IT-Sicherheit

EntraFalcon vs Microsoft Defender for Cloud Apps

, , , , , , ,

Berechtigungsanalyse im Fokus: Das Anwendungs-Inventar in Microsoft Defender for Cloud Apps im Vergleich zu EntraFalcon

Mit der Veröffentlichung des Anwendungs-Inventars im Mai 2025 hat Microsoft Defender for Cloud Apps (MDCA) einen entscheidenden Schritt in Richtung transparente Cloud-Sicherheit gemacht [1]. Die neue Funktion bietet eine zentrale Übersicht über alle SaaS- und OAuth-Anwendungen im Tenant – inklusive detaillierter Informationen zur Berechtigungsnutzung und -ebene.

Warum sollte mich das interessieren?

Ja.. Das Thema ist nicht „en vouge“.. Ich weiß.. ABER: Verwaiste überprivilegierte Anwendungen im Tenant sind ein Risiko… Was heißt das? Viele Firmen vergessen nach der ersten Einrichtung oft die Berechtigungen der Applikationen ihres Tenants regelmäßig zu checken. Um möglichst lange unerkannt im Tenant unterwegs zu sein, werden genau diese dann von Angreifern, wie z.B. Midnight Blizzard (Link: Midnight Blizzard breach: analysis and best practices | Wiz Blog), genutzt.

Was bietet das Anwendungs-Inventar in MDCA?

Das Anwendungs-Inventar ist über das Microsoft Defender XDR-Portal erreichbar und gliedert sich in zwei Hauptbereiche:

  • SaaS-Apps: Übersicht über alle erkannten Cloud-Anwendungen im Netzwerk.
  • OAuth-Apps: Detaillierte Ansicht registrierter Anwendungen in Entra ID.

Besonders relevant für die Berechtigungsprüfung sind:

  • Anzeige der angeforderten OAuth-Scopes: z. B. Mail.Read, Files.ReadWrite.All, Directory.Read.All. Welche Berechtigungen hier besonders kritisch sind, zeigt die folgende Tabelle:

  • Berechtigungsstufe: Unterscheidung zwischen delegierten und anwendungsbasierten Berechtigungen. Warum ist das relevant? Die zwei Arten haben unterschiedliche Auswirkungen. Grundsätzlich bedeutet „delegiert„, dass die Applikation im Namen eines Nutzers agiert und damit nur innerhalb seiner zugewiesenen Rechte. Anwendungsberechtigungen (Application Permissions) sind besonders kritisch, da sie ohne Benutzerkontext agieren können.
  • Berechtigungsnutzung (als Filter): Filteroption zur Filterung auf nicht verwendete Berechtigungen, was einen Hinweis auf überprivilegierte Apps geben kann und somit ein Ansatzpunkt ist „Least-Privilege“ umzusetzen.
  • Risikobewertung: Kombination aus App-Herkunft, Berechtigungsumfang und Nutzungshäufigkeit
  • GenAI-Kategorisierung: Automatische Erkennung von KI-basierten Anwendungen mit potenziell hohem Datenrisiko

Diese Informationen ermöglichen eine zielgerichtete Bewertung, ob eine App überprivilegiert ist oder sensible Datenzugriffe erlaubt, die nicht notwendig sind. Das Bild zeigt eine Übersicht über die Applications in einem Tenant und deren Berechtigungsebene, die Datennutzung und auch den Berechtigungstyp. Besonders kritischsind Applikationen mit Berechtigungstyp „Gemischt“, App-Ursprung „extern“, Berechtigungsebene „Hoch“ und „einige nicht verwendete“ Berechtigungstypen.

Eine Einschränkung zur Nutzung des Anwendungsinventars gibt es: Man braucht entsprechende Lizenzen, um diese Daten sehen zu können. Genauer ist hier eine Microsoft 365 E5, Microsoft Defender for Cloud Apps Einzellizenz oder die neue Microsoft Defender Suite for Business Premium notwendig (Link: modern-work-plan-comparison-enterprise.pdf).

Was machen alle Unternehmen, die keine solche Lizenz haben?

