docs.microsoft.com Open in urlscan Pro
2a02:26f0:1700:48a::353e  Public Scan

Submitted URL: https://go.microsoft.com/fwlink/?linkid=2016442
Effective URL: https://docs.microsoft.com/de-de/azure/active-directory/identity-protection/concept-identity-protection-risks
Submission: On September 15 via api from DE — Scanned from DE

Form analysis 0 forms found in the DOM

Text Content

Weiter zum Hauptinhalt


Dieser Browser wird nicht mehr unterstützt.

Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features,
Sicherheitsupdates und den technischen Support zu nutzen.

Microsoft Edge herunterladen Weitere Informationen

Inhaltsverzeichnis Fokusmodus beenden

Auf Englisch lesen Speichern
Inhaltsverzeichnis Auf Englisch lesen Speichern

Twitter LinkedIn Facebook E-Mail
Inhaltsverzeichnis


WAS BEDEUTET RISIKO?

 * Artikel
 * 09/14/2022
 * 11 Minuten Lesedauer
 * 10 Mitwirkende




IN DIESEM ARTIKEL

Risikoerkennungen in Azure AD Identity Protection umfassen alle identifizierten
verdächtigen Aktionen im Zusammenhang mit Benutzerkonten im Verzeichnis.
Risikoerkennungen (im Zusammenhang mit Benutzern und Anmeldungen) tragen zur
Gesamtrisikobewertung des Benutzers bei, die im Bericht zu riskanten Benutzern
enthalten ist.

Identity Protection bietet Organisationen Zugriff auf leistungsstarke
Ressourcen, um diese verdächtigen Aktionen zu erkennen und schnell darauf zu
reagieren.



Hinweis

Identity Protection generiert Risikoerkennungen nur, wenn die richtigen
Anmeldeinformationen verwendet werden. Wenn bei der Anmeldung falsche
Anmeldeinformationen verwendet werden, stellt dies kein Risiko durch eine
Gefährdung der Anmeldeinformationen dar.


RISIKOTYPEN UND ERKENNUNG

Risiken können auf Ebene der Benutzer und der Anmeldungen erkannt werden, und es
gibt zwei Arten der Erkennung oder Berechnung (Echtzeit und Offline). Einige
Risiken werden als Premium eingestuft, die nur für Azure AD Premium P2-Kunden
verfügbar sind, während andere für Free- und Azure AD Premium P1-Kunden zur
Verfügung stehen.

Ein Anmelderisiko stellt die Wahrscheinlichkeit dar, dass eine bestimmte
Authentifizierungsanforderung vom Identitätsbesitzer nicht autorisiert wurde.
Bei einem Benutzer können riskante Aktivitäten erkannt werden, die nicht mit
einer bestimmten bösartigen Anmeldung, sondern mit dem Benutzer selbst verbunden
sind.

Echtzeit-Erkennungen werden möglicherweise erst nach 5 bis 10 Minuten in den
Berichten angezeigt. Offline-Erkennungen werden unter Umständen erst nach 48
Stunden in der Berichterstattung angezeigt.

Hinweis

Unser System kann feststellen, dass das Risikoereignis, das zur
Risikorisikobewertung beigetragen hat, eine der folgenden Möglichkeiten war:

 * Ein falscher Positivbefund
 * Das Benutzerrisiko wurde behoben mit einer Richtlinie durch eine der
   folgenden Möglichkeiten:
   * Durchführen der Multi-Faktor-Authentifizierung
   * Sichere Kennwortzeichenfolge.

Unser System wird den Risikostatus verwerfen und das Risikodetail „Sichere
Anmeldung durch KI bestätigt“ wird angezeigt. Das Ereignis trägt somit nicht
mehr zum Gesamtrisiko des Benutzers bei.


PREMIUM-ERKENNUNGEN

Premium-Erkennungen sind nur für Azure AD Premium P2-Kunden sichtbar. Kunden
ohne Lizenzen für Azure AD Premium P2 erhalten weiterhin die
Premium-Erkennungen, diese werden allerdings mit „Zusätzliches Risiko erkannt“
betitelt.


