learn.microsoft.com
Open in
urlscan Pro
2a02:26f0:480:380::3544
Public Scan
Submitted URL: https://go.microsoft.com/fwlink/?linkid=2016442
Effective URL: https://learn.microsoft.com/de-de/entra/id-protection/concept-identity-protection-risks
Submission: On February 05 via api from DE — Scanned from DE
Effective URL: https://learn.microsoft.com/de-de/entra/id-protection/concept-identity-protection-risks
Submission: On February 05 via api from DE — Scanned from DE
Form analysis
3 forms found in the DOMName: nav-bar-search-form — GET /de-de/search/
<form class="nav-bar-search-form" method="GET" name="nav-bar-search-form" role="search" id="nav-bar-search-form" aria-label="Suche" action="/de-de/search/">
<div class="autocomplete" data-bi-name="autocomplete"><!---->
<div class="field-body control ">
<input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="site-search-input" data-test-id="site-search-input" class="autocomplete-input input input-sm
" type="search" name="terms" aria-expanded="false" aria-owns="ax-46-listbox" aria-controls="ax-46-listbox" aria-activedescendant="" aria-label="Suche" aria-describedby="ms--site-search-input-description" placeholder="Suche" pattern=".*">
<span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
<span hidden="" id="ms--site-search-input-description"> Vorschläge werden während der Eingabe gefiltert </span>
</div>
<ul role="listbox" id="ax-46-listbox" data-test-id="site-search-input-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Vorschläge" hidden="">
</ul>
<!---->
</div>
<!-- mobile safari will not dispatch submit event unless there's a submit button that is not display:none -->
<button type="submit" class="visually-hidden" tabindex="-1" aria-hidden="true"></button>
<input name="category" hidden="" value="">
</form>
Name: nav-bar-search-form — GET /de-de/search/
<form class="nav-bar-search-form" method="GET" name="nav-bar-search-form" role="search" id="nav-bar-search-form-desktop" aria-label="Suche" action="/de-de/search/">
<div class="autocomplete" data-bi-name="autocomplete"><!---->
<div class="field-body control has-icons-left">
<input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="site-search-input-desktop" data-test-id="site-search-input-desktop" class="autocomplete-input input input-sm
control has-icons-left
" type="search" name="terms" aria-expanded="false" aria-owns="ax-47-listbox" aria-controls="ax-47-listbox" aria-activedescendant="" aria-label="Suche" aria-describedby="ms--site-search-input-desktop-description" placeholder="Suche"
pattern=".*">
<span aria-hidden="true" class="icon is-small is-left">
<span class="has-text-primary docon docon-search"></span>
</span>
<span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
<span hidden="" id="ms--site-search-input-desktop-description"> Vorschläge werden während der Eingabe gefiltert </span>
</div>
<ul role="listbox" id="ax-47-listbox" data-test-id="site-search-input-desktop-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Vorschläge" hidden="">
</ul>
<!---->
</div>
<!-- mobile safari will not dispatch submit event unless there's a submit button that is not display:none -->
<button type="submit" class="visually-hidden" tabindex="-1" aria-hidden="true"></button>
<input name="category" hidden="" value="">
</form>
javascript:
<form action="javascript:" role="search" aria-label="Suche" class="margin-bottom-xxs"><label class="visually-hidden" for="ax-49">Suche</label>
<div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
<div class="field-body control has-icons-left">
<input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="ax-49" data-test-id="ax-49" class="autocomplete-input input input-sm
control has-icons-left
width-full" type="text" aria-expanded="false" aria-owns="ax-50-listbox" aria-controls="ax-50-listbox" aria-activedescendant="" aria-describedby="ms--ax-49-description" placeholder="Nach Titel filtern" pattern=".*">
<span aria-hidden="true" class="icon is-small is-left">
<span class="has-text-primary docon docon-filter-settings"></span>
</span>
<span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
<span hidden="" id="ms--ax-49-description"> Vorschläge werden während der Eingabe gefiltert </span>
</div>
<ul role="listbox" id="ax-50-listbox" data-test-id="ax-49-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Vorschläge" hidden="">
</ul>
<!---->
</div>
</form>
Text Content