Meine Antwort ist zum aktuellen Zeitpunkt das Open-Source Tool „EntraFalcon“ (Github-Link: „GitHub – CompassSecurity/EntraFalcon: A lightweight PowerShell tool for assessing the security posture of Microsoft Entra ID environments. It helps identify privileged objects, risky assignments, and potential misconfigurations.). Es kann nämlich von jedem User mit Global Reader Rechten verwendet werden.

EntraFalcon ist ein leichtgewichtiges, PowerShell-basiertes Open-Source-Tool von Compass Security, das speziell für die Sicherheitsbewertung von Microsoft Entra ID (ehemals Azure AD) Umgebungen entwickelt wurde.

EntraFalcon analysiert unter anderem:

  • Enterprise Applications & App Registrations mit übermäßigen Berechtigungen (z. B. Microsoft Graph API)
  • Nutzerberechtigungen in Entra ID
  • API-Berechtigungen, die potenziell eine Eskalation zu Global Admin ermöglichen
  • PIM-Zuweisungen (Privileged Identity Management) für Entra- und Azure-Rollen
  • Berechtigungen auf Ressourcenebene (Azure IAM)
  • Fehlkonfigurationen in Conditional Access Policies
  • Unzureichend geschützte Gruppen, die in sensiblen Kontexten verwendet werden

Das Tool verwendet eine eigene Risikobewertung (Impact, Likelihood, Risk Score) und generiert interaktive HTML-Reports zur Analyse.

Ein großer Vorteil: Es nutzt Microsoft First-Party Apps mit vorab genehmigten Berechtigungen, wodurch keine zusätzliche Graph API-Zustimmung erforderlich ist. Das Tool wird als PowerShell-Skript bereitgestellt und kann sehr einfach mit Global Reader Rechten als User gestartet werden.

Reports von EntraFalcon

Die Reports sind i.d.R. pro Kategorie in den Formaten HTML,CSV und TXT. Dies kann mit Filtern limitiert werden.

Schauen wir in den HTML-Report zu den Enterprise Applications bietet sich folgende Übersicht:

Wenn wir die Details zu Enterprise Applications (Quelle:EntraFalcon/images/sp_details.png at main · CompassSecurity/EntraFalcon) anschauen, können wir folgendes sehen:

Besonders brisant sind hier z.B. im obigen Screenshot die API Permissions (Application). Von EntraFalcon werden auch diese dann nach Kritikalität eingestuft. Zudem sind die „Last-Sign-In Details“ spannend, da hier klar dargestellt wird, ob eine Application überhaupt aktiv genutzt wird. Wenn nicht, gilt hier: deaktivieren.

Der Report bietet vorgefertigte Filter, welche für unerfahrene User sehr gut sind (siehe nachfolgenden Screenshot). Insbesondere der Filter „Foreign Apps: Extensive API Privs (Application)“ ist ein guter erster Anhaltspunkt, um kritische Applications zu finden.

Vergleich: MDCA vs. EntraFalcon

Vergleicht man Microsoft Defender for Cloud Apps mit EntraFalcon komme ich zu folgendem Ergebnis (siehe Tabelle).

Fazit:

  • MDCA eignet sich ideal für kontinuierliche, unternehmensweite Überwachung mit Governance-Integration. Tagesaktuell ohne Ausführung externes Tools.
  • EntraFalcon ist ein leichtgewichtiges, schnelles Tool für punktuelle Analysen, mit sehr guten Filtern – besonders im Audit- oder Pentest-Kontext.

Best Practices für Enterprise Applications

  1. Regelmäßige Analysen/Review der Applikationen im Entra Tenant ist essentiell – insbesondere um die Angriffsfläche zu minimieren
  2. Agieren Sie immer nach dem „Least Privilege“-Prinzip: D.h. jede Anwendung erhält die minimalsten Rechte, die sie benötigt!
  3. Entfernen Sie regelmäßig nicht mehr benötigte Rollen und API-Berechtigungen sowie Applications aus dem Tenant, um das Risiko von Missbrauch zu minimieren
  4. Etablieren Sie eine Zero-Trust-Architektur: Jede Anfrage einer Application wird überprüft, unabhängig von Netzwerkstandort oder Gerät.
  5. Beide vorgestellten Tools bieten Filter nach Berechtigungsstufen und Risiken, um auf Applikationen mit hohen Berechtigungen zu filtern: z. B. alle Apps mit Files.ReadWrite.All und hohem Datenverkehr

 

incident response tiziankohler

, , , ,

Parallelen zwischen Krisenmanagement in der Corona-Krise und dem Incident Response Prozess?