ANMELDERISIKO

PREMIUM-ERKENNUNGEN BEI ANMELDERISIKEN

Risikoerkennung Erkennungstyp BESCHREIBUNG Ungewöhnlicher Ortswechsel Offline
Mit diesem Risikoerkennungstyp werden zwei Anmeldungen identifiziert, die von
weit entfernten Orten durchgeführt wurden und bei denen mindestens einer der
Orte aufgrund des bisherigen Verhaltens atypisch für den Benutzer ist. Der
Algorithmus berücksichtigt mehrere Faktoren wie etwa die Zeit zwischen zwei
Anmeldungen und die Zeit, die es für den Benutzer erfordern würde, vom ersten
zum zweiten Ort zu reisen. Dieses Risiko könnte darauf hindeuten, dass ein
anderer Benutzer die gleichen Anmeldeinformationen verwendet.

Bei diesem Algorithmus werden offensichtliche falsch positive Ergebnisse
ignoriert, die zu den unmöglichen Ortswechselbedingungen beitragen. Hierzu
zählen etwa VPNs und regelmäßig von anderen Benutzern der Organisation
verwendete Standorte. Das System verfügt über einen anfänglichen Lernzeitraum
von 14 Tagen oder 10 Anmeldungen (je nachdem, welcher Punkt früher erreicht
wird), in dem das Anmeldeverhalten des neuen Benutzers erlernt wird. Anomales
Token Offline Diese Erkennung deutet darauf hin, dass der Token ungewöhnliche
Merkmale aufweist, z.B. eine ungewöhnliche Gültigkeitsdauer oder einen Token,
der von einem unbekannten Ort aus gespielt wird. Diese Erkennung deckt
Sitzungstoken und Aktualisierungstoken ab.

HINWEIS: Ein anomales Token wird optimiert, um mehr Rauschen als andere
Erkennungen auf derselben Risikostufe zu generieren. Dieser Kompromiss wird
gewählt, um die Wahrscheinlichkeit zu erhöhen, dass wiedergegebene Token erkannt
werden, die andernfalls möglicherweise unbemerkt bleiben. Weil dies eine
Erkennung mit hohen Rauschen ist, ist die Wahrscheinlichkeit höher, dass einige
der von dieser Erkennung gekennzeichneten Sitzungen falsch positive Ergebnisse
sind. Wir empfehlen, die von dieser Erkennung gekennzeichneten Sitzungen im
Kontext anderer Anmeldungen des Benutzers zu untersuchen. Wenn der Standort, die
Anwendung, die IP-Adresse, der Benutzer-Agent oder andere Merkmale für den
Benutzer unerwartet sind, sollte der Mandantenadministrator dieses Risiko als
Indikator für eine potenzielle Tokenwiedergabe betrachten. Anomaler
Tokenaussteller Offline Diese Risikoerkennung gibt an, dass der
SAML-Tokenaussteller für das zugeordnete SAML-Token möglicherweise
kompromittiert ist. Die im Token enthaltenen Ansprüche sind ungewöhnlich oder
stimmen mit bekannten Angriffsmustern überein. Mit Schadsoftware verknüpfte
IP-Adresse Offline Mit diesem Risikoerkennungstyp werden Anmeldungen von
IP-Adressen identifiziert, die mit Schadsoftware infiziert sind und
bekanntermaßen aktiv mit einem Botserver kommunizieren. Dies wird ermittelt,
indem IP-Adressen des Benutzergeräts mit IP-Adressen korreliert werden, die in
Kontakt mit einem Botserver gestanden haben, während der Botserver aktiv war.

