learn.microsoft.com Open in urlscan Pro
2a02:26f0:3100:1a4::3544  Public Scan

Submitted URL: https://docs.microsoft.com/azure/active-directory/fundamentals/security-operations-privileged-accounts#things-to-monitor
Effective URL: https://learn.microsoft.com/de-de/entra/architecture/security-operations-privileged-accounts
Submission: On April 28 via api from DE — Scanned from DE

Form analysis 3 forms found in the DOM

Name: site-header-search-form-mobileGET /de-de/search/

<form class="flex-grow-1" method="GET" role="search" id="ms--site-header-search-form-mobile" data-bi-name="site-header-search-form-mobile" name="site-header-search-form-mobile" aria-label="Suche" action="/de-de/search/">
  <div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
    <div class="field-body control ">
      <input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="site-header-search-autocomplete-input-mobile"
        data-test-id="site-header-search-autocomplete-input-mobile" class="autocomplete-input input 
						
						width-full" type="search" name="terms" aria-expanded="false" aria-owns="ax-1-listbox" aria-controls="ax-1-listbox" aria-activedescendant="" aria-label="Suche" aria-describedby="ms--site-header-search-autocomplete-input-mobile-description"
        placeholder="Suche" data-bi-name="site-header-search-autocomplete-input-mobile" pattern=".*">
      <span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
      <span hidden="" id="ms--site-header-search-autocomplete-input-mobile-description"> Vorschläge werden während der Eingabe gefiltert </span>
    </div>
    <ul role="listbox" id="ax-1-listbox" data-test-id="site-header-search-autocomplete-input-mobile-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Vorschläge" hidden="">
    </ul>
    <!---->
  </div>
  <!-- mobile safari will not dispatch submit event unless there's a submit button that is not display:none -->
  <button type="submit" class="visually-hidden" tabindex="-1" aria-hidden="true"></button>
  <input name="category" hidden="" value="">
</form>

Name: site-header-search-formGET /de-de/search/

<form class="flex-grow-1" method="GET" role="search" id="ms--site-header-search-form" data-bi-name="site-header-search-form" name="site-header-search-form" aria-label="Suche" action="/de-de/search/">
  <div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
    <div class="field-body control ">
      <input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="site-header-search-autocomplete-input" data-test-id="site-header-search-autocomplete-input" class="autocomplete-input input input-sm
						
						width-full" type="search" name="terms" aria-expanded="false" aria-owns="ax-0-listbox" aria-controls="ax-0-listbox" aria-activedescendant="" aria-label="Suche" aria-describedby="ms--site-header-search-autocomplete-input-description"
        placeholder="Suche" data-bi-name="site-header-search-autocomplete-input" pattern=".*">
      <span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
      <span hidden="" id="ms--site-header-search-autocomplete-input-description"> Vorschläge werden während der Eingabe gefiltert </span>
    </div>
    <ul role="listbox" id="ax-0-listbox" data-test-id="site-header-search-autocomplete-input-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Vorschläge" hidden="">
    </ul>
    <!---->
  </div>
  <!-- mobile safari will not dispatch submit event unless there's a submit button that is not display:none -->
  <button type="submit" class="visually-hidden" tabindex="-1" aria-hidden="true"></button>
  <input name="category" hidden="" value="">
</form>

javascript:

<form action="javascript:" role="search" aria-label="Suche" class="margin-bottom-xxs"><label class="visually-hidden" for="ax-2">Suche</label>
  <div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
    <div class="field-body control has-icons-left">
      <input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="ax-2" data-test-id="ax-2" class="autocomplete-input input input-sm
						control has-icons-left
						width-full" type="text" aria-expanded="false" aria-owns="ax-3-listbox" aria-controls="ax-3-listbox" aria-activedescendant="" aria-describedby="ms--ax-2-description" placeholder="Nach Titel filtern" pattern=".*">
      <span aria-hidden="true" class="icon is-small is-left">
        <span class="has-text-primary docon docon-filter-settings"></span>
      </span>
      <span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
      <span hidden="" id="ms--ax-2-description"> Vorschläge werden während der Eingabe gefiltert </span>
    </div>
    <ul role="listbox" id="ax-3-listbox" data-test-id="ax-2-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Vorschläge" hidden="">
    </ul>
    <!---->
  </div>
</form>

Text Content

Weiter zum Hauptinhalt

Wir verwenden optionale Cookies, um Ihre Erfahrung auf unseren Websites zu
verbessern, z. B. durch Verbindungen zu sozialen Medien, und um personalisierte
Werbung auf der Grundlage Ihrer Online-Aktivitäten anzuzeigen. Wenn Sie
optionale Cookies ablehnen, werden nur die Cookies verwendet, die zur
Bereitstellung der Dienste erforderlich sind. Sie können Ihre Auswahl ändern,
indem Sie am Ende der Seite auf „Cookies verwalten“ klicken.
Datenschutzerklärung Cookies von Drittanbietern

Annehmen Ablehnen Cookies verwalten


MICROSOFT BUILD

21. – 23. Mai 2024

KI hat die Branche verändert. Treten Sie uns bei, um sie noch mehr zu verändern.

Jetzt registrieren
Warnung schließen

Dieser Browser wird nicht mehr unterstützt.

Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features,
Sicherheitsupdates und den technischen Support zu nutzen.

Microsoft Edge herunterladen Weitere Informationen zu Internet Explorer und
Microsoft Edge

Learn
Vorschläge werden während der Eingabe gefiltert
Anmelden


 * Profil
 * Einstellungen

Abmelden

Learn
   
 * Entdecken
      
    * Dokumentation
      
      Ausführliche Artikel zu Microsoft-Entwicklertools und -Technologien
   
      
    * Training
      
      Personalisierte Lernpfade und Kurse
   
      
    * Leistungsnachweis
      
      Weltweit anerkannte, von der Branche unterstützte Leistungsnachweise
   
      
    * Fragen und Antworten
      
      Von Microsoft moderierte technische Fragen und Antworten
   
      
    * Codebeispiele
      
      Codebeispielbibliothek für Microsoft-Entwicklertools und -Technologien
   
      
    * Bewertungen
      
      Interaktive, kuratierte Anleitungen und Empfehlungen
   
      
    * Zeigt Folgendes an
      
      Tausende von Stunden originärer Programmierung von Microsoft-Expert*innen
   
      
   
   Empfohlene Bewertung
   
   Es ist Ihre KI-Lernreise
   
   Unabhängig davon, wie weit Sie auf Ihrer KI-Reise sind, Microsoft Learn holt
   Sie dort ab und hilft Ihnen, Ihre Kenntnisse zu vertiefen.

