learn.microsoft.com Open in urlscan Pro
2a02:26f0:1700:1b1::3544  Public Scan

Form analysis
0 forms found in the DOM

Text Content

Weiter zum Hauptinhalt


Dieser Browser wird nicht mehr unterstützt.

Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features,
Sicherheitsupdates und den technischen Support zu nutzen.

Microsoft Edge herunterladen Weitere Informationen zu Internet Explorer und
Microsoft Edge

Inhaltsverzeichnis Fokusmodus beenden

Auf Englisch lesen Speichern
Inhaltsverzeichnis Auf Englisch lesen Speichern Drucken

Twitter LinkedIn Facebook E-Mail
Inhaltsverzeichnis


LEITFADEN FÜR AZURE ACTIVE DIRECTORY-SICHERHEITSVORGÄNGE FÜR ANWENDUNGEN

 * Artikel
 * 12/05/2022
 * 12 Minuten Lesedauer
 * 12 Mitwirkende

Feedback


IN DIESEM ARTIKEL

Anwendungen bieten Sicherheitsverletzungen eine Angriffsfläche und müssen daher
überwacht werden. Auch wenn sie nicht so häufig wie Benutzerkonten angegriffen
werden, kann es zu Verletzungen kommen. Da Anwendungen häufig ohne menschliches
Eingreifen ausgeführt werden, sind die Angriffe möglicherweise schwieriger zu
erkennen.

Dieser Artikel enthält Anleitungen zum Überwachen auf und Warnen bei
Anwendungsereignissen. Er wird regelmäßig aktualisiert, um sicherzustellen, dass
Sie folgende Aufgaben erledigen können:

 * Verhindern, dass schädliche Anwendungen unberechtigten Zugriff auf Daten
   erhalten

 * Verhindern, dass Anwendungen von böswilligen Akteuren kompromittiert werden

 * Gewinnen von Erkenntnissen, mit denen Sie neue Anwendungen sicherer erstellen
   und konfigurieren können

Wenn Sie mit der Funktionsweise von Anwendungen in Azure Active Directory
(Azure AD) nicht vertraut sind, finden Sie unter Apps und Dienstprinzipale in
Azure AD weitere Informationen.

Hinweis

Wenn Sie die Übersicht über Azure Active Directory-Sicherheitsvorgänge noch
nicht gelesen haben, sollten Sie dies jetzt in Erwägung ziehen.


SUCHSCHWERPUNKTE

Wenn Sie Ihre Anwendungsprotokolle auf sicherheitsbezogene Incidents überwachen,
sollten Sie die folgende Liste beachten, um normale von schädlichen Aktivitäten
unterscheiden zu können. Die folgenden Ereignisse können Hinweise auf
Sicherheitsmängel geben. Sie werden jeweils in diesem Artikel behandelt.

 * Alle Änderungen, die außerhalb der normalen Geschäftsprozesse und Zeitpläne
   auftreten

 * Änderungen von Anmeldeinformationen für Anwendungen

 * Anwendungsberechtigungen
   
   * Dienstprinzipal, der einer Azure AD-Rolle oder einer Azure RBAC-Rolle
     (Role-Based Access Control, rollenbasierte Zugriffssteuerung) zugewiesen
     ist
   
   * Anwendungen, denen sehr privilegierte Berechtigungen erteilt werden
   
   * Azure Key Vault-Änderungen
   
   * Endbenutzer, der eine Einwilligung für Anwendungen erteilt
   
   * Aufheben der Einwilligung des Endbenutzers basierend auf dem Risikograd

 * Änderungen an der Anwendungskonfiguration
   
   * Änderungen des URI (Uniform Resource Identifier), auch abweichend vom
     Standard
   
   * Änderungen an Anwendungsbesitzern
   
   * Änderungen von Abmelde-URLs


ZU UNTERSUCHENDE PROTOKOLLE

Zur Untersuchung und Überwachung verwenden Sie die folgenden Protokolldateien:

 * Azure AD-Überwachungsprotokolle

 * Anmeldeprotokolle

 * Microsoft 365-Überwachungsprotokolle

 * Azure Key Vault-Protokolle

Im Azure-Portal können Sie die Azure AD-Überwachungsprotokolle anzeigen und als
CSV- oder JSON-Dateien (Comma-Separated Value, JavaScript Object Notation)
herunterladen. Das Azure-Portal bietet mehrere Möglichkeiten zur Integration von
Azure AD-Protokollen in andere Tools, die eine umfassendere Automatisierung von
Überwachung und Benachrichtigungen ermöglichen:

 * Microsoft Sentinel: Ermöglicht intelligente Sicherheitsanalysen auf
   Unternehmensebene mit SIEM-Funktionen (Security Information and Event
   Management).

