März 10

0 comments

Microsoft Defender for Identity

Autor: Aaron Siller

Letzte Änderung: 2023-08-31

Guide Kapitel - Defender

Microsoft Defender for Identity hilft Unternehmen dabei Angriffe, die in Cloud-Umgebungen stattfinden und einen lokalen Ursprung haben zu überwachen und zu unterbinden

Die Komplexität, Größe und mitunter veraltete technologische Basis mancher Systeme erschaffen eine herausfordernde Situation: Es müssen verschiedene heterogene Systeme, Updates, die (Inter-)Konnektivität und Authentifizierung und andere Aspekte stets im Blick behalten werden. Ein vollumfängliches Monitoring ist erforderlich.

Je größer eine lokale und historisch gewachsene IT-Umgebung ist, desto mehr Aufwand ist zumeist erforderlich, um sie sicher zu halten.  Ein potenziell "veraltetes" lokales System ist dabei das Active Directory.

Die Historie und angewendete Technik eines lokalen Active Directory macht es zumeist zu einem interessanten Ziel für Angreifer. Der Defender for Identity soll uns dabei helfen, genau die hier vorhandenen Schwachstellen bestmöglich zu schließen.


Defender-for-Identity-Logo

Was ist Microsoft Defender for Identity?

Microsoft Defender for Identity ist der Nachfolger des lokalen Advanced Threat Analytics (ATA) -Produkts von Microsoft.

Microsoft_ATA

Das letztere Produkt hatte seit März 2019 keine signifikanten Updates mehr erhalten und der Mainstream-Support endete offiziell im Januar 2021. Im Gegensatz zum Advanced Threat Analytics ist Microsoft Defender for Identity vollständig cloudbasiert und baut darauf auf, das lokale Active Directory abzusichern und ein entsprechend Alarm- und Monitoring-Set aufzubauen.

Basierend auf einer Vielzahl von Signalen wie Protokolldateien, Windows-Ereignissen und Netzwerkverkehrserfassungen kann Microsoft Defender for Identity Bedrohungen und verdächtige Aktivitäten in Bezug auf lokale Identitäten, die über das Active Directory stattfinden, identifizieren, erkennen und untersuchen. Hierbei spielen unterschiedliche Automatismen mit in die Überwachung rein.

Defender-for-Identity-Connection

Microsoft Defender for Identity hilft bei der Erkennung verschiedener Angriffe - hierzu zählen: 

  • Pass The Hash
  • Print Nightmare und Petit Potam-Schwachstellen
  • Golden Ticket-Angriffe
  • Aufklärungserkennungen, wie Enumeration und mehr

Der Microsoft Defender for Identity überwacht und analysiert Benutzer, Gruppenmitgliedschaften, Entitätsverhalten und -aktivitäten.

Wenn verdächtige Benutzeraktivitäten erkannt werden, identifiziert und untersucht Microsoft Defender for Identity die komplette Angriffskette, indem es erkannte Informationen und Vorgehensweisen auf einer einfachen projiziert, die wiederum für eine schnelle Ereignis-Triage und -Analyse seitens der IT-Administration verwendet werden kann.


Defender for Identity Architektur

Der Microsoft Defender for Identity unterstützt bei seiner Überwachung die folgenden Dienste:

  • Domänencontroller: Hier findet das Herzstück der Magie statt. Informationen von Domänencontrollern werden genutzt, um eine Vielzahl potenziell schädlicher Aktivitäten zu erkennen.
  • Active Directory Federation Server: Durch die Fähigkeit, Federation Server zu überwachen, erweitert die Plattform bestehende Erkennungen, die zuvor ausschließlich auf Informationen von Domänencontrollern basierten. Beispiele dafür sind vermutete Brute-Force-Angriffe und Konten-Enumeration. 

Die Architektur von Microsoft Defender for Identity ist nicht sehr komplex:

Es gibt den Microsoft Defender for Identity Cloud-Service und die On-Premises-Sensoren. Diese werden verwendet, um Informationen wie Ereignisprotokolle und Netzwerkverkehr von Domänencontrollern und den ADFS-Farmen zu sammeln. Anschließend wird die Information an den Cloud-Service gesendet, um sie dort weiter zu verarbeiten und zu analysieren. Mitunter können auch hier bereits erste Alarme gesetzt werden, die wiederum zu automatisierten Aktionen führen.

