Ihr Warenkorb ist leer.
Workshops
Angriffe auf und Absicherung von Entra ID
In diesem Workshop lernen Sie, wie Angreifer Fehlkonfigurationen der Microsoft-Cloud sowie fehlende Härtungsmaßnahmen ausnutzen, und wie Sie Ihre Entra-ID-Umgebung und Azure-Dienste effektiv absichern.
Mit Thomas Kudlacek und Tim Mittermeier
Angriffe auf und Absicherung von Entra ID
Überblick
Entra ID (bisheriger Name: Azure Active Directory) ist als Identitätsdienst ein zentraler Bestandteil der Microsoft-Cloud. Mit dem zunehmenden Einsatz von Azure-Diensten durch Firmen und Organisationen gerät der Verzeichnisdienst verstärkt in den Fokus von Angreifern.
Der Workshop beleuchtet:
Nicht-authentisierte Enumeration, beispielsweise von eingesetzten Azure-Diensten und vorhandenen Benutzern – authentisierte Enumeration mit normalen Rechten
Initiale Kompromittierung einer Azure-Identität durch beispielsweise Phishing, Anwendungsfehler oder ungeschützte Zugangsdaten
Privilegien-Eskalation von einer Identität mit wenig Rechten zu hohen Rechten
Angriffspfade zwischen Entra ID und Azure-Diensten, On-Premise-Umgebungen und der Microsoft-Cloud
Möglichkeiten zur Absicherung ihrer Entra-ID-Umgebung, indem Sie Fehlkonfigurationen finden und beheben und ausgeschaltete Sicherheitsfunktionen aktivieren
wie Sie Angriffe auf Ihre Entra-ID-Umgebung durch Logging und Monitoring erkennen können
Aus Zeit- und Effizienzgründen werden durch die Teilnehmenden selbst keine Hands-on-Übungen durchgeführt. Der Referent gibt Empfehlungen und stellt Unterlagen bereit, wie Sie im Nachgang eigenständig üben können.
Zielgruppe
Dieser Online-Workshop richtet sich an Administrierende, IT-Leiterinnen und -Leiter, IT-Sicherheitsverantwortliche sowie an Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Entra-ID und Azure-Diensten beschäftigen wollen.
Voraussetzungen
Für eine erfolgreiche Teilnahme an dieser Schulung sollten Sie über Grundkenntnisse in der Administration der Microsoft-Cloud verfügen und Begriffe wie Tenant, Ressource und PowerShell einordnen können.
Zur Workshop-Durchführung wird Zoom verwendet mittels eines DSGVO-konformen On-Premise-Connectors. Wir bitten Sie, ein Mikrofon oder Headset sowie einen aktuellen Browser zu nutzen.
Inhalte
1. Grundlagen
Zusammenhang zwischen Entra-ID und Azure-Diensten im Azure Resource Manager (ARM)
Vergleich zwischen On-Premise-Active-Directory und Entra-ID
Unterschied zwischen Entra-ID-Rollen und Role Based Access Control (RBAC) beim ARM
Identität als neuer Perimeter und Sicherheitsprinzipale in Azure
Wichtige Azure-Infrastruktur- (IaaS) und Plattform-Dienste (PaaS): App Services, Funktions-Apps, Speicherkonten, Schlüsseltresore, VMs, Datenbanken
Hybride Modelle für Synchronisation zwischen On-Premise-Active-Directory und Entra-ID
Zugriff auf Azure über das Portal, PowerShell-Module, Az-Anwendung und die APIs selbst
Ziele und Denkweise von Angreifern bei Angriffen auf die Cloud und Azure
2. Wie Angreifer vorgehen: Angriffe durchführen
Unauthentisierte Informationssammlung und Benutzerenumeration
Initialen Zugriff erlangen durch Phishing, Passwortangriffe, ungesicherte Zugangsdaten oder Anwendungsschwachstellen
Authentisierte Informationssammlung mit einem normalen Benutzer
Weitere privilegierte Gruppen in Entra-ID neben dem globalen Administrator
