Angriffe auf Azure AD erkennen: Spuren in Logs finden und sichern

Bei einem erfolgreichen Ransomware-Angriff wird häufig der Anteil vergessen, den das Active Directory daran hat. Zur Auswertung bedarf es spezieller Kenntnisse.

Lesezeit: 18 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 4 Beiträge
Von
  • Fabian Murer
Inhaltsverzeichnis

Die meisten der aktuellen großen Cyberangriffe, beispielsweise durch einen Verschlüsselungstrojaner (engl. Ransomware), erfolgen durch eine Kompromittierung des Active Directory (AD). Was dabei jedoch häufig nicht bedacht wird, etwa bei präventiven Sicherheitsmaßnahmen oder auch der Analyse solcher Angriffe, ist die Tatsache, dass immer mehr Unternehmen ihr Active Directory zusätzlich zu der On-Premises-Instanz auch in die Cloud mit dem Azure Active Directory (AAD) synchronisieren – oder vielleicht sogar ausschließlich das AAD verwenden.

Untersuchungen solcher Vorfälle zeigen, dass die Synchronisation häufig in Vergessenheit gerät. Ein Angreifer, der administrative Berechtigungen in der höchsten Ebene des AD erlangen konnte, kann sich jedoch ebenfalls im AAD einnisten, wenn AD und AAD miteinander verknüpft sind. Eine fehlende Analyse des AAD kann zur Folge haben, dass eine Hintertür über die Cloud unentdeckt und trotz beendeter Vorfallsbehandlung (Incident Handling, auch Incident Response) bestehen bleibt.

Schwerpunkt Netzwerksicherheit im Active Directory

In diesem Artikel werden einige grundlegende Methoden vorgestellt, die es einem erlauben, bei einem Cybervorfall auch das Azure Active Directory auf etwaige verdächtige Aktivitäten zu überprüfen. Dabei wird sowohl das AAD als auch das stark damit verknüpfte und beliebte Microsoft 365 berücksichtigt.