 * Sigma-Regeln: Sigma ist ein sich in Entwicklung befindender offener Standard
   zum Schreiben von Regeln und Vorlagen, die automatisierte Verwaltungstools
   zum Parsen von Protokolldateien verwenden können. Dort, wo Sigma-Vorlagen für
   die empfohlenen Suchkriterien vorhanden sind, wurde ein Link zum
   Sigma-Repository hinzugefügt. Die Sigma-Vorlagen werden nicht von Microsoft
   geschrieben, getestet und verwaltet. Das Repository und die Vorlagen werden
   von der weltweiten IT-Sicherheitscommunity erstellt und gesammelt.

 * Azure Monitor: Automatisierte Überwachung verschiedener Bedingungen und
   entsprechende Warnungen. Mit dem Tool können Arbeitsmappen erstellt werden,
   die sich zum Kombinieren von Daten aus verschiedenen Quellen eignen.

 * Azure Event Hubs mit Integration in ein SIEM-System:- Azure AD-Protokolle
   können über die Azure Event Hub-Integration in andere SIEM-Systeme integriert
   werden, z. B. in Splunk, ArcSight, QRadar und Sumo Logic.

 * Microsoft Defender für Cloud-Apps: Erkennung und Verwaltung von Apps,
   Steuerung von Apps und Ressourcen sowie Überprüfung der Kompatibilität Ihrer
   Cloud-Apps

 * Sichern von Workloadidentitäten mit Identity Protection (Preview): Erkennen
   von Risiken für Workloadidentitäten über das Anmeldeverhalten und
   Offlineindikatoren für eine Gefährdung

Ein Großteil der Überwachung und zugehörigen Warnungen hängt von den
Auswirkungen Ihrer Richtlinien für bedingten Zugriff ab. Sie können die
Arbeitsmappe Erkenntnisse und Berichterstellung zum bedingten Zugriff verwenden,
um die Auswirkungen einer oder mehrere Richtlinien für bedingten Zugriff auf
Ihre Anmeldungen sowie die Ergebnisse von Richtlinien, einschließlich
Gerätestatus, zu untersuchen. Verwenden Sie die Arbeitsmappe, um eine
Zusammenfassung anzuzeigen und die Auswirkungen über einen bestimmten Zeitraum
zu ermitteln. Sie können mithilfe der Arbeitsmappe die Anmeldungen eines
bestimmten Benutzers untersuchen.

Im weiteren Verlauf dieses Artikels wird beschrieben, was Sie überwachen und
wofür Sie Warnungen erstellen sollten. Der Artikel ist nach Art der Bedrohung
gegliedert. Wo es vordefinierte Lösungen gibt, verweisen wir auf diese oder
stellen Beispiele im Anschluss an die Tabelle zur Verfügung. Andernfalls können
Sie Warnungen mithilfe der oben genannten Tools erstellen.


ANMELDEINFORMATIONEN FÜR ANWENDUNGEN

Viele Anwendungen verwenden Anmeldeinformationen für die Authentifizierung bei
Azure AD. Alle anderen Anmeldeinformationen, die außerhalb der erwarteten
Prozesse hinzugefügt werden, können zu einem böswilligen Akteur gehören, der
diese Anmeldeinformationen einsetzt. Wir empfehlen die Verwendung von
X509-Zertifikaten, die von vertrauenswürdigen Stellen oder verwalteten
Identitäten ausgestellt wurden, anstatt geheime Clientschlüssel zu verwenden.
Wenn Sie jedoch geheime Clientgeheimnisse benötigen, befolgen Sie bewährte
Methoden, um Anwendungen sicher zu halten. Hinweis: Aktualisierungen von
Anwendungen und Dienstprinzipalen werden im Überwachungsprotokoll als zwei
Einträge aufgezeichnet.

