Angriffe auf Azure AD erkennen: Spuren in Logs finden und sichern

Bei einem erfolgreichen Ransomware-Angriff wird häufig der Anteil vergessen, den das Active Directory daran hat. Zur Auswertung bedarf es spezieller Kenntnisse.

Artikel verschenken

4

19.05.2022, 06:05 Uhr

Lesezeit: 18 Min.

iX Magazin

Von

Fabian Murer

Angriffe auf Azure AD erkennen: Spuren in Logs finden und sichern
- Berechtigungen
Phishingangriff identifizieren
Manipulationen am Azure Tenant identifizieren
Mit Microsoft-365-Protokolle Angriffe entdecken
Unified Audit Logs analysieren
Fazit

Artikel in iX 6/2022 lesen

Die meisten der aktuellen großen Cyberangriffe, beispielsweise durch einen Verschlüsselungstrojaner (engl. Ransomware), erfolgen durch eine Kompromittierung des Active Directory (AD). Was dabei jedoch häufig nicht bedacht wird, etwa bei präventiven Sicherheitsmaßnahmen oder auch der Analyse solcher Angriffe, ist die Tatsache, dass immer mehr Unternehmen ihr Active Directory zusätzlich zu der On-Premises-Instanz auch in die Cloud mit dem Azure Active Directory (AAD) synchronisieren – oder vielleicht sogar ausschließlich das AAD verwenden.

Untersuchungen solcher Vorfälle zeigen, dass die Synchronisation häufig in Vergessenheit gerät. Ein Angreifer, der administrative Berechtigungen in der höchsten Ebene des AD erlangen konnte, kann sich jedoch ebenfalls im AAD einnisten, wenn AD und AAD miteinander verknüpft sind. Eine fehlende Analyse des AAD kann zur Folge haben, dass eine Hintertür über die Cloud unentdeckt und trotz beendeter Vorfallsbehandlung (Incident Handling, auch Incident Response) bestehen bleibt.

In diesem Artikel werden einige grundlegende Methoden vorgestellt, die es einem erlauben, bei einem Cybervorfall auch das Azure Active Directory auf etwaige verdächtige Aktivitäten zu überprüfen. Dabei wird sowohl das AAD als auch das stark damit verknüpfte und beliebte Microsoft 365 berücksichtigt.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Dauertest Audi e-tron: Was toll ist, was besser ginge und was unfassbar nervt

Der Audi e-tron fährt im Alltag so überzeugend, dass ein Verbrenner als Nachfolger nicht mehr denkbar ist. Aber es bleibt noch einiges zu tun.

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Mit der Software Caddy lassen sich mit verschiedenen Domains unterschiedliche Server im gleichen Netzwerk aufrufen. Wir zeigen, wie es geht.

Security: Passkeys mit Open-Source-Tools nutzen

Sie können das sichere und komfortable Login-Verfahren auch mit Open-Source-Tools verwenden, ohne sich von Google oder Apple abhängig zu machen. So geht's!

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

Funktionsweise von Passkeys im Detail erklärt

Passkeys sind in allen Belangen sicherer als Passwörter. Warum das so ist, schlüsseln wir in diesem Deep Dive in die Funktionsweise von Passkeys auf.

UpdateTesla Model 3 Highland im Test: Das bringt das Facelift

Tesla überarbeitet das Model 3 und beseitigt einige Schwächen. Doch bei Ladeleistung und Assistenz müsste Tesla nachlegen.

Tesla Model Y im Test

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Dauertest Audi e-tron: Was toll ist, was besser ginge und was unfassbar nervt

Der Audi e-tron fährt im Alltag so überzeugend, dass ein Verbrenner als Nachfolger nicht mehr denkbar ist. Aber es bleibt noch einiges zu tun.

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Mit der Software Caddy lassen sich mit verschiedenen Domains unterschiedliche Server im gleichen Netzwerk aufrufen. Wir zeigen, wie es geht.

Security: Passkeys mit Open-Source-Tools nutzen

Sie können das sichere und komfortable Login-Verfahren auch mit Open-Source-Tools verwenden, ohne sich von Google oder Apple abhängig zu machen. So geht's!

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

Funktionsweise von Passkeys im Detail erklärt

Passkeys sind in allen Belangen sicherer als Passwörter. Warum das so ist, schlüsseln wir in diesem Deep Dive in die Funktionsweise von Passkeys auf.

UpdateTesla Model 3 Highland im Test: Das bringt das Facelift

Tesla überarbeitet das Model 3 und beseitigt einige Schwächen. Doch bei Ladeleistung und Assistenz müsste Tesla nachlegen.

Tesla Model Y im Test

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Angriffe auf Azure AD erkennen: Spuren in Logs finden und sichern

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Dauertest Audi e-tron: Was toll ist, was besser ginge und was unfassbar nervt

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Security: Passkeys mit Open-Source-Tools nutzen

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Funktionsweise von Passkeys im Detail erklärt

UpdateTesla Model 3 Highland im Test: Das bringt das Facelift

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Dauertest Audi e-tron: Was toll ist, was besser ginge und was unfassbar nervt

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Security: Passkeys mit Open-Source-Tools nutzen

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Funktionsweise von Passkeys im Detail erklärt

UpdateTesla Model 3 Highland im Test: Das bringt das Facelift

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.