Hat Deutschland einen guten Incident Response Prozess? Der Incident Response Prozess (kurz: IR-Prozess) beschreibt einen Ablaufplan, der im Falle eines sog. Security-Incidents (=Sicherheitvorfalls) im Zusammenhang mit der Informationstechnik zum Tragen kommt. Er wird als Teil des Incident Management gesehen und kann ein Unternehmen in Krisenzeiten vor sehr großen finanziellen Schäden bewahren. Der Corona-Virus kann ebenfalls als Incident bzw. als Angriff auf die weltweite Infrastruktur gesehen werden, da die komplette Wirtschaft aktuell dadurch beeinflusst wird. Wie auch die Weltwirtschaft sind die meisten Unternehmen heute stark von einer funktionierenden IT und Produktion abhängig. Der Corona-Virus legt aktuell alles lahm und Regierungen schalten in den Katastrophenmodus. Die Leute bekommen Panik. Dass es ihrem Unternehmen in einem Security-Incident nicht auch so geht, möchte ich ihnen den IR-Prozess in diesem Artikel näher vorstellen. Der IR-Prozess besteht in der Regel aus 6 Phasen: 

1. Preparation/Vorbereitung: Ohne Vorbereitung ist alles nichts… Trifft ein Unternehmen keine Vorbereitungen, um auf einen Cyberangriff zu reagieren, kann dies die Lage sogar verschlimmern. Unkoordiniertes Vorgehen löst in vielen Menschen Panik aus und führt zu irrationalen Handlungen. Doch gerade bei einem Cyberangriff sind solche Verhaltensweisen nicht zielführend. Möchte man einen Vergleich zur aktuellen Corona-Krise wagen, ist Deutschland relativ zu anderen Ländern gesehen mit dem Gefahrenabwehrrecht und den etablierten medizinischen Infrastrukturen sehr gut aufgestellt. Diverse Notfallpläne greifen wie Zahnräder ineinander und die Maßnahmen können stufenweise hochgefahren werden. Umso wichtiger ist es daher für Unternehmen sich auf einen möglichen „Tag X“ vorzubereiten und einen Incident Response Plan zu erstellen. Zuständiges Personal sollte namentlich benannt werden und evtl. in Form eines „Cyber Security Incident Response Team“ (CSIRT) organisatorisch aufgestellt werden. Das CSIRT sollte für solche Fälle auch ausgebildet werden und kann in großen Unternehmen sogar dauerhaft bestehen. Auch Analyse-Tools (genauer: forensische Hard- und Software) sollten angeschafft werden, um in diesen Fällen ein zielgerichtetes Vorgehen zu ermöglichen. Last-Minute-Käufe führen hier zu unsachgemäßen Ausgaben, ganz abgesehen davon, dass gar kein geschultes Personal für die Tools vorhanden ist. Also: Legen Sie am besten einen schriftlichen Incident Response Plan an. 

2. Detection/Entdeckung: Die Entdeckung eines Cyberangriffs erfolgt im Unternehmen häufig dadurch, dass die Systeme nicht mehr richtig funktionieren und eine Prüfung dahingehend stattfindet oder durch die implementierten Security-Tools, die im Rahmen des „Security Incident and Event Management“(SIEM) eingesetzt werden. Diese Phase der Entdeckung gilt als Startschuss für die ersten Maßnahmen im Rahmen des festgelegten IR-Plans. Bei der Corona-Krise waren erste Anzeichen vor Wochen schon in China erkennbar. Betrachtet man die Welt als ein großes Computernetzwerk eines Unternehmens so wären hier schon die ersten Indikatoren für einen unternehmensweiten Ausbruch vorhanden gewesen. Die Netzwerkverbindungen (weltweite Personentransporte, wie Flüge, Bus-, Zugverbindungen usw.) wurden durch Europa anfangs nur tröpfchenweise eingeschränkt. Eine Einschränkung von 100 auf 0 wäre für das Gesamtsystem der Wirtschaft logischerweise tödlich gewesen. Genau so wäre es auch für ein Unternehmen. Physikalisch kann man hier nicht einfach an den Server gehen und alle Kabel ziehen oder einfach alle bestehenden Verbindungen kappen und die Ports blockieren. Daher wird erst eine gründliche Analyse nötig, die den nächsten Schritt im IR-Prozess darstellt. 