 * Überwachen Sie Anwendungen, um lange Ablaufzeiten für Anmeldeinformationen zu
   ermitteln.

 * Ersetzen Sie langfristige Anmeldeinformationen durch kurzfristige. Stellen
   Sie sicher, dass Anmeldeinformationen abgesichert gespeichert und nicht in
   Coderepositorys übertragen werden.

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Hinzugefügte Anmeldeinformationen zu vorhandenen Anwendungen Hoch
Azure AD-Überwachungsprotokolle Dienst – Kernverzeichnis, Kategorie:
ApplicationManagement
Aktivität: Anwendungszertifikate und Geheimnisverwaltung aktualisieren
- und -
Aktivität: Dienstprinzipal/Anwendung aktualisieren Warnung, wenn für
Anmeldeinformationen Folgendes gilt: außerhalb der normalen Geschäftszeiten oder
Workflows hinzugefügt, nicht in Ihrer Umgebung verwendeter Typ oder einem
Nicht-SAML-Flow hinzugefügt, der den Dienstprinzipal unterstützt.
Microsoft Sentinel-Vorlage

Sigma-Regeln Anmeldeinformationen mit einer längeren Gültigkeitsdauer als Ihre
Richtlinien zulassen Medium Microsoft Graph Start- und Enddatum der
Anmeldeinformationen für Anwendungsschlüssel
- und -
Anmeldeinformationen für Anwendungskennwort Sie können mithilfe der Microsoft
Graph-API das Start- und Enddatum von Anmeldeinformationen ermitteln und die
Gültigkeitsdauer auswerten, die länger als zulässig ist. Siehe das
PowerShell-Skript im Anschluss an die Tabelle.

Die folgenden vordefinierten Überwachungen und Warnungen sind verfügbar:

 * Microsoft Sentinel: Warnung, wenn neue Anmeldeinformationen für die App oder
   den Dienstprinzipal hinzugefügt wurden

 * Azure Monitor: Azure AD Arbeitsmappe, um Sie bei der Bewertung des
   Solorigate-Risikos zu unterstützen – Microsoft Tech Community

 * Defender für Cloud-Apps – Defender für Cloud-Apps-Leitfaden zur Untersuchung
   von Warnungen zur Anomalieerkennung

 * PowerShell: PowerShell-Beispielskript zum Ermitteln der Gültigkeitsdauer von
   Anmeldeinformationen


ANWENDUNGSBERECHTIGUNGEN

Wie bei einem Administratorkonto können Anwendungen privilegierte Rollen
zugewiesen werden. Apps können Azure AD-Rollen, z. B. globaler Administrator,
oder Azure RBAC-Rollen zugewiesen werden, z. B. Abonnementbesitzer. Da sie ohne
einen Benutzer und als Hintergrunddienst ausgeführt werden können, überwachen
sie genau, wann einer Anwendung eine Rolle oder Berechtigung mit hohen
Privilegien gewährt wird.


EINER ROLLE ZUGEWIESENER DIENSTPRINZIPAL

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
App, die einer Azure RBAC- oder Azure AD-Rolle zugewiesen ist Hoch bis mittel
Azure AD-Überwachungsprotokolle Typ: Dienstprinzipal
Aktivität: „Mitglied zur Rolle hinzufügen“ oder „Berechtigtes Mitglied zur Rolle
hinzufügen“
Oder
„Zugeordnetes Mitglied zu Rolle hinzufügen“ Bei Rollen mit hohen Berechtigungen,
z  B. Globaler Administrator, ist das Risiko hoch. Bei Rollen mit niedrigeren
Berechtigungen ist das Risiko mittel. Warnung auslösen, wenn eine Anwendung
einer Azure-Rolle oder Azure AD-Rolle außerhalb der normalen Änderungs- oder
Konfigurationsverfahren zugewiesen wird.
Microsoft Sentinel-Vorlage

Sigma-Regeln


ANWENDUNGEN, DENEN SEHR PRIVILEGIERTE BERECHTIGUNGEN ERTEILT WERDEN

Anwendungen sollten dem Prinzip der geringsten Rechte entsprechen. Untersuchen
Sie Anwendungsberechtigungen, um sicherzustellen, ob sie nötig sind. Sie können
einen Bericht zur Zuweisung der App-Einwilligung erstellen, um Anwendungen zu
identifizieren und privilegierte Berechtigungen hervorzuheben.