Defender-for-Identity-Architektur

Der Microsoft Defender for Identity-Sensor ein zu installierender Agent, der die Aktivitäten von Domänencontrollern und Federations-Servern überwacht

Der Agent sammelt dabei folgende Ereignisse und Informationen zur Auswertung: 

  • Erfassung des Netzwerkverkehrs
  • Sammeln von Windows-Events
  • RADIUS-Signale erfassen
  • Tracking der Netzwerk-Entitäten, wie IP-Adressen
  • Identity-Management bei Benutzern und Gruppen

Alle diese Informationen werden dann an den Microsoft Defender for Identity-Cloud-Service zur weiteren Verarbeitung zu senden.

Der Cloud-Service läuft auf Basis der Azure-Infrastruktur und ist mit dem Intelligent Security Graph (ISG) von Microsoft verbunden. Er interpretiert die Informationen, die von den verschiedenen Sensoren in der Umgebung gesendet werden.

Microsoft-Graph-Security-API

Wie andere Cloud-Sicherheitsprodukte von Microsoft verwendet der Defender for Identity-Cloud-Service eine Vielzahl von Techniken und Technologien (einschließlich Machine Learning), um Anomalien in den empfangenen Informationen zu erkennen.

Anomalien werden auf der Grundlage einer Reihe von - teilweise bekannten - Bedrohungen und Angriffstechniken erkannt, die für das Active Directory üblich sind. Hierzu gehören u.a. laterale Bewegung, Erkundungsaktivitäten oder Exfiltrationsversuche.


Konfiguration Microsoft Defender for Identity

Um die Konfiguration des Defender for Identity durchzuführen sind grob folgende Schritte erforderlich: 

  • Vorbereitung des Tenants für die Defender for Identity Instanz
  • Konfigurieren geeigneter Konten, die von den Sensoren verwendet werden können, um eine Verbindung zum lokalen Active Directory herzustellen. Dazu gehört auch die Erstellung eines "Manage Action Accounts", der bestimmte Aktivitäten im lokalen Active Directory ausführen kann, wie z. B. das Zurücksetzen des Passworts eines Benutzers oder die Deaktivierung des Benutzerkontos.
  • Einrichtung der Überwachung, Protokollierung und Berechtigungen für die Sensoren und Konten.
  • Download des entsprechenden Sensortyps in die lokale Organisation 
  • Konfiguration zusätzlicher Optionen wie sensible Konten, Honeytoken-Konten, Ausschlüsse usw.

Defender for Identity Lizenzierung

Der Microsoft Defender for Identity ist durch folgende Lizenzen aus der Microsoft Cloud abbildbar:

  • Enterprise Mobility + Security E5/A5
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 Security
  • Microsoft F5 Security & Compliance
  • Microsoft Defender for Identity for Users provide the rights to benefit from Microsoft Defender for Identity

Defender for Identity Sensor-Installation

Bei der Sensor-Installation unterscheiden wir aktuell zwischen zwei verschiedenen Sensor-Typen:

  • Ein regulärer Sensor, der die Standard-Erfahrung darstellt, wenn man den Agenten (der auch einen Sensor darstellt) direkt auf einem Domain Controller oder AD FS-Server installieren.
  • Ein eigenständiger Sensor, bei dem der Agent für den Sensor auf einem dedizierten/separaten Server in der Umgebung installiert wird, der eine Kopie des Netzwerkverkehrs der Domain Controller oder AD FS-Server über Port Mirroring erhält. 

Die einfachste  Möglichkeit, den Sensor bereitzustellen, besteht darin, ihn direkt auf den zu überwachenden Servern zu installieren. Hierfür müssen diese Server in der Lage sein, Informationen an die Cloud-Plattform vom Defender for Identity zu senden.

Da es sich um Domain Controller handelt, ist es wahrscheinlich, dass der Internetzugang nicht standardmäßig erfolgt. Dies ist per se kein Problem: Es müssen nur Zugriffe auf bestimmte Endpunkte zugelassen werden, die zu Microsoft gehören und daher vertrauenswürdig sind.

Bis vor kurzem lautete Microsofts Empfehlung, Domain Controllern keinen Internetzugang zu gewähren. Angesichts der Verwendung von Defender for Identity - das auch Microsofts eigenes Incident Response Team (DART) verwendet - wurde die Empfehlung jedoch aktualisiert, um den Zugriff auf Microsofts Cloud-Plattformen zu ermöglichen. Dadurch ist die Bereitstellung von Microsoft Defender for Identity für Unternehmen, die Microsofts Empfehlungen strikt befolgen, deutlich einfacher geworden.