3. Analysis/Analyse: Das im IR-Plan festgelegte Personal oder auch externe Partner beginnen nach der Feststellung eines Sicherheitsvorfalls nun die Systemaktivitäten mit dem Ziel zu analysieren die Ursache des Cyberangriffs zu finden und den Weg der Angreifer nachzuvollziehen (…was nicht immer so leicht ist). Hier stehen bestimmte Methoden und Tools zur Verfügung. Eine besondere Bedeutung hat dabei die Sammlung aller möglichen Daten aus den Bereichen der Logfiles, des Netzwerkverkehrs, der Prozesse und der Speicher (sowohl Arbeitsspeicher, als auch persistente Speicherquellen). Die Analyse kann je nach Datenmenge einige Tage oder auch nur Stunden in Anspruch nehmen. In der Corona-Krise bestanden zwar entsprechende medizinische Testmethoden, jedoch war das Vorgehen bei Weitem nicht standardisiert, wie es im forensischen Bereich ist.Sind die Maßnahmen beendet so dürfte die Analyse die Grundlage für alle folgenden Maßnahmen geschaffen haben. Daher sollte sie mit der notwendigen Gründlichkeit durchgeführt werden! 

4. Containment/Eindämmung: Zum aktuellen Zeitpunkt befinden wir uns bei der Corona-Krise genau in dieser Phase. Nachdem nun ein Verständnis herrscht mit welchem „Gegner“ wir es zu tun haben, werden die Schutzmaßnahmen nach und nach hochgefahren, um die Ausbreitung des Virus zu stoppen. Einrichtungen müssen geschlossen bleiben, soziale Kontakte sind zu meiden und nur „systemrelevante“ Bereiche sollten noch betrieben werden. Bezogen auf IT-Infrastrukturen sollte ähnlich vorgegangen werden. Wichtig ist hier jedoch, dass einem stufenweisen Plan gefolgt wird: 

    1. Short-term-Maßnahmen: Schadensbegrenzung und Isolation der betroffenen Systeme, um im Gesamtsystem weiterhin arbeitsfähig zu sein. Mögliche Maßnahmen wären hier auf Netzwerkbasis die Schließung von Ports oder die Filterung IP-Adressen durch Firewall-Regeln. Hilft alles nichts, so müssen die Netzwerkkabel gezogen werden. Dies wäre analog einer „Ausgangssperre“ durch die Bundesregierung zu sehen. Die jeweiligen Server und Clients könnten nicht mehr kommunizieren und damit kein „Sozialleben“ mehr aufrechterhalten, was einen entsprechenden Einfluss auf das Gesamtsystem hat. Daher sollten diese Maßnahmen mit den Verantwortlichen diskutiert und mit Bedacht gewählt werden.
    2. Long-term-Maßnahmen: Neben der Herstellung der temporären Arbeitsfähigkeit des Gesamtsystems sollten parallel „saubere“ Maschinen und Systeme aufgesetzt werden, die dann nach und nach die „reparierten“ temporären System ersetzen. 

 5. Eradiction and recovery/Beseitigung und Wiederhestellung: Die o.g. stete Ersetzung der Systeme zählt in der Regel in diese Phase. Die betroffenen Systeme sollten durch Re-Imaging komplett neu aufgesetzt werden. Hierbei können Backups eine wichtige Rolle spielen, weshalb ein technisch intelligentes Backup-Konzept sehr wichtig ist. Die Rechte der betroffenen Benutzeraccounts sollten genau geprüft und angepasst werden. Auch alle übrigen Accounts müssen hinsichtlich einer Kompromittierung überprüft werden. Wo nötig müssen diese neu aufgesetzt bzw. deren Rechte neu definiert werden.Sobald die Arbeitsfähigkeit in der Gänze erreicht ist, ist es unabdingbar die Systeme auf Schwachstellen hin zu prüfen. Es muss letztlich sichergestellt sein, dass die Systeme frei von Malware sind. 

