Mit der weit verbreiteten Nutzung von Telearbeit, internationalen Geschäftsreisen und der Nutzung von Unternehmens-VPNs werden verhaltensbasierte Sicherheitsalgorithmen auf die Probe gestellt. Bei Microsoft Entra ID ist eine der häufigsten und komplexesten Warnungen, die ein Security Operations Center (SOC) verarbeiten muss„Unmögliche Reise“.
Obwohl diese Warnung das klassische Warnsignal für Identitätsdiebstahl ist, erzeugt sie auch eine große Menge falsch positiver Ergebnisse. Das Konto eines reisenden Vertriebsleiters zu sperren, nur weil er oder sie sich mit dem WLAN am Flughafen verbunden hat, ist der beste Weg, die Geschäftstätigkeit lahmzulegen. Wie kann man die Dinge in Echtzeit regeln?
Was ist die Warnung „Reise unmöglich“?
Die Microsoft Entra ID Protection Machine Learning-Engine berechnet die geografische Entfernung und die verstrichene Zeit zwischen zwei aufeinanderfolgenden Verbindungen desselben Benutzers.
Wenn sich ein Kollege um 10:00 Uhr von Paris aus mit seinem Outlook-Postfach verbindet und um 10:30 Uhr eine neue erfolgreiche Verbindung von Singapur aus zustande kommt, schließt der Algorithmus daraus, dass es physikalisch unmöglich ist, diese Strecke in 30 Minuten zurückzulegen. Anschließend wird die Warnung „Atypische Reise“ oder „Unmögliche Reise“ ausgelöst.
Die zwei möglichen Szenarien
- Das False Positive (legitime Aktivität):Der Benutzer arbeitet von Paris aus und aktiviert dann sein Unternehmens-VPN oder ein persönliches VPN (wie NordVPN), das an einen Server in Asien weitergeleitet wird, um einen Dienst zu testen. Die IP-Adresse ändert sich drastisch und löst die Warnung aus.
- Das wahre Positive (Kompromiss):Der Benutzer befindet sich in Paris, aber ein im Ausland ansässiger Cyberkrimineller hat sich gerade mit seinen gestohlenen Zugangsdaten (oder einem über Malware gestohlenen Sitzungstoken) bei seinem Konto angemeldet.
Die Falle der manuellen Untersuchung
Angesichts dieser Warnung steht der SOC-Analyst der Stufe 1 (L1) vor einem Dilemma. Wenn er die Warnung ignoriert und es sich um einen Hack handelt, liegt die Verantwortung beim SOC. Wenn der Benutzerzugriff vorsorglich gesperrt wird, besteht die Gefahr, dass eine wichtige Präsentation für einen Client blockiert wird.
Bei der manuellen Untersuchung muss die Reputation der fremden IP-Adresse in Datenbanken wie AlienVault oder VirusTotal durchsucht, der bei der zweiten Verbindung verwendete Gerätetyp (User-Agent) analysiert und diese Daten mit Querverweisen versehen werden. Ein Vorgang, der zwischen 15 und 30 Minuten dauert.
Der Akuity SOC-Ansatz: JIT-Analyse (Just-In-Time).
Um die kognitive Belastung zu reduzieren und eine Entscheidungsfindung in Sekundenschnelle zu ermöglichen, führt Akuity SOC ein eingebettetes Untersuchungskonzept ein:JIT-Analyse (Just-In-Time)..
Wenn ein Benutzer auf der Registerkarte „Gefährdete Identitäten“ auf eine Anomalie stößt, muss der Analyst nicht woanders hin navigieren. Er muss lediglich auf das Augensymbol klicken. Diese Aktion öffnet einen dynamischen Seitenbereich, der die Microsoft Graph-API in Echtzeit abfragt, um Details zur Risikoerkennung abzurufen.
Sofortige Qualifikation
Die JIT-Analyse liefert den genauen Kontext:
- Die ursprüngliche IP-Adresse und die Remote-IP-Adresse.
- Netzwerkqualifikation (handelt es sich um einen anonymisierten Tor-Knoten oder eine bekannte Unternehmens-IP-Adresse?).
- Das Vorhandensein der IP in anerkannten Bedrohungsdatenbanken (über die Integration von Google Web Risk).
Zwei Lösungen mit einem Klick
Mit diesem klaren Kontext kann der Analyst sofort die richtige Entscheidung treffen:
Szenario 1: Das False Positive wird bestätigt.(Die IP gehört zum VPN des Unternehmens).
Der Analyst nutzt die AktionDISMISSUSERRISK(Freispruch). Dieser API-Befehl signalisiert Microsoft Entra ID Protection, dass das Verhalten legitim ist. Das Risikoniveau des Benutzers sinkt auf Null, wodurch die Verschmutzung der SOC-Statistiken und das versehentliche Auslösen von Richtlinien für bedingten Zugriff vermieden werden.
Szenario 2: Der Hack wird bestätigt.(Die IP ist mit einem bekanntermaßen bösartigen Proxyserver verknüpft).
Der Analytiker löst Maßnahmen ausrevokeSessionsum den Zugriff und die Nutzung durch den Hacker sofort zu sperrenconfirmUserCompromisedum das Konto in strikte Quarantäne zu versetzen, alles validiert durch seine MFA-Anwendung (AAL2-Stufe).
Fazit: Schnelligkeit und Urteilsvermögen
Die Verwaltung der Cloud-Identitätssicherheit bedeutet nicht, beim kleinsten atypischen Signal blind zu blockieren. Indem Sie präzisen Kontext (Just-In-Time) so nah wie möglich an die Kommandozentrale bringen, geben Sie Ihren Analysten die Möglichkeit, Fehlalarme von echten „Token-Diebstahl“-Angriffen zu unterscheiden, und bewahren so die Sicherheit der Infrastruktur und die Produktivität Ihrer Mitarbeiter.
Beschleunigen Sie die Sortierung Ihrer Identitätswarnungen.> Entdecken Sie, wie unser ModulIdentitätsmanagement bei Risiko Entra IDintegriert die JIT-Analyse für eine fundierte Entscheidungsfindung.