Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=identity-detection-faq

Häufig gestellte Fragen zu ITDR

Hier finden Sie Antworten auf häufig gestellte Fragen zu Sophos ITDR.

Welche Identitätsanbieter werden unterstützt?

Microsoft Entra ID wird unterstützt.

Kann ich mehr als einen Microsoft Entra ID-Mandanten hinzufügen?

Ja, Sie können mehrere Entra ID-Mandanten über die Seite Identitätseinstellungen hinzufügen. Für weitere Informationen siehe Identitätseinstellungen.

Welche Microsoft Entra-ID-Lizenz benötige ich?

ITDR erfordert Entra ID P1 oder P2, die in eigenständigen Produkten, Add-ons oder zusammen mit anderen Microsoft-Lizenzen wie Microsoft 365 E3 und E5, Microsoft Business Premium sowie Microsoft 365 Frontline Worker F1, F3 und F5 verfügbar sind. Microsoft Entra ID Free ermöglicht den Zugriff auf die Microsoft APIs, umfasst aber Beschränkungen zu den Daten, die erfasst werden können, sowie zu einigen Posture-Prüfungen.

Wie lange dauert es, bis ITDR nach dem Upgrade von Entra ID Free auf eine P1- oder P2-Lizenz aktualisiert wird?

ITDR basiert auf den Microsoft-APIs zur Erfassung von Kontoinformationen. Microsoft beschränkt auch den Zugriff auf bestimmte APIs auf Basis von Lizenzen. Daher kann es sein, dass Informationen, z. B. ob ein Benutzer ein Administrator ist oder ob für den Benutzer die MFA registriert ist, nicht sofort nach einem Lizenz-Upgrade angezeigt werden. Nach dem Aktualisieren einer Lizenz kann es zu Verzögerungen von bis zu einer Woche kommen, bevor Microsoft die aktualisierten Benutzerinformationen bereitstellt. Sie können die Informationen überprüfen, indem Sie den Aktivitätsbericht im Microsoft Entra Admin Center anzeigen. Weitere Informationen finden Sie unter Authentication Methods Activity. Wenn die Informationen im Benutzerbericht nicht aktualisiert werden, sind auch die Informationen in ITDR veraltet, bis Microsoft sie aktualisiert.

Warum werden meine Benutzer als nicht durch MFA geschützt angezeigt?

Folgende Ursachen sind möglich:

  • Sie verfügen nicht über die erforderliche Microsoft Entra-ID-Lizenz, z. B. P1 oder P2.
  • Sie haben kürzlich Ihre Lizenz aktualisiert und Microsoft hat die Daten noch nicht zur Verfügung gestellt. Für Details siehe „Wie lange dauert es, bis ITDR nach dem Upgrade von Entra ID Free auf eine P1- oder P2-Lizenz aktualisiert wird?“

  • Sie verwenden einen Drittanbieter-MFA-Anbieter wie Okta oder Duo mit einer Legacy-Konfiguration. In diesem Szenario wird der MFA-Status nicht korrekt zurückgemeldet, da Microsoft Entra ID die MFA-Informationen auf Benutzerebene für externe MFA-Anbieter nicht speichert. Wenn Sie die neuen externen Authentifizierungsmethoden von Microsoft in Ihrer Entra-ID-Mandantenkonfiguration einsetzen, können wir jedoch daraus schließen, dass ein externer Anbieter verwendet wird.

    Weitere Informationen finden Sie im Microsoft Entra-Blog. Zusätzliche Einrichtungsdetails sind für Duo und Okta verfügbar. Weitere Informationen finden Sie in der Duo-Dokumentation und in der Okta-Dokumentation.

Wie oft werden Posture-Prüfungen durchgeführt?

ITDR umfasst eine Reihe von Bewertungen, von denen jede für die Ausführung unterschiedlicher Prüfungen verantwortlich ist, die in folgenden Intervallen durchgeführt werden:

  • Entra ID Posture-Prüfungen: Alle 2 Stunden.
  • Prüfung inaktiver Ressourcen: Alle 2 Stunden.
Wie oft werden Daten von Entra ID gesammelt?

Nach dem ersten Setup erfassen wir den vollständigen Katalog der Daten von Microsoft Entra ID. Nachfolgend überprüfen wir Updates basierend auf dem Datentyp in den folgenden Intervallen:

  • Benutzerdetails: Alle 10 Minuten.
  • Dienstprinzipale und App-Details: Alle 10 Minuten.
  • Gruppen: Alle 10 Minuten.
  • Geräte: Alle 10 Minuten.
  • MFA-Konfiguration des Benutzers: Alle 15 Minuten.
  • Benutzeraktivität (Letzte Anmeldung): Alle 6 Stunden.
  • Domänendaten: Alle 24 Stunden.
Wie oft wird die Bewertung für die Risiko-Posture der Identität aktualisiert?

