learn.microsoft.com
Open in
urlscan Pro
2a02:26f0:280:18a::3544
Public Scan
Submitted URL: https://go.microsoft.com/fwlink/?linkid=2016528
Effective URL: https://learn.microsoft.com/de-de/entra/id-protection/concept-identity-protection-risks
Submission: On November 17 via api from DE — Scanned from DE
Effective URL: https://learn.microsoft.com/de-de/entra/id-protection/concept-identity-protection-risks
Submission: On November 17 via api from DE — Scanned from DE
Form analysis
3 forms found in the DOMName: site-header-search-form-mobile — GET /de-de/search/
<form class="flex-grow-1" method="GET" role="search" id="ms--site-header-search-form-mobile" data-bi-name="site-header-search-form-mobile" name="site-header-search-form-mobile" aria-label="Suche" action="/de-de/search/">
<div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
<div class="field-body control ">
<input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="site-header-search-autocomplete-input-mobile"
data-test-id="site-header-search-autocomplete-input-mobile" class="autocomplete-input input
width-full" type="search" name="terms" aria-expanded="false" aria-owns="ax-1-listbox" aria-controls="ax-1-listbox" aria-activedescendant="" aria-label="Suche" aria-describedby="ms--site-header-search-autocomplete-input-mobile-description"
placeholder="Suche" data-bi-name="site-header-search-autocomplete-input-mobile" pattern=".*">
<span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
<span hidden="" id="ms--site-header-search-autocomplete-input-mobile-description"> Vorschläge werden während der Eingabe gefiltert </span>
</div>
<ul role="listbox" id="ax-1-listbox" data-test-id="site-header-search-autocomplete-input-mobile-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Vorschläge" hidden="">
</ul>
<!---->
</div>
<!-- mobile safari will not dispatch submit event unless there's a submit button that is not display:none -->
<button type="submit" class="visually-hidden" tabindex="-1" aria-hidden="true"></button>
<input name="category" hidden="" value="">
</form>
Name: site-header-search-form — GET /de-de/search/
<form class="flex-grow-1" method="GET" role="search" id="ms--site-header-search-form" data-bi-name="site-header-search-form" name="site-header-search-form" aria-label="Suche" action="/de-de/search/">
<div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
<div class="field-body control ">
<input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="site-header-search-autocomplete-input" data-test-id="site-header-search-autocomplete-input" class="autocomplete-input input input-sm
width-full" type="search" name="terms" aria-expanded="false" aria-owns="ax-0-listbox" aria-controls="ax-0-listbox" aria-activedescendant="" aria-label="Suche" aria-describedby="ms--site-header-search-autocomplete-input-description"
placeholder="Suche" data-bi-name="site-header-search-autocomplete-input" pattern=".*">
<span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
<span hidden="" id="ms--site-header-search-autocomplete-input-description"> Vorschläge werden während der Eingabe gefiltert </span>
</div>
<ul role="listbox" id="ax-0-listbox" data-test-id="site-header-search-autocomplete-input-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Vorschläge" hidden="">
</ul>
<!---->
</div>
<!-- mobile safari will not dispatch submit event unless there's a submit button that is not display:none -->
<button type="submit" class="visually-hidden" tabindex="-1" aria-hidden="true"></button>
<input name="category" hidden="" value="">
</form>
javascript:
<form action="javascript:" role="search" aria-label="Suche" class="margin-bottom-xxs"><label class="visually-hidden" for="ax-2">Suche</label>
<div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
<div class="field-body control has-icons-left">
<input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="ax-2" data-test-id="ax-2" class="autocomplete-input input input-sm
control has-icons-left
width-full" type="text" aria-expanded="false" aria-owns="ax-3-listbox" aria-controls="ax-3-listbox" aria-activedescendant="" aria-describedby="ms--ax-2-description" placeholder="Nach Titel filtern" pattern=".*">
<span aria-hidden="true" class="icon is-small is-left">
<span class="has-text-primary docon docon-filter-settings"></span>
</span>
<span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
<span hidden="" id="ms--ax-2-description"> Vorschläge werden während der Eingabe gefiltert </span>
</div>
<ul role="listbox" id="ax-3-listbox" data-test-id="ax-2-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Vorschläge" hidden="">
</ul>
<!---->
</div>
</form>
Text Content
