
Echtzeit-Reaktionsautomatisierung in Microsoft 365 mit Automated Threat Response
Viele Unternehmen verlassen sich auf Microsoft 365 und sind damit ein häufiges Ziel für Bedrohungsakteure. Herkömmliche Sicherheitslösungen wie SIEM-(Security Information and Event Management-)Plattformen und EDR-(Endpoint Detection and Response-)Tools sind zwar von entscheidender Bedeutung, erfordern bei einem Account Takeover jedoch häufig manuelle Eingriffe. Jetzt verändert die automatisierte Threat Response in Barracuda XDR Cloud Security die Art und Weise, wie Unternehmen kompromittierte Microsoft 365-Konten effektiv reparieren, Schäden sofort eindämmen und Ihre Sicherheitslage verbessern.
Was ist Automated Threat Response in XDR Cloud Security?
Barracuda XDR ist eine einheitliche Sicherheitsplattform, die mehrere Ströme von Sicherheitstelemetrie aus unterschiedlichen Datenquellen korreliert, um Bedrohungen zu erkennen und darauf zu reagieren. Mithilfe von vordefinierten Regeln, maschinellem Lernen und Datenanalyse in Echtzeit bietet XDR Transparenz und Erkennung im gesamten digitalen Besitz eines Unternehmens, um rechtzeitig Hinweise zur Beseitigung von Bedrohungen zu geben.
Automated Threat Response (ATR), ein Teil von Security Orchestration, Automation, and Response (SOAR) innerhalb von XDR, geht noch einen Schritt weiter, indem es auf Bedrohungen ohne menschliches Eingreifen reagiert. Wenn ein Sicherheitsvorfall erkannt wird, wie z. B. die Ausbreitung von Malware oder ungewöhnlicher Netzwerkverkehr, kann ATR sofort handeln, indem es die betroffenen Endgeräte isoliert oder bösartige IP-Adressen blockiert.
XDR Cloud Security ist das Modul in Barracuda Managed XDR, das Cloud-Dienste wie Microsoft 365, Azure, Google Workspace, AWS und mehr überwacht. Mit dem in XDR Cloud Security eingeführten ATR können Microsoft 365-Benutzerkonten automatisch und in Echtzeit deaktiviert werden, wenn festgestellt wird, dass sie kompromittiert sind. Der Hauptvorteil besteht darin, dass die Reaktion sofort erfolgt. Dadurch wird der Schaden, den ein Bedrohungsakteur seinem Opfer zufügen kann, verringert – oft schon, bevor ein menschlicher Analyst die Bedrohung überhaupt bemerkt.
Warum ist ATR in XDR Cloud Security wichtig?
Microsoft 365-Konten bieten Zugriff auf die Unternehmensinfrastruktur, E-Mail-Systeme, Tools für die Zusammenarbeit und sensible Daten. Kompromittierte Konten ermöglichen also einem Angreifer den Zugriff auf diese Systeme. Bedrohungsakteure verwenden diese Konten häufig für Folgendes:
- Datenexfiltration, Verschlüsselung und Erpressung – Angreifer stehlen sensible Daten wie personenbezogene Daten (PII), persönliche Gesundheitsinformationen (PHI) oder geistiges Eigentum, machen diese Daten für das Opfer unzugänglich und erzwingen eine Zahlung, um den Zugriff auf die Daten wiederherzustellen oder zu verhindern, dass sie an die Öffentlichkeit weitergegeben werden.
- Spionage – Cyberkriminelle manipulieren Daten in Systemen, um Schaden anzurichten (z. B. durch die Änderung eines Testergebnisses oder einer Blutgruppe in Krankenakten oder die Freisetzung gefährlicher Mengen Chlor im Trinkwasser).
- Zugriffsrechte auf andere Systeme ausweiten – Bedrohungsakteure nutzen eine Schwachstelle in einem System aus, auf die das kompromittierte Benutzerkonto zugreifen kann, um Administratorrechte oder Root-Rechte in einem anderen System oder einer anderen Domäne zu erlangen.