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
App mit sehr privilegierten Berechtigungen, z. B. Berechtigungen mit „ .All“
(Directory.ReadWrite.All) oder weitreichenden Berechtigungen (Mail. ) Hoch
Azure AD-Überwachungsprotokolle „App-Rollenzuweisung zu Dienstprinzipal
hinzufügen“
Dabei gilt:
Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph)
- und -
AppRole.Value kennzeichnet eine besonders privilegierte Anwendungsberechtigung
(App-Rolle). Apps mit weitreichenden erteilten Berechtigungen wie „ .All“
(Directory.ReadWrite.All) oder weitreichenden Berechtigungen (Mail. )
Microsoft Sentinel-Vorlage

Sigma-Regeln Administrator, der entweder Berechtigungen für Anwendungen
(App-Rollen) oder besonders privilegierte delegierte Berechtigungen erteilt Hoch
Microsoft 365-Portal „App-Rollenzuweisung zu Dienstprinzipal hinzufügen“
Dabei gilt:
Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph)
„Erteilung delegierter Berechtigungen hinzufügen“
Dabei gilt:
Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph)
- und -
DelegatedPermissionGrant.Scope enthält besonders privilegierte Berechtigungen.
Warnung auslösen, wenn ein globaler Administrator, Anwendungsadministrator oder
Cloudanwendungsadministrator seine Einwilligung für eine Anwendung gibt. Achten
Sie insbesondere auf Einwilligungen außerhalb der normalen Aktivitäts- und
Änderungsverfahren.
Microsoft Sentinel-Vorlage
Microsoft Sentinel-Vorlage
Microsoft Sentinel-Vorlage

Sigma-Regeln Der Anwendung werden Berechtigungen für Microsoft Graph, Exchange,
SharePoint oder Azure AD gewährt. Hoch Azure AD-Überwachungsprotokolle
„Erteilung delegierter Berechtigungen hinzufügen“
Oder
„App-Rollenzuweisung zu Dienstprinzipal hinzufügen“
Dabei gilt:
Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph,
Exchange Online usw.) Warnung wie in der vorherigen Zeile auslösen.
Microsoft Sentinel-Vorlage

Sigma-Regeln Anwendungsberechtigungen (App-Rollen) für andere APIs werden
erteilt. Medium Azure AD-Überwachungsprotokolle „App-Rollenzuweisung zu
Dienstprinzipal hinzufügen“
Dabei gilt:
Ziele identifizieren beliebige andere APIs. Warnung wie in der vorherigen Zeile
auslösen.
Sigma-Regeln Besonders privilegierte delegierte Berechtigungen werden im Namen
aller Benutzer erteilt Hoch Azure AD-Überwachungsprotokolle „Erteilung
delegierter Berechtigungen hinzufügen“, wobei Ziele eine API mit sensiblen Daten
identifizieren (z. B. Microsoft Graph)
DelegatedPermissionGrant.Scope enthält besonders privilegierte Berechtigungen
- und -
DelegatedPermissionGrant.ConsentType ist „AllPrincipals“. Warnung wie in der
vorherigen Zeile auslösen.
Microsoft Sentinel-Vorlage
Microsoft Sentinel-Vorlage
Microsoft Sentinel-Vorlage

Sigma-Regeln

Weitere Informationen zum Überwachen von App-Berechtigungen finden Sie in diesem
Tutorial: Tutorial zum Untersuchen und Korrigieren risikobehafteter OAuth-Apps.