   
 * Produktdokumentation
      
    * ASP.NET
      
    * Azure
      
    * Dynamics 365
      
    * Microsoft 365
      
    * Microsoft Edge
      
    * Microsoft Entra
      
    * Microsoft Graph
      
    * Microsoft Intune
      
    * Microsoft Purview
      
    * Microsoft Teams
      
    * .NET
      
    * Power Apps
      
    * Power Automate
      
    * Power BI
      
    * Power Platform
      
    * PowerShell
      
    * SQL
      
    * Sysinternals
      
    * Visual Studio
      
    * Windows
      
    * Windows Server
      
   
   Alle Produkte anzeigen
   
   Empfohlene Bewertung
   
   Es ist Ihre KI-Lernreise
   
   Unabhängig davon, wie weit Sie auf Ihrer KI-Reise sind, Microsoft Learn holt
   Sie dort ab und hilft Ihnen, Ihre Kenntnisse zu vertiefen.

   
 * Entwicklungssprachen
      
    * C++
      
    * DAX
      
    * Java
      
    * OData
      
    * OpenAPI
      
    * Power Query M
      
    * VBA
      
   
   Empfohlene Bewertung
   
   Es ist Ihre KI-Lernreise
   
   Unabhängig davon, wie weit Sie auf Ihrer KI-Reise sind, Microsoft Learn holt
   Sie dort ab und hilft Ihnen, Ihre Kenntnisse zu vertiefen.

   
 * Themen
      
    * Künstliche Intelligenz
      
    * Kompatibilität
      
    * DevOps
      
    * Plattformentwicklung
      
    * Sicherheit
      
   
   Empfohlene Bewertung
   
   Es ist Ihre KI-Lernreise
   
   Unabhängig davon, wie weit Sie auf Ihrer KI-Reise sind, Microsoft Learn holt
   Sie dort ab und hilft Ihnen, Ihre Kenntnisse zu vertiefen.

   

Vorschläge werden während der Eingabe gefiltert
Anmelden


 * Profil
 * Einstellungen

Abmelden
Microsoft Entra
   
 * Microsoft Entra ID
   
 * Externe ID
   
 * Globaler sicherer Zugriff
   
 * ID-Governance
   
 * Verwaltung von Berechtigungen
   
 * Microsoft-Dokumentation zur Sicherheit
   
 * Mehr
     
   * Microsoft Entra ID
     
   * Externe ID
     
   * Globaler sicherer Zugriff
     
   * ID-Governance
     
   * Verwaltung von Berechtigungen
     
   * Microsoft-Dokumentation zur Sicherheit
     
   

Admin Center
Inhaltsverzeichnis Fokusmodus beenden

Suche
Vorschläge werden während der Eingabe gefiltert
 * Aufbau
   * Microsoft Entra-Architektur
   * Microsoft Entra-Architektursymbole
   * Der Weg in die Cloud
   * Optionen für die parallele Identität
   * Automatisieren der Identitätsbereitstellung für Anwendungen
   * Mehrstufige Benutzerverwaltung
   * Multilaterale Verbundlösungen für Universitäten
   * Leitfaden zu Microsoft Entra ID für unabhängige Softwareentwickler
   * Authentifizierungsprotokolle
   * Bereitstellungsprotokolle
   * Wiederherstellbarkeit
   * Erstellen resilienter Lösungen
   * Schützen mit der Microsoft Entra-ID
 * Bereitstellungshandbuch
 * Bewährte Methoden für die Migration
 * Referenz zu Microsoft Entra-Vorgängen
 * Microsoft Entra Permissions Management Vorgangsreferenz
 * Sicherheit
   * Sicherheitsbaseline
   * Leitfaden zu Sicherheitsvorgängen
     * Übersicht über Sicherheitsvorgänge
     * Sicherheitsvorgänge für Benutzerkonten
     * Sicherheitsvorgänge für Consumerkonten
     * Sicherheitsvorgänge für privilegierte Konten
     * Sicherheitsvorgänge für PIM
     * Sicherheitsvorgänge für Anwendungen
     * Sicherheitsvorgänge für Geräte
     * Sicherheitsvorgänge für die Infrastruktur
   * Schützen von Microsoft 365 vor lokalen Angriffen
   * Sichere externe Zusammenarbeit
   * Schützen von Dienstkonten

PDF herunterladen
    
 1. Learn
    
    
 2. Microsoft Entra
    
    
 3. Aufbau
    

    
 1. Learn
    
    
 2. Microsoft Entra
    
    
 3. Aufbau
    

Auf Englisch lesen Hinzufügen
Inhaltsverzeichnis Auf Englisch lesen Zu Sammlungen hinzufügen Zu Plan
hinzufügen Drucken

Twitter LinkedIn Facebook E-Mail
Inhaltsverzeichnis


SECOPS FÜR PRIVILEGIERTE KONTEN IN MICROSOFT ENTRA ID

 * Artikel
 * 28.10.2023
 * 6 Mitwirkende

Feedback



IN DIESEM ARTIKEL

    
 1. Zu überwachende Protokolldateien
    
 2. Konten für den Notfallzugriff
    
 3. Anmeldung mit privilegiertem Konto
    
 4. Änderungen durch privilegierte Konten
    
 5. Änderungen an privilegierten Konten
    
 6. Zuweisung und Rechteerweiterungen
    
 7. Nächste Schritte
    

3 weitere anzeigen

Die Sicherheit der Geschäftsressourcen hängt von der Integrität der
privilegierten Konten ab, mit denen Ihre IT-Systeme verwaltet werden.
Cyberkriminelle haben es beim Diebstahl von Anmeldeinformationen besonders auf
Administratorkonten und andere privilegierte Zugriffsmöglichkeiten abgesehen, um
Zugriff auf sensible Daten zu erhalten.

Bisher haben sich Unternehmen bezüglich der Organisationssicherheit auf die Ein-
und Ausstiegspunkte eines Netzwerks als Sicherheitsperimeter konzentriert. Durch
SaaS-Anwendungen (Software-as-a-Service) und persönliche Geräte im Internet ist
dieser Ansatz jedoch weniger effektiv.

Microsoft Entra ID verwendet identitäts- und Zugriffsverwaltung (identity and
access management, IAM) als Steuerungsebene. Auf der Identitätsebene Ihrer
Organisation haben Benutzer, denen privilegierte Administratorrollen zugewiesen
sind, die Kontrolle. Die für den Zugriff verwendeten Konten müssen geschützt
werden, unabhängig davon, ob es sich um eine lokale, eine Cloud- oder eine
Hybridumgebung handelt.

Sie sind für alle Sicherheitsebenen Ihrer lokalen IT-Umgebung verantwortlich.
Wenn Sie Azure-Dienste verwenden, sind Microsoft als Clouddienstanbieter und Sie
als Kunde für Prävention und Reaktion gemeinsam verantwortlich.

 * Weitere Informationen zum Modell der gemeinsamen Verantwortung finden Sie
   unter Gemeinsame Verantwortung in der Cloud.
 * Weitere Informationen zum Schützen des Zugriffs für privilegierte Benutzer
   finden Sie unter Schützen des privilegierten Zugriffs für hybride und
   Cloudbereitstellungen in Microsoft Entra ID.
 * Eine Vielzahl von Videos, Schrittanleitungen und Inhalten wichtiger Konzepte
   für privilegierte Identitäten finden Sie in der Privileged Identity
   Management-Dokumentation.


ZU ÜBERWACHENDE PROTOKOLLDATEIEN

Zur Untersuchung und Überwachung verwenden Sie die folgenden Protokolldateien:

 * Microsoft Entra-Überwachungsprotokolle

 * Microsoft 365-Überwachungsprotokolle

 * Azure Key Vault Insights

Im Azure-Portal können Sie die Microsoft Entra-Überwachungsprotokolle anzeigen
und als CSV-Datei (Comma Separated Value) oder JSON-Datei (JavaScript Object
Notation) herunterladen. Das Azure-Portal bietet mehrere Möglichkeiten zur
Integration von Microsoft Entra-Protokollen in andere Tools, die eine
umfassendere Automatisierung von Überwachung und Benachrichtigungen ermöglichen:

 * Microsoft Sentinel. Ermöglicht intelligente Sicherheitsanalysen auf
   Unternehmensebene, indem SIEM-Funktionen (Security Information and Event
   Management) zur Verfügung gestellt werden.

 * Sigma-Regeln: Sigma ist ein sich in Entwicklung befindender offener Standard
   zum Schreiben von Regeln und Vorlagen, die automatisierte Verwaltungstools
   zum Parsen von Protokolldateien verwenden können. Dort, wo Sigma-Vorlagen für
   die empfohlenen Suchkriterien vorhanden sind, wurde ein Link zum
   Sigma-Repository hinzugefügt. Die Sigma-Vorlagen werden nicht von Microsoft
   geschrieben, getestet und verwaltet. Das Repository und die Vorlagen werden
   von der weltweiten IT-Sicherheitscommunity erstellt und gesammelt.

 * Azure Monitor. Ermöglicht die automatisierte Überwachung verschiedener
   Bedingungen und entsprechende Warnungen. Damit können Arbeitsmappen erstellt
   oder verwendet werden, um Daten aus verschiedenen Quellen zu kombinieren.

 * Azure Event Hubs mit Integration in ein SIEM-System. Ermöglicht das Pushen
   von Microsoft Entra-Protokollen über die Azure Event Hubs-Integration in
   andere SIEM-Systeme, z. B. Splunk, ArcSight, QRadar und Sumo Logic. Weitere
   Informationen finden Sie unter Streamen von Microsoft Entra-Protokollen an
   einen Azure Event Hub.

 * Microsoft Defender für Cloud Apps. Ermöglicht die Erkennung und Verwaltung
   von Apps, die Steuerung von Apps und Ressourcen sowie die Überprüfung der
   Compliance Ihrer Cloud-Apps.

 * Microsoft Graph. Ermöglicht es Ihnen, Daten zu exportieren und Microsoft
   Graph zu verwenden, um weitere Analysen durchzuführen. Weitere Informationen
   finden Sie unter Microsoft Graph PowerShell SDK und Microsoft Entra ID
   Protection.

 * Identitätsschutz. Generiert drei wichtige Berichte, die Sie bei der
   Untersuchung verwenden können:
   
   * Riskante Benutzer. Enthält Informationen darüber, welche Benutzer gefährdet
     sind, Details zu Erkennungen, den Verlauf aller riskante Anmeldungen und
     den Risikoverlauf.
   
   * Riskante Anmeldungen. Enthält Informationen zu den Umständen einer
     Anmeldung, die auf verdächtige Situationen hinweisen können. Weitere
     Informationen zum Untersuchen von Informationen aus diesem Bericht finden
     Sie unter Untersuchen von Risiken.
   
   * Risikoerkennungen. Enthält Informationen zu anderen Risiken, die bei
     Erkennung eines Risikos ausgelöst werden, sowie andere relevante
     Informationen wie den Anmeldeort und Details von Microsoft Defender für
     Cloud Apps.

 * Sichern von Workloadidentitäten mit Identity Protection (Vorschau).
   Ermöglicht die Erkennung von Risiken für Workloadidentitäten über das
   Anmeldeverhalten und Offlineindikatoren für eine Gefährdung.

Privilegierte Konten können über ständige Administratorrechte verfügen, wovon
wir jedoch abraten. Wenn Sie sich für die Verwendung von ständigen
Berechtigungen entscheiden und das Konto kompromittiert wird, kann dies sehr
negative Auswirkungen haben. Wir empfehlen Ihnen, die Überwachung privilegierter
Konten zu priorisieren und die Konten in Ihre Konfiguration von Privileged
Identity Management (PIM) einzuschließen. Weitere Informationen zu PIM finden
Sie unter Einstieg in Privileged Identity Management. Außerdem empfehlen wir
Ihnen, folgendes für Administratorkonten zu überprüfen:

 * Die Administratorkonten sind erforderlich.
 * Den Administratorkonten sind die geringsten Berechtigungen zum Ausführen der
   erforderlichen Aktivitäten zugewiesen.
 * Sind zumindest mit Multi-Faktor-Authentifizierung geschützt.
 * Die Administratorkonten werden auf Privileged Access Workstations (PAWs) oder
   Secure Admin Workstations (SAWs) ausgeführt.

Im weiteren Verlauf dieses Artikels wird beschrieben, was Sie überwachen und
warnen sollten. Der Artikel ist nach Art der Bedrohung organisiert. Wenn es
spezielle vorgefertigte Lösungen gibt, sind diese im Anschluss an die Tabelle
aufgeführt. Andernfalls können Sie Warnungen mithilfe der oben beschriebenen
Tools erstellen.

Dieser Artikel enthält Details zum Festlegen von Baselines sowie zum Überwachen
der Anmeldung und Nutzung privilegierter Konten. Außerdem werden Tools und
Ressourcen erläutert, die Sie verwenden können, um die Integrität Ihrer
privilegierten Konten aufrechtzuerhalten. Der Inhalt ist in die folgenden
Themenbereiche unterteilt:

 * Konten für den Notfallzugriff/Notfallkonten
 * Anmeldung mit privilegiertem Konto
 * Änderungen von privilegierten Konten
 * Privilegierte Gruppen
 * Rechtezuweisung und Rechteerweiterungen


KONTEN FÜR DEN NOTFALLZUGRIFF

Es ist wichtig, dass Sie verhindern, versehentlich aus Ihrem Microsoft
Entra-Mandanten ausgesperrt zu werden. Sie können die Auswirkungen eines
versehentlichen Aussperrens abmildern, indem Sie in Ihrer Organisation Konten
für den Notfallzugriff erstellen. Konten für den Notfallzugriff werden auch als
Notfallkonten bezeichnet – engl. „break-glass accounts“ in Anlehnung an die
Meldungen „break glass in case of emergency“, die auf physischen
Sicherheitsvorrichtungen wie Feueralarmmeldern zu finden sind.

Konten für den Notfallzugriff verfügen über umfangreiche Rechte und werden
keinen Einzelpersonen zugewiesen. Konten für den Notfallzugriff sind auf
Notfallsituationen oder Szenarien beschränkt, in denen normale, privilegierte
Konten nicht verwendet werden können. Ein Beispiel hierfür ist, wenn eine
Richtlinie für bedingten Zugriff falsch konfiguriert ist und alle normalen
Administratorkonten sperrt. Verwenden Sie Notfallkonten nur in Fällen, in denen
dies unbedingt erforderlich ist.

Eine Anleitung zum Vorgehen im Notfall finden Sie unter Sichere
Zugriffspraktiken für Administratoren in Microsoft Entra ID.

Senden Sie bei jeder Verwendung eines Kontos für den Notfallzugriff eine Warnung
mit hoher Priorität.


ERMITTLUNG

Da Notfallkonten nur bei einem Notfall verwendet werden, sollte Ihre Überwachung
keine Kontoaktivitäten ermitteln. Senden Sie bei jeder Verwendung oder Änderung
eines Kontos für den Notfallzugriff eine Warnung mit hoher Priorität. Jedes der
folgenden Ereignisse kann darauf hindeuten, dass ein böswilliger Akteur
versucht, Ihre Umgebungen zu gefährden.

 * Anmelden:
 * Änderung des Kontokennworts
 * Änderung von Kontoberechtigungen/-rollen
 * Hinzugefügte oder geänderte Anmeldeinformationen oder
   Authentifizierungsmethode

Weitere Informationen zum Verwalten dieser Konten finden Sie unter Verwalten von
Konten für den Notfallzugriff in Microsoft Entra ID. Ausführliche Informationen
zum Erstellen einer Warnung für ein Notfallkonto finden Sie unter Erstellen
einer Warnungsregel.


ANMELDUNG MIT PRIVILEGIERTEM KONTO

Überwachen Sie alle Anmeldeaktivitäten von privilegierten Konten mithilfe der
Microsoft Entra-Anmeldeprotokolle als Datenquelle. Zusätzlich zu den
Informationen zu erfolgreichen und fehlerhaften Anmeldungen enthalten die
Protokolle die folgenden Details:

 * Interrupts
 * Gerät
 * Standort
 * Risiko
 * Application
 * Datum und Uhrzeit
 * Ob das Konto deaktiviert ist
 * Sperrung
 * MFA-Betrug
 * Bedingter Zugriff Fehler


ZU ÜBERWACHENDE EREIGNISSE

Sie können Anmeldeereignisse privilegierter Konten in den Microsoft
Entra-Anmeldeprotokollen überwachen. Erstellen Sie eine Warnung für und
untersuchen Sie die folgenden Ereignisse für privilegierte Konten.

Tabelle erweitern

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Subfilter Notizen
Anmeldefehler, Schwellenwert für falsches Kennwort Hoch Microsoft
Entra-Anmeldeprotokoll Status = Fehler
- und -
Fehlercode = 50126 Legen Sie einen Basisschwellenwert fest, den Sie dann
überwachen und entsprechend dem Verhalten Ihres Unternehmens anpassen können, um
zu verhindern, dass Fehlwarnungen generiert werden.
Microsoft Sentinel-Vorlage

Sigma-Regeln Fehler aufgrund der Anforderung für bedingten Zugriff Hoch
Microsoft Entra-Anmeldeprotokoll Status = Fehler
- und -
Fehlercode = 53003
- und -
Fehlerursache = Durch bedingten Zugriff blockiert Dies kann ein Hinweis darauf
sein, dass ein Angreifer versucht, auf das Konto zuzugreifen.
Microsoft Sentinel-Vorlage

Sigma-Regeln Privilegierte Konten, die nicht der Benennungsrichtlinie
entsprechen. Azure-Abonnement Auflisten von Azure-Rollenzuweisungen über das
Azure-Portal Listen Sie Rollenzuweisungen für Abonnements auf, und geben Sie
eine Warnung aus, wenn der Anmeldename nicht dem Format Ihrer Organisation
entspricht. Ein Beispiel ist die Verwendung von ADM_ als Präfix. Interrupt Hoch,
mittel Microsoft Entra Anmeldungen Status = Unterbrochen
- und -
Fehlercode = 50074
- und -
Fehlergrund = Strenge Authentifizierung erforderlich
Status = Unterbrochen
- und -
Fehlercode = 500121
Fehlergrund = Fehler bei der Authentifizierung während der Anforderung einer
strengen Authentifizierung Dies kann ein Hinweis darauf sein, dass ein Angreifer
über das Kennwort für das Konto verfügt, die MFA-Abfrage aber nicht erfolgreich
abschließen kann.
Microsoft Sentinel-Vorlage

Sigma-Regeln Privilegierte Konten, die nicht der Benennungsrichtlinie
entsprechen. Hoch Microsoft Entra Verzeichnis Auflisten von Microsoft
Entra-Rollenzuweisungen Listen Sie Rollenzuweisungen für Microsoft Entra-Rollen
auf, und geben Sie eine Warnung aus, wenn der UPN nicht dem Format Ihrer
Organisation entspricht. Ein Beispiel ist die Verwendung von ADM_ als Präfix.
Ermitteln privilegierter Konten, die nicht für Multi-Faktor-Authentifizierung
registriert sind Hoch Microsoft Graph-API Abfrage von IsMFARegistered ist für
Administratorkonten FALSE. CredentialUserRegistrationDetails auflisten –
Microsoft Graph-Betaversion Überwachen und untersuchen Sie, um zu ermitteln, ob
Absicht oder ein Versehen vorliegt. Kontosperrung Hoch Microsoft
Entra-Anmeldeprotokoll Status = Fehler
- und -
Fehlercode = 50053 Legen Sie einen Basisschwellenwert fest, den Sie dann
überwachen und entsprechend dem Verhalten Ihres Unternehmens anpassen können, um
zu verhindern, dass Fehlwarnungen generiert werden.
Microsoft Sentinel-Vorlage

Sigma-Regeln Konto für Anmeldungen deaktiviert/blockiert Niedrig Microsoft
Entra-Anmeldeprotokoll Status = Fehler
- und -
Ziel = Benutzer-UPN
- und -
Fehlercode = 50057 Dieses Ereignis kann darauf hindeuten, dass jemand versucht,
zugriff auf ein Konto zu erhalten, nachdem er die Organisation verlassen hat.
Trotz der Blockierung des Kontos ist es dennoch wichtig, diese Aktivität zu
protokollieren und eine entsprechende Warnung auszugeben.
Microsoft Sentinel-Vorlage

Sigma-Regeln MFA-Betrugswarnung/Blockierung Hoch Microsoft
Entra-Anmeldeprotokoll/Azure Log Analytics Anmeldungen>Authentifizierungsdetails
Ergebnisdetails = MFA verweigert, Betrugscode eingegeben Der privilegierte
Benutzer hat angegeben, dass er die MFA-Eingabeaufforderung nicht veranlasst
hat, was darauf hindeuten könnte, dass ein Angreifer über das Kennwort für das
Konto verfügt.
Microsoft Sentinel-Vorlage

Sigma-Regeln MFA-Betrugswarnung/Blockierung Hoch Microsoft
Entra-Überwachungsprotokoll/Azure Log Analytics Aktivitätstyp = Betrug gemeldet
– Benutzer für MFA gesperrt oder Betrug gemeldet – keine Aktion ausgeführt (auf
Basis der Einstellungen für Betrugsberichte auf Mandantenebene) Der
privilegierte Benutzer hat angegeben, dass er die MFA-Eingabeaufforderung nicht
veranlasst hat, was darauf hindeuten könnte, dass ein Angreifer über das
Kennwort für das Konto verfügt.
Microsoft Sentinel-Vorlage

Sigma-Regeln Anmeldungen mit privilegierten Konten außerhalb der erwarteten
Kontrollen. Microsoft Entra-Anmeldeprotokoll Status = Fehler
UserPricipalName = <Administratorkonto>
Standort = <Nicht genehmigter Standort>
IP-Adresse = <Nicht genehmigte IP-Adresse>
Geräteinformationen = <nicht genehmigter Browser, nicht genehmigtes
Betriebssystem> Überwachen Sie Einträge, die Sie als nicht genehmigt definiert
haben, und geben Sie Warnungen dafür aus.
Microsoft Sentinel-Vorlage

Sigma-Regeln Außerhalb der normalen Anmeldezeiten Hoch Microsoft
Entra-Anmeldeprotokoll Status = Erfolg
- und -
Standort =
- und -
Zeit = außerhalb der Arbeitszeiten Überwachen und warnen Sie, wenn Anmeldungen
außerhalb der erwarteten Zeiten erfolgen. Es ist wichtig, das normale
Arbeitsmuster für jedes privilegierte Konto zu ermitteln und eine Warnung
auszugeben, wenn ungeplante Änderungen außerhalb der normalen Arbeitszeiten
vorgenommen werden. Anmeldungen außerhalb der normalen Arbeitszeiten können auf
eine Gefährdung oder auf mögliche Insiderbedrohungen hinweisen.
Microsoft Sentinel-Vorlage

Sigma-Regeln Identitätsschutzrisiken Hoch Identity Protection-Protokolle
Risikozustand = Gefährdet
- und -
Risikostufe = Niedrig, Mittel, Hoch
- und -
Aktivität = Unbekannte Anmeldung/TOR usw. Dies deutet darauf hin, dass bei der
Anmeldung für das Konto eine gewisse Anomalie erkannt wurde und eine
entsprechende Warnung ausgegeben werden sollte. Kennwortänderung Hoch Microsoft
Entra-Überwachungsprotokolle Aktivitätsakteur = Administrator/Self-Service
- und -
Ziel = Benutzer
- und -
Status = Erfolg oder Fehler Geben Sie Warnungen bei Änderungen von
Administratorkontenkennwörtern aus. Dies gilt insbesondere für Konten von
globalen Administratoren, Benutzeradministratoren und Abonnementadministratoren
sowie für Konten für den Notfallzugriff. Schreiben Sie eine Abfrage für alle
privilegierten Konten.
Microsoft Sentinel-Vorlage

Sigma-Regeln Änderung des Legacyauthentifizierungsprotokolls Hoch Microsoft
Entra-Anmeldeprotokoll Client-App = Anderer Client, IMAP, POP3, MAPI, SMTP usw.
- und -
Benutzername = UPN
- und -
Anwendung = Exchange (Beispiel) Bei vielen Angriffen wird die
Legacyauthentifizierung verwendet. Daher kann eine Änderung des
Authentifizierungsprotokolls für den Benutzer ein Hinweis auf einen Angriff
sein.
Microsoft Sentinel-Vorlage

Sigma-Regeln Neues Gerät oder neuer Standort Hoch Microsoft
Entra-Anmeldeprotokoll Geräteinformationen = Geräte-ID
- und -
Browser
- und -
Betriebssystem
- und -
Kompatibel/verwaltet
- und -
Ziel = Benutzer
- und -
Standort Die meisten Administratoraktivitäten sollten auf Geräten mit
privilegiertem Zugriff ausgeführt werden und von einer begrenzten Anzahl von
Standorten aus erfolgen. Aus diesem Grund sollten Sie Warnungen für neue Geräte
oder Standorte verwenden.
Microsoft Sentinel-Vorlage

Sigma-Regeln Die Einstellung für Überwachungswarnungen ist geändert. Hoch
Microsoft Entra-Überwachungsprotokolle Dienst = PIM
- und -
Kategorie = Role Management (Rollenverwaltung)
- und -
Aktivität = PIM-Warnung deaktivieren
- und -
Status = Erfolg Bei unerwarteten Änderungen an einer wichtigen Warnung sollte
eine Warnmeldung ausgegeben werden.
Microsoft Sentinel-Vorlage

Sigma-Regeln Administratoren, die sich für andere Microsoft Entra-Mandanten
authentifizieren Medium Microsoft Entra-Anmeldeprotokoll Status = Erfolg

Ressourcenmandanten-ID != Basismandanten-ID Wenn der Bereich auf privilegierte
Benutzer festgelegt ist, wird erkannt, wenn sich ein Administrator erfolgreich
bei einem anderen Microsoft Entra-Mandanten mit einer Identität im Mandanten
Ihrer Organisation authentifiziert hat.

Warnung, wenn die Ressourcenmandanten-ID nicht mit der Basismandanten-ID
identisch ist
Microsoft Sentinel-Vorlage

Sigma-Regeln Administratorstatus von „Gast“ in „Mitglied“ geändert Medium
Microsoft Entra-Überwachungsprotokolle Aktivität: Benutzer aktualisieren

Kategorie: Benutzerverwaltung

Benutzertyp (UserType) von „Gast“ in „Mitglied“ geändert Überwachen von und
Warnen bei Änderung des Benutzertyps von „Gast“ in „Mitglied“

Wurde diese Änderung erwartet?
Microsoft Sentinel-Vorlage

Sigma-Regeln Gastbenutzer, die von nicht genehmigten Einladenden zum Mandanten
eingeladen wurden Medium Microsoft Entra-Überwachungsprotokolle Aktivität:
Externe Benutzer einladen

Kategorie: Benutzerverwaltung

Initiiert von (Akteur): Benutzerprinzipalname Überwachen von und Warnen bei
nicht genehmigten Akteuren, die externe Benutzer einladen
Microsoft Sentinel-Vorlage

Sigma-Regeln


ÄNDERUNGEN DURCH PRIVILEGIERTE KONTEN

Überwachen Sie alle abgeschlossenen und versuchten Änderungen durch ein
privilegiertes Konto. Anhand dieser Daten können Sie die normale Aktivität für
jedes privilegierte Konto ermitteln und bei Aktivitäten, die von den erwarteten
abweichen, warnen. Die Microsoft Entra-Überwachungsprotokolle werden zum
Aufzeichnen dieses Ereignistyps verwendet. Weitere Informationen zu Microsoft
Entra Überwachungsprotokollen finden Sie unter Überwachungsprotokolle in
Microsoft Entra ID.




MICROSOFT ENTRA DOMAIN SERVICES

Privilegierte Konten, denen Berechtigungen in Microsoft Entra Domain Services
zugewiesen wurden, können Aufgaben für Microsoft Entra Domain Services
ausführen, die sich auf den Sicherheitsstatus Ihrer von Azure gehosteten
virtuellen Computer auswirken, die Microsoft Entra Domain Services verwenden.
Aktivieren Sie Sicherheitsüberwachungen auf virtuellen Computern, und überwachen
Sie die Protokolle. Weitere Informationen zum Aktivieren von Microsoft
Entra Domain Services-Überprüfungen und eine Liste der als sensibel geltenden
Rechte finden Sie in den folgenden Ressourcen:

 * Aktivieren von Sicherheitsüberwachungen für Microsoft Entra Domain Services
 * Sensible Verwendung von Rechten überwachen

Tabelle erweitern

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Subfilter Notizen
Versuchte und abgeschlossene Änderungen Hoch Microsoft
Entra-Überwachungsprotokolle Datum und Uhrzeit
- und -
Dienst
- und -
Kategorie und Name der Aktivität (Was)
- und -
Status = Erfolg oder Fehler
- und -
Ziel
- und -
Initiator oder Akteur (wer) Für alle ungeplanten Änderungen sollten sofort
Warnungen ausgegeben werden. Diese Protokolle sollten aufbewahrt werden, damit
sie bei Untersuchungen herangezogen werden können. Alle Änderungen auf
Mandantenebene sollten sofort untersucht werden (Link zum
Infrastrukturdokument), falls diese den Sicherheitsstatus Ihres Mandanten
verringern würden. Ein Beispiel ist das Ausschließen von Konten aus der
Multi-Faktor-Authentifizierung oder aus bedingtem Zugriff. Geben Sie Warnungen
bei Ergänzungen zu oder Änderungen an Anwendungen aus. Weitere Informationen
finden Sie unter Leitfaden für Microsoft Entra-SecOps für Anwendungen. Beispiel
Versuchte oder abgeschlossene Änderung an wertvollen Apps oder Diensten Hoch
Überwachungsprotokoll Dienst
- und -
Kategorie und Name der Aktivität Datum und Uhrzeit, Dienst, Kategorie und Name
der Aktivität, Status = Erfolg oder Fehler, Ziel, Initiator oder Akteur (wer)
Privilegierte Änderungen in Microsoft Entra Domain Services Hoch Microsoft Entra
Domain Services Suchen nach dem Ereignis 4673 Aktivieren von
Sicherheitsüberwachungen für Microsoft Entra Domain Services
Eine Liste aller privilegierten Ereignisse finden Sie unter Sensible Verwendung
von Rechten überwachen.


ÄNDERUNGEN AN PRIVILEGIERTEN KONTEN

Untersuchen Sie Änderungen an den Authentifizierungsregeln und -berechtigungen
von privilegierten Konten, insbesondere wenn die Änderung größere Berechtigungen
oder die Möglichkeit bietet, Aufgaben in Ihrer Microsoft Entra-Umgebung
auszuführen.

Tabelle erweitern

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Subfilter Notizen
Erstellung privilegierter Konten. Medium Microsoft Entra-Überwachungsprotokolle
Dienst = Azure AD-Kerndienst
- und -
Kategorie = Benutzerverwaltung
- und -
Aktivitätstyp = Benutzer hinzufügen
– Korrelation mit –
Kategorietyp = Rollenverwaltung
- und -
Aktivitätstyp = Mitglied zu Rolle hinzufügen
- und -
Geänderte Eigenschaften = Role.DisplayName Überwachen Sie die Erstellung
privilegierter Konten. Achten Sie auf eine Korrelation einer kurzen Zeitspanne
zwischen der Erstellung und Löschung von Konten.
Microsoft Sentinel-Vorlage

Sigma-Regeln Änderungen an Authentifizierungsmethoden. Hoch Microsoft
Entra-Überwachungsprotokolle Dienst = Authentifizierungsmethode
- und -
Aktivitätstyp = Vom Benutzer registrierte Sicherheitsinformationen
- und -
Kategorie = Benutzerverwaltung Diese Änderung könnte ein Hinweis darauf sein,
dass ein Angreifer dem Konto eine Authentifizierungsmethode hinzugefügt hat, um
weiterhin Zugriff zu haben.
Microsoft Sentinel-Vorlage

Sigma-Regeln Warnung bei Änderungen an Berechtigungen privilegierter Konten.
Hoch Microsoft Entra-Überwachungsprotokolle Kategorie = Role Management
(Rollenverwaltung)
- und -
Aktivitätstyp – Add eligible member (permanent)
- oder -
Aktivitätstyp – Add eligible member (eligible)
- und -
Status = Erfolg oder Fehler
- und -
Geänderte Eigenschaften = Role.DisplayName Dieser Hinweis ist insbesondere für
Konten, denen Rollen zugewiesen werden, die nicht bekannt sind oder außerhalb
ihrer normalen Zuständigkeiten liegen.

Sigma-Regeln Nicht verwendete privilegierte Konten. Medium Microsoft
Entra-Zugriffsüberprüfungen Führen Sie für inaktive privilegierte Benutzerkonten
eine monatliche Überprüfung durch.
Sigma-Regeln Konten, die von Richtlinien für bedingten Zugriff ausgenommen sind
Hoch Azure Monitor-Protokolle
Oder
Zugriffsüberprüfungen Bedingter Zugriff: Erkenntnisse und Berichterstellung Alle
Konten, die von den Richtlinien für den bedingten Zugriff ausgenommen sind,
umgehen höchstwahrscheinlich Sicherheitskontrollen und sind anfälliger für
Kompromittierung. Notfallkonten sind davon ausgenommen. Informationen zum
Überwachen von Notfallkonten finden Sie weiter unten in diesem Artikel.
Hinzufügen eines befristeten Zugriffspasses zu einem privilegierten Konto Hoch
Microsoft Entra-Überwachungsprotokolle Aktivität: Vom Administrator registrierte
Sicherheitsinformationen

Statusursache: Administrator hat die Methode für den befristeten Zugriffspass
für Benutzer registriert.

