Angriffe auf und Absicherung von Entra ID

Entra ID (bisheriger Name: Azure Active Directory) ist als Identitätsdienst ein zentraler Bestandteil der Microsoft-Cloud. Mit dem zunehmenden Einsatz von Azure-Diensten durch Firmen und Organisationen gerät der Verzeichnisdienst verstärkt in den Fokus von Cyberkriminellen. In diesem Workshop lernen Sie, wie Angreifer in Entra-ID-Umgebungen und Azure-Dienste eindringen und wie Sie sich wirksam davor schützen können.

Inhalte

In diesem Workshop befassen Sie sich mit typischen Angriffsszenarien auf Azure-Dienste und Entra-ID-Umgebungen und lernen gängige Methoden kennen, die Angreifer zur initialen Kompromittierung einer Azure-Identität nutzen, etwa durch Phishing oder falsch konfigurierte Anwendungen. Ebenso zeigt der Referent, wie Sie solche Fehlkonfigurationen finden, beheben und ausgeschaltete Sicherheitsfunktionen aktivieren, damit Sie Ihre Entra-ID-Umgebung wirkungsvoll absichern können.

Zudem im Fokus des Workshops stehen die authentisierte Enumeration mit normalen Rechten, sowie die nicht-authentisierte Enumeration, etwa von eingesetzten Azure-Diensten und vorhandenen Benutzern. Ein weiterer Schwerpunkt liegt auf der Privilegien-Eskalation von einer Identität mit geringen zu hohen Rechten. Ebenfalls beleuchtet der Workshop die Angriffspfade zwischen Entra ID und Azure-Diensten, On-Premise-Umgebungen sowie der Microsoft-Cloud. Außerdem erfahren Sie, wie Sie Angriffe auf Ihre Entra-ID-Umgebung durch Logging und Monitoring effektiv erkennen können, um rechtzeitig einzuschreiten.

Aus Zeit- und Effizienzgründen werden durch die Teilnehmenden selbst keine Hands-on-Übungen durchgeführt. Der Referent gibt Empfehlungen und stellt Unterlagen bereit, wie Sie im Nachgang eigenständig üben können.

Themen in der Übersicht

• 1. Grundlagen

  • Zusammenhang zwischen Entra ID und Azure-Diensten im Azure Resource Manager (ARM)

  • Vergleich zwischen On-Premise-Active-Directory und Entra ID

  • Unterschied zwischen Entra-ID-Rollen und Role Based Access Control (RBAC) beim ARM

  • Identität als neuer Perimeter und Sicherheitsprinzipale in Azure

  • Wichtige Azure-Infrastruktur- (IaaS) und Plattform-Dienste (PaaS): App Services, Funktions-Apps, Speicherkonten, Schlüsseltresore, VMs, Datenbanken

  • Hybride Modelle für Synchronisation zwischen On-Premise-Active-Directory und Entra ID

  • Zugriff auf Azure über das Portal, PowerShell-Module, Az-Anwendung und die APIs selbst

  • Ziele und Denkweise von Angreifern bei Angriffen auf die Cloud und Azure

• 2. Wie Angreifer vorgehen: Angriffe durchführen

  • Unauthentisierte Informationssammlung und Benutzerenumeration

  • Initialen Zugriff erlangen durch Phishing, Passwortangriffe, ungesicherte Zugangsdaten oder Anwendungsschwachstellen

  • Authentisierte Informationssammlung mit einem normalen Benutzer

  • Weitere privilegierte Gruppen in Entra ID neben dem globalen Administrator

  • Typische Fehlkonfigurationen von Azure-Infrastruktur- und Plattform-Diensten

  • Arten der Privilegien-Eskalation in Azure ausgehend von Leser und Mitwirkenden zum Besitzer

  • Zugangsdaten automatisiert auslesen und Token ausnutzen

  • Sprung zwischen Entra ID und Azure-Diensten, zwischen Kontroll- und Datenebene

  • Übersprung in hybriden Umgebungen von der Cloud nach On-Premise und von On-Premise in die Cloud

  • Mögliches Umgehen von Sicherheitsmaßnahmen wie Mehr-Faktor-Authentisierung und Richtlinien für bedingten Zugriff (Conditional Access Policies)

  • Möglichkeiten zur Persistenz – wie Angreifer sich langfristig und unbemerkt festsetzen

• 3. Angriffe erkennen

  • Scharfschalten von Auditeinstellungen

  • Monitor

  • Microsoft Sentinel

• 4. Angriffe verhindern

  • den initialen Zugriff erschweren

  • Entra ID härten und Azure-Dienste im Resource Manager absichern

  • Identitäten schützen durch Mehr-Faktor-Authentisierung

  • Conditional Access Policies (CAP)

  • Privileged Access Workstation (PAW) für Entra ID

  • Ebenenmodell und Least-Privilege-Prinzip für Cloud-Umgebungen

  • Privileged Identity Management (PIM) und Verwaltungseinheiten

  • Microsoft Defender für die Cloud (früher: Azure Security Center) sinnvoll zum Härten einsetzen

  • Richtlinien durchsetzen mit Azure Policy

  • Audits der eigenen Azure-Umgebung mit offensiven und defensiven Werkzeugen

• 5. Weiterführende Informationen

  • Hinweise zu empfehlenswerten Quellen für sowohl Angriffe auf als auch Verteidigung von Entra ID und Azure

Zielgruppe

Dieser Online-Workshop richtet sich an Administrierende, IT-Leiterinnen und -Leiter, IT-Sicherheitsverantwortliche sowie an Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Entra ID und Azure-Diensten beschäftigen wollen.

Voraussetzungen

Für eine erfolgreiche Teilnahme an dieser Schulung sollten Sie über Grundkenntnisse in der Administration der Microsoft-Cloud verfügen und Begriffe wie Tenant, Ressource und PowerShell einordnen können.

Zur Workshop-Durchführung wird Zoom verwendet mittels eines DSGVO-konformen On-Premise-Connectors. Wir bitten Sie, ein Mikrofon oder Headset sowie einen aktuellen Browser zu nutzen.

Leistungen Ihres Workshoptickets

• Workshopunterlagen

• Teilnahmebescheinigung

Durchführung

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl nicht möglich, werden die Teilnehmenden frühestmöglich informiert.

Die Teilnehmerzahl ist auf max. 20 Personen begrenzt.