Sergey Nivens - stock.adobe.com
Auditing: Wichtige IT-Umgebungen proaktiv überwachen
Hybride IT-Umgebungen, etwa wenn Active Directory und Azure AD genutzt werden, auf verdächtige Ereignisse zu überwachen, ist für IT-Teams mit Herausforderungen verbunden.
Für Unternehmen verschärft sich hierzulande und auf der ganzen Welt die Bedrohungslage zunehmend. Immer häufiger werden Organisationen, unabhängig von ihrer Größe, Opfer von Hackerattacken und Cybererpressungen. Haben sich die Angreifer erst einmal Zugang zu einem Unternehmen verschafft, versuchen sie die gesamte IT-Infrastruktur zu infiltrieren und so viele Daten wie möglich zu stehlen und/oder so zu verschlüsseln, dass diese erst nach der Zahlung eines Lösegelds wieder nutzbar werden.
Um sich im Unternehmens-Netz jedoch vertikal, aber auch horizontal ungestört ausbreiten zu können, versuchen die Cyberkriminellen regelmäßig, sich Zugriff auf den Microsoft-Verzeichnisdienst Active Directory (AD) beziehungsweise sein Cloud-Pendant Azure Active Directory (AAD) zu verschaffen. Denn mittels AD beziehungsweise AAD können Berechtigung für einzelne Benutzer und auch Benutzergruppen individuell angepasst werden. Umso wichtiger ist es für die IT-Verantwortlichen daher, dieses Rückgrat der Benutzerverwaltung effektiv zu schützen und mittels Auditing proaktiv zu überwachen.
Die ordnungsgemäße Überwachung einer hybriden Active-Directory-Umgebung ist allerdings keine einfache Aufgabe. IT-Teams müssen in der Lage sein, Bedrohungen schnell zu erkennen, Änderungen an Konfigurationen und Rollen zu verfolgen, die Aktivitäten der Benutzer genau im Auge zu behalten, Audit-Daten jahrelang zu speichern und vieles mehr. Die von Microsoft bereitgestellten Bordmittel geraten hier sehr schnell an ihre Grenzen.
Warum natives Auditing nicht ausreicht
Um zu verstehen, weshalb die nativen Auditing-Funktionen von Microsoft für IT-Teams nur bedingt nutzbar sind, müssen diese zunächst eingehender betrachtet werden. In der Folge werden daher die wichtigsten Einschränkungen von nativen Logs und Auditing-Werkzeuge beleuchtet:
1. Keine konsolidierte Ansicht der On-Premises- und Cloud-Aktivitäten
Bei näherer Betrachtung der Funktionen der nativen Auditing-Tools stellt man fest, dass keine konsolidierte Ansicht von On-Premises- und Cloud-Aktivitäten zur Verfügung steht. Das Microsoft-365-Auditprotokoll erfasst keine Ereignisse von Active-Directory-Domänencontrollern, Exchange-Servern, SharePoint-Servern und anderen kritischen lokalen Workloads.
Gleichzeitig können die nativen Optionen zur Überprüfung einer lokalen Umgebung keine Aktivitäten in Azure AD und Microsoft 365 erfassen. Stattdessen müssen die Verantwortlichen mit verschiedenen Konsolen jonglieren – jede mit einer anderen Ansicht – und versuchen, daraus für sich ein Gesamtbild zusammenzusetzen. Ferner ist nicht immer klar, wo bestimmte Informationen gefunden werden können: Ob sich diese im Einzelfall in den Audit-Protokollen, dem Microsoft 365 Security and Compliance Center oder dem Reporting Dashboard finden lassen, müssen die IT-Teams regelmäßig erst durch Ausprobieren herausfinden – ein nicht selten zeitraubender Prozess.