Weiter zum Hauptinhalt Wir verwenden optionale Cookies, um Ihre Erfahrung auf unseren Websites zu verbessern, z. B. durch Verbindungen zu sozialen Medien, und um personalisierte Werbung auf der Grundlage Ihrer Online-Aktivitäten anzuzeigen. Wenn Sie optionale Cookies ablehnen, werden nur die Cookies verwendet, die zur Bereitstellung der Dienste erforderlich sind. Sie können Ihre Auswahl ändern, indem Sie am Ende der Seite auf „Cookies verwalten“ klicken. Datenschutzerklärung Cookies von Drittanbietern Annehmen Ablehnen Cookies verwalten MICROSOFT IGNITE 19. bis 22. November 2024 Nehmen Sie im November teil, um KI-Innovationen zu erforschen, Ihre Fähigkeiten zu verbessern und Ihr Netzwerk zu erweitern. Jetzt registrieren Warnung schließen Dieser Browser wird nicht mehr unterstützt. Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features, Sicherheitsupdates und den technischen Support zu nutzen. Microsoft Edge herunterladen Weitere Informationen zu Internet Explorer und Microsoft Edge Learn Vorschläge werden während der Eingabe gefiltert Anmelden * Profil * Einstellungen Abmelden Learn * Entdecken * Dokumentation Ausführliche Artikel zu Microsoft-Entwicklertools und -Technologien * Training Personalisierte Lernpfade und Kurse * Leistungsnachweis Weltweit anerkannte, von der Branche unterstützte Leistungsnachweise * Fragen und Antworten Von Microsoft moderierte technische Fragen und Antworten * Codebeispiele Codebeispielbibliothek für Microsoft-Entwicklertools und -Technologien * Bewertungen Interaktive, kuratierte Anleitungen und Empfehlungen * Zeigt Folgendes an Tausende von Stunden originärer Programmierung von Microsoft-Expert*innen Microsoft Learn für Organisationen Stärken Sie die technischen Fähigkeiten Ihres Teams Greifen Sie auf kuratierte Ressourcen zu, um Ihr Team weiterzubilden und Qualifikationslücken zu schließen. * Produktdokumentation * ASP.NET * Azure * Dynamics 365 * Microsoft 365 * Microsoft Copilot * Microsoft Edge * Microsoft Entra * Microsoft Graph * Microsoft Intune * Microsoft Purview * Microsoft Teams * .NET * Power Apps * Power BI * Power Platform * PowerShell * SQL * Sysinternals * Visual Studio * Windows * Windows Server Alle Produkte anzeigen Microsoft Learn für Organisationen Stärken Sie die technischen Fähigkeiten Ihres Teams Greifen Sie auf kuratierte Ressourcen zu, um Ihr Team weiterzubilden und Qualifikationslücken zu schließen. * Entwicklungssprachen * C++ * C# * DAX * Java * OData * OpenAPI * Power Query M * VBA Microsoft Learn für Organisationen Stärken Sie die technischen Fähigkeiten Ihres Teams Greifen Sie auf kuratierte Ressourcen zu, um Ihr Team weiterzubilden und Qualifikationslücken zu schließen. * Themen * Künstliche Intelligenz * Kompatibilität * DevOps * Plattformentwicklung * Sicherheit Microsoft Learn für Organisationen Stärken Sie die technischen Fähigkeiten Ihres Teams Greifen Sie auf kuratierte Ressourcen zu, um Ihr Team weiterzubilden und Qualifikationslücken zu schließen. Vorschläge werden während der Eingabe gefiltert Anmelden * Profil * Einstellungen Abmelden Microsoft Entra * Microsoft Entra ID * Externe ID * Globaler sicherer Zugriff * ID-Governance * Verwaltung von Berechtigungen * Microsoft-Dokumentation zur Sicherheit * Problembehandlung * Mehr * Microsoft Entra ID * Externe ID * Globaler sicherer Zugriff * ID-Governance * Verwaltung von Berechtigungen * Microsoft-Dokumentation zur Sicherheit * Problembehandlung Admin Center Inhaltsverzeichnis Fokusmodus beenden Suche Vorschläge werden während der Eingabe gefiltert * Dokumentation zu Microsoft Entra ID Protection * Übersicht * Konzepte * Microsoft Entra ID Protection-Dashboard * Was sind Risiken? * Richtlinien für die risikobasierte Zugriffssteuerung * Benutzeranmeldung * Schützen von Workloadidentitäten * Microsoft Entra ID Protection- und B2B-Benutzer * Anleitungen * Bereitstellen von Microsoft Entra ID Protection * Konfigurieren von Benachrichtigungen * Richtlinienkonfiguration * Simulieren von Risikoerkennungen * Untersuchen und Beheben * Bereitstellen von Feedback zu Risikoerkennungen * Arbeitsmappe zur Auswirkungsanalyse * Verweis * Ressourcen PDF herunterladen 1. Learn 2. Microsoft Entra 3. Microsoft Entra ID Protection 1. Learn 2. Microsoft Entra 3. Microsoft Entra ID Protection Auf Englisch lesen Speichern * Zu Sammlungen hinzufügen * Zu Plan hinzufügen Inhaltsverzeichnis Auf Englisch lesen Zu Sammlungen hinzufügen Zu Plan hinzufügen -------------------------------------------------------------------------------- FREIGEBEN ÜBER Facebook x.com LinkedIn E-Mail -------------------------------------------------------------------------------- Drucken Inhaltsverzeichnis WAS SIND RISIKOERKENNUNGEN? * Artikel * 21.08.2024 * 23 Mitwirkende Feedback IN DIESEM ARTIKEL 1. Risikostufen 2. Echtzeit- und Offlineerkennungen 3. Risikoerkennungen, die riskEventType zugeordnet sind 4. Premium-Erkennungen 5. Nicht-Premium-Erkennungen 6. Häufig gestellte Fragen 7. Zugehöriger Inhalt 3 weitere anzeigen Microsoft Entra ID Protection bietet Organisationen Informationen zu verdächtigen Aktivitäten in ihrem Mandanten und ermöglicht