In der Welt der Cybersicherheit haben Informationen ein sehr kurzes Verfallsdatum. Wenn ein Security Operations Center (SOC)-Team auf eine verdächtige Verbindung aufmerksam gemacht wird, kann der Rückgriff auf veraltete Daten zu dramatischen Schlussfolgerungen führen. Dies ist das grundlegende Problem herkömmlicher SIEM-Architekturen: Sie fragen Daten ab, die vor 5, 10 oder 15 Minuten indiziert wurden.
Angesichts blitzschneller Angriffe auf Identitäten (wie Token-Diebstahl oder AiTM-Phishing) können es sich die Ermittlungen nicht leisten, zu warten. Hier liegt der Ansatz vonJIT-Analyse (Just-In-Time).. Erfahren Sie, wie die Echtzeitabfrage von Microsoft-APIs das riskante Identitätsmanagement verändert.
Das Problem veralteter Daten
Stellen wir uns das folgende Szenario vor: Microsoft Entra ID erkennt eine Anomalie und sendet das Ereignis an einen herkömmlichen Protokollsammler. Das SIEM erfasst das Protokoll, wendet seine Korrelationsregeln an und löst eine Warnung im Analysten-Dashboard aus. Dieser Prozess führt zu einer unvermeidbaren Latenz.
Wenn der Analyst seine Untersuchung beginnt, stützt er sich auf das „Foto“ des Vorfalls, wie er zum Zeitpunkt der Alarmierung war. Was aber passiert, wenn der Angreifer zwischenzeitlich seine IP-Adresse geändert hat? Was ist, wenn das Risikoniveau des Benutzers in die Höhe geschossen ist, weil gerade jetzt eine neue Verbindung von einem Tor-Knoten (anonymisiertes Netzwerk) erfolgt ist?
Durch die Untersuchung veralteter Daten besteht für SOC N1 das Risiko, den Vorfall als falsch positiv einzustufen, was einem Cyberkriminellen Tür und Tor öffnet.
Das Konzept der Just-In-Time-Analyse (JIT).
Der JIT-Ansatz (Just-In-Time) kehrt dieses Paradigma um. Anstatt Gigabyte an Kontextprotokollen zu speichern und zu indizieren, fragt der Sicherheits-Orchestrator die absolute Quelle der Wahrheit (die Microsoft-Cloud) ab.genau dann, wenn der Analyst es braucht.
Dies ist der native Betrieb der Identitätsverwaltungskomponente innerhalb von Akuity SOC.
Wie lässt sich das auf die Schnittstelle übertragen?
Auf der Seite, auf der verdächtige Microsoft Entra ID-Konten aufgelistet sind („Risikoidentitäten“), befindet sich für den Analysten eine Schaltfläche, die durch ein Symbol in Form eines Auges dargestellt wird. Diese Schaltfläche öffnet nicht nur ein Fenster mit vorinstallierten Daten.
Durch Klicken auf dieses Symbol wird eine direkte API-Anfrage (Live Fetch) an Microsoft Graph ausgelöst (/identityProtection/riskyUsers/{id}/history). Die Seitenwand (UserRiskDetections.tsx), das geöffnet wird und dann den Status der Bedrohung anzeigtauf die Sekunde genau.
Die betrieblichen Vorteile von JIT
- Absolute Zuverlässigkeit:Der Analyst sieht die jüngsten schwachen Signale. Wenn der Hacker während der Untersuchung versucht, eine Verbindung herzustellen, wird das Ereignis sofort angezeigt.
- Leistung und Leichtigkeit:Die Akuity-Datenbank (PostgreSQL) wird nicht durch Millionen von Kontextprotokollen belastet, die niemals konsultiert werden. Nur untersuchte Benutzerdaten werden zwischengespeichert.
- Überprüfbarkeit (SOC 2):Schon das bloße Anzeigen eines Risikoprofils generiert ein zertifiziertes Protokollierungsereignis (
JITRISKDETECTIONS_CONSULTATION), um sicherzustellen, dass alle Ermittlungsmaßnahmen dokumentiert werden und den strengsten Prüfungsstandards entsprechen.
Gewinnen Sie den Wettlauf gegen die Zeit
In Verbindung mit der IP-Reputationsbewertung (AlienVault OTX) und Gemini AI bringt die JIT-Analyse entscheidende Informationsasymmetrie in Ihr Verteidigungsteam. Sobald die aktuellsten Daten bestätigt sind, kann der Analyst über dieselbe einheitliche Schnittstelle SOAR-Behebungsmaßnahmen (Sitzungssperre, Passwort-Reset) auslösen und so die sofortige Beseitigung der Bedrohung gewährleisten.
Stützen Sie Ihre Untersuchungen nicht mehr auf veralteten Daten.> Erleben Sie die Leistungsfähigkeit der Echtzeitanalyse mit unseremIdentitätsmanagement bei Risiko Entra ID.