- Lieferketten- oder Phishing-Angriffe – Dabei wird die vertrauenswürdige Identität des Opfers verwendet, um Phishing-Angriffe zu starten oder andere Opfer zu kompromittieren.
- Hartnäckig bleiben und Zugang verkaufen – Angreifer etablieren sich dauerhaft in der Umgebung ihres Opfers, sodass sie im Dark Web einen hohen Preis für zuverlässigen Zugang zum Opfer verlangen können.
Herkömmliche manuelle Reaktionen sind oft zu langsam, um Schaden abzuwenden, daher ist Automatisierung entscheidend. Um der Bedrohung durch Hacker entgegenzuwirken, die kompromittierte Konten ausnutzen, ist eine schnelle Reaktion von entscheidender Bedeutung.
Wie funktioniert ATR in XDR Cloud Security?
Barracuda XDR Cloud Security integriert automatisierte Bedrohungserkennung und SOAR-gestützte automatisierte Bedrohungsreaktion, um Microsoft 365-Zugangsdaten zu schützen.
So funktioniert es in der Regel:
1. Erkennung von Anomalien: Mithilfe fortschrittlicher Machine-Learning-Modelle, die auf proprietären Algorithmen zur Anomalieerkennung basieren, überwacht XDR Cloud Security kontinuierlich die Microsoft 365-Authentifizierungsprotokolle auf Anzeichen einer Gefährdung. Sucht nach allgemeinen Indikatoren für eine Gefährdung durch Überwachung:
- Die Anzahl der erfolgreichen Anmeldungen in den letzten 24 Stunden, um ungewöhnliche Anmeldemuster zu erkennen.
- Der Standort erfolgreicher Anmeldungen, um ungewöhnliche oder verdächtige Zugriffsorte zu identifizieren.
- Ob ein Benutzer die mehrstufige Authentifizierung in den letzten 24 Stunden deaktiviert oder geändert hat.
- Wie oft hat sich ein Benutzer in den letzten 24 Stunden von verschiedenen Orten aus angemeldet, an denen eine Reise nicht möglich ist.
2. Risikobewertung: XDR Cloud Security verwendet risikobasierte Richtlinien, um Alarme als niedrigen, mittleren oder hohen Schweregrad zu klassifizieren. Wenn ein hochgradig gefährlicher Alarm erkannt wird, reagiert ATR sofort, indem es sich über die API-Integration mit Microsoft 365 verbindet, um automatische Aktionen auszulösen.
3. Automatisierte Reaktion: Wenn ein Konto als kompromittiert markiert wird, führt ATR die folgenden Aktionen durch:
- Deaktiviert das betroffene Konto
- Meldet den betroffenen Benutzer ab
- Beendet alle aktiven Sitzungen
- Benachrichtigt den angegebenen Kontokontakt
Fazit
Die automatisierte Threat Response in der XDR Cloud Security ist ein bedeutender Fortschritt in der modernen Cybersecurity. Durch die Kombination automatisierter Erkennungen mit Echtzeitreaktionen ermöglicht ATR Unternehmen, sich wirksamer gegen Bedrohungsakteure zu verteidigen, und unterstützt MSPs und Channel Partner bei der Bereitstellung verbesserter Sicherheit. Da Unternehmen mit immer komplexeren und hartnäckigeren Bedrohungen konfrontiert werden, ist der Einsatz von automatisierter Bedrohungsabwehr unerlässlich, um Angreifern einen Schritt voraus zu sein und die Belastung der Sicherheitsteams zu verringern.
Mit kontinuierlichen Verbesserungen in den Bereichen KI, maschinelles Lernen und Verhaltensanalytik sieht die Zukunft von XDR rosiger denn je aus. Die Integration dieser Systeme in Ihr Security-Programm gewährleistet eine schnellere, einheitlichere und widerstandsfähigere Abwehr gegen das sich entwickelnde Ökosystem der Cyberkriminalität.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.