ihnen, schnell zu reagieren, um weitere Risiken zu verhindern. Risikoerkennungen sind eine wichtige Ressource, die verdächtige oder ungewöhnliche Aktivitäten im Zusammenhang mit einem Benutzerkonto im Verzeichnis enthalten können. ID Protection-Risikoerkennungen können mit einzelnen Benutzenden oder Anmeldeereignissen verknüpft werden und zur Gesamtbewertung des Benutzerrisikos im Bericht Risikobenutzer beitragen. Benutzerrisikoerkennungen kennzeichnen möglicherweise ein legitimes Benutzerkonto als gefährdet, wenn potenzieller Bedrohungsakteure Zugriff auf ein Konto erhalten, wenn diese die zugehörigen Anmeldeinformationen kompromittieren, oder wenn sie eine Form von anomaler Benutzeraktivität erkennen. Anmelderisikoerkennungen stellen die Wahrscheinlichkeit dar, dass eine bestimmte Authentifizierungsanforderung nicht von der autorisierten Besitzerin oder vom autorisierten Besitzer des Kontos stammt. Die Möglichkeit zur Identifizierung des Risikos auf Benutzer- und Anmeldeebene ist entscheidend, damit Kundinnen und Kunden ihren Mandanten schützen können. RISIKOSTUFEN ID Protection teilt Risiken in drei Stufen ein: niedrig, mittel und hoch. Die Risikostufen werden von Machine Learning-Algorithmen berechnet und geben an, wie wahrscheinlich es ist, dass eine oder mehrere Benutzeranmeldeinformationen einer nicht autorisierten Entität bekannt sind. * Eine Risikoerkennung mit der Risikostufe Hoch bedeutet, dass Microsoft sehr sicher ist, dass das Konto kompromittiert wurde. * Eine Risikoerkennung mit der Risikostufe Niedrig bedeutet, dass Anomalien bei der Anmeldung oder den Benutzeranmeldeinformationen vorliegen, eine Kompromittierung des Kontos jedoch unwahrscheinlicher ist. Viele Erkennungen können je nach Anzahl oder Schweregrad der erkannten Anomalien auf mehreren Risikostufen ausgelöst werden. Beispielsweise können Ungewöhnliche Anmeldeeigenschaften basierend auf der Vertrauenswürdigkeit der Signale auf hoher, mittlerer oder niedriger Stufe ausgelöst werden. Einige Erkennungen (z. B. Ereignisse vom Typ Kompromittierte Anmeldeinformationen und Überprüfte Bedrohungsakteur-IP) werden immer mit hohem Risiko angegeben. Diese Risikostufe ist wichtig für die Entscheidung, welche Entdeckungen priorisiert, untersucht und behoben werden sollen. Sie spielt auch eine wichtige Rolle beim Konfigurieren von risikobasierten Richtlinien für bedingten Zugriff, da jede Richtlinie so festgelegt werden kann, dass sie ausgelöst wird, wenn kein Risiko bzw. niedriges, mittleres oder hohes Risiko besteht. Je nach Risikotoleranz Ihrer Organisation können Sie Richtlinien erstellen, die eine Multi-Faktor-Authentifizierung oder Kennwortzurücksetzung erfordern, wenn ID Protection eine bestimmte Risikostufe für einzelne Benutzende erkennt. Diese Richtlinien können die Benutzenden anleiten, das Risiko selbst zu beheben. Wichtig Alle Erkennungen mit der Risikostufe „Niedrig“ sowie die Benutzenden werden sechs Monate lang im Produkt gespeichert, bis sie automatisch als veraltet markiert werden, um eine praktische Untersuchungsfunktion bereitzustellen. Ereignisse mit den Risikostufen „Mittel“ und „Hoch“ werden so lange gespeichert, bis sie behoben oder verworfen werden. Basierend auf der Risikotoleranz Ihrer Organisation können Sie Richtlinien erstellen, die eine Multi-Faktor-Authentifizierung oder Kennwortzurücksetzung erfordern, wenn ID Protection eine bestimmte Risikostufe erkennt. Diese Richtlinien können den Benutzern dabei helfen, das Risiko in Abhängigkeit von Ihren Toleranzwerten selbst zu beheben oder zu blockieren. ECHTZEIT- UND OFFLINEERKENNUNGEN ID Protection verwendet Techniken, um die Genauigkeit von Benutzer- und Anmelderisikoerkennungen zu erhöhen, indem einige Risiken in Echtzeit oder offline nach der Authentifizierung berechnet werden. Das Erkennen von Risiken bei der Anmeldung in Echtzeit bietet den Vorteil, dass Risiken frühzeitig erkannt werden, sodass Kundinnen und Kunden schnell die potenzielle Kompromittierung untersuchen können. Bei Erkennungen, die das Risiko offline berechnen, können sie mehr Erkenntnisse darüber bieten, wie die Bedrohungsakteure Zugriff auf das Konto und die Auswirkungen auf legitime Benutzenden erhalten haben. Einige Erkennungen können sowohl offline als auch während der Anmeldung ausgelöst werden, wodurch das Vertrauen in die Genauigkeit bei der Kompromittierung erhöht wird. Bei in Echtzeit ausgelösten Erkennungen dauert es 5 bis 10 Minuten, bis Details in den Berichten angezeigt werden. Bei Offlineerkennungen dauert es bis zu 48 Stunden, bis sie in den Berichten angezeigt werden, da es Zeit erfordert, die Eigenschaften des potenziellen Risikos auszuwerten. Hinweis Unser System kann feststellen, dass das Risikoereignis, das zur Risikorisikobewertung beigetragen hat, eine der folgenden Möglichkeiten war: * Ein falscher Positivbefund * Das Benutzerrisiko wurde behoben mit einer