Die Bewertung für die *Risiko-Posture der Identität* wird täglich auf Basis von Änderungen im Vergleich zum Vortag aktualisiert. Die Bewertung wird entweder erhöht oder verringert, abhängig davon, ob neue Befunde beobachtet wurden oder bestehende Befunde behoben oder ignoriert wurden.

Wie kann ich die Liste der durchgeführten Prüfungen einsehen?

Sie können die Liste der Prüfungen im Tab Einstellungen für die Posture-Prüfung auf der Seite Identitätseinstellungen anzeigen. Für weitere Informationen siehe Identitätseinstellungen.

Kann ich Prüfungen anpassen, die in meiner Umgebung ausgeführt werden?

Ja, Sie können die Posture-Prüfungen im Tab Einstellungen für die Posture-Prüfung auf der Seite Identitätseinstellungen aktivieren und deaktivieren. Für weitere Informationen siehe Identitätseinstellungen.

Ist ITDR ein Dienst?

Nein, ITDR ist eine Software, die Sie überwachen. Wenn Sie allerdings den MDR-Service nutzen, untersucht das MDR-Operations-Team neben den bereits analysierten Bedrohungen auch identitätsbasierte Bedrohungen.

Wenn ich den MDR-Service nutze, stuft das MDR-Operations-Team dann meine Befunde ein?

Das MDR-Operations-Team konzentriert sich hauptsächlich auf aktive Identitätsbedrohungen und untersucht eine Teilmenge kritischer Befunde oder Befunde mit hoher Priorität, die auf eine aktive Bedrohung hinweisen könnten. Allerdings obliegt es Ihnen, Befunde zu überwachen und zu verwalten.

Wenn ich den MDR-Service nutze, wie unterstützt ITDR das MDR-Operations-Team?

Das MDR-Operations-Team verwendet den zusätzlichen Identitätskontext, der von Microsoft Entra ID erfasst wird, um die Benutzer und die damit verbundenen Risiken besser nachvollziehen zu können. Dies hilft, die Analyse- und Reaktionsprozesse sowohl bei Identitäts- als auch bei Nicht-Identitäts-Erkennungen zu beschleunigen, bei denen der Benutzer korreliert wurde.

Wodurch wird bestimmt, ob eine Identität als Administrator markiert wird?

Das Admin-Flag in Entra ID wird für Benutzer mit Rollen, die in Entra ID als administrativ oder privilegiert anerkannt sind, auf „true“ gesetzt. Diese Rollen haben in der Regel umfassende Kontrolle über Verzeichnisressourcen, Benutzer oder Sicherheitseinstellungen. Im Folgenden finden Sie eine Liste der Entra-ID-Rollen, für die das Admin-Flag auf „true“ gesetzt ist:

  • Globaler Administrator: Voller Zugriff auf alle administrativen Funktionen in Entra ID.
  • Privilegierter Rollenadministrator: Verwaltet Rollenzuweisungen in Entra ID, einschließlich der Zuweisung anderer Administratoren.
  • Benutzeradministrator: Verwaltet Benutzerkonten, Gruppen und einige Benutzerattribute.
  • Sicherheitsadministrator: Hat vollen Zugriff auf alle Sicherheitsfunktionen und Einstellungen.
  • Compliance-Administrator: Verwaltet compliancebezogene Funktionen wie eDiscovery und Auditing.
  • Anwendungsadministrator: Verwaltet Anwendungsregistrierungen und Einstellungen in Entra ID.
  • Authentifizierungsadministrator: Kann Authentifizierungsmethoden und -kontrollen anzeigen, festlegen und zurücksetzen, einschließlich Kennwortzurücksetzungen.
  • Exchange-Administrator: Verwaltet Einstellungen für Microsoft Exchange Online.
  • SharePoint-Administrator: Verwaltet Einstellungen für SharePoint Online.
  • Teams-Administrator: Verwaltet Einstellungen für Microsoft Teams.
  • Intune-Administrator: Verwaltet Geräteverwaltungseinstellungen und -konfigurationen in Microsoft Intune.
  • Abrechnungs-Administrator: Verwaltet Subscriptions, Abrechnungen und Support-Tickets.
  • Helpdesk-Administrator: Beschränkt auf Kennwortrücksetzungen und grundlegende Fehlerbehebung.
  • Service-Support-Administrator: Verwaltet Einstellungen in Bezug auf den Service-Support.
  • Verzeichnisleser (wenn mit anderen privilegierten Rollen kombiniert): Kann Verzeichnisinformationen lesen; wird normalerweise mit einer anderen Rolle kombiniert, um Berechtigungen auszuweiten.
  • Globaler Leser (wenn mit anderer Admin-Rolle kombiniert): Schreibgeschützter Zugriff über Entra ID und Microsoft-Dienste; kann das Admin-Flag auf „true“ setzen, wenn die Rolle mit einer anderen Admin-Rolle kombiniert wird.
  • Berichtsleser (wenn mit anderer Admin-Rolle kombiniert): Zugriff auf Berichte und Protokolle, häufig in Kombination mit anderen administrativen Aufgaben.
  • Administrator für bedingten Zugriff: Verwaltet Richtlinien für bedingten Zugriff.
  • Identity Governance-Administrator: Verwaltet Einstellungen im Zusammenhang mit Identity Governance, Zugriffsprüfungen und Berechtigungsmanagement.
  • Benutzerdefinierte Rollen mit administrativen Berechtigungen: Eine benutzerdefinierte Rolle mit administrativen Berechtigungen, die mit einer der oben genannten Rollen vergleichbar sind, kann das Admin-Flag auch auf „true“ setzen.