Weiter zum Hauptinhalt Wir verwenden optionale Cookies, um Ihre Erfahrung auf unseren Websites zu verbessern, z. B. durch Verbindungen zu sozialen Medien, und um personalisierte Werbung auf der Grundlage Ihrer Online-Aktivitäten anzuzeigen. Wenn Sie optionale Cookies ablehnen, werden nur die Cookies verwendet, die zur Bereitstellung der Dienste erforderlich sind. Sie können Ihre Auswahl ändern, indem Sie am Ende der Seite auf „Cookies verwalten“ klicken. Datenschutzerklärung Cookies von Drittanbietern Annehmen Ablehnen Cookies verwalten Dieser Browser wird nicht mehr unterstützt. Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features, Sicherheitsupdates und den technischen Support zu nutzen. Microsoft Edge herunterladen Weitere Informationen zu Internet Explorer und Microsoft Edge Dokumentation Globale Navigation * Learn * Dokumentation * Training * Leistungsnachweis * Q&A * Codebeispiele * Bewertungen * Zeigt Folgendes an * Mehr * Dokumentation * Training * Leistungsnachweis * Q&A * Codebeispiele * Bewertungen * Zeigt Folgendes an Vorschläge werden während der Eingabe gefiltert Vorschläge werden während der Eingabe gefiltert Suche Anmelden * Profil * Einstellungen Abmelden Microsoft Entra * Microsoft Entra ID * Externe ID * Globaler sicherer Zugriff * ID-Governance * Verwaltung von Berechtigungen * Microsoft-Dokumentation zur Sicherheit * Mehr * Microsoft Entra ID * Externe ID * Globaler sicherer Zugriff * ID-Governance * Verwaltung von Berechtigungen * Microsoft-Dokumentation zur Sicherheit 1. Admin Center Inhaltsverzeichnis Fokusmodus beenden Suche Vorschläge werden während der Eingabe gefiltert * Dokumentation zu Microsoft Entra ID Protection * Übersicht * Konzepte * Microsoft Entra ID Protection-Dashboard * Was sind Risiken? * Richtlinien für die risikobasierte Zugriffssteuerung * Benutzeranmeldung * Schützen von Workloadidentitäten * Microsoft Entra ID Protection- und B2B-Benutzer * Anleitungen * Bereitstellen von Microsoft Entra ID Protection * Konfigurieren von Benachrichtigungen * Richtlinienkonfiguration * Simulieren von Risikoerkennungen * Untersuchen und Beheben * Bereitstellen von Feedback zu Risikoerkennungen * Häufig gestellte Fragen * Verweis * Ressourcen PDF herunterladen 1. Learn 2. Microsoft Entra 3. Microsoft Entra ID Protection 1. Learn 2. Microsoft Entra 3. Microsoft Entra ID Protection Auf Englisch lesen Hinzufügen Inhaltsverzeichnis Auf Englisch lesen Hinzufügen Drucken Twitter LinkedIn Facebook E-Mail Inhaltsverzeichnis WAS SIND RISIKOERKENNUNGEN? * Artikel * 30.10.2023 * 18 Mitwirkende Feedback IN DIESEM ARTIKEL 1. Risikotypen und Erkennung 2. Premium-Erkennungen 3. Nicht-Premium-Erkennungen 4. Häufig gestellte Fragen 5. Nächste Schritte Risikoerkennungen in Microsoft Entra ID Protection umfassen alle identifizierten verdächtigen Aktionen im Zusammenhang mit Benutzerkonten im Verzeichnis. Risikoerkennungen (im Zusammenhang mit Benutzern und Anmeldungen) tragen zur Gesamtrisikobewertung des Benutzers bei, die im Bericht zu riskanten Benutzern enthalten ist. ID Protection bietet Organisationen Zugriff auf leistungsstarke Ressourcen, um diese verdächtigen Aktionen zu erkennen und schnell darauf zu reagieren. Hinweis ID Protection generiert nur dann Risikoerkennungen, wenn die richtigen Anmeldeinformationen verwendet werden. Wenn bei der Anmeldung falsche Anmeldeinformationen verwendet werden, stellt dies kein Risiko durch eine Gefährdung der Anmeldeinformationen dar. RISIKOTYPEN UND ERKENNUNG Risiken können auf Ebene der Benutzer und der Anmeldungen erkannt werden, und es gibt zwei Arten der Erkennung oder Berechnung (Echtzeit und Offline). Einige Risiken werden als „Premium“ betrachtet und sind nur für Kund*innen von Microsoft Entra ID P2 verfügbar, während andere auch Microsoft Entra ID-Kund*innen mit Free- und P1-Lizenzen zur Verfügung stehen. Ein Anmelderisiko stellt die Wahrscheinlichkeit dar, dass es sich bei einer bestimmten Authentifizierungsanforderung nicht um den autorisierten Identitätsinhaber handelt. Bei einem Benutzer können riskante Aktivitäten erkannt werden, die nicht mit einer bestimmten bösartigen Anmeldung, sondern mit dem Benutzer selbst verbunden sind. Echtzeit-Erkennungen werden möglicherweise erst nach 5 bis 10 Minuten in den Berichten angezeigt. Offline-Erkennungen werden unter Umständen erst nach 48 Stunden in der Berichterstattung angezeigt. Hinweis Unser System kann feststellen, dass das Risikoereignis, das zur Risikorisikobewertung beigetragen