Erfahren Sie, wie Sie Office 365-Warnungen und andere Sicherheitsfunktionen konfigurieren

Es ist kein Zufall, dass Berichte über vermehrte Cyber-Angriffe mit dem Anstieg der Remote-Mitarbeiter aufgrund der COVID-19-Pandemie zusammenfielen.

Böswillige Akteure haben ihre Bemühungen, Unternehmen zu infiltrieren, um Ransomware-Angriffe oder -Anlagen zu starten, verdoppelt Kryptomining Malware eine stetige Einnahmequelle aufzubauen. Sicherheitsexperten haben eine Zunahme von Phishing-Angriffen gemeldet, um Benutzer dazu zu verleiten, auf Links zu klicken, die Systeme – und das Unternehmen – gefährden. Diese Bedrohungen erhöhen den Druck auf die IT, zusätzliche Sicherheitsmaßnahmen zu implementieren.

Microsoft Office 365 bietet eine Vielzahl von Cloud-basierten Tools und Diensten, die Unternehmen in Bezug auf E-Mail, Tools für die Zusammenarbeit, Cloud-Speicher und Enterprise Content Management unterstützen. Alle sind von überall zugänglich, um Remote-Mitarbeiter sowie verteilte Mitarbeiter zu unterstützen. Es erhöht aber auch den Oberflächenangriff und stellt ein Risiko für Unternehmen dar, die gerade erst damit begonnen haben, Mitarbeiter über Heimnetzwerke und sogar PCs zu verbinden. Dies veranlasst die IT, ihre Sicherheitsstrategie zu überdenken, um sicherzustellen, dass Unternehmensdaten geschützt sind, und einige der vorhandenen Sicherheitstools zu berücksichtigen, die in die Collaboration-Plattform integriert sind, z. B. Office 365-Warn-, Überwachungs- und Identitätsschutz-Tools.

Regierungsbenachrichtigung für Office 365-Kunden

Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat eine Beratung unter diesem Link Kurz nachdem die meisten Staaten zu Hause geblieben waren, um die Ausbreitung des Coronavirus zu verlangsamen. CISA teilte seine Empfehlungen für Organisationen mit, die Office 365 verwenden, um sie in ihren Mandanten zu integrieren und so ihre Sicherheitsanfälligkeit zu verringern.
In dem CISA-Memo wurde darauf hingewiesen, dass die schnelle Bereitstellung von Office 365 bei einigen Unternehmen möglicherweise Lücken in der Sicherheitsvorkehrung hinterlassen hat, und den Administratoren empfohlen, die Multi-Faktor-Authentifizierung sowie rollenbasierte Zugriffskontrollen zu aktivieren. Diese Empfehlungen können dazu beitragen, das Risiko zu verringern, dass Hacker gestohlene Anmeldeinformationen verwenden, um auf Unternehmenssysteme zuzugreifen, insbesondere solche Kontoanmeldeinformationen mit erhöhten Berechtigungen.

Erhalten Sie eine Sicherheitsbewertung Ihres Office 365-Mandanten

In dem CISA-Memo wurde außerdem empfohlen, die Microsoft Secure Score-Funktion zu verwenden, um die Gesamtsicherheits-Scorecard des Mandanten und des Unternehmens zu erstellen.
Secure Score ist ein separates Portal für Office 365-Administratoren, das die Sicherheitslage Ihres Unternehmens zusammen mit Verbesserungsvorschlägen bewertet. Das Portal unterteilt die Bewertung nach fünf Kategorien: Identität, Daten, Gerät, Apps und Infrastruktur.

Sicheres Score-Dashboard
Das Secure Score-Dashboard in Office 365 enthält eine detaillierte Aufschlüsselung der Bereiche, an denen Administratoren arbeiten sollten, um die Bedrohung durch Angriffe von außen zu verringern.

In jeder Kategorie misst Microsoft die Sicherheitsstufe und bietet Konfigurationshinweise an, wenn die Anzahl unter 100% liegt. Das Portal bietet außerdem wertvolle Details zu jedem Bereich, indem es alle Probleme beschreibt, die das Bewertungstool im Mandanten identifiziert hat, und wie Administratoren sie mithilfe eines Aktionsplans angehen können.

Aktionsplan für sichere Punktzahl
Im Abschnitt “Sichere Punktzahl” in Office 365 werden Bereiche hervorgehoben, die einige Aufmerksamkeit erfordern könnten, und es werden Anleitungen zur Verschärfung der Sicherheit des Mandanten gegeben.

Durch regelmäßige Überprüfung des Secure Score können IT-Administratoren anhand des Trends-Abschnitts des Portals den Fortschritt anzeigen, der die Fortschritte bei den verschiedenen Sicherheitsimplementierungsprojekten angibt.