Diese Erkennung ist veraltet . Identity Protection generiert keine neuen
Erkennungen des Typs „Mit Schadsoftware verknüpfte IP-Adresse“ mehr. Kunden, die
derzeit Erkennungen des Typs „Mit Schadsoftware verknüpfte IP-Adresse“ in ihrem
Mandanten haben, können diese bis zum Erreichen der 90-tägigen
Aufbewahrungsdauer für Erkennungen weiterhin anzeigen, bereinigen oder
verwerfen. Verdächtiger Browser Offline Die Erkennung „Verdächtiger Browser“
weist auf ein anomales Verhalten hin, das auf verdächtigen Anmeldeaktivitäten
mehrerer Mandanten aus verschiedenen Ländern im selben Browser beruht.
Ungewöhnliche Anmeldeeigenschaften Echtzeit Dieser Risikoerkennungstyp
betrachtet den Anmeldungsverlauf, um nach anomalen Anmeldungen zu suchen. Das
System speichert Informationen zu früheren Anmeldungen und löst eine
Risikoerkennung aus, wenn eine Anmeldung mit Eigenschaften auftritt, die dem
Benutzer nicht vertraut sind. Zu diesen Eigenschaften zählen IP, ASN, Standort,
Gerät, Browser und Mandanten-IP-Subnetz. Neu angelegte Benutzer befinden sich
eine Zeitlang im „Lernmodus“, in dem die Risikoerkennung unbekannter
Anmeldeeigenschaften ausgeschaltet wird, während unsere Algorithmen das
Verhalten des Benutzers lernen. Die Dauer des Lernmodus ist dynamisch und hängt
davon ab, wie lange es dauert, bis der Algorithmus genügend Informationen über
die Anmeldemuster des Benutzers gesammelt hat. Die Mindestdauer beträgt fünf
Tage. Ein Benutzer kann nach einer langen Zeit der Inaktivität erneut in den
Lernmodus wechseln.

Diese Erkennung wird auch für die Standardauthentifizierung (bzw. ältere
Protokolle) ausgeführt. Da diese Protokolle nicht über moderne Eigenschaften wie
die Client-ID verfügen, gibt es nur begrenzte Telemetriedaten, um Fehlalarme zu
reduzieren. Wir empfehlen unseren Kunden, auf eine moderne Authentifizierung
umzusteigen.

Unbekannte Anmeldungseigenschaften können sowohl bei interaktiven als auch bei
nicht-interaktiven Anmeldungen erkannt werden. Wenn diese Erkennung bei
nicht-interaktiven Anmeldungen festgestellt wird, sollte sie aufgrund des
Risikos von Token-Wiederholungsangriffen besonders sorgfältig geprüft werden.
Schädliche IP-Adresse Offline Diese Erkennung gibt eine Anmeldung über eine
schädliche IP-Adresse an. Eine IP-Adresse wird wegen hoher Fehlerraten aufgrund
von ungültige Anmeldeinformationen, die von der IP-Adresse oder anderen
IP-Zuverlässigkeitsquellen empfangen wurden, als schädlich eingestuft.
Verdächtige Regeln zur Posteingangsänderung Offline Diese Erkennung wird von
Microsoft Defender für Cloud Apps erkannt. Diese Erkennung erstellt ein Profil
Ihrer Umgebung und löst Warnungen aus, wenn verdächtige Regeln zum Löschen oder
Verschieben von Nachrichten oder Ordnern für den Posteingang eines Benutzers
festgelegt werden. Diese Erkennung kann darauf hinweisen, dass das Konto des
Benutzers kompromittiert ist, dass Nachrichten absichtlich ausgeblendet werden
und das Postfach zum Verteilen von Spam und Schadsoftware in Ihrer Organisation
verwendet wird. Kennwortspray Offline Bei einem Kennwortspray-Angriff werden
mehrere Benutzernamen unter Verwendung gängiger Kennwörter im Rahmen eines
koordinierten Brute-Force-Angriffs angegriffen, um nicht autorisierten Zugriff
zu erhalten. Die Risikoerkennung wird ausgelöst, wenn ein Kennwortspray-Angriff
erfolgreich durchgeführt wurde. Der Angreifer wird beispielsweise in der
erkannten Instanz erfolgreich authentifiziert. Unmöglicher Ortswechsel Offline
Diese Erkennung wird von Microsoft Defender für Cloud Apps erkannt. Es wurden
zwei Benutzeraktivitäten (in einer einzelnen Sitzung oder in mehreren Sitzungen)
festgestellt, die von unterschiedlichen geografischen Standorten stammen und in
einem Zeitraum liegen, der kürzer ist als die Zeit, die der Benutzer benötigt,
um von einem Ort zum anderen zu gelangen. Dieses Risiko könnte darauf hindeuten,
dass ein anderer Benutzer die gleichen Anmeldeinformationen verwendet. Neues
Land/neue Region Offline Diese Erkennung wird von Microsoft Defender für Cloud
Apps erkannt. Bei dieser Erkennungsmethode werden anhand von in der
Vergangenheit verwendeten Aktivitätsstandorten neue und selten verwendete
Standorte ermittelt. Die Anomalieerkennungsengine speichert Informationen zu
Standorten, die Benutzer der Organisation in der Vergangenheit verwendet haben.
Aktivität über anonyme IP-Adresse Offline Diese Erkennung wird von Microsoft
Defender für Cloud Apps erkannt. Diese Erkennung stellt fest, ob Benutzer eine
IP-Adresse verwendet haben, die als anonyme Proxy-IP-Adresse identifiziert
wurde. Verdächtige Weiterleitung des Posteingangs Offline Diese Erkennung wird
von Microsoft Defender für Cloud Apps erkannt. Durch diese Erkennungsmethode
werden verdächtige Regeln zur E-Mail-Weiterleitung erkannt. Hierzu gehört
beispielsweise die Erstellung einer Posteingangsregel, die eine Kopie aller
E-Mails an eine externe Adresse weiterleitet. Massenzugriff auf vertrauliche
Dateien Offline Diese Erkennung wird von Microsoft Defender für Cloud Apps
erkannt. Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen
aus, wenn Benutzer auf mehrere Dateien von Microsoft SharePoint oder Microsoft
OneDrive zugreifen. Eine Warnung wird nur ausgelöst, wenn die Anzahl der
abgerufenen Dateien für den*die Benutzer*in ungewöhnlich ist und die Dateien
vertrauliche Informationen enthalten könnten.