hat, eine der folgenden Möglichkeiten war: * Ein falscher Positivbefund * Das Benutzerrisiko wurde behoben mit einer Richtlinie durch eine der folgenden Möglichkeiten: * Durchführen der Multi-Faktor-Authentifizierung * Sichere Kennwortzeichenfolge. Unser System wird den Risikostatus verwerfen und das Risikodetail „Sichere Anmeldung durch KI bestätigt“ wird angezeigt. Das Ereignis trägt somit nicht mehr zum Gesamtrisiko des Benutzers bei. RISIKOERKENNUNGEN VON ANMELDUNGEN Tabelle erweitern Risikoerkennung Erkennungstyp Typ Ungewöhnlicher Ortswechsel Offline Premium Anomales Token Offline Premium Anomales Token Echtzeit oder offline Premium Mit Schadsoftware verknüpfte IP-Adresse Offline Premium Diese Erkennung ist veraltet. Verdächtiger Browser Offline Premium Ungewöhnliche Anmeldeeigenschaften Echtzeit Premium Schädliche IP-Adresse Offline Premium Verdächtige Regeln zur Posteingangsänderung Offline Premium Kennwortspray Offline Premium Unmöglicher Ortswechsel Offline Premium Neues Land/neue Region Offline Premium Aktivität über anonyme IP-Adresse Offline Premium Verdächtige Weiterleitung des Posteingangs Offline Premium Massenzugriff auf vertrauliche Dateien Offline Premium Überprüfte Bedrohungsakteur-IP Echtzeit Premium Zusätzliches Risiko erkannt Echtzeit oder offline Nicht-Premium Anonyme IP-Adresse Echtzeit Nicht-Premium Benutzergefährdung durch Administrator bestätigt Offline Nicht-Premium Threat Intelligence von Microsoft Entra Echtzeit oder offline Nicht-Premium BENUTZERRISIKOERKENNUNGEN Tabelle erweitern Risikoerkennung Erkennungstyp Typ Möglicher Versuch, auf primäres Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen Offline Premium Anomale Benutzeraktivität Offline Premium Der Benutzer hat verdächtige Aktivitäten gemeldet Offline Premium Verdächtiges Senden von Mustern Offline Premium Zusätzliches Risiko erkannt Echtzeit oder offline Nicht-Premium Kompromittierte Anmeldeinformationen Offline Nicht-Premium Threat Intelligence von Microsoft Entra Offline Nicht-Premium PREMIUM-ERKENNUNGEN Die folgenden Premium-Erkennungen sind nur für Microsoft Entra ID P2-Kund*innen sichtbar. PREMIUM-ERKENNUNGEN BEI ANMELDERISIKEN UNGEWÖHNLICHER ORTSWECHSEL Offline berechnet. Mit diesem Risikoerkennungstyp werden zwei Anmeldungen identifiziert, die von weit entfernten Orten durchgeführt wurden und bei denen mindestens einer der Orte aufgrund des bisherigen Verhaltens atypisch für den Benutzer ist. Der Algorithmus berücksichtigt mehrere Faktoren wie etwa die Zeit zwischen zwei Anmeldungen und die Zeit, die es für den Benutzer erfordern würde, vom ersten zum zweiten Ort zu reisen. Dieses Risiko könnte darauf hindeuten, dass ein anderer Benutzer die gleichen Anmeldeinformationen verwendet. Bei diesem Algorithmus werden offensichtliche falsch positive Ergebnisse ignoriert, die zu den unmöglichen Ortswechselbedingungen beitragen. Hierzu zählen etwa VPNs und regelmäßig von anderen Benutzern der Organisation verwendete Standorte. Das System verfügt über einen anfänglichen Lernzeitraum von 14 Tagen oder 10 Anmeldungen (je nachdem, welcher Punkt früher erreicht wird), in dem das Anmeldeverhalten des neuen Benutzers erlernt wird. UNTERSUCHEN VON ERKENNUNGEN UNGEWÖHNLICHER ORTSWECHSEL 1. Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde: 1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die Benutzerin, wenn der Angreifer/die Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, und setzen Sie das Kennwort zurück. 2. Wenn bekannt ist, dass der Benutzer bzw. die Benutzerin die IP-Adresse im Rahmen seiner/ihrer Aufgaben verwendet: 1. Empfohlene Aktion: Schließen Sie die Warnung. 3. Wenn Sie bestätigen können, dass der Benutzer oder die Benutzerin sich vor Kurzem an dem in der Warnung genannten Ziel befunden hat: 1. Empfohlene Aktion: Schließen Sie die Warnung. 4. Wenn Sie bestätigen können, dass der IP-Adressbereich aus einem genehmigten VPN stammt: 1. Empfohlene Aktion: Markieren Sie die Anmeldung als sicher, und fügen Sie den VPN-IP-Adressbereich zu den benannten Speicherorten in Azure AD und Microsoft Defender for Cloud Apps hinzu. ANOMALES TOKEN In Echtzeit oder offline berechnet. Diese Erkennung deutet darauf hin, dass der Token ungewöhnliche Merkmale aufweist, z.B. eine ungewöhnliche Gültigkeitsdauer oder einen Token, der von einem unbekannten Ort aus gespielt wird. Diese Erkennung deckt Sitzungstoken und Aktualisierungstoken ab. Hinweis Ein anomales Token wird optimiert, um mehr Rauschen als andere Erkennungen auf derselben Risikostufe zu generieren. Dieser Kompromiss wird gewählt, um die Wahrscheinlichkeit zu erhöhen, dass wiedergegebene Token erkannt werden, die andernfalls möglicherweise unbemerkt bleiben. Weil dies eine Erkennung mit hohen Rauschen ist, ist die Wahrscheinlichkeit höher, dass einige der von dieser Erkennung gekennzeichneten Sitzungen falsch positive Ergebnisse sind. Wir empfehlen, die von dieser Erkennung gekennzeichneten Sitzungen im Kontext anderer Anmeldungen des Benutzers zu untersuchen. Wenn der Standort, die Anwendung, die IP-Adresse, der Benutzer-Agent oder andere Merkmale für den Benutzer unerwartet sind, sollte der Mandantenadministrator dieses Risiko als Indikator für eine potenzielle Tokenwiedergabe betrachten. UNTERSUCHEN VON ERKENNUNGEN ANOMALER TOKEN 1. Wenn Sie bestätigen können, dass die Aktivität nicht von einem berechtigten Benutzer bzw. einer berechtigten Benutzerin ausgeführt wurde, da eine Kombination aus Risikowarnung, Standort, Anwendung, IP-Adresse, Benutzer-Agent oder anderen Merkmalen verwendet wurde, die für den Benutzer oder die Benutzerin unerwartet sind: 1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen Sie alle Token. 2. Wenn Sie den Standort, die Anwendung, die IP-Adresse, den Benutzer-Agent oder andere Merkmale für den Benutzer oder die Benutzerin bestätigen können und es keine weiteren Anzeichen für eine Kompromittierung gibt: 1. Empfohlene Aktion: Ermöglichen Sie dem Benutzer oder der Benutzerin eine Eigenwartung mithilfe einer Risikorichtlinie für bedingten Zugriff, oder veranlassen Sie, dass ein Administrator oder eine Administratorin die Anmeldung als sicher bestätigt. Weitere Informationen zu tokenbasierten Erkennungen finden Sie im Artikel Token tactics: How to prevent, detect, and respond to cloud token theft (Tokentaktiken: Verhindern, Erkennen und Reagieren auf den Diebstahl von Cloudtoken) und im Playbook zur Untersuchung von Tokendiebstahl. ANOMALIE BEIM TOKENAUSSTELLER Offline berechnet. Diese Risikoerkennung gibt an, dass der SAML-Tokenaussteller für das zugeordnete SAML-Token möglicherweise kompromittiert ist. Die im Token enthaltenen Ansprüche sind ungewöhnlich oder stimmen mit bekannten Angriffsmustern überein. UNTERSUCHEN VON ANOMALIEERKENNUNGEN BEI TOKENHERAUSGEBERN 1. Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde: 1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen Sie alle Token. 2. Wenn der Benutzer bzw. die Benutzerin bestätigt hat, dass diese Aktion von ihm/ihr ausgeführt wurde, und es keine anderen Hinweise auf eine Gefährdung gibt: 1. Empfohlene Aktion: Ermöglichen Sie dem Benutzer oder der Benutzerin eine Eigenwartung mithilfe einer Risikorichtlinie für bedingten Zugriff, oder veranlassen Sie, dass ein Administrator oder eine Administratorin die Anmeldung als sicher bestätigt. Weitere Untersuchungen von tokenbasierten Erkennungen finden Sie im Artikel Token tactics: How to prevent, detect, and respond to cloud token theft (Tokentaktiken: Verhindern, Erkennen und Reagieren auf den Diebstahl von Cloudtoken). MIT SCHADSOFTWARE VERKNÜPFTE IP-ADRESSE (VERALTET) Offline berechnet. Mit diesem Risikoerkennungstyp werden Anmeldungen von IP-Adressen identifiziert, die mit Schadsoftware infiziert sind und bekanntermaßen aktiv mit einem Botserver kommunizieren. Dies wird ermittelt, indem IP-Adressen des Benutzergeräts mit IP-Adressen korreliert werden, die in Kontakt mit einem Botserver gestanden haben, während der Botserver aktiv war. Diese Erkennung ist veraltet . ID Protection generiert keine neuen Erkennungen des Typs „Mit Schadsoftware verknüpfte IP-Adresse“ mehr. Kunden, die derzeit Erkennungen des Typs „Mit Schadsoftware verknüpfte IP-Adresse“ in ihrem Mandanten haben, können diese bis zum Erreichen der 90-tägigen Aufbewahrungsdauer für Erkennungen weiterhin anzeigen, bereinigen oder verwerfen. VERDÄCHTIGER BROWSER Offline berechnet. Die Erkennung „Verdächtiger Browser“ weist auf ein anomales Verhalten hin, das auf verdächtigen Anmeldeaktivitäten mehrerer Mandanten aus verschiedenen Ländern im selben Browser beruht. UNTERSUCHEN VON ERKENNUNGEN VERDÄCHTIGER BROWSERVERWENDUNGEN 1. Der Browser wird vom Benutzer bzw. von der Benutzer im Allgemeinen nicht verwendet, oder die Aktivität im Browser entspricht nicht dem normalen Benutzerverhalten. 