Defender for Identity Tenant-Vorbereitung

Einige wichtige Schritte zur Konfiguration sind u.a. die Vorbereitung des Tenants.

Wir müssen hier tatsächlich selbst nicht sonderlich viel machen. Sobald die Lizenz eingekauft ist und wir das Portal für den Defender for Identity besuchen erhalten wir einen Ladebildschirm, der uns anzeigt, dass eine neue Instanz bereitgestellt wird - an dieser Stelle ist abwarten angesagt.

Defender-for-Identity-Tenant-Vorbereitung

Defender for Identity lokale Vorbereitung

Die lokale Bereitstellung des Microsoft Defender for Identity ist etwas umfangreicher.

Primär geht es hierbei darum, lokale Konten mit den erforderlichen Berechtigungen zu konfigurieren, damit diese auf lokale Informationen zugreifen können und diese wiederum dann an den Defender zur Verarbeitung weitergegeben werden können.

Schauen wir uns dies einmal im nächsten Abschnitt gemeinsam an.


Defender for Identity Service-Account

Als Service-Accounts für unseren Defender dienen die Directory Services Accounts.

Defender-for-Identity-Service-Accounts

Der Service-Account werden verwendet, um sich mit dem lokalen Verzeichnis zu verbinden. Der Account wird verwendet, um Informationen aus Active Directory zu lesen und - wenn konfiguriert - bestimmte Aufgaben wie das Zurücksetzen von Passwörtern auszuführen:

Es gibt zwei Arten von Directory Service Accounts, die mit Microsoft Defender for Identity verwendet werden können:

  • Ein reguläres Benutzerkonto, das mit den notwendigen Berechtigungen konfiguriert ist, um sich mit demActive Directory zu verbinden und die erforderlichen Informationen zu lesen.
  • Ein Group Managed Service Account (gMSA), der die gleichen Aktivitäten wie ein reguläres Benutzerkonto ausführt, jedoch hat dieser nicht die Notwendigkeit, ein Passwort manuell zu konfigurieren und zu verwalten.
Defender-for-Identity-Automatismen

Microsoft Defender for Identity ermöglicht es einem Administrator, spezifische Aktionen im lokalen Verzeichnis auszuführen, wie beispielsweise das Deaktivieren eines Benutzerkontos oder das Zurücksetzen des Passworts.

Standardmäßig wird der Microsoft Defender for Identity das "Local System"-Konto auf den Domänencontrollern imitieren, um Aktionen auf Objekten im Verzeichnis auszuführen.

Das Service-Konto, das für den Defender for Identity verwendet wird, sollte die Möglichkeit haben, sich lokal auf den Domänencontrollern und Servern anzumelden, auf denen ein Sensor installiert wird. Dies liegt daran, dass der Sensor als lokaler Service ausgeführt wird und das Service-Konto imitiert.


Konfigurieren der Windows-Ereignissammlung

Der Sensor basiert unter anderem auf bestimmten Windows-Ereignisprotokoll-Einträgen, um Bedrohungen zu erkennen und zusätzliche Informationen zu erkannten Ereignissen in der Microsoft Cloud bereitzustellen, wie z. B. Kontoinformationen, Änderungen an Sicherheitsgruppen usw.

Hierfür sollten die Domänencontroller mit bestimmten erweiterten Überwachungsrichtlinieneinstellungen konfiguriert werden. Wenn diese Richtlinien nicht korrekt konfiguriert sind, würde Defender for Identity diese Ereignisse nicht erfassen und somit in seiner Funktionsweise auch eingeschränkt sein.

windows-ereignisanzeige-komplettansicht

Konfiguration der Objektüberwachung

Konfiguration-Ereignisanzeige

Zusätzlich zu den zuvor beschriebenen Konfigurationsempfehlungen sollte auch die Objektüberwachung im Verzeichnis konfiguriert werden. Dies stellt sicher, dass auch die Windows-Ereignis-ID 4662 generiert wird.

Ein weiterer Aspekt hierbei ist auch die Objektüberwachung für AD FS und Microsoft Exchange, welche Ebenfalls aktiviert und mit in die Auswertung des Defender for Identity genommen werden sollte.


Microsoft Defender for Identity Sensor Updates

Als Cloud-Service erhält Microsoft Defender for Identity regelmäßige Updates, welche manchmal auch Aktualisierungen für die Sensoren beinhalten, die auf lokalen Servern installiert sind.

