M365 Forensik und Incident Response: Angriffe erkennen, eindämmen und forensisch untersuchen

Business Email Compromise gehört zu den schwerwiegendsten Bedrohungen für Unternehmen. Während Angreifer zunehmend auf hochautomatisierte und professionelle Angriffsmethoden setzen, fehlt es IT-Teams häufig an der nötigen Erfahrung, um angemessen zu reagieren.

Nach der Teilnahme am zweitägigen Workshop können Sie:

• aktuelle Bedrohungen in Microsoft 365 erkennen und einordnen

• typische Angriffsmethoden, Techniken und Ziele von Angriffen mit Business Email Compromise sicher identifizieren und nachvollziehen

• verdächtige Aktivitäten in Protokollen analysieren, betroffene Konten und Daten ermitteln, sowie forensische Spuren gezielt sichern und auswerten

• Angriffe effektiv eindämmen und beheben, sowie präventive Maßnahmen gegen künftige Sicherheitsvorfälle für Ihr Unternehmen gezielt einleiten

Inhalte

In diesem Workshop lernen Sie, wie Sie Business Email Compromise (BEC) richtig behandeln, um Fehler und den daraus folgenden Schaden zu vermeiden. Dazu erhalten Sie einen Überblick über aktuelle Bedrohungen für Microsoft 365 und lernen M365-Umgebungen sowie Incident Response kennen. Ergänzend machen Sie sich mit dem Mitre-Att&ck-Framework und dem Security Incident Management Process vertraut.

Weiterhin durchlaufen Sie eine praxisnahe BEC-Simulation. Darin übernehmen Sie ein Benutzerkonto, sichern Ihren Zugriff, stehlen vertrauliche Daten und nutzen diese für Phishing-Angriffe und Rechnungsbetrug. Dieser Perspektivwechsel vermittelt Ihnen ein tiefes Verständnis für die Ziele von Angreifern und zeigt, wie sich bereits integrierte M365-Bordmittel für Angriffe nutzen lassen.

Zum Abschluss analysieren Sie die hinterlassenen Spuren aus Sicht eines Incident Responders. Sie lernen, wie sich Aktivitäten in M365-Protokollen erkennen, korrekt interpretieren und in wirksame Gegenmaßnahmen überführen lassen – inklusive konkreter Schritte zur Eindämmung und Behebung des Vorfalls. Zugleich lernen Sie die Grenzen der automatischen Erkennung von Microsoft kennen.

Themen in der Übersicht

• 1. Sicherheitsvorfälle in Microsoft 365 kennenlernen

• 2. Incident Response und Microsoft 365 verstehen

  • Grundlagen zu Incident Response

  • Mitre-Att&ck-Cloud kennenlernen

  • Grundlagen zu Microsoft 365

• 3. Angriffe simulieren

  • Eintrittsvektoren

    • Device Code Phishing

    • AiTM-Phishing

    • Access Token Dumping

  • Persistence

    • Malicious MFA

    • Forwarding rules

  • Collection

    • Email Access

    • Inbox Rules

    • Zugang zu SharePoint und OneDrive

    • Defense Evasion

    • Email Hiding Rules

  • Lateral Movement

    • Internal Phishing

    • Manipulation von Mailboxfeatures

  • Impact

    • Invoice Manipulation Fraud

• 4. forensische Analyse durchführen

  • Beweismittel von Angriffen sichern

    • Unified Audit Log

    • Entra Sign-In Logs

    • Entra Audit Log

    • Exchange Message Trace

    • eDiscovery Search

  • Protokolle analyiseren

    • eigene Angreiferaktivitäten nachvollziehen

    • betroffene Informationen und Identitäten ermitteln

    • Angriffe in Mitre ATT&CK Cloud einordnen

• 5. Sicherheitsvorfälle in Microsoft 365 behandeln

  • First Response: auf Angriffe reagieren

  • Containment: Angriffe eindämmen

  • Remediation: Sicherheitsvorfälle beheben

• 6. Grenzen verstehen und Ausblick erhalten

  • Grenzen der Detektion durch Microsoft nachvollziehen

  • Grenzen der Forensik verstehen

  • Ausblick auf Schutzmechanismen

Zielgruppe

• Administratoren, die Angriffe auf Microsoft 365 mittels Business Email Compromise nachvollziehen und effektiv eindämmen und beheben wollen

• Security- und DFIR-Personal, das auf Sicherheitsalarme in Microsoft 365 im eigenen Betrieb oder in Drittunternehmen gezielt reagieren will

• IT-Sicherheitsverantwortliche, die Vorgehensweisen und Ziele von Angriffen mit BEC verstehen und wirksame Gegenmaßnahmen in ihrem Unternehmen etablieren wollen

Voraussetzungen

Vorkenntnisse

• Basiswissen im Bereich Cybersecurity

• grundlegender Umgang mit Microsoft 365

Leistungen Ihres Workshoptickets

• Sie erhalten Ihre Schulungsunterlagen in digitaler Form. So können Sie selbst entscheiden, ob Sie diese elektronisch bearbeiten und archivieren oder lieber ausdrucken möchten.

• Mit der Teilnahmebescheinigung unterstreichen Sie Ihr Weiterbildungsengagement und verbessern Ihre Perspektiven für interne Karriereschritte oder neue berufliche Wege.

Durchführung

• Sie nehmen über Zoom am Workshop teil, wobei die Verbindung über einen lokal gehosteten, DSGVO-konformen On-Premises-Connector erfolgt.

• Um einen intensiven Austausch zwischen dem Trainer und den Teilnehmenden zu gewährleisten, erfolgt der Workshop in Gruppen von höchstens 15 Personen.

• Sollte die Durchführung der Veranstaltung aufgrund höherer Gewalt, der Verhinderung eines Referenten, von Störungen am Veranstaltungsort oder wegen zu geringer Teilnehmerzahl nicht möglich sein, werden die Teilnehmenden so früh wie möglich informiert.