docs.microsoft.com
Open in
urlscan Pro
2a02:26f0:1700:48a::353e
Public Scan
Submitted URL: https://go.microsoft.com/fwlink/?linkid=2016442
Effective URL: https://docs.microsoft.com/de-de/azure/active-directory/identity-protection/concept-identity-protection-risks
Submission: On September 15 via api from DE — Scanned from DE
Effective URL: https://docs.microsoft.com/de-de/azure/active-directory/identity-protection/concept-identity-protection-risks
Submission: On September 15 via api from DE — Scanned from DE
Form analysis
0 forms found in the DOMText Content
Weiter zum Hauptinhalt Dieser Browser wird nicht mehr unterstützt. Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features, Sicherheitsupdates und den technischen Support zu nutzen. Microsoft Edge herunterladen Weitere Informationen Inhaltsverzeichnis Fokusmodus beenden Auf Englisch lesen Speichern Inhaltsverzeichnis Auf Englisch lesen Speichern Twitter LinkedIn Facebook E-Mail Inhaltsverzeichnis WAS BEDEUTET RISIKO? * Artikel * 09/14/2022 * 11 Minuten Lesedauer * 10 Mitwirkende IN DIESEM ARTIKEL Risikoerkennungen in Azure AD Identity Protection umfassen alle identifizierten verdächtigen Aktionen im Zusammenhang mit Benutzerkonten im Verzeichnis. Risikoerkennungen (im Zusammenhang mit Benutzern und Anmeldungen) tragen zur Gesamtrisikobewertung des Benutzers bei, die im Bericht zu riskanten Benutzern enthalten ist. Identity Protection bietet Organisationen Zugriff auf leistungsstarke Ressourcen, um diese verdächtigen Aktionen zu erkennen und schnell darauf zu reagieren. Hinweis Identity Protection generiert Risikoerkennungen nur, wenn die richtigen Anmeldeinformationen verwendet werden. Wenn bei der Anmeldung falsche Anmeldeinformationen verwendet werden, stellt dies kein Risiko durch eine Gefährdung der Anmeldeinformationen dar. RISIKOTYPEN UND ERKENNUNG Risiken können auf Ebene der Benutzer und der Anmeldungen erkannt werden, und es gibt zwei Arten der Erkennung oder Berechnung (Echtzeit und Offline). Einige Risiken werden als Premium eingestuft, die nur für Azure AD Premium P2-Kunden verfügbar sind, während andere für Free- und Azure AD Premium P1-Kunden zur Verfügung stehen. Ein Anmelderisiko stellt die Wahrscheinlichkeit dar, dass eine bestimmte Authentifizierungsanforderung vom Identitätsbesitzer nicht autorisiert wurde. Bei einem Benutzer können riskante Aktivitäten erkannt werden, die nicht mit einer bestimmten bösartigen Anmeldung, sondern mit dem Benutzer selbst verbunden sind. Echtzeit-Erkennungen werden möglicherweise erst nach 5 bis 10 Minuten in den Berichten angezeigt. Offline-Erkennungen werden unter Umständen erst nach 48 Stunden in der Berichterstattung angezeigt. Hinweis Unser System kann feststellen, dass das Risikoereignis, das zur Risikorisikobewertung beigetragen hat, eine der folgenden Möglichkeiten war: * Ein falscher Positivbefund * Das Benutzerrisiko wurde behoben mit einer Richtlinie durch eine der folgenden Möglichkeiten: * Durchführen der Multi-Faktor-Authentifizierung * Sichere Kennwortzeichenfolge. Unser System wird den Risikostatus verwerfen und das Risikodetail „Sichere Anmeldung durch KI bestätigt“ wird angezeigt. Das Ereignis trägt somit nicht mehr zum Gesamtrisiko des Benutzers bei. PREMIUM-ERKENNUNGEN Premium-Erkennungen sind nur für Azure AD Premium P2-Kunden sichtbar. Kunden ohne Lizenzen für