Moderne Cybersicherheit basiert nicht mehr auf der Stärke des Netzwerkperimeters (der Firewall), sondern auf einer kontinuierlichen Identitätsprüfung. Es ist das Fundament der ArchitekturNull Vertrauen. In der Microsoft-Cloud wird dieses Konzept durch die verkörpertRichtlinien für bedingten Zugriffvon Microsoft Entra ID.
Allerdings konfigurieren viele Unternehmen den bedingten Zugriff statisch (z. B. „MFA für alle erforderlich“). Die wahre Stärke dieses Tools liegt in seiner Fähigkeit, dynamisch auf das Risikoniveau eines Benutzers zu reagieren. Entdecken Sie, wie die Interaktion zwischen einem SOAR-Orchestrator (wie Akuity) und Conditional Access die Eindämmung einer gehackten Identität automatisieren kann.
Das Konzept des risikobasierten bedingten Zugriffs
Entra ID Protection bewertet ständig zwei Arten von Risiken:
- Anmelderisiko:Ist der aktuelle Anmeldeversuch verdächtig? (Beispiel: IP-Adresse, die mit einem Tor-Knoten verknüpft ist).
- Benutzerrisiko:Ist die gesamte Benutzeridentität gefährdet? (Beispiel: Seine Identifikatoren wurden im Dark Web gefunden).
Mithilfe von Richtlinien für bedingten Zugriff können Sie Regeln des folgenden Typs definieren:WENN die Risikostufe des Benutzers „Hoch“ ist, DANN eine sichere Kennwortänderung (über Azure AD SSP) verlangen oder den Zugriff vollständig sperren.
Die betriebliche Herausforderung besteht darin, dass der Algorithmus von Microsoft manchmal konservativ ist und das Risiko bei einem raffinierten Angriff nicht schnell genug auf „Hoch“ erhöht. Hier kommen Mensch und SOAR ins Spiel.
Die Brücke zwischen SOC und Zero Trust: „Confirm Compromised“
Wenn ein Analyst eine gezielte Phishing-Warnung im Akuity SOC Cockpit qualifiziert und sicher ist, dass der Mitarbeiter seine Anmeldedaten auf einer betrügerischen Seite eingegeben hat, muss er Maßnahmen ergreifen.
Auf der Registerkarte „Akuity-Behebungen“ die AktionBestätigung des Kompromisses (confirmUserCompromised)ist der Master-API-Befehl. Durch Klicken auf diese Schaltfläche (nach der Validierung des MFA TOTP AAL2-Codes) setzt der Analyst den Status des Benutzers in den Microsoft-Datenbanken manuell auf „Hohes Risiko“.
Genau diese Aktion fungiert als Schalter, der Ihre vorkonfigurierten Richtlinien für den bedingten Zugriff auslöst.
So konfigurieren Sie die perfekte Richtlinie für bedingten Zugriff
Damit der Akuity-Befehl sein volles Verteidigungspotenzial entfalten kann, müssen Sie die folgende Notfallreaktionsrichtlinie in Ihrem Microsoft Entra ID-Portal konfigurieren:
- Richtlinienname:
Block or Require Password Change on High User Risk - Zielgruppe:Alle Benutzer (denken Sie daran, Ihre „Break-Glass“-Notfallkonten auszuschließen!).
- Bedingungen -> Benutzerrisiko:WählenHoch.
- Zugriffskontrollen -> Gewähren:
- Option 1 (streng): Zugriff blockieren.Der kompromittierte Benutzer kann sich nirgendwo anmelden, bis ein Administrator sein Konto bereinigt.
- Option 2 (Selbstbedienung): Zugriff gewähren, aber Passwortänderung erforderlich.Dies erfordert, dass der Benutzer seine Identität über MFA nachweist und dann ein neues sicheres Passwort erstellt, bevor er seine Arbeit fortsetzen kann, wodurch dem Angreifer effektiv der Boden entzogen wird.
Nachvollziehbarkeit der Eindämmungsmaßnahme
Die Meldung, dass ein Benutzer kompromittiert ist, ist eine Maßnahme mit starken Auswirkungen auf das Unternehmen. Die in Akuity SOC integrierte Audit-Architektur stellt sicher, dass diese Entscheidung niemals leichtfertig getroffen werden kann.
Jede Verwendung des BefehlsCONFIRMUSERCOMPROMISEDgeneriert ein standardisiertes JSON-Protokoll für den SOC 2-Standard. Dieses Protokoll zeichnet die kryptografische Kennung auf (auth.uid()) des Analysten, der genaue Zeitpunkt der Maßnahme und die Überprüfung des Sicherheitsniveaus (AAL2), um eine einwandfreie Verantwortlichkeit im Falle eines internen Audits zu gewährleisten.
Fazit: Orchestrierung für Zero Trust
Modernes SOAR ersetzt Ihre nativen Sicherheitstools nicht, sondern treibt sie voran. Durch die Kombination der Zentralisierung von Akuity SOC-Warnungen mit den leistungsstarken Mechanismen von Microsoft Conditional Access verwandeln Sie Ihre statischen Sicherheitsregeln in einen dynamischen Schutzschild, der einen Angreifer im Bruchteil einer Sekunde aussperren kann.
Nutzen Sie die volle Leistungsfähigkeit der Zero-Trust-Architektur.> Finden Sie heraus, wieIdentitätsmanagement bei Risiko Entra IDvon Akuity SOC verwaltet Ihre Regeln für den bedingten Zugriff mit einem Klick.