2. Schwierige Konfiguration von Audits für On-Premises- und Cloud-Workloads
Darüber hinaus ist es schwierig, konsistente Audit-Richtlinien für ein hybrides IT-Ökosystem zu konfigurieren: Die Verantwortlichen müssen hier ihre Audit-Richtlinien für ihre lokale Umgebung getrennt von denen für Ihre Cloud-Workloads konfigurieren. Außerdem gibt es keine Möglichkeit, diese Audit-Richtlinien zu überwachen, um sicherzustellen, dass sie nicht von den verschiedenen Administratoren, die sie kontrollieren, geändert oder deaktiviert werden.
3. Eingeschränkte Such-, Berichts- und Warnfunktionen
Zweifelsohne erfassen native Protokolle eine große Menge an Audit-Daten. Allerdings ist es schwierig, einzelne Informationen darin zu finden. Es gibt keine Möglichkeit Audit-Aktivitäten in lokalen und Cloud-Ereignissen gemeinsam zu durchsuchen, was die Möglichkeiten der IT-Teams drastisch einschränkt, die Vorgänge tatsächlich nachzuvollziehen.
Darüber hinaus sind die nativen Suchfunktionen zu unflexibel: Es lässt sich beispielsweise nicht nach vielen wichtigen Aspekten wie Vorher- und Nachher-Werten oder Änderungen von Benutzer- oder Gruppenattributen suchen. Um proaktiv in puncto Sicherheit agieren zu können, benötigen die IT-Teams außerdem für bestimmte Arten von Ereignissen nicht nur nachträgliche Berichte. Sondern dafür bedarf es proaktiver Warnmeldungen, die es ihnen ermöglichen, umgehend auf Änderungen oder andere Aktivitäten zu reagieren, die ein Risiko für die Sicherheit oder die Geschäftskontinuität darstellen. Jedoch sind die entsprechenden Alarme bei lokalen und Cloud-Workloads mit nativen Tools inkonsistent, unflexibel und schwierig einzurichten.
4. Komplexe Interpretation von Ereignissen und mangelnde Visualisierung der Daten
Auch die Interpretation der Ereignisdaten ist äußerst schwierig. Den nativen Protokoll-Rohdaten fehlt es an benutzerfreundlichen Anzeigenamen, und sie verfügen über kein einheitliches Format – welche Felder angezeigt werden und wie diese angezeigt werden, hängt vom Ereignistyp oder der Workload ab. Die Visualisierung ist darüber hinaus äußerst mangelhaft, und die vorhandenen Visualisierungen sind auf einer anderen Seite zu finden als die entsprechende Datensuche.
5. Begrenzte Datenaufbewahrung
In der Cloud variiert die Datenaufbewahrungszeit je nach Workload und Abonnementtyp, kann aber mitunter auch nur sieben Tage betragen. Im Falle der On-Premises-Aufbewahrung können ausgelastete Domänencontroller und Server dazu führen, dass die nativen Audit-Protokolle noch schneller überschrieben werden, oft schon nach wenigen Tagen.
Infolgedessen ist es fast unmöglich, Sicherheitsvorfälle gründlich zu untersuchen, die oft erst nach vielen Monaten entdeckt werden. Wenn außerdem Vorschriften eingehalten werden müssen, die längere Aufbewahrungsfristen vorsehen, muss dafür ein manueller Prozess für die Speicherung der Audit-Daten außerhalb der nativen Protokolle eingerichtet werden.
Zusätzliche Lösungen schaffen Abhilfe
Die hier skizzierten Fallstricke beim Auditing, die bei der Nutzung nativer Bordmittel auftreten, sind für die Verantwortlichen ein Ärgernis. Denn die unzähligen manuellen Prozesse, die eine solche Vorgehensweise mit sich bringt, sind für die IT-Teams zeitraubend und binden wichtige personelle Ressourcen. Angesichts des sich verschärfenden Fachkräftemangels und der folglich zunehmend angespannten Personalsituation vieler IT-Abteilungen können es sich Unternehmen im Grunde nicht mehr leisten, die Teams mit vermeidbaren Prozessen zu belasten.