Kategorie: Benutzerverwaltung

Initiiert von (Akteur): Benutzerprinzipalname

Ziel: Benutzerprinzipalname Überwachen von und Warnen bei eines befristeten
Zugriffspasses, der für einen privilegierten Benutzer erstellt wird
Microsoft Sentinel-Vorlage

Sigma-Regeln

Weitere Informationen zum Überwachen von Ausnahmen von Richtlinien für bedingten
Zugriff finden Sie unter Erkenntnisse und Berichterstellung zum bedingten
Zugriff.

Weitere Informationen zum Erkennen nicht verwendeter privilegierter Konten
finden Sie unter Erstellen einer Zugriffsüberprüfung von Microsoft Entra-Rollen
in Privileged Identity Management.


ZUWEISUNG UND RECHTEERWEITERUNGEN

Privilegierte Konten, die permanent über erhöhte Rechte verfügen, können die
Angriffsfläche und das Risiko für Ihre Sicherheitsgrenzen vergrößern. Verwenden
Sie stattdessen einen Just-in-Time-Zugriff mit einem
Rechteerweiterungsverfahren. Mit dieser Art von System können Sie Berechtigungen
für privilegierte Rollen zuweisen. Administratoren erhöhen ihre Berechtigungen
auf diese Rollen nur, wenn sie Aufgaben ausführen, die diese Berechtigungen
benötigen. Mithilfe eines Rechteerweiterungsverfahrens können Sie
Rechteerweiterungen und die Nichtverwendung privilegierter Konten überwachen.


EINRICHTEN EINER BASELINE

Um Ausnahmen überwachen zu können, müssen Sie zunächst eine Baseline erstellen.
Bestimmen Sie die folgenden Informationen für diese Elemente:

 * Administratorkonten
   
   * Ihre Strategie für privilegierte Konten
   * Verwendung von lokalen Konten zum Verwalten lokaler Ressourcen
   * Verwendung von cloudbasierten Konten zum Verwalten cloudbasierter
     Ressourcen
   * Ansatz zum Trennen und Überwachen von Administratorberechtigungen für
     lokale und cloudbasierte Ressourcen.

 * Schutz privilegierter Rollen
   
   * Schutzstrategie für Rollen mit Administratorberechtigungen
   * Organisationsrichtlinie für die Verwendung privilegierter Konten
   * Strategie und Prinzipien für die Beibehaltung dauerhafter Berechtigungen im
     Vergleich zur Bereitstellung von zeitgebundenem und genehmigtem Zugriff

Die folgenden Konzepte und Informationen helfen Ihnen bei der Festlegung von
Richtlinien:

 * Just-in-Time-Verwaltungsprinzipien. Verwenden Sie die Microsoft
   Entra-Protokolle, um Informationen zum Ausführen von administrativen Aufgaben
   zu erfassen, die in Ihrer Umgebung üblich sind. Bestimmen Sie den typischen
   erforderlichen Zeitaufwand für die Ausführung der Aufgaben.
 * Just-Enough-Verwaltungsprinzipien. Bestimmen Sie die Rolle mit den geringsten
   Berechtigungen, die möglicherweise eine benutzerdefinierte Rolle ist, die für
   administrative Aufgaben benötigt wird. Weitere Informationen finden Sie unter
   Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID.
 * Einrichten einer Richtlinie für erhöhte Rechte. Erstellen Sie Richtlinien,
   die die erhöhte Rechtenutzung für Ihre Umgebung widerspiegeln, nachdem Sie
   einen Einblick in den Typ der erforderlichen erhöhten Rechte und die
   erforderliche Dauer für die einzelnen Aufgaben erhalten haben. Definieren Sie
   beispielsweise eine Richtlinie, die den Zugriff von Benutzer*innen mit der
   Rolle „Globaler Administrator“ auf eine Stunde beschränkt.

Nachdem Sie Ihre Baseline eingerichtet und die Richtlinie festgelegt haben,
können Sie die Überwachung so konfigurieren, dass eine von der Richtlinie
abweichende Verwendung erkannt und eine Warnung ausgegeben wird.


ERMITTLUNG

Es wird empfohlen, besonders auf Änderungen bei der Zuweisung und bei
Rechteerweiterungen zu achten und diese zu untersuchen.


ZU ÜBERWACHENDE EREIGNISSE

Sie können Änderungen an privilegierten Konten überwachen, indem Sie Microsoft
Entra-Überwachungsprotokolle und Azure Monitor-Protokolle verwenden. Fügen Sie
die folgenden Änderungen in Ihren Überwachungsprozess ein.

Tabelle erweitern

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Subfilter Notizen Der
berechtigten privilegierten Rolle hinzugefügt. Hoch Microsoft
Entra-Überwachungsprotokolle Dienst = PIM
- und -
Kategorie = Role Management (Rollenverwaltung)
- und -
Aktivitätstyp: Hinzufügen eines Mitglieds zur Rolle abgeschlossen (berechtigt)
- und -
Status = Erfolg oder Fehler
- und -
Geänderte Eigenschaften = Role.DisplayName Jedem Konto, das für eine Rolle
berechtigt ist, wird jetzt privilegierter Zugriff gewährt. Wenn die Zuweisung
unerwartet ist oder für eine Rolle erfolgt, die nicht in der Zuständigkeit des
Kontoinhabers liegt, untersuchen Sie dies.
Microsoft Sentinel-Vorlage

Sigma-Regeln Außerhalb von PIM zugewiesene Rollen Hoch Microsoft
Entra-Überwachungsprotokolle Dienst = PIM
- und -
Kategorie = Role Management (Rollenverwaltung)
- und -
Aktivitätstyp = Mitglied zu Rolle hinzufügen (dauerhaft)
- und -
Status = Erfolg oder Fehler
- und -
Geänderte Eigenschaften = Role.DisplayName Diese Rollen sollten genau überwacht
und benachrichtigt werden. Benutzern sollten nach Möglichkeit keine Rollen
außerhalb von PIM zugewiesen werden.
Microsoft Sentinel-Vorlage

Sigma-Regeln Höhenangaben Medium Microsoft Entra-Überwachungsprotokolle Dienst =
PIM
- und -
Kategorie = Role Management (Rollenverwaltung)
- und -
Aktivitätstyp: Hinzufügen eines Mitglieds zur Rolle abgeschlossen
(PIM-Aktivierung)
-und-
Status = Erfolg oder Fehler
-und-
Geänderte Eigenschaften = Role.DisplayName Nach der Erhöhung der Rechte kann ein
privilegiertes Konto Änderungen vornehmen, die sich auf die Sicherheit Ihres
Mandanten auswirken können. Alle Rechteerweiterungen sollten protokolliert
werden, und wenn diese außerhalb des Standardmusters für diesen Benutzer
erfolgen, sollte eine Warnung ausgegeben, und sie sollten untersucht werden,
falls dies nicht geplant war. Genehmigungen und Verweigern von
Rechteerweiterungen Niedrig Microsoft Entra-Überwachungsprotokolle Dienst =
Zugriffsüberprüfung
- und -
Kategorie = Benutzerverwaltung
- und -
Aktivitätstyp = Anfrage genehmigt/abgelehnt
- und -
Initiierender Akteur = UPN Überwachen Sie alle Rechteerweiterungen, da dies
einen eindeutigen Hinweis auf die Zeitachse für einen Angriff liefern könnte.
Microsoft Sentinel-Vorlage

