifen,
um sich im gesamten Netzwerk zu bewegen oder Anmeldeinformationen zu stehlen.
Diese Erkennung stuft Benutzer als hohes Risiko ein und wird nur in
Organisationen ausgelöst, die MDE bereitgestellt haben. Diese Erkennung erfolgt
nur in geringem Umfang und wird in den meisten Organisationen nur selten
beobachtet. Wenn diese Erkennung auftritt, besteht ein hohes Risiko, und
Benutzer sollten korrigiert werden.

ANOMALE BENUTZERAKTIVITÄT

Offline berechnet. Bei dieser Risikoerkennung wird das normale Verhalten
administrativer Benutzer*innen in Microsoft Entra ID zugrunde gelegt, und es
werden anomale Verhaltensmuster wie beispielsweise verdächtige Änderungen am
Verzeichnis erkannt. Die Erkennung wird für den Administrator, der die Änderung
vornimmt, oder für das Objekt ausgelöst, das geändert wurde.

DER BENUTZER HAT VERDÄCHTIGE AKTIVITÄTEN GEMELDET

Offline berechnet. Diese Risikoerkennung wird gemeldet, wenn ein Benutzer eine
MFA (Multi-Faktor-Authentifizierung)-Eingabeaufforderung verweigert und dies als
verdächtige Aktivität meldet. Eine MFA-Eingabeaufforderung, die nicht von einem
Benutzer initiiert wird, kann bedeuten, dass seine Anmeldeinformationen
kompromittiert sind.

VERDÄCHTIGES SENDEN VON MUSTERN

Offline berechnet. Dieser Risikoerkennungstyp wird mittels von durch Microsoft
Defender for Office (MDO) bereitgestellten Informationen erkannt. Diese Warnung
wird generiert, wenn jemand in Ihrer Organisation verdächtige E-Mails gesendet
hat und entweder für das Senden von E-Mails eingeschränkt wurde oder bereits
daran gehindert wurde, E-Mails zu senden. Diese Erkennung stuft Benutzer als
mittleres Risiko ein und wird nur in Organisationen ausgelöst, die MDO
bereitgestellt haben. Diese Erkennung erfolgt nur in geringem Umfang und wird in
den meisten Organisationen nur selten beobachtet.


NICHT-PREMIUM-ERKENNUNGEN

Kund*innen ohne Microsoft Entra ID P2-Lizenz erhalten Erkennungen mit dem Titel
„Zusätzliches Risiko erkannt“, aber ohne die detaillierten Informationen zur
Erkennung, die Kund*innen mit P2-Lizenzen erhalten.


NICHT-PREMIUM-ERKENNUNGEN BEI ANMELDERISIKEN

ZUSÄTZLICHES RISIKO ERKANNT (ANMELDUNG)

In Echtzeit oder offline berechnet. Diese Erkennung gibt an, dass eine der
Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Microsoft
Entra ID P2-Kund*innen sichtbar sind, werden sie für Kund*innen ohne Microsoft
Entra ID P2-Lizenz als „Zusätzliches Risiko erkannt“ bezeichnet.

ANONYME IP-ADRESSE

In Echtzeit berechnet. Dieser Risikoerkennungstyp gibt Anmeldungen über eine
anonyme IP-Adresse (z.B. Tor-Browser oder ein anonymisiertes VPN) an. Diese
IP-Adressen werden in der Regel von Akteuren verwendet, die ihre
Anmeldetelemetrie (IP-Adresse, Standort, Gerät usw.) für mögliche böswillige
Absichten verbergen wollen.

BENUTZERGEFÄHRDUNG DURCH ADMINISTRATOR BESTÄTIGT

Offline berechnet. Diese Erkennung gibt an, dass ein Administrator auf der
Benutzeroberfläche für riskante Benutzer oder mithilfe der riskyUsers-API die
Option „Benutzergefährdung bestätigen“ ausgewählt hat. Überprüfen Sie den
Risikoverlauf des Benutzers (auf der Benutzeroberfläche oder über die API), um
zu überprüfen, welcher Administrator diese Benutzergefährdung bestätigt hat.



THREAT INTELLIGENCE VON MICROSOFT ENTRA (ANMELDUNG)

In Echtzeit oder offline berechnet. Dieser Risikoerkennungstyp weist auf
Benutzeraktivitäten hin, die für den angegebenen Benutzer ungewöhnlich sind oder
bekannten Angriffsmustern entsprechen. Auf der Grundlage der internen und
externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes
Angriffsmuster identifiziert.