1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen Sie alle Token. UNGEWÖHNLICHE ANMELDEEIGENSCHAFTEN In Echtzeit berechnet. Dieser Risikoerkennungstyp betrachtet den Anmeldungsverlauf, um nach anomalen Anmeldungen zu suchen. Das System speichert Informationen zu früheren Anmeldungen und löst eine Risikoerkennung aus, wenn eine Anmeldung mit Eigenschaften auftritt, die dem Benutzer nicht vertraut sind. Zu diesen Eigenschaften zählen IP, ASN, Standort, Gerät, Browser und Mandanten-IP-Subnetz. Neu erstellte Benutzer befinden sich im „Lernmodus“, in dem die Risikoerkennung für unbekannte Anmeldeeigenschaften ausgeschaltet ist, während unsere Algorithmen das Verhalten des Benutzers erlernen. Die Dauer des Lernmodus ist dynamisch und hängt davon ab, wie lange es dauert, bis der Algorithmus genügend Informationen über die Anmeldemuster des Benutzers gesammelt hat. Die Mindestdauer beträgt fünf Tage. Ein Benutzer kann nach einer langen Zeit der Inaktivität erneut in den Lernmodus wechseln. Diese Erkennung wird auch für die Standardauthentifizierung (bzw. ältere Protokolle) ausgeführt. Da diese Protokolle nicht über moderne Eigenschaften wie die Client-ID verfügen, gibt es nur begrenzte Telemetriedaten, um Fehlalarme zu reduzieren. Wir empfehlen unseren Kunden, auf eine moderne Authentifizierung umzusteigen. Unbekannte Anmeldungseigenschaften können sowohl bei interaktiven als auch bei nicht-interaktiven Anmeldungen erkannt werden. Wenn diese Erkennung bei nicht-interaktiven Anmeldungen festgestellt wird, sollte sie aufgrund des Risikos von Token-Wiederholungsangriffen besonders sorgfältig geprüft werden. Wenn Sie ein Risiko „unbekannte Anmeldeeigenschaft“ auswählen, können Sie zusätzliche Informationen anzeigen, die Ihnen weitere Details darüber liefern, warum dieses Risiko ausgelöst wurde. Im folgenden Screenshot sehen Sie ein Beispiel für diese Details. SCHÄDLICHE IP-ADRESSE Offline berechnet. Diese Erkennung gibt eine Anmeldung über eine schädliche IP-Adresse an. Eine IP-Adresse wird wegen hoher Fehlerraten aufgrund von ungültige Anmeldeinformationen, die von der IP-Adresse oder anderen IP-Zuverlässigkeitsquellen empfangen wurden, als schädlich eingestuft. UNTERSUCHEN VON ERKENNUNGEN SCHÄDLICHER IP-ADRESSEN 1. Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde: 1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen Sie alle Token. 2. Wenn bekannt ist, dass der Benutzer bzw. die Benutzerin die IP-Adresse im Rahmen seiner/ihrer Aufgaben verwendet: 1. Empfohlene Aktion: Schließen Sie die Warnung. VERDÄCHTIGE REGELN ZUR POSTEINGANGSÄNDERUNG Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn verdächtige Regeln zum Löschen oder Verschieben von Nachrichten oder Ordnern für den Posteingang eines Benutzers festgelegt werden. Diese Erkennung kann darauf hinweisen, dass das Konto des Benutzers kompromittiert ist, dass Nachrichten absichtlich ausgeblendet werden und das Postfach zum Verteilen von Spam und Schadsoftware in Ihrer Organisation verwendet wird. KENNWORTSPRAY Offline berechnet. Bei einem Kennwortspray-Angriff werden mehrere Benutzernamen unter Verwendung gängiger Kennwörter im Rahmen eines koordinierten Brute-Force-Angriffs angegriffen, um nicht autorisierten Zugriff zu erhalten. Die Risikoerkennung wird ausgelöst, wenn ein Kennwortspray-Angriff erfolgreich durchgeführt wurde. Der Angreifer wird beispielsweise in der erkannten Instanz erfolgreich authentifiziert. UNTERSUCHEN VON ERKENNUNGEN VON KENNWORTSPRAYS 1. Wenn Sie bestätigen können, dass die Aktivität nicht von einem legitimen Benutzer oder einer legitimen Benutzerin ausgeführt wurde: 1. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen Sie alle Token. 2. Wenn bekannt ist, dass der Benutzer bzw. die Benutzerin die IP-Adresse im Rahmen seiner/ihrer Aufgaben verwendet: 1. Empfohlene Aktion: Schließen Sie die Warnung. 