Sigma-Regeln Änderungen an PIM-Einstellungen Hoch Microsoft
Entra-Überwachungsprotokolle Dienst = PIM
- und -
Kategorie = Role Management (Rollenverwaltung)
- und -
Aktivitätstyp = Rolleneinstellung in PIM aktualisieren
- und -
Statusursache = MFA on activation disabled (MFA bei Aktivierung deaktiviert)
(Beispiel) Eine dieser Aktionen könnte die Sicherheit der
PIM-Rechteerweiterungen verringern und Angreifern den Erwerb eines
privilegierten Kontos erleichtern.
Microsoft Sentinel-Vorlage

Sigma-Regeln Keine Rechteerweiterungen auf SAW/PAW Hoch Microsoft
Entra-Anmeldeprotokolle Geräte-ID
-und-
Browser
- und -
Betriebssystem
- und -
Kompatibel/verwaltet
Korrelation mit:
Dienst = PIM
- und -
Kategorie = Role Management (Rollenverwaltung)
- und -
Aktivitätstyp: Hinzufügen eines Mitglieds zur Rolle abgeschlossen
(PIM-Aktivierung)
- und -
Status = Erfolg oder Fehler
- und -
Geänderte Eigenschaften = Role.DisplayName Wenn diese Änderung konfiguriert ist,
sollte jeder Versuch, die Rechte auf einem Nicht-PAW/SAW-Gerät zu erhöhen,
sofort untersucht werden, da dies darauf hindeuten kann, dass ein Angreifer
versucht, das Konto zu verwenden.
Sigma-Regeln Rechteerweiterungen zum Verwalten aller Azure-Abonnements Hoch
Azure Monitor Registerkarte „Aktivitätsprotokoll“
Registerkarte „Verzeichnisaktivität“
Vorgangsname = Weist den Aufrufer der Rolle „Benutzerzugriffsadministrator“ zu
-und-
Ereigniskategorie = Administrativ
-und-
Status = Erfolgreich, Start, Fehler
- und -
Ereignis initiiert von Diese Änderung sollte sofort untersucht werden, wenn sie
nicht geplant ist. Diese Einstellung könnte einem Angreifer Zugriff auf
Azure-Abonnements in Ihrer Umgebung ermöglichen.

Weitere Informationen zum Verwalten von Rechteerweiterungen finden Sie unter
Erhöhen der Zugriffsrechte zum Verwalten aller Azure-Abonnements und
Verwaltungsgruppen. Informationen zum Überwachen von Erhöhungen mithilfe der in
den Microsoft Entra-Protokollen verfügbaren Informationen finden Sie unter
Azure-Aktivitätsprotokoll, das Teil der Azure Monitor-Dokumentation ist.

Informationen zum Konfigurieren von Warnungen für Azure-Rollen finden Sie unter
Konfigurieren von Sicherheitswarnungen für Azure-Ressourcenrollen in Privileged
Identity Management.


NÄCHSTE SCHRITTE

Weitere Informationen finden Sie in den folgenden Artikeln im Leitfaden zu
Sicherheitsvorgängen:

Übersicht zu Microsoft Entra-SecOps

Sicherheitsvorgänge für Benutzerkonten

Sicherheitsvorgänge für Consumerkonten

Sicherheitsvorgänge für Privileged Identity Management

Sicherheitsvorgänge für Anwendungen

Sicherheitsvorgänge für Geräte

Sicherheitsvorgänge für die Infrastruktur




--------------------------------------------------------------------------------


ZUSÄTZLICHE RESSOURCEN



--------------------------------------------------------------------------------

Training

Modul

Überwachen und Verwalten von Microsoft Entra ID - Training

Überwachungs- und Diagnoseprotokolle in Microsoft Entra ID bieten einen
umfassenden Überblick darüber, wie Benutzer*innen auf Ihre Azure-Lösung
zugreifen. Hier lernen Sie, wie Sie Anmeldedaten überwachen, Probleme beheben
und die Daten analysieren.

Zertifizierung

Microsoft Certified: Identity and Access Administrator Associate -
Certifications

Als „Microsoft Identity and Access Administrator“ entwerfen, implementieren und
betreiben Sie die Identitäts- und Zugriffsverwaltungssysteme einer Organisation
mithilfe von Microsoft Entra ID. Sie konfigurieren und verwalten den
vollständigen Zyklus von Identitäten für Benutzer, Geräte, Microsoft
Azure-Ressourcen und Anwendungen.



Deutsch
Deaktivierungssymbol für California Consumer Privacy Act (CCPA) Ihre
Datenschutzoptionen
Design
 * Hell
 * Dunkel
 * Hoher Kontrast

 * Cookies verwalten
 * Frühere Versionen
 * Blog
 * Mitwirken
 * Datenschutz
 * Nutzungsbedingungen
 * Impressum
 * Marken
 * © Microsoft 2024


ZUSÄTZLICHE RESSOURCEN



--------------------------------------------------------------------------------

Training

Modul

Überwachen und Verwalten von Microsoft Entra ID - Training

Überwachungs- und Diagnoseprotokolle in Microsoft Entra ID bieten einen
umfassenden Überblick darüber, wie Benutzer*innen auf Ihre Azure-Lösung
zugreifen. Hier lernen Sie, wie Sie Anmeldedaten überwachen, Probleme beheben
und die Daten analysieren.

Zertifizierung

Microsoft Certified: Identity and Access Administrator Associate -
Certifications

Als „Microsoft Identity and Access Administrator“ entwerfen, implementieren und
betreiben Sie die Identitäts- und Zugriffsverwaltungssysteme einer Organisation
mithilfe von Microsoft Entra ID. Sie konfigurieren und verwalten den
vollständigen Zyklus von Identitäten für Benutzer, Geräte, Microsoft
Azure-Ressourcen und Anwendungen.




IN DIESEM ARTIKEL



Deutsch
Deaktivierungssymbol für California Consumer Privacy Act (CCPA) Ihre
Datenschutzoptionen
Design
 * Hell
 * Dunkel
 * Hoher Kontrast

 * Cookies verwalten
 * Frühere Versionen
 * Blog
 * Mitwirken
 * Datenschutz
 * Nutzungsbedingungen
 * Impressum
 * Marken
 * © Microsoft 2024