Wie man Anmeldungen außerhalb vertrauenswürdiger Standorte in Microsoft Entra ID erkennt

Netwrix Auditor für Microsoft EntraID

1. Starten Sie Netwrix Auditor → Navigieren Sie zu "Suche" → Geben Sie die folgenden Kriterien an:

• Filter – "Datenquelle"
  Operator – "Gleich"
  Wert – "Azure AD"
• Filter – "Objekttyp"
  Operator – "Gleich"
  Wert – "Anmeldung"
• Filter – „Workstation“
  Operator – „Enthält nicht“
  Wert – Eine auszuschließende IP-Adresse oder einen Ort

Sie können mehrere IP-Adressen oder Standorte ausschließen, indem Sie zusätzliche „Workstation“-Filter hinzufügen.

2. Klicken Sie auf „Suchen“:

Um diesen Bericht für die zukünftige Verwendung zu speichern, klicken Sie auf „Tools“ -> Klicken Sie auf „Als Bericht speichern“ -> Geben Sie einen Namen für Ihren Bericht an -> Klicken Sie auf „Speichern“.

Erfahren Sie mehr über Netwrix Auditor for Microsoft Entra ID

Native Lösung

1. Öffnen Sie portal.azure.com -> Klicken Sie auf „Azure Active Directory“.
2. Im Überwachungsbereich klicken Sie auf „Anmeldungen“.
3. Klicken Sie auf Download -> CSV.
4. Importieren Sie die resultierende Datei in Microsoft Excel:
   • Klicken Sie in Excel auf Datei -> Öffnen -> Wählen Sie die gerade heruntergeladene Datei aus.
   • Im Textimport-Assistenten wählen Sie Datentyp = „Getrennt“ und aktivieren Sie das Kontrollkästchen „Meine Daten haben Überschriften“ -> Klicken Sie auf Weiter.
   • Im Abschnitt Trennzeichen setzen Sie ein Häkchen bei „Komma“ -> Klicken Sie auf Weiter.
   • Blättern Sie in der Feldvorschau und wählen Sie „Spalte nicht importieren (überspringen)“, sodass nur die folgenden Spalten übrig bleiben: Datum (UTC), Benutzer, Benutzername, IP-Adresse, Standort, Status. (Für weitere Anmeldeinformationen können Sie auch die Felder „Application“, „Resource“, „Authentication requirement“, „Browser“, „Operating System“ aktiviert lassen.) -> Klicken Sie auf „Fertigstellen“.
5. Filtern Sie nach vertrauenswürdigen Standorten (oder IP-Adressen) mithilfe der Spalte „Standort“ (oder „IP-Adresse“).
6. Überprüfen Sie die Ergebnisse:

Finden Sie verdächtige Anmeldungen bei Ihrer Microsoft Entra ID einfacher

Viele Organisationen arbeiten nun schon seit mehreren Monaten mit einem erweiterten Fernarbeiterteam. Während die meisten Herausforderungen, die mit der Einrichtung von Fernarbeitern verbunden sind, bereits bewältigt wurden, gibt es immer noch ernsthafte Sicherheitsherausforderungen. Insbesondere können wir uns nicht mehr auf traditionelle Firewall-Regeln verlassen, um den Zugriff zu kontrollieren, besonders da die Bedrohungen immer ausgefeilter werden.

Microsoft Entra ID bedingte Zugriffsrichtlinien ermöglichen es Ihnen, den Benutzerzugriff auf Ressourcen zu steuern und sogar MFA basierend auf dem Anmeldeort zu implementieren. Dennoch ist mit so vielen Fernarbeitern und Cloud-Anwendungen Ihre Angriffsfläche deutlich größer, und deshalb ist es entscheidend, Azure-Anmeldeereignisse im Auge zu behalten.

Die Microsoft Entra ID-Auditprotokolle zeichnen alle Anmeldeereignisse auf, aber Sie können die Einträge nicht effektiv filtern, um bekannte (sichere) Standorte auszuschließen, was Sie mit einem unmöglichen Informationsvolumen zurücklässt, das manuell zu verarbeiten ist.

Netwrix Auditor for Microsoft Entra ID erleichtert die Zugriffskontrolle für Sicherheit und Compliance, indem es Sicherheitsberichte über erfolgreiche und fehlgeschlagene Zugriffsversuche auf Ihr Microsoft Entra ID und Cloud-Anwendungen bereitstellt. Die praktische Suchfunktion ermöglicht es Ihnen, unnötige Einträge herauszufiltern und schnell die Informationen zu finden, die Sie suchen. Sie können sogar Ihre Suche als benutzerdefinierten Bericht speichern, zu dem Sie Stakeholder abonnieren können, und einen Alarm einrichten, um sicherzustellen, dass Sie sofort über jeden verdächtigen Anmeldeversuch informiert sind.