Microsoft hat ein Playbook veröffentlicht, der die Vorgehensweise beim Verdacht auf Diebstahl eines Zugangs-Tokens für die Azure-Cloud beschreibt. Azure-Nutzer sollen damit feststellen können, ob ihre Organisation von einem Token-Diebstahl betroffen ist und ob es Hintertüren und kompromittierte Zugänge und ihrem Azure AD gibt.

In dem Playbook (deutschsprachige Version) wird beschrieben, wie Azure-Nutzer Microsoft Sentinel oder ein anderes SIEM-Tool (Security Information and Event Management) konfigurieren sollen, damit alle relevanten Ereignisse und Protokolleinträge dort zusammenlaufen. Diese werden dann nach ungewöhnlichen Aktivitäten in den Bereichen Identitäten, Anmelde- und Überwachungsprotokolle, Office-Apps und Endgeräte überprüft.

Zudem enthält das Playbook Hinweise, wie eine Kompromittierung erkannt und gegebenenfalls eingedämmt werden kann. Auch sind Maßnahmen zur Wiederherstellung eines sicheren Zustands enthalten. Es wird von einer schematischen Darstellung des Vorgehens begleitet.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE