Barracuda full logo

Echtzeit-Reaktionsautomatisierung in Microsoft 365 mit Automated Threat Response

Themen:
26. Nov.. 2024
|
Adam Searcy

Viele Unternehmen verlassen sich auf Microsoft 365 und sind damit ein häufiges Ziel für Bedrohungsakteure. Herkömmliche Sicherheitslösungen wie SIEM-(Security Information and Event Management-)Plattformen und EDR-(Endpoint Detection and Response-)Tools sind zwar von entscheidender Bedeutung, erfordern bei einem Account Takeover jedoch häufig manuelle Eingriffe. Jetzt verändert die automatisierte Threat Response in Barracuda XDR Cloud Security die Art und Weise, wie Unternehmen kompromittierte Microsoft 365-Konten effektiv reparieren, Schäden sofort eindämmen und Ihre Sicherheitslage verbessern.

Was ist Automated Threat Response in XDR Cloud Security?

Barracuda XDR ist eine einheitliche Sicherheitsplattform, die mehrere Ströme von Sicherheitstelemetrie aus unterschiedlichen Datenquellen korreliert, um Bedrohungen zu erkennen und darauf zu reagieren. Mithilfe von vordefinierten Regeln, maschinellem Lernen und Datenanalyse in Echtzeit bietet XDR Transparenz und Erkennung im gesamten digitalen Besitz eines Unternehmens, um rechtzeitig Hinweise zur Beseitigung von Bedrohungen zu geben.

Automated Threat Response (ATR), ein Teil von Security Orchestration, Automation, and Response (SOAR) innerhalb von XDR, geht noch einen Schritt weiter, indem es auf Bedrohungen ohne menschliches Eingreifen reagiert. Wenn ein Sicherheitsvorfall erkannt wird, wie z. B. die Ausbreitung von Malware oder ungewöhnlicher Netzwerkverkehr, kann ATR sofort handeln, indem es die betroffenen Endgeräte isoliert oder bösartige IP-Adressen blockiert.

XDR Cloud Security ist das Modul in Barracuda Managed XDR, das Cloud-Dienste wie Microsoft 365, Azure, Google Workspace, AWS und mehr überwacht. Mit dem in XDR Cloud Security eingeführten ATR können Microsoft 365-Benutzerkonten automatisch und in Echtzeit deaktiviert werden, wenn festgestellt wird, dass sie kompromittiert sind. Der Hauptvorteil besteht darin, dass die Reaktion sofort erfolgt. Dadurch wird der Schaden, den ein Bedrohungsakteur seinem Opfer zufügen kann, verringert – oft schon, bevor ein menschlicher Analyst die Bedrohung überhaupt bemerkt.

Warum ist ATR in XDR Cloud Security wichtig?

Microsoft 365-Konten bieten Zugriff auf die Unternehmensinfrastruktur, E-Mail-Systeme, Tools für die Zusammenarbeit und sensible Daten. Kompromittierte Konten ermöglichen also einem Angreifer den Zugriff auf diese Systeme. Bedrohungsakteure verwenden diese Konten häufig für Folgendes:

  • Datenexfiltration, Verschlüsselung und Erpressung – Angreifer stehlen sensible Daten wie personenbezogene Daten (PII), persönliche Gesundheitsinformationen (PHI) oder geistiges Eigentum, machen diese Daten für das Opfer unzugänglich und erzwingen eine Zahlung, um den Zugriff auf die Daten wiederherzustellen oder zu verhindern, dass sie an die Öffentlichkeit weitergegeben werden.
  • Spionage – Cyberkriminelle manipulieren Daten in Systemen, um Schaden anzurichten (z. B. durch die Änderung eines Testergebnisses oder einer Blutgruppe in Krankenakten oder die Freisetzung gefährlicher Mengen Chlor im Trinkwasser).
  • Zugriffsrechte auf andere Systeme ausweiten – Bedrohungsakteure nutzen eine Schwachstelle in einem System aus, auf die das kompromittierte Benutzerkonto zugreifen kann, um Administratorrechte oder Root-Rechte in einem anderen System oder einer anderen Domäne zu erlangen.
  • Lieferketten- oder Phishing-Angriffe – Dabei wird die vertrauenswürdige Identität des Opfers verwendet, um Phishing-Angriffe zu starten oder andere Opfer zu kompromittieren.
  • Hartnäckig bleiben und Zugang verkaufen – Angreifer etablieren sich dauerhaft in der Umgebung ihres Opfers, sodass sie im Dark Web einen hohen Preis für zuverlässigen Zugang zum Opfer verlangen können.