6. Post-incident activity/Nachbereitung: Die Nachbereitung zählt zu den wichtigsten Phasen im IR-Prozess. Lernt ein Unternehmen nicht aus seinen Fehlern, so könnte der nächste Cyberangriff den finanziellen Ruin bedeuten. Daher ist es wichtig die Abläufe und Ereignisse mit den verantwortlichen Personen genau zu beleuchten, um Optimierungspotenzial zu erkennen. Der IR-Plan ist nicht in Stein gemeißelt und sollte daher an notwendiger Stelle angepasst werden. Was sind also die Learnings aus dem Vorfall? Wie war das Personal aufgestellt? Sind Schulungen nötig? Ist eine bessere Absprache und Zusammenarbeit mit den Partnern nötig?Außerdem sollten die Tools beleuchtet werden: Sind die Tools der IT-Sicherheit ausreichend und zuverlässig? Wo nötig sollte hier angepasst und Prozesse geändert werden. Im Gesamten gilt: Proaktiv zu handeln ist besser als reaktiv zu handeln! Daher sollten die Systeme regelmäßig mit Updates versorgt werden. Jede einzelne Komponente (Hard- und Software) sollte hierauf überprüft werden. Funktionierende Schutzmechanismen, wie IDS/IPS und Firewalls sowie Defense-in-depth Ansätze sollten umgesetzt werden.Um nochmals die Parallelen zur Corona-Krise zu ziehen: Veraltete Systeme sind ähnlich einem schwächelnden Immunsystem! Diese könnte lebensbedrohlich werden. Hat man also einen Plan und ist auf solche Fälle vorbereitet, so lassen sich Sicherheitsvorfälle zwar nicht immer verhindern, aber sie laufen glimpflicher und ohne Panik ab. Analog könnte man den IR-Prozess also auch in seinen Phasen auf die Corona-Krise anwenden.

Hacking und Coronavirus

, , , ,

Was haben Coronavirus und Hackerangriffe gemeinsam?

Kleiner Disclaimer: Beitrag wurde am Anfang der Corona-Pandemie verfasst. Aussagen hinsichtlich des Coronavirus könnten schon lange überholt sein. Der Vergleich dient lediglich Anschauungszwecken.

In den letzten Tagen gibt es kaum mehr Nachrichten ohne Meldungen über das in China ausgebrochene Coronavirus. Also machte ich mir natürlich auch Gedanken darüber und kam auf interessante Parallelen zwischen Malware bzw. Hackingangriffe auf Unternehmen und dieses „neuartigen“ Virus. Diese Gedanken wollte ich dir nicht vorenthalten, weshalb ich diesen Artikel veröffentliche.