3. Wenn Sie bestätigen können, dass das Konto nicht kompromittiert wurde, und keine Hinweise auf einen Brute-Force- oder Kennwortsprayangriff auf das Konto erkennbar sind. 1. Empfohlene Aktion: Ermöglichen Sie dem Benutzer oder der Benutzerin eine Eigenwartung mithilfe einer Risikorichtlinie für bedingten Zugriff, oder veranlassen Sie, dass ein Administrator oder eine Administratorin die Anmeldung als sicher bestätigt. Weitere Untersuchungen zur Erkennung von Risiken durch Kennwortsprays finden Sie im Artikel Kennwortspray: Untersuchung. UNMÖGLICHER ORTSWECHSEL Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Es wurden zwei Benutzeraktivitäten (in einer einzelnen Sitzung oder in mehreren Sitzungen) festgestellt, die von unterschiedlichen geografischen Standorten stammen und in einem Zeitraum liegen, der kürzer ist als die Zeit, die der Benutzer benötigt, um von einem Ort zum anderen zu gelangen. Dieses Risiko könnte darauf hindeuten, dass ein anderer Benutzer die gleichen Anmeldeinformationen verwendet. NEUES LAND/NEUE REGION Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Bei dieser Erkennungsmethode werden anhand von in der Vergangenheit verwendeten Aktivitätsstandorten neue und selten verwendete Standorte ermittelt. Die Anomalieerkennungsengine speichert Informationen zu Standorten, die Benutzer der Organisation in der Vergangenheit verwendet haben. AKTIVITÄT ÜBER ANONYME IP-ADRESSE Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung stellt fest, ob Benutzer eine IP-Adresse verwendet haben, die als anonyme Proxy-IP-Adresse identifiziert wurde. VERDÄCHTIGE WEITERLEITUNG DES POSTEINGANGS Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Durch diese Erkennungsmethode werden verdächtige Regeln zur E-Mail-Weiterleitung erkannt. Hierzu gehört beispielsweise die Erstellung einer Posteingangsregel, die eine Kopie aller E-Mails an eine externe Adresse weiterleitet. MASSENZUGRIFF AUF VERTRAULICHE DATEIEN Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn Benutzer auf mehrere Dateien von Microsoft SharePoint oder Microsoft OneDrive zugreifen. Eine Warnung wird nur ausgelöst, wenn die Anzahl der abgerufenen Dateien für den*die Benutzer*in ungewöhnlich ist und die Dateien vertrauliche Informationen enthalten könnten. ÜBERPRÜFTE BEDROHUNGSAKTEUR-IP In Echtzeit berechnet. Dieser Risikoerkennungstyp weist auf eine Anmeldeaktivität hin, die mit bekannten IP-Adressen konsistent ist, welche nationalen Zustandsakteuren oder Gruppen zur Bekämpfung der Internetkriminalität zugeordnet sind, basierend auf Microsoft Threat Intelligence Center (MSTIC). PREMIUM-BENUTZERRISIKOERKENNUNG MÖGLICHER VERSUCH, AUF PRIMÄRES AKTUALISIERUNGSTOKEN (PRIMARY REFRESH TOKEN, PRT) ZUZUGREIFEN Offline berechnet. Dieser Risikoerkennungstyp wird mittels von durch Microsoft Defender for Endpoint (MDE) bereitgestellten Informationen erkannt. Ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) ist ein Schlüsselartefakt der Microsoft Entra-Authentifizierung auf Geräten unter Windows 10, Windows Server 2016 und höheren Versionen, iOS und Android. Bei einem PRT handelt es sich um ein JSON Web Token (JWT), das speziell für Microsoft-Erstanbieter-Tokenbroker ausgestellt wird, um einmaliges Anmelden (Single Sign-On, SSO) für die Anwendungen zu ermöglichen, die auf diesen Geräten verwendet werden. Angreifer können versuchen, auf diese Ressource zuzugreifen, um sich im gesamten Netzwerk zu bewegen oder Anmeldeinformationen zu stehlen. Diese Erkennung stuft Benutzer als hohes Risiko ein und wird nur in Organisationen ausgelöst, die MDE bereitgestellt haben. Diese Erkennung erfolgt nur in geringem Umfang und wird in den meisten Organisationen nur selten beobachtet. Wenn diese Erkennung auftritt, besteht ein hohes Risiko, und Benutzer sollten korrigiert werden. ANOMALE BENUTZERAKTIVITÄT Offline berechnet. Bei dieser Risikoerkennung wird das normale Verhalten administrativer Benutzer*innen in Microsoft Entra ID zugrunde gelegt, und es werden anomale Verhaltensmuster wie beispielsweise verdächtige Änderungen am Verzeichnis erkannt. Die Erkennung wird für den Administrator, der die Änderung vornimmt, oder für das Objekt ausgelöst, das geändert wurde. DER BENUTZER HAT VERDÄCHTIGE AKTIVITÄTEN GEMELDET Offline berechnet. Diese Risikoerkennung wird gemeldet, wenn ein Benutzer eine MFA (Multi-Faktor-Authentifizierung)-Eingabeaufforderung verweigert und dies als verdächtige Aktivität meldet. Eine MFA-Eingabeaufforderung, die nicht von einem Benutzer initiiert wird, kann bedeuten, dass seine Anmeldeinformationen kompromittiert sind. VERDÄCHTIGES SENDEN VON MUSTERN Offline berechnet. Dieser Risikoerkennungstyp wird mittels von durch Microsoft Defender for Office (MDO) bereitgestellten Informationen erkannt. Diese Warnung wird generiert, wenn jemand in Ihrer Organisation verdächtige E-Mails gesendet hat und entweder für das Senden von E-Mails eingeschränkt wurde oder bereits daran gehindert wurde, E-Mails zu senden. Diese Erkennung stuft Benutzer als mittleres Risiko ein und wird nur in Organisationen ausgelöst, die MDO bereitgestellt haben. Diese Erkennung erfolgt nur in geringem Umfang und wird in den meisten Organisationen nur selten beobachtet. NICHT-PREMIUM-ERKENNUNGEN Kund*innen ohne Microsoft Entra ID P2-Lizenz erhalten Erkennungen mit dem Titel „Zusätzliches Risiko erkannt“, aber ohne die detaillierten Informationen zur Erkennung, die Kund*innen mit P2-Lizenzen erhalten. NICHT-PREMIUM-ERKENNUNGEN BEI ANMELDERISIKEN ZUSÄTZLICHES RISIKO ERKANNT (ANMELDUNG) In Echtzeit oder offline berechnet. Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Microsoft Entra ID P2-Kund*innen sichtbar sind, werden sie für Kund*innen ohne Microsoft Entra ID P2-Lizenz als „Zusätzliches Risiko erkannt“ bezeichnet. ANONYME IP-ADRESSE In Echtzeit berechnet. Dieser Risikoerkennungstyp gibt Anmeldungen über eine anonyme IP-Adresse (z.B. Tor-Browser oder ein anonymisiertes VPN) an. Diese IP-Adressen werden in der Regel von Akteuren verwendet, die ihre Anmeldetelemetrie (IP-Adresse, Standort, Gerät usw.) für mögliche böswillige Absichten verbergen wollen. BENUTZERGEFÄHRDUNG DURCH ADMINISTRATOR BESTÄTIGT Offline berechnet. Diese Erkennung gibt an, dass ein Administrator auf der Benutzeroberfläche für riskante Benutzer oder mithilfe der riskyUsers-API die Option „Benutzergefährdung bestätigen“ ausgewählt hat. Überprüfen Sie den Risikoverlauf des Benutzers (auf der Benutzeroberfläche oder über die API), um zu überprüfen, welcher Administrator diese Benutzergefährdung bestätigt hat. THREAT INTELLIGENCE VON MICROSOFT ENTRA (ANMELDUNG) In Echtzeit oder offline berechnet. Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den angegebenen Benutzer ungewöhnlich sind oder bekannten Angriffsmustern entsprechen. Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert. NICHT-PREMIUM-BENUTZERRISIKOERKENNUNG ZUSÄTZLICHES RISIKO ERKANNT (BENUTZER) In Echtzeit oder offline berechnet. Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Microsoft Entra ID P2-Kund*innen sichtbar sind, werden sie für Kund*innen ohne Microsoft Entra ID P2-Lizenz als „Zusätzliches Risiko erkannt“ bezeichnet. KOMPROMITTIERTE ANMELDEINFORMATIONEN Offline berechnet. Dieser Risikoerkennungstyp gibt an, dass die gültigen Anmeldeinformationen des Benutzers kompromittiert wurden. Wenn Cyberkriminelle gültige Passwörter von rechtmäßigen Nutzern kompromittieren, geben sie diese gesammelten Anmeldeinformationen oft weiter. Diese Freigabe erfolgt in der Regel durch eine Veröffentlichung im Darknet oder auf Paste Sites oder durch den Handel und Verkauf der Anmeldeinformationen auf dem Schwarzmarkt. Wenn der Microsoft-Dienst für durchgesickerte Anmeldedaten Benutzeranmeldedaten aus dem Dark Web, von Paste-Sites oder anderen Quellen erhält, werden diese mit den aktuellen gültigen Anmeldedaten der Microsoft Entra-Benutzer abgeglichen, um gültige Übereinstimmungen zu finden. Weitere Informationen zu kompromittierten Anmeldeinformationen finden Sie unter Häufig gestellte Fragen. UNTERSUCHEN VON ERKENNUNGEN VON KOMPROMITTIERTEN ANMELDEINFORMATIONEN 1. Wenn dieses Erkennungssignal eine Warnung zu kompromittierten Anmeldeinformationen eines Benutzers oder einer Benutzerin ausgegeben hat: 2. Empfohlene Aktion: Markieren Sie die Anmeldung als kompromittiert, und rufen Sie eine Kennwortzurücksetzung auf, wenn diese noch nicht per Eigenwartung durchgeführt wurde. Blockieren Sie den Benutzer/die Benutzerin, wenn ein Angreifer oder eine Angreiferin Zugriff auf die Kennwortzurücksetzung hat, oder führen Sie eine MFA aus, setzen Sie das Kennwort zurück, und widerrufen Sie alle Token. THREAT INTELLIGENCE VON MICROSOFT ENTRA (BENUTZER*IN) Offline berechnet. Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den angegebenen Benutzer ungewöhnlich sind oder bekannten Angriffsmustern entsprechen. Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert. HÄUFIG GESTELLTE FRAGEN RISIKOSTUFEN ID Protection teilt Risiken in drei Stufen ein: niedrig, mittel und hoch. Wenn Sie ID Protection-Richtlinien konfigurieren, können Sie diese auch so einrichten, dass sie auf der Stufe Kein Risiko auslösen. Kein Risiko bedeutet, dass es keine aktiven Anzeichen dafür gibt, dass die Identität des Benutzers kompromittiert wurde. Microsoft stellt keine speziellen Details für die Risikoberechnung zur Verfügung. Je höher die Risikostufe desto wahrscheinlicher ist es, dass der Benutzer oder die Anmeldung kompromittiert wurde. Beispielsweise sind einmalige ungewöhnliche Anmeldeeigenschaften eines Benutzers unter