Microsoft unterscheidet dabei grob zwischen zwei Arten von Updates für Sensoren:

  • Kleine Updates: Diese können relativ häufig vorkommen, haben jedoch nur begrenzten oder keinerlei Einfluss auf den Domain Controller. Diese Updates werden automatisch installiert und erfordern nur einen Neustart des Defender for Identity Sensors.
  • Große Updates: Kommen deutlich seltener vor und erfordern möglicherweise einen Neustart des Servers selbst. Dies kann potenziell größere Auswirkungen haben und erfordert möglicherweise ein Ausfallfenster, um den Server-Neustart zu planen.
Defender-for-Identity-Sensor-Update

Updates für Sensoren werden automatisch jedes Mal installiert, wenn der Defender for Identity-Service aktualisiert wird. Standardmäßig werden Server jedoch nicht ohne Zustimmung eines Administrators neu gestartet.

Wir können jedoch automatische Server-Neustarts aktivieren, indem wir zur Microsoft Defender for Identity-Einstellungsseite navigieren, auf "Föderationsserver" klicken und bei der Installation eines Sensors auf einem Föderationsserver nach der Sensor-Einrichtung zusätzliche Konfigurationen vornehmen. 

Unter dem Menüpunkt "System" können wir unter "Updates" die Einstellungen für Domain Controller- und ADFS-Server-Neustarts während und nach Updates finden und entsprechend anpassen. Auf derselben Seite finden wir auch eine Übersicht über die derzeit aktiven Sensoren.

Es gibt für jeden Sensor zwei Optionen zur Konfiguration:

  • Automatischer Neustart, der steuert, ob der Sensor nach einem Update automatisch neu gestartet werden kann.
  • Verzögertes Update, welches ein Update des Sensors um 72 Stunden verzögert, nachdem ein Service-Update durchgeführt wurde.
Defender-for-Identity-Update

Optimierung Microsoft Defender for Identity

Damit wir den größten Nutzen vom Defender for Identity für die Sicherheit des Unternehmens erhalten ist es als nächstes erforderlich einige Anpassung und Konfiguration im Defender-Portal durchzuführen.

Schauen wir uns einmal gemeinsam an, welche Empfehlungen es meinerseits hierfür gibt:


Konfiguration Sensitiver- und Honey-Token-Accounts

Es ist sehr wichtig, sensible Active Directory-Accounts, -Gruppen, -Server und -Computer in Microsoft Defender for Identity zu identifizieren.

Einige der Erkennungen, wie z.B.  Gruppenmodifikationen oder laterale Bewegungen, hängen vom Sensitivitätsstatus der Entität ab. Folgende Accounts werden dabei automatisch als sensibel gekennzeichnet und vom System erkannt:

Defender-for-Identity-Sensitive-Accounts

Neben den oben genannten Rollen werden auch Systeme automatisch als sensibel gekennzeichnet.

  • Zertifizierungsstellen-Server
  • DHCP-Server
  • DNS-Server
  • Microsoft Exchange Server

Das manuelle Markieren von Entitäten als sensibel kann über das Microsoft 365 Security Center erfolgen.

Dazu klicken wir im Portal auf "Einstellungen" > "Identitäten". Dann unter "Entitätstags" auf "Sensibel". Danach wählen wir anschließend entweder Benutzer, Geräte oder Gruppen aus, um zu entscheiden, welcher Objekttyp als sensibel gekennzeichnet werden soll. 


Auswertung von Alerts und Benachrichtigungen

Das Überwachen von Warnmeldungen ist eine essentielle Aufgabe beim Schutz von Identitäten und der eigenen IT-Infrastruktur.

Die Schweregrad der verdächtigen Aktivität wird durch den Defender for Identity in drei Stufen dargestellt. Die Warnungen werden basierend auf folgenden Informationen kategorisiert:

  • Niedrig: Aktivitäten, die einen niedrigen Schweregrad aufweisen, sind oft Aktivitäten, die Teil von Angriffen sind, die darauf ausgelegt sind, dass bösartige Benutzer oder Software Zugang zu organisatorischen Daten erlangen.
  • Mittel: Aktivitäten, die einen mittleren Schweregrad aufweisen, sind oft Aktivitäten, die Teil von Angriffen sind, die darauf ausgelegt sind, Zugang zu bestimmten Identitäten zu erlangen, die zu Identitätsdiebstahl oder privilegierten Eskalationen führen könnten.
  • Hoch: Aktivitäten, die einen hohen Schweregrad aufweisen, sind oft Aktivitäten, die Teil von Angriffen sind, die darauf ausgelegt sind, Zugang zu Identitätsdiebstahl, privilegierten Eskalationen oder anderen hochwirksamen Angriffen zu erlangen.
Defender-for-Identity-Alert