NICHT-PREMIUM-BENUTZERRISIKOERKENNUNG

ZUSÄTZLICHES RISIKO ERKANNT (BENUTZER)

In Echtzeit oder offline berechnet. Diese Erkennung gibt an, dass eine der
Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Microsoft
Entra ID P2-Kund*innen sichtbar sind, werden sie für Kund*innen ohne Microsoft
Entra ID P2-Lizenz als „Zusätzliches Risiko erkannt“ bezeichnet.

KOMPROMITTIERTE ANMELDEINFORMATIONEN

Offline berechnet. Dieser Risikoerkennungstyp gibt an, dass die gültigen
Anmeldeinformationen des Benutzers kompromittiert wurden. Wenn Cyberkriminelle
gültige Passwörter von rechtmäßigen Nutzern kompromittieren, geben sie diese
gesammelten Anmeldeinformationen oft weiter. Diese Freigabe erfolgt in der Regel
durch eine Veröffentlichung im Darknet oder auf Paste Sites oder durch den
Handel und Verkauf der Anmeldeinformationen auf dem Schwarzmarkt. Wenn der
Microsoft-Dienst für durchgesickerte Anmeldedaten Benutzeranmeldedaten aus dem
Dark Web, von Paste-Sites oder anderen Quellen erhält, werden diese mit den
aktuellen gültigen Anmeldedaten der Microsoft Entra-Benutzer abgeglichen, um
gültige Übereinstimmungen zu finden. Weitere Informationen zu kompromittierten
Anmeldeinformationen finden Sie unter Häufig gestellte Fragen.

UNTERSUCHEN VON ERKENNUNGEN VON KOMPROMITTIERTEN ANMELDEINFORMATIONEN

 1. Wenn dieses Erkennungssignal eine Warnung zu kompromittierten
    Anmeldeinformationen eines Benutzers oder einer Benutzerin ausgegeben hat:
 2. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und rufen
    Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per Eigenwartung
    durchgeführt wurde. Blockieren Sie den Benutzer/die Benutzerin, wenn ein
    Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat,
    oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen
    Sie alle Token.



THREAT INTELLIGENCE VON MICROSOFT ENTRA (BENUTZER*IN)

Offline berechnet. Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin,
die für den angegebenen Benutzer ungewöhnlich sind oder bekannten
Angriffsmustern entsprechen. Auf der Grundlage der internen und externen Quellen
für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster
identifiziert.


HÄUFIG GESTELLTE FRAGEN


RISIKOSTUFEN

ID Protection teilt Risiken in drei Stufen ein: niedrig, mittel und hoch. Wenn
Sie ID Protection-Richtlinien konfigurieren, können Sie diese auch so
einrichten, dass sie auf der Stufe Kein Risiko auslösen. Kein Risiko bedeutet,
dass es keine aktiven Anzeichen dafür gibt, dass die Identität des Benutzers
kompromittiert wurde.

Microsoft stellt keine speziellen Details für die Risikoberechnung zur
Verfügung. Je höher die Risikostufe desto wahrscheinlicher ist es, dass der
Benutzer oder die Anmeldung kompromittiert wurde. Beispielsweise sind einmalige
ungewöhnliche Anmeldeeigenschaften eines Benutzers unter Umständen nicht so
riskant wie kompromittierte Anmeldeinformationen eines anderen Benutzers.


KENNWORTHASHSYNCHRONISIERUNG

Damit Risiken wie kompromittierte Anmeldeinformationen erkannt werden können,
müssen Kennworthashes vorhanden sein. Weitere Informationen zur
Kennworthashsynchronisierung finden Sie unter Implementieren der
Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung.


WARUM WERDEN RISIKOERKENNUNGEN FÜR DEAKTIVIERTE BENUTZERKONTEN GENERIERT?

Deaktivierte Benutzerkonten können erneut aktiviert werden. Wenn die
Anmeldeinformationen eines deaktivierten Kontos kompromittiert sind und das
Konto erneut aktiviert wird, könnten böswillige Akteure diese
Anmeldeinformationen verwenden, um Zugriff zu erhalten. ID Protection generiert
Risikoerkennungen für verdächtige Aktivitäten mit deaktivierten Benutzerkonten,
um Kund*innen über eine potenzielle Kontokompromittierung zu informieren. Wenn
ein Konto nicht mehr verwendet und auch nicht wieder aktiviert wird, sollten
Kunden erwägen, es zu löschen, um eine Kompromittierung zu verhindern. Für
gelöschte Konten werden keine Risikoerkennungen generiert.