Azure AD Premium P2 erhalten weiterhin die Premium-Erkennungen, diese werden allerdings mit „Zusätzliches Risiko erkannt“ betitelt. ANMELDERISIKO PREMIUM-ERKENNUNGEN BEI ANMELDERISIKEN Risikoerkennung Erkennungstyp BESCHREIBUNG Ungewöhnlicher Ortswechsel Offline Mit diesem Risikoerkennungstyp werden zwei Anmeldungen identifiziert, die von weit entfernten Orten durchgeführt wurden und bei denen mindestens einer der Orte aufgrund des bisherigen Verhaltens atypisch für den Benutzer ist. Der Algorithmus berücksichtigt mehrere Faktoren wie etwa die Zeit zwischen zwei Anmeldungen und die Zeit, die es für den Benutzer erfordern würde, vom ersten zum zweiten Ort zu reisen. Dieses Risiko könnte darauf hindeuten, dass ein anderer Benutzer die gleichen Anmeldeinformationen verwendet. Bei diesem Algorithmus werden offensichtliche falsch positive Ergebnisse ignoriert, die zu den unmöglichen Ortswechselbedingungen beitragen. Hierzu zählen etwa VPNs und regelmäßig von anderen Benutzern der Organisation verwendete Standorte. Das System verfügt über einen anfänglichen Lernzeitraum von 14 Tagen oder 10 Anmeldungen (je nachdem, welcher Punkt früher erreicht wird), in dem das Anmeldeverhalten des neuen Benutzers erlernt wird. Anomales Token Offline Diese Erkennung deutet darauf hin, dass der Token ungewöhnliche Merkmale aufweist, z.B. eine ungewöhnliche Gültigkeitsdauer oder einen Token, der von einem unbekannten Ort aus gespielt wird. Diese Erkennung deckt Sitzungstoken und Aktualisierungstoken ab. HINWEIS: Ein anomales Token wird optimiert, um mehr Rauschen als andere Erkennungen auf derselben Risikostufe zu generieren. Dieser Kompromiss wird gewählt, um die Wahrscheinlichkeit zu erhöhen, dass wiedergegebene Token erkannt werden, die andernfalls möglicherweise unbemerkt bleiben. Weil dies eine Erkennung mit hohen Rauschen ist, ist die Wahrscheinlichkeit höher, dass einige der von dieser Erkennung gekennzeichneten Sitzungen falsch positive Ergebnisse sind. Wir empfehlen, die von dieser Erkennung gekennzeichneten Sitzungen im Kontext anderer Anmeldungen des Benutzers zu untersuchen. Wenn der Standort, die Anwendung, die IP-Adresse, der Benutzer-Agent oder andere Merkmale für den Benutzer unerwartet sind, sollte der Mandantenadministrator dieses Risiko als Indikator für eine potenzielle Tokenwiedergabe betrachten. Anomaler Tokenaussteller Offline Diese Risikoerkennung gibt an, dass der SAML-Tokenaussteller für das zugeordnete SAML-Token möglicherweise kompromittiert ist. Die im Token enthaltenen Ansprüche sind ungewöhnlich oder stimmen mit bekannten Angriffsmustern überein. Mit Schadsoftware verknüpfte IP-Adresse Offline Mit diesem Risikoerkennungstyp werden Anmeldungen von IP-Adressen identifiziert, die mit Schadsoftware infiziert sind und bekanntermaßen aktiv mit einem Botserver kommunizieren. Dies wird ermittelt, indem IP-Adressen des Benutzergeräts mit IP-Adressen korreliert werden, die in Kontakt mit einem Botserver gestanden haben, während der Botserver aktiv war. Diese Erkennung ist veraltet . Identity Protection generiert keine neuen Erkennungen des Typs „Mit Schadsoftware verknüpfte IP-Adresse“ mehr. Kunden, die derzeit Erkennungen des Typs „Mit Schadsoftware verknüpfte IP-Adresse“ in ihrem Mandanten haben, können diese bis zum Erreichen der 90-tägigen Aufbewahrungsdauer für Erkennungen weiterhin