Typische Fehlkonfigurationen von Azure-Infrastruktur- und Plattform-Diensten
Arten der Privilegien-Eskalation in Azure ausgehend von Leser und Mitwirkenden zum Besitzer
Zugangsdaten automatisiert auslesen und Token ausnutzen
Sprung zwischen Entra-ID und Azure-Diensten, zwischen Kontroll- und Datenebene
Übersprung in hybriden Umgebungen von der Cloud nach On-Premise und von On-Premise in die Cloud
Mögliches Umgehen von Sicherheitsmaßnahmen wie Mehr-Faktor-Authentisierung und Richtlinien für Bedingten Zugriff (Conditional Access Policies)
Möglichkeiten zur Persistenz – wie Angreifer sich langfristig und unbemerkt festsetzen
3. Angriffe verhindern
den initialen Zugriff erschweren
Entra-ID härten und Azure-Dienste im Resource Manager absichern
Identitäten schützen durch Mehr-Faktor-Authentisierung
Conditional Access Policies (CAP)
Privileged Access Workstation (PAW) für Entra-ID
Ebenenmodell und Least-Privilege-Prinzip für Cloud-Umgebungen
Privileged Identity Management (PIM) und Verwaltungseinheiten
Microsoft Defender für die Cloud (früher: Azure Security Center) sinnvoll zum Härten einsetzen
Richtlinien durchsetzen mit Azure Policy
Audits der eigenen Azure-Umgebung mit offensiven und defensiven Werkzeugen
4. Angriffe erkennen
Scharfschalten von Auditeinstellungen
Monitor
Microsoft Sentinel
5. Weiterführende Informationen
Hinweise zu empfehlenswerten Quellen für sowohl Angriffe auf als auch Verteidigung von Entra-ID und Azure
Leistungen Ihres Workshoptickets
Workshopunterlagen
Teilnahmebescheinigung
Durchführung
Tim Mittermeier: 04. - 05.09.2024
Thomas Kudlacek: 04. - 05.12.2024
Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl (weniger als 50%) nicht möglich, werden die Teilnehmer spätestens 7 Tage vorher informiert.
Die Teilnehmerzahl ist auf max. 20 Personen begrenzt.
Experten
Thomas Kudlacek
Cyber Security Specialist | Oneconsult AG
Thomas Kudlacek studierte Informatik an der Zürcher Hochschule für Angewandte Wissenschaften. Er war als Softwareentwickler für verschiedene Branchen tätig. Sein starkes Interesse an Cyber-Security führte ihn zu seiner Tätigkeit als Penetrationstester für einen internationalen Dienstleister, wo er Einblicke in verschiedene Branchen erhielt. Im Jahr 2023 trat er der Cyber Security Academy von Oneconsult bei. Thomas ist Offensive Security Certified Professional (OSCP), Offensive Security Certified Expert (OSCE), Offensive Security Web Expert (OSWE), Offensive Security Exploitation Expert (OSEE), OSSTMM Professional Security Tester (OPST) und ein CISSP Associate of (ISC)2.
Tim Mittermeier
Head of Red Teaming & Penetration Testing | Oneconsult Deutschland AG
Tim Mittermeier ist Head of Red Teaming & Penetration Testing bei der Oneconsult Deutschland AG. Zuvor war er als Sicherheitsforscher beim Forschungsinstitut Cyber Defence an der Universität der Bundeswehr München tätig. In diesen Funktionen beschäftigte er sich mit Domänen und Aspekten der IT-Sicherheit. Er betreute Lehrveranstaltungen zu Netzwerk- und IT-Sicherheit und führt regelmäßig Weiterbildungen und Schulungen durch.
Angriffe auf und Absicherung von Entra ID
Haben Sie Fragen zu unseren Workshops? Wir helfen Ihnen gern weiter.
Füllen Sie ganz einfach und bequem das Kontaktformular aus und wir werden Ihnen Ihre Fragen schnellstmöglich beantworten.
Team Workshops
Telefonisch erreichbar: Mo – Fr | 09:00 – 17:00 Uhr