NICHT-PREMIUM-ERKENNUNGEN BEI ANMELDERISIKEN

Risikoerkennung Erkennungstyp BESCHREIBUNG Zusätzliches Risiko erkannt Echtzeit
oder offline Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt
wurde. Da die Premium-Erkennungen nur für Azure AD Premium P2-Kunden sichtbar
sind, werden sie für Kunden ohne Azure AD Premium P2-Lizenz als "zusätzliches
Risiko erkannt" bezeichnet. Anonyme IP-Adresse Echtzeit Dieser
Risikoerkennungstyp gibt Anmeldungen über eine anonyme IP-Adresse (z.B.
Tor-Browser oder ein anonymisiertes VPN) an. Diese IP-Adressen werden in der
Regel von Akteuren verwendet, die ihre Anmeldetelemetrie (IP-Adresse, Standort,
Gerät usw.) für mögliche böswillige Absichten verbergen wollen.
Benutzergefährdung durch Administrator bestätigt Offline Diese Erkennung gibt
an, dass ein Administrator auf der Benutzeroberfläche für riskante Benutzer oder
mithilfe der riskyUsers-API die Option „Benutzergefährdung bestätigen“
ausgewählt hat. Überprüfen Sie den Risikoverlauf des Benutzers (auf der
Benutzeroberfläche oder über die API), um zu überprüfen, welcher Administrator
diese Benutzergefährdung bestätigt hat. Azure AD Threat Intelligence Offline
Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den
angegebenen Benutzer ungewöhnlich sind oder bekannten Angriffsmustern
entsprechen. Auf der Grundlage der internen und externen Quellen für
Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert.