anzeigen, bereinigen oder verwerfen. Verdächtiger Browser Offline Die Erkennung „Verdächtiger Browser“ weist auf ein anomales Verhalten hin, das auf verdächtigen Anmeldeaktivitäten mehrerer Mandanten aus verschiedenen Ländern im selben Browser beruht. Ungewöhnliche Anmeldeeigenschaften Echtzeit Dieser Risikoerkennungstyp betrachtet den Anmeldungsverlauf, um nach anomalen Anmeldungen zu suchen. Das System speichert Informationen zu früheren Anmeldungen und löst eine Risikoerkennung aus, wenn eine Anmeldung mit Eigenschaften auftritt, die dem Benutzer nicht vertraut sind. Zu diesen Eigenschaften zählen IP, ASN, Standort, Gerät, Browser und Mandanten-IP-Subnetz. Neu angelegte Benutzer befinden sich eine Zeitlang im „Lernmodus“, in dem die Risikoerkennung unbekannter Anmeldeeigenschaften ausgeschaltet wird, während unsere Algorithmen das Verhalten des Benutzers lernen. Die Dauer des Lernmodus ist dynamisch und hängt davon ab, wie lange es dauert, bis der Algorithmus genügend Informationen über die Anmeldemuster des Benutzers gesammelt hat. Die Mindestdauer beträgt fünf Tage. Ein Benutzer kann nach einer langen Zeit der Inaktivität erneut in den Lernmodus wechseln. Diese Erkennung wird auch für die Standardauthentifizierung (bzw. ältere Protokolle) ausgeführt. Da diese Protokolle nicht über moderne Eigenschaften wie die Client-ID verfügen, gibt es nur begrenzte Telemetriedaten, um Fehlalarme zu reduzieren. Wir empfehlen unseren Kunden, auf eine moderne Authentifizierung umzusteigen. Unbekannte Anmeldungseigenschaften können sowohl bei interaktiven als auch bei nicht-interaktiven Anmeldungen erkannt werden. Wenn diese Erkennung bei nicht-interaktiven Anmeldungen festgestellt wird, sollte sie aufgrund des Risikos von Token-Wiederholungsangriffen besonders sorgfältig geprüft werden. Schädliche IP-Adresse Offline Diese Erkennung gibt eine Anmeldung über eine schädliche IP-Adresse an. Eine IP-Adresse wird wegen hoher Fehlerraten aufgrund von ungültige Anmeldeinformationen, die von der IP-Adresse oder anderen IP-Zuverlässigkeitsquellen empfangen wurden, als schädlich eingestuft. Verdächtige Regeln zur Posteingangsänderung Offline Diese Erkennung wird von Microsoft Defender für Cloud Apps erkannt. Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn verdächtige Regeln zum Löschen oder Verschieben von Nachrichten oder Ordnern für den Posteingang eines Benutzers festgelegt werden. Diese Erkennung kann darauf hinweisen, dass das Konto des Benutzers kompromittiert ist, dass Nachrichten absichtlich ausgeblendet werden und das Postfach zum Verteilen von Spam und Schadsoftware in Ihrer Organisation verwendet wird. Kennwortspray Offline Bei einem Kennwortspray-Angriff werden mehrere Benutzernamen unter Verwendung gängiger Kennwörter im Rahmen eines koordinierten Brute-Force-Angriffs angegriffen, um nicht autorisierten Zugriff zu erhalten. Die Risikoerkennung wird ausgelöst, wenn ein Kennwortspray-Angriff erfolgreich durchgeführt wurde. Der Angreifer wird beispielsweise in der erkannten Instanz erfolgreich authentifiziert. Unmöglicher Ortswechsel Offline Diese Erkennung wird von Microsoft Defender für Cloud Apps erkannt. Es wurden zwei Benutzeraktivitäten (in einer einzelnen Sitzung oder in mehreren Sitzungen) festgestellt, die von unterschiedlichen geografischen Standorten stammen und in einem Zeitraum liegen, der kürzer