Richtlinie durch eine der folgenden Möglichkeiten: * Durchführen der Multi-Faktor-Authentifizierung * Sichere Kennwortänderung Unser System wird den Risikostatus verwerfen, und das Risikodetail Sichere Anmeldung durch KI bestätigt wird angezeigt. Das Ereignis trägt somit nicht mehr zum Gesamtrisiko der Benutzenden bei. Bei detailgenauen Risikodaten zeichnet Zeiterkennung den genauen Moment auf, in dem ein Risiko während der Anmeldung eines Benutzers identifiziert wird, wodurch die Risikobewertung in Echtzeit und die sofortige Richtlinienanwendung zum Schutz des Benutzers und der Organisation ermöglicht werden. Erkennung zuletzt aktualisiert zeigt die neueste Aktualisierung einer Risikoerkennung an, die auf neue Informationen, Änderungen auf Risikoebene oder administrative Aktionen zurückzuführen sein kann, und stellt ein aktuelles Risikomanagement sicher. Diese Felder sind für die Echtzeitüberwachung, Reaktion auf Bedrohungen und die Aufrechterhaltung eines sicheren Zugriffs auf Organisationsressourcen unerlässlich. RISIKOERKENNUNGEN, DIE RISKEVENTTYPE ZUGEORDNET SIND Tabelle erweitern Risikoerkennung Erkennungstyp type riskEventType Risikoerkennungen von Anmeldungen Aktivität über anonyme IP-Adresse Offline Premium riskyIPAddress Zusätzliches Risiko erkannt (Anmeldung) Echtzeit oder offline Nicht-Premium generic = Premium-Erkennungsklassifizierung für Nicht-P2-Mandanten Benutzergefährdung durch Administrator bestätigt Offline Nicht-Premium adminConfirmedUserCompromised Anomales Token Echtzeit oder offline Premium anomalousToken Anonyme IP-Adresse Echtzeit Nicht-Premium anonymizedIPAddress Ungewöhnlicher Ortswechsel Offline Premium unlikelyTravel Unmöglicher Ortswechsel Offline Premium mcasImpossibleTravel Schädliche IP-Adresse Offline Premium maliciousIPAddress Massenzugriff auf vertrauliche Dateien Offline Premium mcasFinSuspiciousFileAccess Threat Intelligence von Microsoft Entra (Anmeldung) Echtzeit oder offline Nicht-Premium investigationsThreatIntelligence Neues Land/neue Region Offline Premium newCountry Kennwortspray Offline Premium passwordSpray Verdächtiger Browser Offline Premium suspiciousBrowser Verdächtige Weiterleitung des Posteingangs Offline Premium suspiciousInboxForwarding Verdächtige Regeln zur Posteingangsänderung Offline Premium mcasSuspiciousInboxManipulationRules Anomaler Tokenaussteller Offline Premium tokenIssuerAnomaly Ungewöhnliche Anmeldeeigenschaften Echtzeit Premium unfamiliarFeatures Überprüfte Bedrohungsakteur-IP Echtzeit Premium nationStateIP Benutzerrisikoerkennungen Zusätzliches Risiko erkannt (Benutzer) Echtzeit oder offline Nicht-Premium generic = Premium-Erkennungsklassifizierung für Nicht-P2-Mandanten Anomale Benutzeraktivität Offline Premium anomalousUserActivity Angreifer-in-the-Middle Offline Premium attackerinTheMiddle Kompromittierte Anmeldeinformationen Offline Nicht-Premium leakedCredentials Threat Intelligence von Microsoft Entra (Benutzende) Echtzeit oder offline Nicht-Premium investigationsThreatIntelligence Möglicher Versuch, auf primäres Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen Offline Premium attemptedPrtAccess Verdächtiger API-Datenverkehr Offline Premium suspiciousAPITraffic Verdächtiges Senden von Mustern Offline Premium suspiciousSendingPatterns Der Benutzer hat verdächtige Aktivitäten gemeldet Offline Premium userReportedSuspiciousActivity Weitere Informationen zur Erkennung von Workloadidentitätsrisiken finden Sie unter Schützen von Workloadidentitäten. PREMIUM-ERKENNUNGEN Die folgenden Premium-Erkennungen sind nur für Microsoft Entra ID P2-Kund*innen sichtbar. PREMIUM-ERKENNUNGEN BEI ANMELDERISIKEN AKTIVITÄT ÜBER ANONYME IP-ADRESSE Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung stellt fest, ob Benutzende eine IP-Adresse verwendet haben, die als anonyme Proxy-IP-Adresse identifiziert wurde. ANOMALES TOKEN In Echtzeit oder offline berechnet. Diese Erkennung weist darauf hin, dass das Token ungewöhnliche Merkmale aufweist, z. B. eine ungewöhnliche Tokenlebensdauer oder ein Token, das von einem unbekannten Ort aus ausgeführt wurde. Diese Erkennung deckt Sitzungstoken und Aktualisierungstoken ab. Ein anomales Token wird optimiert, um mehr Rauschen als andere Erkennungen auf derselben Risikostufe zu generieren. Dieser Kompromiss wird gewählt, um die Wahrscheinlichkeit zu erhöhen, dass wiedergegebene Token erkannt werden, die andernfalls möglicherweise unbemerkt bleiben. Es gibt eine erhöhte Wahrscheinlichkeit, dass einige der von dieser Erkennung gekennzeichneten Sitzungen False Positive-Ergebnisse sind. Wir empfehlen, die von dieser Erkennung gekennzeichneten Sitzungen im Kontext anderer Anmeldungen des Benutzers zu untersuchen. Wenn der Standort, die Anwendung, die IP-Adresse, der Benutzer-Agent oder andere Merkmale für die Benutzenden ungewöhnlich sind, sollte das Mandantenadministratorteam dieses Risiko als