Angriffe auf und Absicherung von Entra ID

Weil Entra ID in Firmen und Organisationen als Identitätsdienst der Microsoft-Cloud zum Einsatz kommt, geraten Azure-Dienste zunehmend in den Fokus von Cyberkriminellen. Daher ist ein effektiver Schutz des Verzeichnisdienstes von hoher Bedeutung.

Nach der Teilnahme am zweitägigen Workshop können Sie:

• Angriffe auf Azure-Dienste und Entra-ID-Umgebungen erkennen

• Fehlkonfigurationen und Schwachstellen in Microsoft Azure und Entra ID auffinden und beheben

• Angriffe auf Entra-ID-Umgebungen durch Logging und Monitoring effektiv erkennen

• Azure-Dienste und Entra ID wirksam absichern

Inhalte

In diesem Workshop lernen Sie typische Angriffsszenarien auf Azure-Dienste und Entra-ID-Umgebungen kennen und bekommen Einblicke in gängige Methoden von Angriffen auf die Azure-Identität. Ebenfalls erfahren Sie, wie Sie Fehlkonfigurationen finden, beheben und ausgeschaltete Sicherheitsfunktionen aktivieren, damit Sie Ihre Entra-ID-Umgebung wirkungsvoll absichern können.

Weiterhin im Fokus des Workshops stehen die authentisierte und nicht-authentisierte Enumeration, sowie die Privilegien-Eskalation von einer Identität. Ebenfalls erhalten Sie Einblicke zu den Angriffspfaden zwischen Entra ID und Azure-Diensten, On-Premises-Umgebungen sowie der Microsoft-Cloud. Abschließend erfahren Sie, wie Sie Angriffe auf Ihre Entra-ID-Umgebung frühzeitig erkennen und wirksam darauf reagieren können.

Aus Zeit- und Effizienzgründen umfasst dieser Intensiv-Workshop keine Hands-on-Übungen. Daher erhalten Sie Unterlagen, auf deren Grundlage Sie im Nachgang eigenständig üben können. Zudem erhalten Sie empfehlenswerte Quellen, die sich sowohl mit Angriffen auf als auch mit der Absicherung von Entra ID befassen.

Themen in der Übersicht

• 1. Entra ID und Azure-Dienste kennenlernen

  • Zusammenhang zwischen Entra ID und Azure-Diensten im Azure Resource Manager (ARM) verstehen

  • Vergleich zwischen On-Premises-Active-Directory und Entra ID

  • Unterschied zwischen Entra-ID-Rollen und Role Based Access Control (RBAC) beim ARM erkennen

  • Identität als neuer Perimeter und Sicherheitsprinzipale in Azure

  • Azure-Infrastruktur-Dienste (IaaS) und Plattform-Dienste (PaaS): App Services, Funktions-Apps, Speicherkonten, Schlüsseltresore, VMs, Datenbanken

  • hybride Modelle für Synchronisation zwischen On-Premises-Active-Directory und Entra ID

  • Zugriff auf Azure über das Portal, PowerShell-Module, Az-Anwendung und die APIs selbst

  • Ziele und Denkweise von Cyberkriminellen bei Angriffen auf die Cloud und Azure verstehen

• 2. Angriffe auf Entra ID verstehen und nachvollziehen

  • unauthentisierte Informationssammlung und Benutzerenumeration

  • initialen Zugriff erlangen durch Phishing, Passwortangriffe, ungesicherte Zugangsdaten oder Anwendungsschwachstellen

  • authentisierte Informationssammlung mit einem normalen Benutzer

  • globaler Administrator und weitere privilegierte Gruppen in Entra ID

  • typische Fehlkonfigurationen von Azure-Infrastruktur- und Plattform-Diensten erfassen

  • Arten der Privilegien-Eskalation in Azure ausgehend von Leser und Mitwirkenden zum Besitzer kennenlernen

  • Zugangsdaten automatisiert auslesen und Token ausnutzen

  • Sprung zwischen Entra ID und Azure-Diensten, zwischen Kontroll- und Datenebene verstehen

  • Übersprung in hybriden Umgebungen zwischen Cloud- und On-Premises-Umgebungen

  • Mögliches Umgehen von Sicherheitsmaßnahmen wie Mehr-Faktor-Authentisierung und Richtlinien für bedingten Zugriff (Conditional Access Policies)

  • Möglichkeiten zur Persistenz – wie Angreifer sich langfristig und unbemerkt festsetzen

• 3. Angriffe zwischen Entra ID und Azure-Diensten erkennen

  • Scharfschalten von Auditeinstellungen

  • Entra-ID-Monitoring verwenden

  • Angriffe mit Microsoft Sentinel wahrnehmen

• 4. Angriffe auf die Azure-Umgeung und Entra ID verhindern

  • den initialen Zugriff erschweren

  • Entra ID härten und Azure-Dienste im Resource Manager absichern

  • Identitäten schützen durch Mehr-Faktor-Authentisierung

  • Conditional Access Policies (CAP) verstehen und nutzen

  • Privileged Access Workstation (PAW) für Entra ID einsetzen

  • Ebenenmodell und Least-Privilege-Prinzip für Cloud-Umgebungen verwenden

  • Privileged Identity Management (PIM) und Verwaltungseinheiten

  • Microsoft Defender für die Cloud sinnvoll zum Härten einsetzen

  • Richtlinien mit Azure Policy durchsetzen

  • Audits der eigenen Azure-Umgebung mit offensiven und defensiven Werkzeugen erstellen

Zielgruppe

• Windows-Administratoren, die Azure-Dienste und Entra ID effektiv härten und absichern wollen

• IT-Führungskräfte und -Sicherheitsverantwortliche, welche Angriffe auf Azure-Dienste verstehen und Gegenmaßnahmen im Unternehmen etablieren wollen

Voraussetzungen

Vorkenntnisse

• Grundkenntnisse in der Administration der Microsoft-Cloud

• erster Umgang mit Tenants, Resources und der Windows PowerShell

Leistungen Ihres Workshoptickets

• Sie erhalten Ihre Schulungsunterlagen in digitaler Form. So können Sie selbst entscheiden, ob Sie diese elektronisch bearbeiten und archivieren oder lieber ausdrucken möchten.

• Mit der Teilnahmebescheinigung unterstreichen Sie Ihr Weiterbildungsengagement und verbessern Ihre Perspektiven für interne Karriereschritte oder neue berufliche Wege.

Durchführung

• Sie nehmen über Zoom am Workshop teil, wobei die Verbindung über einen lokal gehosteten, DSGVO-konformen On-Premises-Connector erfolgt.

• Um einen intensiven Austausch zwischen dem Trainer und den Teilnehmenden zu gewährleisten, erfolgt der Workshop in Gruppen von höchstens 20 Personen.

• Sollte die Durchführung der Veranstaltung aufgrund höherer Gewalt, der Verhinderung eines Referenten, von Störungen am Veranstaltungsort oder wegen zu geringer Teilnehmerzahl nicht möglich sein, werden die Teilnehmenden so früh wie möglich informiert.