Obwohl die Multi-Faktor-Authentifizierung (MFA) zur Norm geworden ist, gibt es Angriffe wieBrutale Gewalt(Brute Force) undPasswort-Sprühen(Password-Spraying) überlastet weiterhin die Sicherheitsprotokolle von Unternehmen. Cyberkriminelle setzen automatisierte Botnets ein, um Tausende von Passwortkombinationen auf im Internet offengelegten Microsoft Entra ID (Azure AD)-Konten zu testen.
Das Ziel des Angreifers? Finden Sie ein Konto, bei dem MFA falsch konfiguriert wurde, ein vergessenes Dienstkonto oder überfluten Sie den legitimen Benutzer einfach mit MFA-Benachrichtigungen (MFA Fatigue), bis er aus Ermüdung den Zugriff validiert. Angesichts dieser lauten Bedrohung muss das SOC in der Lage sein, den Versuch zu erkennen, ihn schnell zu qualifizieren und das Zielkonto zu sperren.
Wie erkennt Entra ID Protection rohe Gewalt?
Microsoft Entra ID Protection verfügt über erweiterte heuristische Erkennungsalgorithmen. Es zählt nicht nur die Anzahl der fehlgeschlagenen Anmeldungen. Er analysiert den Kontext:
- Wurde die ursprüngliche IP-Adresse in der Vergangenheit mit bösartigem Verhalten in Verbindung gebracht (Microsoft Threat Intelligence)?
- Zielen die Versuche auf ein einzelnes Konto (klassisches Brute Force) oder auf mehrere Firmenkonten mit demselben aktuellen Passwort (Password Spraying)?
- Verwendet das Format des Authentifizierungsversuchs veraltete Authentifizierungsprotokolle, die oft von Hackern ausgenutzt werden, weil sie MFA nicht unterstützen?
Sobald der Algorithmus den Angriff bestätigt, weist er einen zuRisikostufean den Zielbenutzer (Niedrig, Mittel oder Hoch).
Zentralisierung und Qualifizierung mit Akuity SOC
Für einen Systemadministrator ist die ständige Überwachung des Entra ID-Portals zur Erkennung dieser Risikoerhöhungen zeitaufwändig. Der Akuity SOC Orchestrator fasst alle diese kritischen Ereignisse auf der Registerkarte zusammen„Identitäten in Gefahr“.
Wenn ein Konto einem anhaltenden Brute-Force-Angriff ausgesetzt ist, wird es sofort in der Liste angezeigt. Aber das Sperren eines Kontos beim ersten Anmeldefehler ist kontraproduktiv. Der Angriff muss qualifiziert sein.
Schwache Signalanalyse (JIT)
Bei der Just-In-Time-Analyse (JIT) von Akuity klickt der Analyst auf das Lupensymbol, um Microsoft Graph abzufragen. Der Seitenbereich verrät, ob das Risiko von einem einfachen wiederholten Tippfehler des Mitarbeiters ausgeht oder ob es sich um eine anonymisierte IP-Adresse handelt, die mit einem Hacker-Netzwerk in Verbindung steht. Wenn die Gemini-KI (in den Analystennotizen integriert) die IP als bekannte Spam-Quelle auf AlienVault OTX identifiziert, wird die Bedrohung bestätigt.
Behebung: Blockierung durch „Kompromitt“-Status
Wenn ein Brute-Force-Angriff zum Erfolg führt (z. B. wenn der Angreifer das richtige Passwort gefunden hat, aber durch die MFA-Anfrage, die er zu umgehen versucht, blockiert wird), muss das SOC-Team entschlossen eingreifen.
Anstatt das Konto zu löschen oder das Passwort manuell zu ändern (wodurch die Skripte des Angreifers nicht unbedingt gestoppt werden), besteht die beste Vorgehensweise darin, die API-Aktion zu verwendenconfirmUserCompromised(Bestätigung des Kompromisses).
Was die Aktion „Kompromittierung bestätigen“ bewirkt
Diese Aktion ist mit einem sicheren Klick (MFA AAL2) über das Akuity-Cockpit zugänglich und sendet ein starkes Signal an Microsoft Entra ID: „Das Sicherheitsteam bestätigt, dass dieses Konto stark angegriffen oder gehackt wird.“
Dieser offizielle Status ermöglicht es Ihnen, Ihre Verteidigungsschilde automatisch auszulösen:Richtlinien für bedingten Zugriff.
Wenn Sie eine Regel konfiguriert haben, die dies angibtAlles zählt mit „Hohem“ Benutzerrisikosieht, dass sein Zugang blockiert ist, wird die über Akuity ausgelöste Aktion dem Angreifer sofort alle Türen verschließen. Verbindungsversuche von der bösartigen IP-Adresse werden in der ersten Phase abgelehnt, wodurch die Infrastruktur geschützt und gleichzeitig ein sauberer Prüfpfad in den JSON SOC 2-Protokollen der Anwendung aufrechterhalten wird.
Fazit: Machen Sie aus Lärm Taten
Brute-Force-Angriffe erzeugen viel Hintergrundgeräusch und können gezieltere Eingriffe verschleiern. Durch die Verwendung einer einheitlichen Schnittstelle zur Überwachung gefährdeter Identitäten und die Nutzung der Entra ID Protection APIs zur schnellen Bestätigung einer Gefährdung können Sie den Angriff systematisch und automatisiert stoppen.
Schützen Sie Ihre Cloud-Identitäten vor böswilliger Automatisierung.> Erfahren Sie mit unserem Modul, wie Sie Brute-Force-Angriffe blockierenIdentitätsmanagement bei Risiko Entra IDmit nur einem Klick.