AZURE KEY VAULT

Verwenden Sie Azure Key Vault zum Speichern der Geheimnisse Ihres Mandanten. Es
wird empfohlen, alle Änderungen an der Konfiguration und den Aktivitäten von Key
Vault mit Aufmerksamkeit zu verfolgen.

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Wann und von wem auf Ihre Schlüsseltresore zugegriffen wurde Medium Azure Key
Vault-Protokolle Ressourcentyp: Key Vault-Instanzen Suchen nach: Jeglichem
Zugriff auf Key Vault außerhalb regulärer Prozesse und Zeiten, Änderungen an der
ACL für Key Vault
Microsoft Sentinel-Vorlage

Sigma-Regeln

Nachdem Sie Azure Key Vault eingerichtet haben, aktivieren Sie die
Protokollierung. Sehen Sie sich an, wie und wann auf Ihre Key Vault-Instanzen
zugegriffen wird. Außerdem sollten Sie Warnungen für Key Vault konfigurieren, um
zugewiesene Benutzer oder Verteilerlisten per E-Mail, Telefonanruf,
Textnachricht oder Event Grid zu benachrichtigen, wenn die Integrität
beeinträchtigt ist. Wenn Sie außerdem eine Überwachung mit Key
Vault-Erkenntnissen einrichten, erhalten Sie eine Momentaufnahme der
Anforderungen, Leistung, Ausfälle und Latenzzeiten von Key Vault. Log Analytics
bietet auch einige Beispielabfragen für Azure Key Vault, auf die Sie zugreifen
können, nachdem Sie Ihre Key Vault-Instanz ausgewählt und dann unter
„Überwachung“ die Option „Protokolle“ ausgewählt haben.


ENDBENUTZEREINWILLIGUNG

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Endbenutzereinwilligung in Anwendung Niedrig Azure AD-Überwachungsprotokolle
Aktivität: Einwilligung in Anwendung geben /ConsentContext.IsAdminConsent =
false Suchen nach: Profil mit hohen Berechtigungen oder besonders privilegierte
Konten, App fordert Berechtigungen mit hohem Risiko an, Apps mit verdächtigen
Namen, z. B. generisch, falsch geschrieben usw.
Microsoft Sentinel-Vorlage

Sigma-Regeln

Der Vorgang der Einwilligung in eine Anwendung ist nicht schädlich. Untersuchen
Sie jedoch neue Einwilligungen von Endbenutzern in verdächtige Anwendungen. Sie
können Benutzereinwilligungsvorgänge einschränken.

Weitere Informationen zu Einwilligungsvorgängen finden Sie in den folgenden
Ressourcen:

 * Verwalten der Einwilligung zu Anwendungen und Auswerten von
   Einwilligungsanforderungen in Azure Active Directory

 * Ermitteln und Beheben unrechtmäßiger Zuweisungen von Einwilligungen:
   Office 365

 * Playbook zur Reaktion auf Vorfälle: Untersuchung der Zuweisung der
   App-Einwilligung


ENDBENUTZEREINWILLIGUNG AUFGRUND RISIKOBASIERTER ZUSTIMMUNG AUSGESETZT

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Endbenutzereinwilligung aufgrund risikobasierter Zustimmung ausgesetzt Medium
Azure AD-Überwachungsprotokolle Kernverzeichnis/ApplicationManagement/In
Anwendung einwilligen
Fehlerstatusursache = Microsoft.online.Security.userConsent
BlockedForRiskyAppsExceptions Überwachen und analysieren Sie jedes Mal, wenn die
Einwilligung aufgrund eines Risikos ausgesetzt wird. Suchen nach: Profil mit
hohen Berechtigungen oder besonders privilegierte Konten, App fordert
Berechtigungen mit hohem Risiko an oder Apps mit verdächtigen Namen, z. B.
generisch, falsch geschrieben usw.
Microsoft Sentinel-Vorlage