Herkömmliche manuelle Reaktionen sind oft zu langsam, um Schaden abzuwenden, daher ist Automatisierung entscheidend. Um der Bedrohung durch Hacker entgegenzuwirken, die kompromittierte Konten ausnutzen, ist eine schnelle Reaktion von entscheidender Bedeutung.

Wie funktioniert ATR in XDR Cloud Security?

Barracuda XDR Cloud Security integriert automatisierte Bedrohungserkennung und SOAR-gestützte automatisierte Bedrohungsreaktion, um Microsoft 365-Zugangsdaten zu schützen.

So funktioniert es in der Regel:

1. Erkennung von Anomalien: Mithilfe fortschrittlicher Machine-Learning-Modelle, die auf proprietären Algorithmen zur Anomalieerkennung basieren, überwacht XDR Cloud Security kontinuierlich die Microsoft 365-Authentifizierungsprotokolle auf Anzeichen einer Gefährdung. Sucht nach allgemeinen Indikatoren für eine Gefährdung durch Überwachung:

  • Die Anzahl der erfolgreichen Anmeldungen in den letzten 24 Stunden, um ungewöhnliche Anmeldemuster zu erkennen.
  • Der Standort erfolgreicher Anmeldungen, um ungewöhnliche oder verdächtige Zugriffsorte zu identifizieren.
  • Ob ein Benutzer die mehrstufige Authentifizierung in den letzten 24 Stunden deaktiviert oder geändert hat.
  • Wie oft hat sich ein Benutzer in den letzten 24 Stunden von verschiedenen Orten aus angemeldet, an denen eine Reise nicht möglich ist.

2. Risikobewertung: XDR Cloud Security verwendet risikobasierte Richtlinien, um Alarme als niedrigen, mittleren oder hohen Schweregrad zu klassifizieren. Wenn ein hochgradig gefährlicher Alarm erkannt wird, reagiert ATR sofort, indem es sich über die API-Integration mit Microsoft 365 verbindet, um automatische Aktionen auszulösen.

3. Automatisierte Reaktion: Wenn ein Konto als kompromittiert markiert wird, führt ATR die folgenden Aktionen durch:

  • Deaktiviert das betroffene Konto
  • Meldet den betroffenen Benutzer ab
  • Beendet alle aktiven Sitzungen
  • Benachrichtigt den angegebenen Kontokontakt

Fazit

Die automatisierte Threat Response in der XDR Cloud Security ist ein bedeutender Fortschritt in der modernen Cybersecurity. Durch die Kombination automatisierter Erkennungen mit Echtzeitreaktionen ermöglicht ATR Unternehmen, sich wirksamer gegen Bedrohungsakteure zu verteidigen, und unterstützt MSPs und Channel Partner bei der Bereitstellung verbesserter Sicherheit. Da Unternehmen mit immer komplexeren und hartnäckigeren Bedrohungen konfrontiert werden, ist der Einsatz von automatisierter Bedrohungsabwehr unerlässlich, um Angreifern einen Schritt voraus zu sein und die Belastung der Sicherheitsteams zu verringern.

Mit kontinuierlichen Verbesserungen in den Bereichen KI, maschinelles Lernen und Verhaltensanalytik sieht die Zukunft von XDR rosiger denn je aus. Die Integration dieser Systeme in Ihr Security-Programm gewährleistet eine schnellere, einheitlichere und widerstandsfähigere Abwehr gegen das sich entwickelnde Ökosystem der Cyberkriminalität.

Webinar: Automatische Eindämmung von Microsoft 365-Kontenkompromittierungen
Adam Searcy

Adam Searcy ist Senior Technical Product Marketing Manager für E-Mail Protection bei Barracuda. Nach seinem Abschluss in Management an der Purdue University und einer Reihe von IT-Zertifizierungen gründete Adam 2002 sein eigenes IT-Beratungsunternehmen mit Fokus auf Softwareentwicklung und ASP/SaaS-Anbieter. Bis 2009 hatte sich das Unternehmen zu einem Anbieter von Managed Services entwickelt, mit Niederlassungen von San Francisco bis Raleigh und von Chicago bis Tampa. Adam verkaufte das Unternehmen 2019, um sich auf Cybersecurity zu konzentrieren und arbeitete mit einem lokalen MDR-Unternehmen, gefolgt von Tripwire, bevor er zu Barracuda kam.

Verwandte Beiträge:
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
 Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.