Umständen nicht so riskant wie kompromittierte Anmeldeinformationen eines anderen Benutzers. KENNWORTHASHSYNCHRONISIERUNG Damit Risiken wie kompromittierte Anmeldeinformationen erkannt werden können, müssen Kennworthashes vorhanden sein. Weitere Informationen zur Kennworthashsynchronisierung finden Sie unter Implementieren der Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung. WARUM WERDEN RISIKOERKENNUNGEN FÜR DEAKTIVIERTE BENUTZERKONTEN GENERIERT? Deaktivierte Benutzerkonten können erneut aktiviert werden. Wenn die Anmeldeinformationen eines deaktivierten Kontos kompromittiert sind und das Konto erneut aktiviert wird, könnten böswillige Akteure diese Anmeldeinformationen verwenden, um Zugriff zu erhalten. ID Protection generiert Risikoerkennungen für verdächtige Aktivitäten mit deaktivierten Benutzerkonten, um Kund*innen über eine potenzielle Kontokompromittierung zu informieren. Wenn ein Konto nicht mehr verwendet und auch nicht wieder aktiviert wird, sollten Kunden erwägen, es zu löschen, um eine Kompromittierung zu verhindern. Für gelöschte Konten werden keine Risikoerkennungen generiert. WO FINDET MICROSOFT KOMPROMITTIERTE ANMELDEINFORMATIONEN? Microsoft findet kompromittierte Anmeldeinformationen an verschiedenen Stellen. Dazu zählen: * Öffentliche Paste-Websites, z. B. pastebin.com und paste.ca, auf denen böswillige Akteure in der Regel solche Materialien posten. Diese Stelle ist der erste Zwischenstopp von böswilligen Akteuren auf der Jagd nach gestohlenen Anmeldeinformationen. * Strafverfolgungsbehörden. * Andere Gruppen bei Microsoft, die das Darknet durchforsten. WARUM SEHE ICH KEINE KOMPROMITTIERTEN ANMELDEINFORMATIONEN? Kompromittierte Anmeldeinformationen werden jedes Mal, wenn Microsoft einen neuen, öffentlich verfügbaren Batch findet, verarbeitet. Angesichts der Sensibilität der Daten werden die kompromittierten Anmeldeinformationen kurz nach der Verarbeitung gelöscht. Nur neue kompromittierte Anmeldeinformationen, die nach der Aktivierung der Kennwort-Hashsynchronisierung (Password Hash Synchronization, PHS) gefunden werden, werden für Ihren Mandanten verarbeitet. Eine Überprüfung anhand zuvor gefundener Anmeldeinformationspaare erfolgt nicht. ICH HABE SEIT EINIGER ZEIT KEINE RISIKOEREIGNISSE MIT KOMPROMITTIERTEN ANMELDEINFORMATIONEN MEHR GESEHEN Wenn Ihnen keine Risikoereignisse mit kompromittierten Anmeldeinformationen angezeigt wurden, kann das folgende Ursachen haben: * Sie haben keine Kennworthashsynchronisierung für Ihren Mandanten aktiviert. * Microsoft hat keine kompromittierten Anmeldeinformationspaare gefunden, die mit Ihren Benutzern übereinstimmen. WIE OFT VERARBEITET MICROSOFT NEUE ANMELDEINFORMATIONEN? Anmeldeinformationen werden sofort nach deren Auffinden verarbeitet, in der Regel in mehreren Batches pro Tag. STANDORTE Der Standort bei Risikoermittlungen wird mithilfe der IP-Adressensuche bestimmt. NÄCHSTE SCHRITTE * Verfügbare Richtlinien zum Mindern von Risiken * Untersuchen eines Risikos * Behandeln von Risiken und Aufheben der Blockierung von Benutzern * Sicherheitsübersicht -------------------------------------------------------------------------------- ZUSÄTZLICHE RESSOURCEN -------------------------------------------------------------------------------- Training Modul Schützen Ihrer Identitäten mit Microsoft Entra ID Protection - Training Verwenden Sie die erweiterte Erkennung und Beseitigung von identitätsbasierten Bedrohungen, um Ihre Microsoft Entra-Identitäten und -Anwendungen vor Angriffen zu schützen. Deutsch Deaktivierungssymbol für California Consumer Privacy Act (CCPA) Ihre Datenschutzoptionen Design * Hell * Dunkel * Hoher Kontrast * Cookies verwalten * Frühere Versionen * Blog * Mitwirken * Datenschutz * Nutzungsbedingungen * Impressum * Marken * © Microsoft 2024 ZUSÄTZLICHE RESSOURCEN -------------------------------------------------------------------------------- Training Modul Schützen Ihrer Identitäten mit Microsoft Entra ID Protection - Training Verwenden Sie die erweiterte Erkennung und Beseitigung von identitätsbasierten Bedrohungen, um Ihre Microsoft Entra-Identitäten und -Anwendungen vor Angriffen zu schützen. IN DIESEM ARTIKEL Deutsch Deaktivierungssymbol für California Consumer Privacy Act (CCPA) Ihre Datenschutzoptionen Design * Hell * Dunkel * Hoher Kontrast * Cookies verwalten * Frühere Versionen * Blog * Mitwirken * Datenschutz * Nutzungsbedingungen * Impressum * Marken * © Microsoft 2024