WO FINDET MICROSOFT KOMPROMITTIERTE ANMELDEINFORMATIONEN?

Microsoft findet kompromittierte Anmeldeinformationen an verschiedenen Stellen.
Dazu zählen:

 * Öffentliche Paste-Websites, z. B. pastebin.com und paste.ca, auf denen
   böswillige Akteure in der Regel solche Materialien posten. Diese Stelle ist
   der erste Zwischenstopp von böswilligen Akteuren auf der Jagd nach
   gestohlenen Anmeldeinformationen.
 * Strafverfolgungsbehörden.
 * Andere Gruppen bei Microsoft, die das Darknet durchforsten.


WARUM SEHE ICH KEINE KOMPROMITTIERTEN ANMELDEINFORMATIONEN?

Kompromittierte Anmeldeinformationen werden jedes Mal, wenn Microsoft einen
neuen, öffentlich verfügbaren Batch findet, verarbeitet. Angesichts der
Sensibilität der Daten werden die kompromittierten Anmeldeinformationen kurz
nach der Verarbeitung gelöscht. Nur neue kompromittierte Anmeldeinformationen,
die nach der Aktivierung der Kennwort-Hashsynchronisierung (Password Hash
Synchronization, PHS) gefunden werden, werden für Ihren Mandanten verarbeitet.
Eine Überprüfung anhand zuvor gefundener Anmeldeinformationspaare erfolgt nicht.


ICH HABE SEIT EINIGER ZEIT KEINE RISIKOEREIGNISSE MIT KOMPROMITTIERTEN
ANMELDEINFORMATIONEN MEHR GESEHEN

Wenn Ihnen keine Risikoereignisse mit kompromittierten Anmeldeinformationen
angezeigt wurden, kann das folgende Ursachen haben:

 * Sie haben keine Kennworthashsynchronisierung für Ihren Mandanten aktiviert.
 * Microsoft hat keine kompromittierten Anmeldeinformationspaare gefunden, die
   mit Ihren Benutzern übereinstimmen.


WIE OFT VERARBEITET MICROSOFT NEUE ANMELDEINFORMATIONEN?

Anmeldeinformationen werden sofort nach deren Auffinden verarbeitet, in der
Regel in mehreren Batches pro Tag.


STANDORTE

Der Standort bei Risikoermittlungen wird mithilfe der IP-Adressensuche bestimmt.


NÄCHSTE SCHRITTE

 * Verfügbare Richtlinien zum Mindern von Risiken
 * Untersuchen eines Risikos
 * Behandeln von Risiken und Aufheben der Blockierung von Benutzern
 * Sicherheitsübersicht




--------------------------------------------------------------------------------


ZUSÄTZLICHE RESSOURCEN



--------------------------------------------------------------------------------

Training

Modul

Schützen Ihrer Identitäten mit Microsoft Entra ID Protection - Training

Verwenden Sie die erweiterte Erkennung und Beseitigung von identitätsbasierten
Bedrohungen, um Ihre Microsoft Entra-Identitäten und -Anwendungen vor Angriffen
zu schützen.



Deutsch
Deaktivierungssymbol für California Consumer Privacy Act (CCPA) Ihre
Datenschutzoptionen
Design
 * Hell
 * Dunkel
 * Hoher Kontrast

 * Cookies verwalten
 * Frühere Versionen
 * Blog
 * Mitwirken
 * Datenschutz
 * Nutzungsbedingungen
 * Impressum
 * Marken
 * © Microsoft 2024


ZUSÄTZLICHE RESSOURCEN



--------------------------------------------------------------------------------

Training

Modul

Schützen Ihrer Identitäten mit Microsoft Entra ID Protection - Training

Verwenden Sie die erweiterte Erkennung und Beseitigung von identitätsbasierten
Bedrohungen, um Ihre Microsoft Entra-Identitäten und -Anwendungen vor Angriffen
zu schützen.




IN DIESEM ARTIKEL



Deutsch
Deaktivierungssymbol für California Consumer Privacy Act (CCPA) Ihre
Datenschutzoptionen
Design
 * Hell
 * Dunkel
 * Hoher Kontrast

 * Cookies verwalten
 * Frühere Versionen
 * Blog
 * Mitwirken
 * Datenschutz
 * Nutzungsbedingungen
 * Impressum
 * Marken
 * © Microsoft 2024