Indikator für eine potenzielle Tokenwiederverwendung betrachten. Tipps zur Untersuchung von anomalen Token-Erkennungen. UNGEWÖHNLICHER ORTSWECHSEL Offline berechnet. Mit diesem Risikoerkennungstyp werden zwei Anmeldungen identifiziert, die von weit entfernten Orten durchgeführt wurden und bei denen mindestens einer der Orte aufgrund des bisherigen Verhaltens atypisch für eine Benutzer*in sein kann. Der Algorithmus berücksichtigt mehrere Faktoren wie etwa die Zeit zwischen zwei Anmeldungen und die Zeit, die ein*e Benutzer*in benötigen würde, um vom ersten zum zweiten Ort zu gelangen. Dieses Risiko könnte darauf hindeuten, dass ein*e anderer Benutzer*in die gleichen Anmeldeinformationen verwendet. Bei diesem Algorithmus werden offensichtliche falsch positive Ergebnisse ignoriert, die zu den unmöglichen Ortswechselbedingungen beitragen. Hierzu zählen etwa VPNs und regelmäßig von anderen Benutzern der Organisation verwendete Standorte. Das System verfügt über einen anfänglichen Lernzeitraum von 14 Tagen oder 10 Anmeldungen (je nachdem, welcher Punkt früher erreicht wird), in dem das Anmeldeverhalten des neuen Benutzers erlernt wird. Tipps für die Untersuchung von ungewöhnlichen Ortswechseln. UNMÖGLICHER ORTSWECHSEL Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Es wurden zwei Benutzeraktivitäten (in einer einzelnen Sitzung oder in mehreren Sitzungen) festgestellt, die von unterschiedlichen geografischen Standorten stammen und in einem Zeitraum liegen, der kürzer ist als die Zeit, die Benutzende benötigen, um von dem einen Ort zum anderen zu gelangen. Dieses Risiko könnte darauf hindeuten, dass ein*e anderer Benutzer*in die gleichen Anmeldeinformationen verwendet. SCHÄDLICHE IP-ADRESSE Offline berechnet. Diese Erkennung gibt eine Anmeldung über eine schädliche IP-Adresse an. Eine IP-Adresse wird wegen hoher Fehlerraten aufgrund von ungültige Anmeldeinformationen, die von der IP-Adresse oder anderen IP-Zuverlässigkeitsquellen empfangen wurden, als schädlich eingestuft. In einigen Fällen löst diese Erkennung bei früheren bösartigen Aktivitäten aus. Tipps für die Untersuchung von Erkennungen bösartiger IP-Adressen. MASSENZUGRIFF AUF VERTRAULICHE DATEIEN Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn Benutzende auf mehrere Dateien von Microsoft SharePoint Online oder Microsoft OneDrive zugreifen. Eine Warnung wird nur ausgelöst, wenn die Anzahl der abgerufenen Dateien für die Benutzenden ungewöhnlich ist und die Dateien vertrauliche Informationen enthalten könnten. NEUES LAND/NEUE REGION Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Bei dieser Erkennungsmethode werden anhand von in der Vergangenheit verwendeten Aktivitätsstandorten neue und selten verwendete Standorte ermittelt. Die Anomalieerkennungsengine speichert Informationen zu Standorten, die Benutzer der Organisation in der Vergangenheit verwendet haben. KENNWORTSPRAY Offline berechnet. Bei einem Kennwortspray-Angriff werden mehrere Identitäten unter Verwendung gängiger Kennwörter im Rahmen eines koordinierten Brute-Force-Angriffs angegriffen. Die Risikoerkennung wird ausgelöst, wenn das Passwort eines Kontos gültig ist und ein Anmeldeversuch vorliegt. Diese Erkennung signalisiert, dass das Kennwort des Benutzers bzw. der Benutzerin ordnungsgemäß durch einen Kennwortspray-Angriff identifiziert wurde, nicht dass der Angreifer oder die Angreiferin auf Ressourcen zugreifen konnte. Tipps für die Untersuchung von Erkennungen schädlicher IP-Adressen. VERDÄCHTIGER BROWSER Offline berechnet. Die Erkennung „Verdächtiger Browser“ weist auf ein anomales Verhalten hin, das auf verdächtigen Anmeldeaktivitäten mehrerer Mandanten aus verschiedenen Ländern im selben Browser beruht. Tipps zur Untersuchung von verdächtigen Browser-Erkennungen. VERDÄCHTIGE WEITERLEITUNG DES POSTEINGANGS Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Durch diese Erkennungsmethode werden verdächtige Regeln zur E-Mail-Weiterleitung erkannt. Hierzu gehört beispielsweise die Erstellung einer Posteingangsregel, die eine Kopie aller E-Mails an eine externe Adresse weiterleitet. VERDÄCHTIGE REGELN ZUR POSTEINGANGSÄNDERUNG Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn verdächtige Regeln zum Löschen oder Verschieben von Nachrichten oder Ordnern für den Posteingang eines Benutzers festgelegt werden. Diese Erkennung kann darauf hinweisen, dass ein Benutzerkonto kompromittiert ist, dass Nachrichten absichtlich ausgeblendet werden und das Postfach zum Verteilen von Spam und Schadsoftware in Ihrer Organisation verwendet wird. ANOMALIE BEIM TOKENAUSSTELLER Offline berechnet. Diese Risikoerkennung gibt an, dass der SAML-Tokenaussteller für das zugeordnete SAML-Token möglicherweise kompromittiert ist. Die im Token enthaltenen Ansprüche sind ungewöhnlich oder stimmen mit bekannten Angriffsmustern überein. Tipps zur Untersuchung von Anomalie-Erkennungen bei