Active Directory mit Microsoft Defender for Identity schützen


    Tags: , , ,

    Microsoft Defender for IdentityMicrosoft Defender for Identity ist eine Cloud-Lösung, die Angriffe auf das Active Directory er­kennen kann. Sie ana­lysiert dazu den Daten­­verkehr und das Benutzer­verhalten auf DCs und ADFS-Servern. Da­rüber hinaus deckt sie Schwach­­­stellen auf und erkennt Pfade, die An­greifer für die seit­liche Bewegung im Netz­ nutzen könnten.

    Microsoft Defender for Identity hat seine Wurzeln sowohl in Azure als auch in der ehemaligen Advanced Threat Protection (Azure ATP). Unternehmen müssen die Sicherheits­lösung also nicht vor Ort bereitstellen, wenn man vom Sensor absieht, der auf den Domänen-Controllern installiert wird. Das Tool leitet zudem Admins bei der Behebung von Fehl­konfigurationen an.

    Der Schutz durch Microsoft Defender for Identity beruht auf diesen vier Säulen:

    • Vorbeugen: Direkt nach der Installation beginnt die Überwachung des Active Directory. Dazu gehört die Bewertung der Sicherheits­konfiguration und des AD-Schemas. Der Dienst gibt Empfehlungen, wie die Umgebung am besten geschützt werden kann, um Sicherheits­probleme von vornherein zu verhindern.
    • Entdecken: Dazu zählen Echtzeit­erkennung und Datenanalysen. Sie umfassen die Überwachung von Netzwerk­aktivitäten, Windows-Ereignissen und anderen Metriken, um Warnungen in Echtzeit für SecOps bereitzustellen. Diese erhalten damit die nötigen Belege, um die Bedrohung zu verstehen und sie zu entschärfen.
    • Untersuchen: Bewertung von Benutzern, Aktivitäts­ereignissen und anderen kontextbezogenen Vorkommnissen. Sie helfen SecOps dabei, zu verstehen, was in der Umgebung vor sich geht, um optimal reagieren zu können.
    • Reagieren: Automatische Maßnahmen für gefährdete Identitäten sowie halbautomatische Reaktionen auf Warnungen vor einer Bedrohung.

    Die vier Säulen von Microsoft Defender for Identity

    Microsoft Defender for Identity wird wöchentlich mit den neuesten Sicherheits­informationen, Warnungen und Sicherheits­bewertungen aktualisiert. Zu den Bedrohungen und Aktivitäten, die das Tool erkennen kann, gehören unter anderem:

    • Brute-Force-Versuche, um Zugang zu einem Konto zu erhalten (auch via AD FS)
    • Verdächtige VPN-Verbindungen
    • Fehlgeschlagene Logon-Versuche
    • Verdächtige Änderungen von DC-Passwörtern über NetLogon
    • Pass-the-Ticket
    • Pass-the-Hash
    • Golden-Ticket-Angriffe
    • Verdächtige Änderungen bei Mitgliedschaften in Gruppen

    Erkennung von Benutzern und IP-Adressen in Microsoft Defender for Identity (Quelle: Microsoft)

    Die Lösung entwickelt sich hinsichtlich ihrer Funktionen und der unterstützten Plattformen weiter. So hat Microsoft den Schutz von Active Directory Domain Services (AD DS) auf die Active Directory Federation Services (ADFS) ausgedehnt.

    Wie passt der Dienst zu anderen Cloud-basierten Produkten von Microsoft? Microsoft Defender for Identity ist keine allumfassende Lösung. Er fügt sich jedoch vielmehr in den mehrschichtigen Ansatz ein, der Schutz für Folgendes umfasst:

    • Anwendungen
    • Endpoints
    • E-Mails und Daten

    Mehrschichtiger Sicherheitsansatz mit Microsoft Defender for Identity

    Architektur von Microsoft Defender for Identity

    Die Architektur von Microsoft Defender for Identity besteht aus folgenden Komponenten:

    Portal: Hier erzeugt man eine Instanz von Defender for Identity-Instanz und zeigt die von den Remote-Sensoren empfangenen Daten an. Es dient hauptsächlich der Überwachung, Verwaltung und Untersuchung von Ereignissen.

    Sensor: Der Datensammler vor Ort für Bedrohungssignale. Er überwacht den Netzwerkverkehr und Authenti­fizierungs­anfragen.

    Cloud-Dienst: Dieser läuft auf der Azure-Infrastruktur und ist mit dem intelligenten Sicherheits­graphen von Microsoft verbunden.

    Architektur von Microsoft Defender for Identity

    Proaktive Reaktion auf Bedrohungssignale

    Warnungen und Informationen über einen potenziellen Angriff alleine sind schon wichtig. Microsoft Defender for Identity bietet darüber hinaus noch folgende Funktionen zur automatischen Eindämmung von Bedrohungen:

    • Benutzer deaktivieren: Ein kompromittierter Account kann proaktiv gesperrt werden, so dass sich der Benutzer nicht mehr bei AAD/AD anmelden kann.
    • Benutzersitzungen beenden: Das Session- bzw. Access-Token wird automatisch für ungültig erklärt.
    • Benutzerkennwort ändern bzw. zurücksetzen: Diese Aktion ändert das Passwort des Benutzers oder erzwingt, dass es der User bei der nächsten Anmeldung ändern muss.
    • Den Benutzer als kompromittiert markieren: Die Risikostufe des Benutzers wird in AAD IP auf "hoch" gesetzt.

    Anforderungen an den Sensor

    Sie können sich den Sensor als den "Agenten" von Microsoft Defender for Identity vorstellen. Zu seinen Anforderungen gehören:

    • Windows Server 2008 R2 SP1 und höher
    • .NET-Framework 4.7
    • 6 GB RAM, 2 CPU-Kerne
    • Netzwerk-Port 443 (ausgehend), DNS, NetLogon, RADIUS (intern) und NTLM, NetBIOS und RDP auf Geräten zur Namens­auflösung
    • Dienstkonto bzw. Group Managed Service Account (schreibgeschützt)
    • Überwachungsereignisse: 4726, 4728, 4729, 4730, 4732, 4733, 4743, 4753, 4756, 4757, 4758, 4763, 4776, 7045, 8004

    Lizenzierung

    Defender for Identity ist als Teil von Enterprise Mobility + Security E5/A5, Microsoft 365 E5/A5/G5, Microsoft 365 E5/A5/G5/F5 Security, Microsoft F5 Security & Compliance sowie Microsoft Defender for Identity for Users erhältlich. Sie können zudem eine Lizenz direkt über das Microsoft 365-Portal oder über das CSP-Programm erwerben.

    Zusammenfassung

    Da immer mehr Angriffe auf Microsoft Active Directory und die Anmeldedaten der User abzielen, ist der Schutz des Verzeichnisses von entscheidender Bedeutung für die Gesamt­sicherheit eines Unternehmens.

    Microsoft Defender for Identity bietet insgesamt eine interessante Sicherheits­lösung für AD DS und AD FS, um potenzielle Bedrohungen in der Umgebung schnell zu erkennen und einzudämmen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.
    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links