Wenn ein Vorfall oder eine Warnung ausgelöst wird, kann der Administrator das Ereignis öffnen und im Dashboard untersuchen. Jede Vorfall- oder Warnungsseite enthält zusätzliche Informationen über die Aktivitäten, die den Vorfall ausgelöst haben:

Defender-for-Identity-Dashboard

Dort erhalten wir folgende Information und Übersichten:

  • Eine allgemeine Darstellung der Aktivität oder Aktivitäten.
  • Aufbau einer Beziehung zwischen den verschiedenen Entitäten (Geräte, Benutzer, IP-Adressen usw.) zu verstehen.
  • Eine Übersicht über die einzelnzen Schritte und Bestandteile, die zur Warnung beigetragen haben.

Security Alert guides

Die Alarme in Microsoft Defender for Identity erklären verdächtige Aktivitäten, die von den Sensoren im lokalen Netzwerk erkannt werden.

Die Sensoren identifizieren die Identitäten und Endpoints, die an jeder Bedrohung beteiligt sind. Um die Untersuchungen jeder Bedrohung zu erleichtern, ist der Nachweis der Bedrohung in der Alarmmeldung enthalten.  Wie bei jeder typischen Cyber-Angriff-Kill-Kette besteht jeder Angriff aus verschiedenen Kategorien oder Phasen.

Microsoft Defender for Identity ordnet die Alarme einer Phase oder Kategorie zu, so dass alle Phasen der Cyber-Angriff-Kill-Kette abgedeckt sind. Microsoft führt eine Liste der Ereignisse, die es verfolgt, sowie deren Schweregrad und Angriff-Typ unter folgenden Link auf.


Security Posture Management

Die Bewertung der allgemeinen Cybersicherheitsstärke und Widerstandsfähigkeit im Zusammenhang mit den Sicherheitsbedrohungen des eigenen Unternehmens - auch als Sicherheitsposture - , ist eine sehr wichtige Aufgabe, die kontinuierlich durchgeführt werden sollte.

Die lokale Identity Security Posture wird automatisch von Microsoft bewertet und kann über den Microsoft Secure Score eingesehen werden. Der Secure Score enthält u.a. Empfehlungen für die Konfiguration und Optimierung.

Microsoft-Secure-Score

Microsoft 365 Security Stack Integration

Obwohl Microsoft Defender for Identity an sich ein eigenständiges Produkt ist, sind es vor allem die vielen Integrationsmöglichkeiten im Rahmen des Microsoft 365 Security Stacks, die es zu einem starken Werkzeug in der Welt der Cyber-Sicherheit machen.

Informationen, die von der Plattform aufgedeckt werden, können mit anderen Sicherheitslösungen wie Microsoft Defender for Cloud Apps, Microsoft Intune oder Microsoft Defender for Endpoint geteilt werden. Dies ermöglicht einen ganzheitlichen Überblick über die aktuelle Bedrohungslandschaft im eigenen Unternehmen

Defender-for-Identity-Integration

Defender for Identity: Fazit und Blog

Ich hoffe Dir in dem Beitrag gezeigt zu haben, welche Möglichkeiten und Konfigurationsschritte uns mit dem Microsoft Defender for Identity erwarten.

Schau Dir doch auch die anderen Tutorials und Tipps an, die ich bereits auf meinem Blog geteilt habe. Ich bin stehts bemüht, die aktuellsten Themen und Fragestellungen meiner Kunden zu beantworten, um Dich bei der Arbeit mit der Microsoft Cloud Security und anderen Microsoft 365 Produkten zu unterstützen!

Aaron Siller

Über den Autor

Aaron Siller hat seit 2014 umfangreiche Erfahrung in der Migration zu Microsoft Office 365, Exchange Online, Intune und Azure aufgebaut. Gerne stellt er Ihrem Unternehmen sein Können und das seines qualifizierten Teams zur Verfügung. Seit der Einführung dieses leistungsfähigen Tools gehören Microsoft Teams Schulungen als wichtiger Bestandteil aller Digitalisierungsmaßnahmen mit zum Programm.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>