MIT DEM BENUTZER VERKNÜPFTE ERKENNUNGEN

PREMIUM-BENUTZERRISIKOERKENNUNG

Risikoerkennung Erkennungstyp BESCHREIBUNG Möglicher Versuch, auf primäres
Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen Offline Dieser
Risikoerkennungstyp wird von Microsoft Defender für Endpunkt (MDE) erkannt. Ein
primäres Aktualisierungstoken (Primary Refresh Token, PRT) ist ein
Schlüsselartefakt der Azure AD-Authentifizierung auf Geräten mit Windows 10,
Windows Server 2016 und höheren Versionen, iOS und Android. Bei einem PRT
handelt es sich um ein JSON Web Token (JWT), das speziell für
Microsoft-Erstanbieter-Tokenbroker ausgestellt wird, um einmaliges Anmelden
(Single Sign-On, SSO) für die Anwendungen zu ermöglichen, die auf diesen Geräten
verwendet werden. Angreifer können versuchen, auf diese Ressource zuzugreifen,
um sich im gesamten Netzwerk zu bewegen oder Anmeldeinformationen zu stehlen.
Diese Erkennung birgt für Benutzer ein hohes Risiko und wird nur in
Organisationen ausgelöst, die MDE bereitgestellt haben. Es handelt sich hierbei
um eine Erkennung mit geringem Umfang, die in den meisten Organisationen nur
selten vorkommt. Wenn sie jedoch erfolgt, stellt dies ein hohes Risiko dar, das
für Benutzer beseitigt werden sollte. Anomale Benutzeraktivität Offline Diese
Risikoerkennung gibt an, dass verdächtige Aktivitätsmuster für einen
authentifizierten Benutzer festgestellt wurden. Das Verhalten nach der
Authentifizierung von Benutzern wird auf Anomalien eingeschätzt. Dieses
Verhalten basiert auf Aktionen, die für das Konto erfolgen, zusammen mit
erkannten Anmelderisiken.

NICHT-PREMIUM-BENUTZERRISIKOERKENNUNG

Risikoerkennung Erkennungstyp BESCHREIBUNG Zusätzliches Risiko erkannt Echtzeit
oder offline Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt
wurde. Da die Premium-Erkennungen nur für Azure AD Premium P2-Kunden sichtbar
sind, werden sie für Kunden ohne Azure AD Premium P2-Lizenz als "zusätzliches
Risiko erkannt" bezeichnet. Kompromittierte Anmeldeinformationen Offline Dieser
Risikoerkennungstyp gibt an, dass die gültigen Anmeldeinformationen des
Benutzers kompromittiert wurden. Wenn Internetkriminelle an gültige Kennwörter
von berechtigten Benutzern gelangen, geben sie diese Anmeldeinformationen häufig
weiter. Diese Freigabe erfolgt in der Regel durch eine Veröffentlichung im
Darknet oder auf Paste Sites oder durch den Handel und Verkauf der
Anmeldeinformationen auf dem Schwarzmarkt. Wenn der Microsoft-Dienst für
durchgesickerte Anmeldedaten Benutzeranmeldedaten aus dem Dark Web, von
Paste-Sites oder anderen Quellen erhält, werden diese mit den aktuellen gültigen
Anmeldedaten der Azure AD-Benutzer abgeglichen, um gültige Übereinstimmungen zu
finden. Weitere Informationen zu kompromittierten Anmeldeinformationen finden
Sie unter Häufig gestellte Fragen. Azure AD Threat Intelligence Offline Dieser
Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den angegebenen
Benutzer ungewöhnlich sind oder bekannten Angriffsmustern entsprechen. Auf der
Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft
wurde ein bekanntes Angriffsmuster identifiziert.


HÄUFIG GESTELLTE FRAGEN


RISIKOSTUFEN

Mit Identity Protection werden Risiken in drei Stufen eingeteilt: niedrig,
mittel und hoch. Wenn Sie benutzerdefinierte Richtlinien für den
Identitätsschutz konfigurieren, können Sie diese auch so konfigurieren, dass sie
auf der Ebene Kein Risiko ausgelöst werden. Kein Risiko bedeutet, dass es keine
aktiven Anzeichen dafür gibt, dass die Identität des Benutzers kompromittiert
wurde.

Microsoft stellt keine speziellen Details für die Risikoberechnung zur
Verfügung. Je höher die Risikostufe desto wahrscheinlicher ist es, dass der
Benutzer oder die Anmeldung kompromittiert wurde. Beispielsweise sind einmalige
ungewöhnliche Anmeldeeigenschaften eines Benutzers unter Umständen nicht so
riskant wie kompromittierte Anmeldeinformationen eines anderen Benutzers.


KENNWORTHASHSYNCHRONISIERUNG

Damit Risiken wie kompromittierte Anmeldeinformationen erkannt werden können,
müssen Kennworthashes vorhanden sein. Weitere Informationen zur
Kennworthashsynchronisierung finden Sie unter Implementieren der
Kennworthashsynchronisierung mit der Azure AD Connect-Synchronisierung.