Diese Liste umfasst die Standardrollen in Entra ID, die das Admin-Flag beeinflussen. Wenn Microsoft jedoch diese Rollen aktualisiert oder neue hinzufügt, könnte sich das Verhalten des Admin-Flag entsprechend ändern.

Wodurch wird bestimmt, ob eine Identität als inaktiv markiert wird?

Wenn die letzte Anmeldezeit mehr als 90 Tage zurückliegt, kennzeichnen wir einen Benutzer als inaktiv.

Wie oft überprüfen Sie auf Zugangsdatenlecks?

Wir überwachen kontinuierlich auf Zugangsdatenlecks. Sobald eine Übereinstimmung innerhalb des Datensatzes identifiziert wird, verarbeiten wir sie und bestimmen, ob sie gültig ist.

Auf welche Weise werden Befunde über kompromittierte Konten generiert?

Damit wir konkrete Befunde generieren können, führen wir die folgenden Verarbeitungsschritte durch, um die gesammelten und analysierten Daten zu korrelieren und zu validieren:

  1. Sicherstellen, dass eine aktive Identität innerhalb der konfigurierten Identitätsanbieter vorhanden ist.
  2. Bestimmen, anhand der verfügbaren historischen Daten, wann das Nur-Text-Kennwort oder der Hash erstmals geleakt wurde. Dies ist wichtig, da neu veröffentlichte Kombinationslisten oft alte Daten aus früheren Vorfällen enthalten.
  3. Wenn es sich um einen Nur-Text-Kennwort-Wert handelt, vergleichen wir diesen dann mit den globalen Kennwortkomplexitätsanforderungen von Microsoft Entra ID, um ungültige Werte auszusortieren.
  4. Schließlich vergleichen wir das erste geleakte Datum des Kennworts mit dem Zeitpunkt der letzten Kennwortänderung für die Identität. Wenn das Leck nach der letzten Kennwortänderung aufgetreten ist, generieren wir einen Befund.

Hinweis

Befunde zu kompromittierten Konten werden nur für aktive Identitäten generiert. Allerdings können Sie immer noch die Rohdaten auf der Seite Kompromittierung von Anmeldeinformationen einsehen.

Wie werden die Risikostufen für Befunde zu kompromittierten Konten bestimmt?

Wenn wir festgestellt haben, dass ein Befund generiert werden soll, überprüfen wir im zugehörigen Konto, ob die Multi-Faktor-Authentifizierung aktiviert ist und mit welcher Stärke. Im Folgenden sind die zugehörigen Risikostufen basierend auf dem Typ des Benutzers, dem Typ des Lecks und der MFA-Konfiguration aufgeführt:

Kontotyp Kennworttyp Keine MFA MFA aktiviert Phishing-resistente MFA aktiviert
Admin-Konto Nur-Text Kritisch Hoch Mittel
Admin-Konto Hash Hoch Mittel Niedrig
Nicht-Admin-Konto Nur-Text Hoch Mittel Niedrig
Nicht-Admin-Konto Hash Mittel Niedrig Niedrig
Sammeln und speichern Sie Hashes oder Kennwörter?

Nein, wir speichern keine der Nur-Text-Kennwörter oder Hash-Werte. Wir haben auch nicht die Möglichkeit, diese von Identitätsanbietern zu erfassen. Beim Scannen und Erfassen von Daten wenden wir einen benutzerdefinierten Hash auf die beobachteten Werte an und kategorisieren den Datensatz dann entweder als Nur-Text- oder als gehashtes Kennwort. Dadurch können wir die Eindeutigkeit der Kennwörter bestimmen und Metriken berechnen, ohne die zugrunde liegenden Kennwortwerte speichern zu müssen.

Welche Daten werden bei der Überwachung von Zugangsdatenlecks verwendet?

Wir verwenden Daten aus verschiedenen Dark Web-Märkten wie dem Russian Marketplace und dem Genesis Market, TOR-Sites, öffentlichen und versteckten Telegram-Kanälen sowie Stealer-Logdateien.