Das erste Detail was mir beim Coronavirus auffiel war die Zeit, die vergeht, bis die erste Symptome aufkommen. Laut Internet sollten die ersten 5-10 Tagen (Zahlen schanken stark), in denen ein Mensch durchaus schon ansteckend ist und den Erreger in sich trägt, ohne Symptome ablaufen. Nach dieser Zeit treten dann die ersten „grippeähnlichen“ Symptome, wie Husten, Fieber usw., auf. Betrachtet man parallel hierzu Hackingangriffe auf Unternehmen vergehen häufig auch viele Tage (häufig leider auch mehrere Monate) bis sie durch Betroffene bemerkt werden. Dies liegt auch daran, dass Hacker sehr gezielt und konspirativ vorgehen, um möglichst lange im Netzwerk des Unternehmens zu bleiben und um möglichst viele wertvolle Daten exfiltrieren zu können. Wenn sie geschickt vorgehen können Hacker durch geeignete Anti-Forensik-Maßnahmen ihre Spuren verwischen und Backdoors installieren und bleiben so sehr lange unentdeckt. Leider wurde in Bezug auf den Coronavirus auch schon von verstorbenen Personen berichtet. Nach Aussagen von Experten betrifft dies überwiegend kranke und gebrechliche Menschen. Wirtschaftlich angeschlagene Unternehmen, die aufgrund von Sparzwängen ihre IT-Sicherheit vernachlässigt haben, sind analog gesehen natürlich leichte Opfer für Hacker. Veraltete Systeme und lückenhafte Schutzmaßnahmen führen letztendlich zu einem erhöhten Risiko. Durch erfolgreiche IT-Angriffe können hohe Kosten für Unternehmen entstehen, weshalb finanziell angeschlagene Unternehmen dadurch in existenzielle Schwierigkeiten geraten können. Durch Zugang zum Unternehmensnetzwerk erbeuten Hacker häufig wertvolle geheime Daten, wie Kundendaten oder Patente. Außerdem müssen sehr häufig infizierte Server und Clients ausgetauscht werden, was ebenfalls zu erhöhten finanziellen Aufwendungen führt. Experten sind sich darin einig, dass es sog. „Coronaviren“ schon lange gab. Das jetzt aufgetretene Virus sei eine Abwandlung, die bislang nicht vorkam. Genau so verhält es sich auch mit Malware und Hackingangriffen. Das Vorgehen von Hackern oder grundlegende Typen von Malware sind uns natürlich bekannt. Allerdings sind Hacker daran interessiert die Schutzmaßnahmen der Unternehmen zu umgehen und entwickeln daher neue Malware. Häufig wird Malware schon so programmiert, dass sie sich selbst verändert, um „unter dem Radar“ zu arbeiten, was dann als meta- oder polymorphe Malware bezeichnet wird. Da der Coronavirus in dieser Art noch nie aufgetreten ist, gibt es natürlich bislang keine erprobten Gegenmittel. Viele Antivirenprogramme agieren auf Basis bekannter Signaturen. Bei neuartiger oder sich verändernder Malware ist eine Erkennung natürlich kaum möglich. Daher gibt es auch hier häufig in der ersten Phase kein „Gegenmittel“, da dieses erst durch Analyse der neuen Malware in Form von Signaturen oder Tools „entwickelt“ werden muss. Bei all den Parallelen fällt aber eine besonders ins Gewicht: Man sollte nicht in Panik geraten. Wie kann ich einen Angriff auf mein Unternehmen also möglichst verhindern? Und wie vermeide ich die Panik? Darauf möchte ich im Folgenden noch stichpunktartig eingehen. 

  • Eines sei gesagt: „Geiz ist geil“ gilt bei der IT-Sicherheit nicht!
  • Umsetzung des BSI-Grundschutzes
  • Erarbeiten eines mehrstufigen Sicherheitkonzepts
  • Regelmäßige Awareness-Trainings für Mitarbeiter
  • Perimeterschutz an den relevanten Netzwerkübergängen
  • Einsatz von IT-Security-Software (z.B. Intrusion Prevention-/Intrusion Detection-Systeme)
  • Regelmäßig Aktualisierung der eingesetzten Software (sowohl operative Software, als auch Virenschutzsoftware)
  • Regelmäßige Sicherheitsüberprüfungen (Penetration-Test, Vulnerability Scanning usw.)
  • Restriktive Rechtekonzepte
  • Einsatz eines mehrstufigen Backup-Konzepts!!
  • Ausführliches zentrales Logging hilft bei der schnellen Aufarbeitung des Vorfalls!

Wie vermeide ich nun die Panik?

Dazu eignet sich sehr häufig die Ausarbeitung eines Prozesses für die sog. „Incident Response“. Also: Was passiert, wenn ein Angriff registriert wurde? 
Im Rahmen der Erarbeitung des Prozesses kann man sich unter anderem die folgenden Fragen stellen:

  • Wer sind die zuständige Personen (IT-Verantwortliche, Geschäftsführung, Systemadministratoren usw.)? 
  • Wie sind die Meldeabläufe? Wer sind meine externe Ansprechpartner (Forensiker, Behördern usw.)? 
  • Wie verhindere ich eine Ausbreitung (Ähnlich wie beim Coronavirus: Isolation des infizierten Patienten/Rechners)?
  • Wie kann ich zur Aufklärung beitragen? (Logs und auffällige Dateien sichern?)

 Hier gäbe es noch sehr viele weitere Tipps, auf die ich in diesem Artikel jedoch nicht abschließend eingehen kann. Gerne können wir uns näher über die IT-Sicherheit unterhalten. Zum Kontaktformular!