WARUM WERDEN RISIKOERKENNUNGEN FÜR DEAKTIVIERTE BENUTZERKONTEN GENERIERT?

Deaktivierte Benutzerkonten können erneut aktiviert werden. Wenn die
Anmeldeinformationen eines deaktivierten Kontos kompromittiert sind und das
Konto erneut aktiviert wird, könnten böswillige Akteure diese
Anmeldeinformationen verwenden, um Zugriff zu erhalten. Aus diesem Grund
generiert Identity Protection für deaktivierte Benutzerkonten Risikoerkennungen
für verdächtige Aktivitäten, um Kunden über eine potenzielle
Kontokompromittierung zu informieren. Wenn ein Konto nicht mehr verwendet und
auch nicht wieder aktiviert wird, sollten Kunden erwägen, es zu löschen, um eine
Kompromittierung zu verhindern. Für gelöschte Konten werden keine
Risikoerkennungen generiert.


KOMPROMITTIERTE ANMELDEINFORMATIONEN

WO FINDET MICROSOFT KOMPROMITTIERTE ANMELDEINFORMATIONEN?

Microsoft findet kompromittierte Anmeldeinformationen an verschiedenen Stellen.
Dazu zählen:

 * Öffentliche Paste-Websites, z. B. pastebin.com und paste.ca, auf denen
   böswillige Akteure in der Regel solche Materialien posten. Diese Stelle ist
   der erste Zwischenstopp von böswilligen Akteuren auf der Jagd nach
   gestohlenen Anmeldeinformationen.
 * Strafverfolgungsbehörden.
 * Andere Gruppen bei Microsoft, die das Darknet durchforsten.

WARUM SEHE ICH KEINE KOMPROMITTIERTEN ANMELDEINFORMATIONEN?

Kompromittierte Anmeldeinformationen werden jedes Mal, wenn Microsoft einen
neuen, öffentlich verfügbaren Batch findet, verarbeitet. Angesichts der
Sensibilität der Daten werden die kompromittierten Anmeldeinformationen kurz
nach der Verarbeitung gelöscht. Für Ihren Mandanten werden nur neue
kompromittierte Anmeldeinformationen, die nach dem Aktivieren der
Kennworthashsynchronisierung gefunden wurden, verarbeitet. Eine Überprüfung
anhand zuvor gefundener Anmeldeinformationspaare erfolgt nicht.

SEIT EINIGER ZEIT SIND KEINE RISIKOEREIGNISSE MIT KOMPROMITTIERTEN
ANMELDEINFORMATIONEN MEHR ANGEZEIGT WORDEN.

Wenn Ihnen keine Risikoereignisse mit kompromittierten Anmeldeinformationen
angezeigt wurden, kann das folgende Ursachen haben:

 * Sie haben keine Kennworthashsynchronisierung für Ihren Mandanten aktiviert.
 * Microsoft hat keine kompromittierten Anmeldeinformationspaare gefunden, die
   mit Ihren Benutzern übereinstimmen.

WIE OFT VERARBEITET MICROSOFT NEUE ANMELDEINFORMATIONEN?

Anmeldeinformationen werden sofort nach deren Auffinden verarbeitet, in der
Regel in mehreren Batches pro Tag.


STANDORTE

Der Standort wird bei der Risikoerkennung durch die IP-Adresssuche bestimmt.


NÄCHSTE SCHRITTE

 * Verfügbare Richtlinien zum Mindern von Risiken
 * Untersuchen eines Risikos
 * Behandeln von Risiken und Aufheben der Blockierung von Benutzern
 * Sicherheitsübersicht








Design
 * Hell
 * Dunkel
 * Hoher Kontrast

 * 
 * Previous Versions
 * Blog
 * Mitwirken
 * Datenschutz & Cookies
 * Nutzungsbedingungen
 * Impressum
 * Marken
 * © Microsoft 2022


IN DIESEM ARTIKEL




Design
 * Hell
 * Dunkel
 * Hoher Kontrast

 * 
 * Previous Versions
 * Blog
 * Mitwirken
 * Datenschutz & Cookies
 * Nutzungsbedingungen
 * Impressum
 * Marken
 * © Microsoft 2022