Sigma-Regeln


ANWENDUNGSAUTHENTIFIZIERUNGSFLOWS

Das OAuth 2.0-Protokoll enthält mehrere Flows. Der empfohlene Flow für eine
Anwendung hängt vom Typ der Anwendung ab, die erstellt wird. In einigen Fällen
gibt es eine Auswahl von verfügbaren Flows für die Anwendung. In diesem Fall
werden einige Authentifizierungsflows gegenüber anderen empfohlen. Vermeiden Sie
insbesondere Kennwortanmeldeinformationen des Ressourcenbesitzers (Resource
Owner Password Credentials, ROPC), da diese voraussetzen, dass der Benutzer
seine aktuellen Kennwortanmeldeinformationen für die Anwendung verfügbar macht.
Die Anwendung verwendet dann die Anmeldeinformationen, um den Benutzer beim
Identitätsanbieter zu authentifizieren. Die meisten Anwendungen sollten den
Autorisierungscodeflow oder den Autorisierungscodeflow mit PKCE (Proof Key for
Code Exchange, Prüfschlüssel für den Codeaustausch) verwenden, da dieser Flow
empfohlen wird.

Das einzige Szenario, in dem ROPC vorgeschlagen wird, ist für automatisierte
Anwendungstests vorgesehen. Ausführliche Informationen finden Sie unter
Ausführen automatischer Integrationstests.

Der Gerätecodeflow ist ein weiterer OAuth 2.0-Protokollflow für Geräte mit
Eingabebeschränkungen und wird nicht in allen Umgebungen verwendet. Wird dieser
Gerätecodeflow in der Umgebung, aber nicht in einem Szenario mit Geräten mit
Eingabebeschränkungen verwendet, ist eine weitere Untersuchung erforderlich, um
falsch konfigurierte Anwendungen oder eine böse Absicht zu ermitteln.

Überwachen Sie die Anwendungsauthentifizierung mithilfe der folgenden
Konstellation:

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Anwendungen, die den ROPC-Authentifizierungsflow verwenden Medium
Azure AD-Anmeldeprotokoll Status=Erfolg

Authentifizierungsprotokoll – ROPC Dieser Anwendung wird ein hohes Maß an
Vertrauen entgegengebracht, da die Anmeldedaten zwischengespeichert oder
gespeichert werden können. Wechseln Sie nach Möglichkeit zu einem sichereren
Authentifizierungsflow. Dieser sollte – wenn überhaupt – nur bei automatisierten
Tests von Anwendungen verwendet werden. Weitere Informationen finden Sie unter
Microsoft Identity Platform und OAuth 2.0-Kennwortanmeldeinformationen des
Ressourcenbesitzers.

Sigma-Regeln Anwendungen, die den Gerätecodeflow verwenden Niedrig bis mittel
Azure AD-Anmeldeprotokoll Status=Erfolg

Authentifizierungsprotokoll – Gerätecode Gerätecodeflows werden für Geräte mit
Eingabeeinschränkung verwendet, die möglicherweise nicht in allen Umgebungen
vorhanden sind. Wenn erfolgreiche Gerätecodeflows beobachtet werden, ohne dass
Bedarf dafür besteht, untersuchen Sie sie auf ihre Gültigkeit hin. Weitere
Informationen finden Sie unter Microsoft Identity Platform und der
OAuth 2.0-Flow für Geräteautorisierungsgenehmigung.

Sigma-Regeln


ÄNDERUNGEN AN DER ANWENDUNGSKONFIGURATION

Überwachen Sie Änderungen an der Anwendungskonfiguration, insbesondere
Änderungen an der Konfiguration von URI (Uniform Resource Identifier), Besitz
und Abmelde-URL.


ÄNDERUNGEN AN VERWAISTEM URI UND UMLEITUNGS-URI

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Verwaister URI Hoch Azure AD-Protokolle und Anwendungsregistrierung Dienst –
Kernverzeichnis, Kategorie: ApplicationManagement
Aktivität: Anwendung aktualisieren
Erfolg: Eigenschaftenname, AppAddress Achten Sie zum Beispiel auf verwaiste
URIs, die auf eine Domäne verweisen, die nicht mehr vorhanden ist oder die Sie
nicht explizit besitzen.
Microsoft Sentinel-Vorlage