Token- Herausgebern. UNGEWÖHNLICHE ANMELDEEIGENSCHAFTEN In Echtzeit berechnet. Dieser Risikoerkennungstyp betrachtet den Anmeldungsverlauf, um nach anomalen Anmeldungen zu suchen. Das System speichert Informationen zu früheren Anmeldungen und löst eine Risikoerkennung aus, wenn eine Anmeldung mit Eigenschaften auftritt, die dem Benutzer nicht vertraut sind. Zu diesen Eigenschaften zählen IP, ASN, Standort, Gerät, Browser und Mandanten-IP-Subnetz. Neu erstellte Benutzende befinden sich im „Lernmodus“, in dem die Risikoerkennung für unbekannte Anmeldeeigenschaften ausgeschaltet ist, während unsere Algorithmen das Verhalten der Benutzenden erlernen. Die Dauer des Lernmodus ist dynamisch und hängt davon ab, wie lange es dauert, bis der Algorithmus genügend Informationen über die Anmeldemuster des Benutzers gesammelt hat. Die Mindestdauer beträgt fünf Tage. Ein Benutzer kann nach einer langen Zeit der Inaktivität erneut in den Lernmodus wechseln. Diese Erkennung wird auch für die Standardauthentifizierung (bzw. ältere Protokolle) ausgeführt. Da diese Protokolle nicht über moderne Eigenschaften wie die Client-ID verfügen, gibt es nur begrenzte Daten, um Fehlalarme zu reduzieren. Wir empfehlen unseren Kunden, auf eine moderne Authentifizierung umzusteigen. Unbekannte Anmeldungseigenschaften können sowohl bei interaktiven als auch bei nicht-interaktiven Anmeldungen erkannt werden. Wenn diese Erkennung bei nicht-interaktiven Anmeldungen festgestellt wird, sollte sie aufgrund des Risikos von Token-Wiederholungsangriffen besonders sorgfältig geprüft werden. Wenn Sie ein Risiko mit unbekannten Anmeldeeigenschaften auswählen, erhalten Sie weitere Informationen darüber, warum dieses Risiko ausgelöst wurde. ÜBERPRÜFTE BEDROHUNGSAKTEUR-IP In Echtzeit berechnet. Dieser Risikoerkennungstyp weist auf eine Anmeldeaktivität hin, die mit bekannten IP-Adressen konsistent ist, welche nationalen Zustandsakteuren oder Gruppen zur Bekämpfung der Internetkriminalität zugeordnet sind, basierend auf Daten von Microsoft Threat Intelligence Center (MSTIC). PREMIUM-BENUTZERRISIKOERKENNUNG ANOMALE BENUTZERAKTIVITÄT Offline berechnet. Bei dieser Risikoerkennung wird das normale Verhalten administrativer Benutzer*innen in Microsoft Entra ID zugrunde gelegt, und es werden anomale Verhaltensmuster wie beispielsweise verdächtige Änderungen am Verzeichnis erkannt. Die Erkennung wird für den Administrator, der die Änderung vornimmt, oder für das Objekt ausgelöst, das geändert wurde. ANGREIFER-IN-THE-MIDDLE Offline berechnet. Diese auch als „Man-in-the-Middle“ bezeichnete Erkennung mit hoher Genauigkeit wird ausgelöst, wenn eine Authentifizierungssitzung einem bösartigen Reverseproxy zugeordnet ist. Bei diesem Angriffstyp können Angreifende die Anmeldeinformationen von Benutzenden abfangen, einschließlich Token, die für die Benutzenden ausgestellt wurden. Das Microsoft Security Research-Team nutzt Microsoft 365 Defender, um das identifizierte Risiko zu erfassen und die Risikostufe des Benutzers oder der Benutzerin auf Hoch zu erhöhen. Es wird empfohlen, dass das Administratorteam die Benutzenden manuell untersucht, wenn diese Erkennung ausgelöst wird, um sicherzustellen, dass das Risiko behoben wird. Das Beheben dieses Risikos erfordert möglicherweise eine sichere Kennwortzurücksetzung oder die Sperrung bestehender Sitzungen. MÖGLICHER VERSUCH, AUF PRIMÄRES AKTUALISIERUNGSTOKEN (PRIMARY REFRESH TOKEN, PRT) ZUZUGREIFEN Offline berechnet. Dieser Risikoerkennungstyp wird mittels von durch Microsoft Defender for Endpoint (MDE) bereitgestellten Informationen erkannt. Ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) ist ein Schlüsselartefakt der Microsoft Entra-Authentifizierung auf Geräten unter Windows 10, Windows Server 2016 und höheren Versionen, iOS und Android. Ein PRT ist ein JSON Web Token (JWT), das für Microsoft-Erstanbieter-Tokenbroker ausgestellt wird, um einmaliges Anmelden (Single Sign-On, SSO) für die Anwendungen zu ermöglichen, die auf diesen Geräten verwendet werden. Angreifer können versuchen, auf diese Ressource zuzugreifen, um sich im gesamten Netzwerk zu bewegen oder Anmeldeinformationen zu stehlen. Diese Erkennung legt die Risikostufe von Benutzenden auf „Hoch“ fest. Sie wird nur in Organisationen ausgelöst, die MDE bereitgestellt haben. Diese Erkennung stellt ein hohes Risiko dar, für das eine umgehende Behebung der zugehörigen Benutzenden empfohlen wird. Sie tritt aufgrund seines geringen Volumens in den meisten Organisationen nur selten auf. VERDÄCHTIGER API-DATENVERKEHR Offline berechnet. Diese Risikoerkennung wird gemeldet, wenn ungewöhnlicher Graph-Datenverkehr oder eine ungewöhnliche Verzeichnisenumeration erkannt wird. Verdächtiger API-Datenverkehr kann darauf hindeuten, dass Benutzende kompromittiert wurden und Aufklärung in ihren Umgebungen durchführen. VERDÄCHTIGES SENDEN VON MUSTERN Offline berechnet. Dieser Risikoerkennungstyp wird mithilfe von durch Microsoft Defender for Office 365 (MDO) bereitgestellten Informationen erkannt. Diese Warnung wird generiert, wenn jemand in Ihrer Organisation verdächtige E-Mails gesendet hat und entweder als riskant eingestuft ist oder keine E-Mails senden darf. Diese Erkennung stuft das Risiko von Benutzenden als „Mittel“ ein. Sie wird nur in Organisationen ausgelöst, die MDO bereitgestellt haben. Diese Erkennung erfolgt nur in geringem Umfang und wird in den meisten Organisationen nur selten beobachtet. DER BENUTZER HAT VERDÄCHTIGE AKTIVITÄTEN GEMELDET Offline berechnet. Diese Risikoerkennung wird gemeldet, wenn ein Benutzer eine MFA (Multi-Faktor-Authentifizierung)-Eingabeaufforderung verweigert und dies als verdächtige Aktivität meldet. Eine MFA-Eingabeaufforderung, die nicht von Benutzer*innen initiiert wird, kann bedeuten, dass deren Anmeldeinformationen kompromittiert sind. NICHT-PREMIUM-ERKENNUNGEN Kundinnen und Kunden ohne Microsoft Entra ID P2-Lizenz erhalten Erkennungen mit dem Titel Zusätzliches Risiko erkannt, aber ohne die detaillierten Informationen zur Erkennung, die mit P2-Lizenzen verfügbar sind. Weitere Informationen finden Sie unter Lizenzanforderungen. NICHT-PREMIUM-ERKENNUNGEN BEI ANMELDERISIKEN ZUSÄTZLICHES RISIKO ERKANNT (ANMELDUNG) In Echtzeit oder offline berechnet. Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Kundinnen und Kunden mit Microsoft Entra ID P2-Lizenz sichtbar sind, werden sie für Kundinnen und Kunden ohne Microsoft Entra ID P2-Lizenz als Zusätzliches Risiko erkannt bezeichnet. BENUTZERGEFÄHRDUNG DURCH ADMINISTRATOR BESTÄTIGT Offline berechnet. Diese Erkennung gibt an, dass das Administratorteam auf der Benutzeroberfläche für Risikobenutzende oder mithilfe der riskyUsers-API die Option Benutzergefährdung bestätigen ausgewählt hat. Überprüfen Sie den Risikoverlauf der Benutzenden (auf der Benutzeroberfläche oder über die API), um zu überprüfen, welcher Administrator oder welche Administratorin diese Benutzergefährdung bestätigt hat. ANONYME IP-ADRESSE In Echtzeit berechnet. Dieser Risikoerkennungstyp gibt Anmeldungen über eine anonyme IP-Adresse (z.B. Tor-Browser oder ein anonymisiertes VPN) an. Diese IP-Adressen werden in der Regel von Akteuren verwendet, die ihre Anmeldetelemetrie (IP-Adresse, Standort, Gerät usw.) für mögliche böswillige Absichten verbergen wollen. THREAT INTELLIGENCE VON MICROSOFT ENTRA (ANMELDUNG) In Echtzeit oder offline berechnet. Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den angegebenen Benutzer ungewöhnlich sind oder bekannten Angriffsmustern entsprechen. Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert. Tipps für die Untersuchung von Microsoft Entra Threat Intelligence Erkennungen. NICHT-PREMIUM-BENUTZERRISIKOERKENNUNG ZUSÄTZLICHES RISIKO ERKANNT (BENUTZER) In Echtzeit oder offline berechnet. Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Kundinnen und Kunden mit Microsoft Entra ID P2-Lizenz sichtbar sind, werden sie für Kundinnen und Kunden ohne Microsoft Entra ID P2-Lizenz als Zusätzliches Risiko erkannt bezeichnet. KOMPROMITTIERTE ANMELDEINFORMATIONEN Offline berechnet. Dieser Risikoerkennungstyp gibt an, dass die gültigen Anmeldeinformationen der Benutzenden kompromittiert wurden. Wenn Cyberkriminelle gültige Passwörter von rechtmäßigen Nutzern kompromittieren, geben sie diese gesammelten Anmeldeinformationen oft weiter. Diese Freigabe erfolgt in der Regel durch eine Veröffentlichung im Darknet oder auf Paste Sites oder durch den Handel und Verkauf der Anmeldeinformationen auf dem Schwarzmarkt. Wenn der Microsoft-Dienst für durchgesickerte Anmeldedaten Benutzeranmeldedaten aus dem Dark Web, von Paste-Sites oder anderen Quellen erhält, werden diese mit den aktuellen gültigen Anmeldedaten der Microsoft Entra-Benutzer abgeglichen, um gültige Übereinstimmungen zu finden. Weitere Informationen zu kompromittierten Anmeldeinformationen finden Sie unter Häufig gestellte Fragen. Tipps für die Untersuchung von Entdeckungen von kompromittierten Anmeldeinformationen. THREAT INTELLIGENCE VON MICROSOFT ENTRA (BENUTZER*IN) Offline berechnet. Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den angegebenen Benutzer ungewöhnlich sind oder bekannten Angriffsmustern entsprechen. Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert. Tipps für die Untersuchung von Microsoft Entra Threat Intelligence Erkennungen. HÄUFIG GESTELLTE FRAGEN WAS GESCHIEHT, WENN EINE ANMELDUNG MIT FALSCHEN ANMELDEINFORMATIONEN VERSUCHT WIRD? ID Protection generiert nur dann Risikoerkennungen, wenn die richtigen Anmeldeinformationen verwendet werden. Wenn bei der Anmeldung falsche Anmeldeinformationen verwendet werden, stellt dies kein Risiko durch eine Gefährdung der Anmeldeinformationen dar. IST DIE KENNWORT-HASHSYNCHRONISIERUNG ERFORDERLICH? Damit Risiken wie kompromittierte Anmeldeinformationen erkannt werden können, müssen Kennworthashes vorhanden sein. Weitere Informationen zur Kennworthashsynchronisierung finden Sie unter Implementieren der Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung. WARUM WERDEN RISIKOERKENNUNGEN FÜR DEAKTIVIERTE KONTEN GENERIERT? Deaktivierte Benutzerkonten können erneut aktiviert werden. Wenn die Anmeldeinformationen eines deaktivierten Kontos kompromittiert sind und das Konto erneut aktiviert wird, könnten böswillige Akteure diese Anmeldeinformationen verwenden, um Zugriff zu erhalten. ID Protection generiert Risikoerkennungen für verdächtige Aktivitäten mit diesen deaktivierten Benutzerkonten, um Kundinnen und Kunden über eine potenzielle Kontokompromittierung zu informieren. Wenn ein Konto nicht mehr verwendet und auch nicht wieder aktiviert wird, sollten Kunden erwägen, es zu löschen, um eine Kompromittierung zu verhindern. Für gelöschte Konten werden keine Risikoerkennungen generiert. HÄUFIG GESTELLTE FRAGEN ZU KOMPROMITTIERTEN ANMELDEINFORMATIONEN WO FINDET MICROSOFT KOMPROMITTIERTE ANMELDEINFORMATIONEN? Microsoft findet kompromittierte Anmeldeinformationen an verschiedenen Stellen. Dazu zählen: * Öffentliche Einfügewebsites, auf denen böswillige Akteure in der Regel solche Materialien veröffentlichen * Strafverfolgungsbehörden. * Andere Gruppen bei Microsoft, die das Darknet durchforsten. WARUM SEHE ICH KEINE KOMPROMITTIERTEN ANMELDEINFORMATIONEN? Kompromittierte Anmeldeinformationen werden jedes Mal, wenn Microsoft einen neuen, öffentlich verfügbaren Batch findet, verarbeitet. Angesichts der Sensibilität der Daten werden die kompromittierten Anmeldeinformationen kurz nach der Verarbeitung gelöscht. Nur neue kompromittierte Anmeldeinformationen, die nach der Aktivierung der Kennwort-Hashsynchronisierung (Password Hash Synchronization, PHS) gefunden wurden, werden für Ihren Mandanten verarbeitet. Eine Überprüfung anhand zuvor gefundener Anmeldeinformationspaare erfolgt nicht. ES WERDEN KEINE RISIKOEREIGNISSE FÜR ANMELDEINFORMATIONEN ANGEZEIGT Wenn Ihnen keine Risikoereignisse zu kompromittierten Anmeldeinformationen angezeigt werden, kann das folgende Ursachen haben: * Sie haben keine Kennworthashsynchronisierung für Ihren Mandanten aktiviert. * Microsoft hat keine kompromittierten Anmeldeinformationspaare gefunden, die Ihren Benutzenden entsprechen. WIE OFT VERARBEITET MICROSOFT NEUE ANMELDEINFORMATIONEN? Anmeldeinformationen werden sofort nach ihrer Erkennung verarbeitet, in der Regel in mehreren Batches pro Tag. STANDORTE Der Standort bei Risikoermittlungen wird mithilfe der IP-Adressensuche bestimmt. Die Anmeldung von vertrauenswürdigen benannten Standorten verbessert die Genauigkeit der Risikoberechnung von Microsoft Entra ID Protection. Außerdem wird das Anmelderisiko von Benutzenden verringert, wenn sie sich von einem als vertrauenswürdig gekennzeichneten Standort aus authentifizieren. ZUGEHÖRIGER INHALT * Informationen zu risikobasierten Zugriffsrichtlinien * Informationen zum Untersuchen von Risiken -------------------------------------------------------------------------------- FEEDBACK War diese Seite hilfreich? Yes No Abgeben von Produktfeedback -------------------------------------------------------------------------------- ZUSÄTZLICHE RESSOURCEN -------------------------------------------------------------------------------- Training Modul Examine Microsoft Entra ID Protection - Training This module examines how Azure Identity Protection provides organizations the same protection systems used by Microsoft to secure identities. MS-102 Zertifizierung Microsoft Certified: Security Operations Analyst Associate - Certifications Untersuchen, Suchen und Mindern von Bedrohungen mit Microsoft Sentinel, Microsoft Defender for Cloud und Microsoft 365 Defender. Deutsch Deaktivierungssymbol für California Consumer Privacy Act (CCPA) Ihre Datenschutzoptionen Design * Hell * Dunkel * Hoher Kontrast * Cookies verwalten * Frühere Versionen * Blog * Mitwirken * Datenschutz * Nutzungsbedingungen * Impressum * Marken * © Microsoft 2024 ZUSÄTZLICHE RESSOURCEN -------------------------------------------------------------------------------- Training Modul Examine Microsoft Entra ID Protection - Training This module examines how Azure Identity Protection provides organizations the same protection systems used by Microsoft to secure identities. MS-102 Zertifizierung Microsoft Certified: Security Operations Analyst Associate - Certifications Untersuchen, Suchen und Mindern von Bedrohungen mit Microsoft Sentinel, Microsoft Defender for Cloud und Microsoft 365 Defender. IN DIESEM ARTIKEL Deutsch Deaktivierungssymbol für California Consumer Privacy Act (CCPA) Ihre Datenschutzoptionen Design * Hell * Dunkel * Hoher Kontrast * Cookies verwalten * Frühere Versionen * Blog * Mitwirken * Datenschutz * Nutzungsbedingungen * Impressum * Marken * © Microsoft 2024