ist als die Zeit, die der Benutzer benötigt, um von einem Ort zum anderen zu gelangen. Dieses Risiko könnte darauf hindeuten, dass ein anderer Benutzer die gleichen Anmeldeinformationen verwendet. Neues Land/neue Region Offline Diese Erkennung wird von Microsoft Defender für Cloud Apps erkannt. Bei dieser Erkennungsmethode werden anhand von in der Vergangenheit verwendeten Aktivitätsstandorten neue und selten verwendete Standorte ermittelt. Die Anomalieerkennungsengine speichert Informationen zu Standorten, die Benutzer der Organisation in der Vergangenheit verwendet haben. Aktivität über anonyme IP-Adresse Offline Diese Erkennung wird von Microsoft Defender für Cloud Apps erkannt. Diese Erkennung stellt fest, ob Benutzer eine IP-Adresse verwendet haben, die als anonyme Proxy-IP-Adresse identifiziert wurde. Verdächtige Weiterleitung des Posteingangs Offline Diese Erkennung wird von Microsoft Defender für Cloud Apps erkannt. Durch diese Erkennungsmethode werden verdächtige Regeln zur E-Mail-Weiterleitung erkannt. Hierzu gehört beispielsweise die Erstellung einer Posteingangsregel, die eine Kopie aller E-Mails an eine externe Adresse weiterleitet. Massenzugriff auf vertrauliche Dateien Offline Diese Erkennung wird von Microsoft Defender für Cloud Apps erkannt. Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn Benutzer auf mehrere Dateien von Microsoft SharePoint oder Microsoft OneDrive zugreifen. Eine Warnung wird nur ausgelöst, wenn die Anzahl der abgerufenen Dateien für den*die Benutzer*in ungewöhnlich ist und die Dateien vertrauliche Informationen enthalten könnten. NICHT-PREMIUM-ERKENNUNGEN BEI ANMELDERISIKEN Risikoerkennung Erkennungstyp BESCHREIBUNG Zusätzliches Risiko erkannt Echtzeit oder offline Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Azure AD Premium P2-Kunden sichtbar sind, werden sie für Kunden ohne Azure AD Premium P2-Lizenz als "zusätzliches Risiko erkannt" bezeichnet. Anonyme IP-Adresse Echtzeit Dieser Risikoerkennungstyp gibt Anmeldungen über eine anonyme IP-Adresse (z.B. Tor-Browser oder ein anonymisiertes VPN) an. Diese IP-Adressen werden in der Regel von Akteuren verwendet, die ihre Anmeldetelemetrie (IP-Adresse, Standort, Gerät usw.) für mögliche böswillige Absichten verbergen wollen. Benutzergefährdung durch Administrator bestätigt Offline Diese Erkennung gibt an, dass ein Administrator auf der Benutzeroberfläche für riskante Benutzer oder mithilfe der riskyUsers-API die Option „Benutzergefährdung bestätigen“ ausgewählt hat. Überprüfen Sie den Risikoverlauf des Benutzers (auf der Benutzeroberfläche oder über die API), um zu überprüfen, welcher Administrator diese Benutzergefährdung bestätigt hat. Azure AD Threat Intelligence Offline Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den angegebenen Benutzer ungewöhnlich sind oder bekannten Angriffsmustern entsprechen. Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert. MIT DEM BENUTZER VERKNÜPFTE ERKENNUNGEN PREMIUM-BENUTZERRISIKOERKENNUNG Risikoerkennung Erkennungstyp BESCHREIBUNG Möglicher Versuch, auf primäres Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen Offline Dieser Risikoerkennungstyp wird von Microsoft Defender für Endpunkt (MDE) erkannt. Ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) ist ein Schlüsselartefakt der Azure AD-Authentifizierung auf Geräten mit Windows 10, Windows Server 2016 und höheren Versionen, iOS und Android. Bei einem PRT handelt es sich um ein JSON Web Token (JWT), das speziell für Microsoft-Erstanbieter-Tokenbroker ausgestellt wird, um einmaliges Anmelden (Single Sign-On, SSO) für die Anwendungen zu ermöglichen, die auf diesen Geräten verwendet werden. Angreifer können versuchen, auf diese Ressource zuzugreifen, um sich im gesamten Netzwerk zu bewegen oder Anmeldeinformationen zu stehlen. Diese Erkennung birgt für Benutzer ein hohes Risiko und wird nur in Organisationen ausgelöst, die MDE bereitgestellt haben. Es handelt sich hierbei um eine Erkennung mit geringem Umfang, die in den meisten Organisationen nur selten vorkommt. Wenn sie jedoch erfolgt, stellt dies ein hohes Risiko dar, das für Benutzer beseitigt werden sollte. Anomale Benutzeraktivität Offline Diese Risikoerkennung gibt an, dass verdächtige Aktivitätsmuster für einen authentifizierten Benutzer festgestellt wurden. Das Verhalten nach der Authentifizierung von Benutzern wird auf Anomalien eingeschätzt. Dieses Verhalten basiert auf Aktionen, die für das Konto erfolgen, zusammen mit erkannten Anmelderisiken. NICHT-PREMIUM-BENUTZERRISIKOERKENNUNG Risikoerkennung Erkennungstyp BESCHREIBUNG Zusätzliches Risiko erkannt Echtzeit oder offline Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Azure AD Premium P2-Kunden sichtbar sind, werden sie für Kunden ohne Azure AD Premium P2-Lizenz als "zusätzliches Risiko erkannt" bezeichnet. Kompromittierte Anmeldeinformationen Offline Dieser Risikoerkennungstyp gibt an, dass die gültigen Anmeldeinformationen des Benutzers kompromittiert wurden. Wenn Internetkriminelle an gültige Kennwörter von berechtigten Benutzern gelangen, geben sie diese Anmeldeinformationen häufig weiter. Diese Freigabe erfolgt in der Regel durch eine Veröffentlichung im Darknet oder auf Paste Sites oder durch den Handel und Verkauf der Anmeldeinformationen auf dem Schwarzmarkt. Wenn der Microsoft-Dienst für durchgesickerte Anmeldedaten Benutzeranmeldedaten aus dem Dark Web, von Paste-Sites oder anderen Quellen erhält, werden diese mit den aktuellen gültigen Anmeldedaten der Azure AD-Benutzer abgeglichen, um gültige Übereinstimmungen zu finden. Weitere Informationen zu kompromittierten Anmeldeinformationen finden Sie unter Häufig gestellte Fragen. Azure AD Threat Intelligence Offline Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den angegebenen Benutzer ungewöhnlich sind oder bekannten Angriffsmustern entsprechen. Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert. HÄUFIG GESTELLTE FRAGEN RISIKOSTUFEN Mit Identity Protection werden Risiken in drei Stufen eingeteilt: niedrig, mittel und hoch. Wenn Sie benutzerdefinierte Richtlinien für den Identitätsschutz konfigurieren, können Sie diese auch so konfigurieren, dass sie auf der Ebene Kein Risiko ausgelöst werden. Kein Risiko bedeutet, dass es keine aktiven Anzeichen dafür gibt, dass die Identität des Benutzers kompromittiert wurde. Microsoft stellt keine speziellen Details für die Risikoberechnung zur Verfügung. Je höher die Risikostufe desto wahrscheinlicher ist es, dass der Benutzer oder die Anmeldung kompromittiert wurde. Beispielsweise sind einmalige ungewöhnliche Anmeldeeigenschaften eines Benutzers unter Umständen nicht so riskant wie kompromittierte Anmeldeinformationen eines anderen Benutzers. KENNWORTHASHSYNCHRONISIERUNG