Sigma-Regeln Änderungen an der Konfiguration des Umleitungs-URI Hoch
Azure AD-Protokolle Dienst – Kernverzeichnis, Kategorie: ApplicationManagement
Aktivität: Anwendung aktualisieren
Erfolg: Eigenschaftenname, AppAddress Achten Sie auf URIs ohne HTTPS*, URIs mit
Platzhaltern am Ende oder der Domäne der URL, URIs, die für die Anwendung NICHT
eindeutig sind, und URIs, die auf eine Domäne verweisen, die Sie nicht
kontrollieren.
Microsoft Sentinel-Vorlage

Sigma-Regeln

Warnung auslösen, wenn diese Änderungen erkannt werden


APPID-URI HINZUGEFÜGT, GEÄNDERT ODER ENTFERNT

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Änderungen am AppID-URI Hoch Azure AD-Protokolle Dienst – Kernverzeichnis,
Kategorie: ApplicationManagement
Aktivität: Aktualisierung
Application
Aktivität: Dienstprinzipal aktualisieren Suchen Sie nach Änderungen des
AppID-URI, z. B. Hinzufügen, Ändern oder Entfernen des URI.
Microsoft Sentinel-Vorlage

Sigma-Regeln

Warnung auslösen, wenn diese Änderungen außerhalb der genehmigten Change
Management-Verfahren entdeckt werden.


NEUER BESITZER

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Änderungen am Anwendungsbesitz Medium Azure AD-Protokolle Dienst –
Kernverzeichnis, Kategorie: ApplicationManagement
Aktivität: Besitzer der Anwendung hinzufügen Suchen Sie nach einer beliebigen
Instanz eines Benutzers, der außerhalb der normalen Change
Management-Aktivitäten als Anwendungsbesitzer hinzugefügt wird.
Microsoft Sentinel-Vorlage

Sigma-Regeln


GEÄNDERTE ODER ENTFERNTE ABMELDE-URL

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Unterfilter Notizen
Änderungen an der Abmelde-URL Niedrig Azure AD-Protokolle Dienst –
Kernverzeichnis, Kategorie: ApplicationManagement
Aktivität: Anwendung aktualisieren
- und -
Aktivität: Dienstprinzipal aktualisieren Suchen Sie nach Änderungen an einer
Abmelde-URL. Leere Einträge oder Einträge zu nicht existierenden Speicherorten
würden einen Benutzer am Beenden einer Sitzung hindern.
Microsoft Sentinel-Vorlage
Sigma-Regeln


RESSOURCEN

 * Azure AD-Toolkit auf GitHub: https://github.com/microsoft/AzureADToolkit

 * Übersicht und Leitfaden zur Sicherheit von Azure Key Vault: Azure Key Vault –
   Sicherheit

 * Solorgate – Information zum Risiko und Tools: Azure AD-Arbeitsmappe zum
   Bewerten des Solorigate-Risikos

 * Leitfaden zur Erkennung von OAuth-Angriffen: Ungewöhnliches Hinzufügen von
   Anmeldeinformationen zu einer OAuth-App

 * Informationen zur Konfiguration der Azure AD-Überwachung für SIEM-Systeme:
   Partnertools mit Azure Monitor-Integration


NÄCHSTE SCHRITTE

Azure AD: Übersicht über Sicherheitsvorgänge

Sicherheitsvorgänge für Benutzerkonten

Sicherheitsvorgänge für Consumerkonten

Sicherheitsvorgänge für privilegierte Konten

Sicherheitsvorgänge für Privileged Identity Management

Sicherheitsvorgänge für Geräte

Sicherheitsvorgänge für die Infrastruktur





--------------------------------------------------------------------------------


ADDITIONAL RESOURCES





Design
 * Hell
 * Dunkel
 * Hoher Kontrast

 * 
 * Frühere Versionen
 * Blog
 * Mitwirken
 * Datenschutz
 * Nutzungsbedingungen
 * Impressum
 * Marken
 * © Microsoft 2022


ADDITIONAL RESOURCES






IN DIESEM ARTIKEL



Design
 * Hell
 * Dunkel
 * Hoher Kontrast

 * 
 * Frühere Versionen
 * Blog
 * Mitwirken
 * Datenschutz
 * Nutzungsbedingungen
 * Impressum
 * Marken
 * © Microsoft 2022