Daher sollten Organisationen in Sachen Auditing zu Drittanbieterlösungen in Betracht ziehen, um die IT-Verantwortlichen von überflüssigen Aufgaben zu entlasten. Mit einer solchen Lösung lassen sich Daten aus On-Premises- und Cloud-Umgebungen sammeln, diese normalisieren und korrelieren und alle Aktivitäten in einer einheitlichen Ansicht von einer einzigen Konsole darstellen und verwalten.
„Die ordnungsgemäße Überwachung einer hybriden Active-Directory-Umgebung ist keine einfache Aufgabe. IT-Teams müssen in der Lage sein, Bedrohungen schnell zu erkennen, Änderungen an Rollen zu verfolgen und die Aktivitäten der Benutzer genau im Auge zu behalten.“
Bert Skorupski, Quest Software
Die Daten lassen sich zudem auf diese Weise längerfristig aufbewahren, um forensische Analysen auch nach längerer Zeit durchzuführen oder gesetzliche Vorschriften einzuhalten. Ferner kann Zugang zu den Audit-Daten granular delegiert werden, sodass Sicherheits- und Compliance-Teams, Helpdesk-Mitarbeiter, IT-Manager und sogar externe Prüfer und Partner Zugriff erhalten können – jedoch nur auf die Daten, die sie für ihre Tätigkeit tatsächlich benötigen.
Eine moderne Auditing-Lösung bietet zudem die Möglichkeit für Echtzeit-Audits, Warnmeldungen und Forensik für alle kritischen Konfigurations-, Benutzer- und Administratoränderungen im gesamten AD. Letzteres schließt Änderungen an Gruppenrichtlinienobjekten (GPOs), ihrem DNS, Serverkonfigurationen, verschachtelten Gruppen und weiteres mit ein.
Üblicherweise werden die Daten mittels eines Agenten gewonnen, der auf jedem Domänencontroller installiert ist. Dadurch wird die Prüfung schneller und präziser als dies mit nativen Tools möglich wäre. Sogar Änderungen an kritischen Daten wie privilegierten Gruppen, GPOs und sensiblen Mailboxen lassen sich damit verhindern, selbst wenn ein Benutzer über die entsprechenden Berechtigungen für diese Änderungen verfügt. Gleichzeitig lassen sich diese Drittanbieterwerkzeuge mit anderen Lösungen zur Überwachung verknüpfen, sodass die IT-Teams einen umfassenden Überblick über alle Änderungen in ihrer IT-Infrastruktur erhalten.
Auditing stärkt die digitale Sicherheit
In Sachen Sicherheit und Compliance sollten Organisationen keine Kompromisse eingehen. Die in ihren Funktionen begrenzten und unflexiblen nativen Auditing-Tools bergen jedoch das Risiko, dass wichtige Daten oder Änderungen bei einer Prüfung übersehen werden. Im schlimmsten Fall bleiben dadurch Cyberbedrohungen unentdeckt, die für ein Unternehmen existenzbedrohende Konsequenzen nach sich ziehen können.
Um auf Nummer sicher zu gehen, sollten die IT-Verantwortlichen daher zu Auditing-Lösungen von Drittanbietern greifen, mit denen sie einen umfassenden und tiefgehenden Einblick in Ihre hybride IT-Umgebung erhalten können. Ferner lassen sich damit der Gesamtzustand der Umgebung auf einen Blick erkennen, kritische Berichte ausführen, um Bedrohungen wie Golden-Ticket-Angriffe und NTLM-Authentifizierungen mit wenigen Klicks zu erkennen. Mit diesen Lösungen können auch von jedem Ereignis aus die zugehörigen Aktivitäten untersucht werden und es lassen sich Warnmeldungen einrichten, mit denen die Teams umgehend auf verdächtige Aktivitäten und unerwünschte Änderungen reagieren können.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.