Damit Risiken wie kompromittierte Anmeldeinformationen erkannt werden können, müssen Kennworthashes vorhanden sein. Weitere Informationen zur Kennworthashsynchronisierung finden Sie unter Implementieren der Kennworthashsynchronisierung mit der Azure AD Connect-Synchronisierung. WARUM WERDEN RISIKOERKENNUNGEN FÜR DEAKTIVIERTE BENUTZERKONTEN GENERIERT? Deaktivierte Benutzerkonten können erneut aktiviert werden. Wenn die Anmeldeinformationen eines deaktivierten Kontos kompromittiert sind und das Konto erneut aktiviert wird, könnten böswillige Akteure diese Anmeldeinformationen verwenden, um Zugriff zu erhalten. Aus diesem Grund generiert Identity Protection für deaktivierte Benutzerkonten Risikoerkennungen für verdächtige Aktivitäten, um Kunden über eine potenzielle Kontokompromittierung zu informieren. Wenn ein Konto nicht mehr verwendet und auch nicht wieder aktiviert wird, sollten Kunden erwägen, es zu löschen, um eine Kompromittierung zu verhindern. Für gelöschte Konten werden keine Risikoerkennungen generiert. KOMPROMITTIERTE ANMELDEINFORMATIONEN WO FINDET MICROSOFT KOMPROMITTIERTE ANMELDEINFORMATIONEN? Microsoft findet kompromittierte Anmeldeinformationen an verschiedenen Stellen. Dazu zählen: * Öffentliche Paste-Websites, z. B. pastebin.com und paste.ca, auf denen böswillige Akteure in der Regel solche Materialien posten. Diese Stelle ist der erste Zwischenstopp von böswilligen Akteuren auf der Jagd nach gestohlenen Anmeldeinformationen. * Strafverfolgungsbehörden. * Andere Gruppen bei Microsoft, die das Darknet durchforsten. WARUM SEHE ICH KEINE KOMPROMITTIERTEN ANMELDEINFORMATIONEN? Kompromittierte Anmeldeinformationen werden jedes Mal, wenn Microsoft einen neuen, öffentlich verfügbaren Batch findet, verarbeitet. Angesichts der Sensibilität der Daten werden die kompromittierten Anmeldeinformationen kurz nach der Verarbeitung gelöscht. Für Ihren Mandanten werden nur neue kompromittierte Anmeldeinformationen, die nach dem Aktivieren der Kennworthashsynchronisierung gefunden wurden, verarbeitet. Eine Überprüfung anhand zuvor gefundener Anmeldeinformationspaare erfolgt nicht. SEIT EINIGER ZEIT SIND KEINE RISIKOEREIGNISSE MIT KOMPROMITTIERTEN ANMELDEINFORMATIONEN MEHR ANGEZEIGT WORDEN. Wenn Ihnen keine Risikoereignisse mit kompromittierten Anmeldeinformationen angezeigt wurden, kann das folgende Ursachen haben: * Sie haben keine Kennworthashsynchronisierung für Ihren Mandanten aktiviert. * Microsoft hat keine kompromittierten Anmeldeinformationspaare gefunden, die mit Ihren Benutzern übereinstimmen. WIE OFT VERARBEITET MICROSOFT NEUE ANMELDEINFORMATIONEN? Anmeldeinformationen werden sofort nach deren Auffinden verarbeitet, in der Regel in mehreren Batches pro Tag. STANDORTE Der Standort wird bei der Risikoerkennung durch die IP-Adresssuche bestimmt. NÄCHSTE SCHRITTE * Verfügbare Richtlinien zum Mindern von Risiken * Untersuchen eines Risikos * Behandeln von Risiken und Aufheben der Blockierung von Benutzern * Sicherheitsübersicht Design * Hell * Dunkel * Hoher Kontrast * * Previous Versions * Blog * Mitwirken * Datenschutz & Cookies * Nutzungsbedingungen * Impressum * Marken * © Microsoft 2022 IN DIESEM ARTIKEL Design * Hell * Dunkel * Hoher Kontrast * * Previous Versions * Blog * Mitwirken * Datenschutz & Cookies * Nutzungsbedingungen * Impressum * Marken * © Microsoft 2022