Richten Sie Office 365-Warnungen für verdächtige Aktivitäten ein

In dem CISA-Memo wurde außerdem vorgeschlagen, Office 365-Warnungen im Sicherheits- und Compliance-Center zu konfigurieren, damit das IT-Team schnell auf Sicherheitsvorfälle reagieren kann. Office 365-Warnungen können per SMS oder E-Mail an Administratoren gesendet werden, die sich im Warnungs-Dashboard des Officer 365-Sicherheitsportals anmelden können, um den Inhalt der Warnung zu überprüfen und das Problem zu beheben.
Microsoft bietet mehr als 21 verschiedene Richtlinien, die verschiedene Probleme im Zusammenhang mit dem Bedrohungsmanagement, Änderungen der Berechtigungserhöhung, Information Governance und Datenlecks sowie Verzögerungen bei der Nachrichtenübermittlung beheben. In dem CISA-Memo wurde vorgeschlagen, Office 365-Warnungen für Anmeldungen von ungewöhnlichen Standorten und für Benutzerkonten einzurichten, die ihre E-Mail-Schwellenwerte überschritten haben.
Ein Beispiel für eine Warnung im folgenden Screenshot warnt Administratoren, wenn ein Benutzer oder mehrere Benutzer ein ungewöhnlich hohes Dokumentenvolumen löschen. Dies kann auf eine absichtliche Zerstörung digitaler Dokumente hinweisen oder darauf, dass ein Benutzer beschließt, seinen Computer von alten Daten zu säubern.

Office 365-Warnungen
Es kann eine Richtlinie festgelegt werden, die den Administrator benachrichtigt, wenn eine ungewöhnlich große Anzahl von Dateien aus Office 365 gelöscht wird.

Microsoft empfiehlt Administratoren, alle 21 Standardrichtlinien in ihrem Mandanten zu aktivieren. Viele von ihnen, wie z. B. die Erhöhung der Administratorrechte oder verdächtige ausgehende E-Mail-Muster, können auf den Beginn eines Angriffs hinweisen, der, wenn er schnell ausgeführt wird, gestoppt werden kann, bevor umfangreiche Schäden auftreten.
Während Administratoren Office 365-Warnungen für mehrere ungewöhnliche Aktivitäten anpassen können, bietet Microsoft in seinem Cloud App Security-Produkt erweiterte Sicherheitsfunktionen, die eine proaktive Korrektur bieten, wenn eine Warnung ausgelöst wird. Wenn ein Vorfall erkannt wird, kann das System automatisch reagieren und entweder den Benutzer blockieren oder die Aktion stoppen, ohne dass der IT-Administrator eingreift.
Zu den erweiterten Warnungen, die Microsoft Administratoren empfiehlt, gehören:

  • durchgesickerte Anmeldeinformationen;
  • ungewöhnliche Dateifreigabeaktivität;
  • Ransomware-Aktivität;
  • ungewöhnliche administrative Tätigkeit;
  • verdächtige Posteingangsweiterleitung;
  • unmögliches Reisen;
  • riskante Anmeldung;
  • Aktivität von verdächtigen IP-Adressen;
  • Aktivität aus einem seltenen Land.

Es ist eine Sache, ungewöhnliches Verhalten zu erkennen, aber eine andere, schnell genug zu reagieren, um einen potenziellen Verstoß zu stoppen, bevor er in die Unternehmensumgebung gelangt. Die erweiterten Sicherheitsfunktionen in Office 365 Cloud App Security blockieren verdächtige Benutzer und Aktivitäten, ähnlich wie Azure AD Premium P2 verdächtige Anmeldeversuche im Auftrag des Administrators stoppt müde IT-Mitarbeiter nicht immer in Alarmbereitschaft sein zu müssen.

Integrieren Sie die Verwendung des SIEM-Tools für die Analyse von Überwachungsprotokollen

Ein Teil der Arbeit mit der Sicherheitsadministration geht über das Überprüfen von Office 365-Sicherheitsprotokollen hinaus. IT-Abteilungen verwenden im Allgemeinen andere Sicherheitsüberwachungstools, um andere Bereiche zu verwalten, einschließlich Netzwerkverkehr, Endpunkte, Firewalls und Server.
Viele Unternehmen verlassen sich auf SIEM-Tools (Security Information and Event Management), um alle eingehenden Warnungen und Protokolle zu zentralisieren und zu verwalten und Aktivitäten aufzudecken, die genauer betrachtet werden müssen. Eine der letzten CISA-Empfehlungen besteht darin, dass Administratoren Office 365-Überwachungsprotokolle und -Warnungen in ihre vorhandenen SIEM-Tools einspeisen, um ungewöhnliche Aktivitäten zu finden und festzustellen, ob in anderen Teilen des Unternehmens Anzeichen für ähnliche Ereignisse vorliegen.

Similar Posts

Leave a Reply