• Link zu X
  • Link zu Xing
  • Link zu LinkedIn
  • Link zu Instagram
  • Link zu Youtube
Webinare: 16.05. Zero Trust: der neue Standard | 16.05. Microsoft Copilot erfolgreich starten | 06.06. MDM mit Microsoft Intune > Infos & Anmeldung
Net at Work
  • Microsoft 365
    • Workshops
    • Microsoft Teams
    • Telefonie
      • Microsoft Teams Telefonie
      • Contact Center
      • Managed SBC
    • Microsoft Exchange
    • Microsoft SharePoint
    • M365 Migration
    • Security
      • Microsoft 365 Security
      • SOC
      • E-Mail Security
    • Microsoft Power Platform
    • Microsoft Copilot
    • Informationsmanagement
    • Wissensmanagement
  • Business Apps
    • Microsoft Development
    • Individuelle Softwareentwicklung
  • Intranet
  • Managed Services
  • Change Management
  • Unternehmen
    • Kontakt
    • Über uns
    • Referenzen
    • Karriere
      • Fach- und Führungskräfte
      • Junge Talente
  • Blog
  • Online Events
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
  • Pass-the-Ticket Incidents – was tun bei Defender for Identity Alert?

Pass-the-Ticket Incidents – was tun bei Defender for Identity Alert?

Thomas Welslau
Autor: Thomas WelslauCompetence Lead Securityhttps://www.linkedin.com/in/thomas-welslau-866016153/–Auf LinkedIn vernetzen

Microsoft Defender for Identity erkennt, vereinfacht gesagt, Angriffe auf lokale Active Directory Identitäten. Dabei werden Sensoren auf den Domänen-Controllern und weiteren AD-Diensten installiert und an die Defender-Umgebung im Rahmen von Microsoft 365 angebunden. Was aber ist zu tun, wenn wirklich ein Sicherheitsvorfall erkannt wird? Wir zeigen ein aktuelles Beispiel aus unserer Praxis und geben Tipps zu den wichtigsten Maßnahmen und Analyseschritten.

Microsoft Defender for Identity Alert Story – Ursache der Pass-the-Ticket Incidents

Am 19.09.2023 sind am Nachmittag vermehrt Pass-the-Ticket Incidents aufgetreten. Bei dieser Art von Vorfall versucht ein Angreifer auf einem System ein bestehendes Kerberos Ticket zu extrahieren und auf einem weiteren System zur Anmeldung zu verwenden. In diesem konkreten Beispiel hatte der Microsoft Defender for Identity den Verdacht, dass das Kerberos Ticket eines Mitarbeitenden vom Direct Access Server auf einen Windows 11 Client übertragen und dort für den Zugriff auf AD-Dienste verwendet wurde.

  • Alert Story

    Alert Story

Security Vorfall eindämmen – wichtige Maßnahmen und Analyseschritte

Bei einem Vorfall mit solch einem Schweregrad sollten umgehend Maßnahmen getroffen werden, die das Problem eindämmen. Hier stehen zum Beispiel folgende Möglichkeiten zur Verfügung:

  • Netzwerk-Isolierung des Endgerätes über Defender for Endpoint
  • Sperren des Benutzerkontos
  • Ausschalten des Computers
  • Full Scan der Endpunkte über Defender for Endpoint

Danach werden weitere Analyseschritte eingeleitet, die sich mit folgenden Fragestellungen befassen:

  • Welche Systeme sind in dem Vorfall eingeschlossen?

    Der Direct Access Server dient zum Remote-Zugriff auf interne Ressourcen. Hier ist es nicht ungewöhnlich, dass Kerberos Tickets zur Authentifizierung verwendet werden. Der Windows 11 Client in dem Vorfall gehört zu dem Benutzer des Kerberos Tickets. Es ist also kein Fremdzugriff zu erkennen.

  • Was hat der Nutzer zu dem Zeitpunkt mit dem Endgerät gemacht?

    Nach Analyse der Timeline und Interview des Nutzers hat zu dem Zeitpunkt durch verschiedene Vor-Ort-Meetings ein Standortwechsel und somit auch Netzwerkwechsel stattgefunden. Hier könnte also kurzzeitig eine Verbindung mit dem Direct Access Server aufgebaut worden sein.

  • Ist das Verhalten ungewöhnlich?

    Zur Beantwortung dieser Frage hilft das Advanced Hunting im Defender Bereich weiter. Durch Abfragen werden die Anmeldeprotokolle ausgewertet und analysiert.

    Beispiel:

    IdentityLogonEvents |where AccountUpn == "" |sort by Timestamp asc |project Timestamp, ActionType, Application, LogonType,Protocol, FailureReason, AccountUpn, DeviceName, IPAddress


    Microsoft Defender for Identity Advanced Hunting

    Microsoft Defender for Identity Advanced Hunting


    So kann man die Anmeldungen zum Zeitpunkt des Vorfalls mit älteren Protokollen vergleichen. Hier stellt man fest, dass die Konstellation mit der Verbindung zum Direct Access Server auch sonst ähnlich abläuft. Spätestens zu diesem Zeitpunkt liegt der Verdacht nahe, dass es sich bei dem Vorfall um ein False Positive handelt. Dieser Verdacht muss aber noch bestätigt werden.

  • Kann das Problem nachgestellt werden?

    Mit entsprechenden Tests des Netzwerkwechsels konnte der Incident zu dem Zeitpunkt reproduziert werden.

Passend dazu gab es von Microsoft kurze Zeit später den Hinweis im Health Center:

  • Hinweis im Health Center

    Hinweis im Health Center

Somit gab es in diesem Fall erstmal Entwarnung und es handelt sich tatsächlich um ein False Positive. Dennoch konnte der Vorfall mit den eingesetzten Tools gut analysiert werden, um schnell einen Überblick über die Situation zu erhalten.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Security Assessment

Bei der Einführung von Defender Produkten wie z. B. Microsoft Defender for Identity helfen wir Ihnen gerne weiter. Durch unser Security Assessment erhalten Sie einen guten Überblick über ihre Sicherheitslage.

Jetzt informieren!

Weitere News zu diesem Thema

Defender External Attack Surface Management Preview

Defender External Attack Surface Management: So verwalten Sie externe Ressourcen

Alle News, News IT-Betrieb, News Kompetenzen, News Microsoft Microsoft 365, News Security, Unsere Top-News
Weiterlesen
2025-05-09
Cyberangriff Beispiel – detaillierte Analyse eines echten Angriffs

Cyberangriff Beispiel – detaillierte Analyse eines echten Angriffs

Alle News, News IT-Betrieb, News Kompetenzen, News Microsoft Microsoft 365, News Security, Unsere Top-News
Weiterlesen
2025-04-10
Power Platform Governance – so vermeiden Sie Chaos und Risiken

Power Platform Governance – so vermeiden Sie Chaos und Risiken

Alle News, News IT-Betrieb, News Kompetenzen, News Microsoft Microsoft 365, News Microsoft Power Platform, News Security, Unsere Top-News
Weiterlesen
2025-04-01
Seite 1 von 21123›»

Pressekontakt

Aysel Nixdorf, Marketing Managerin bei Net at Work.
Gerne stehe ich Ihnen bei Fragen zu Net at Work und unserem Angebot jederzeit zur Verfügung. Sprechen Sie mich an.

Aysel Nixdorf
Marketing & PR
Telefon +49 5251 304627

Kostenfreier Beratungstermin

Wird geladen

Newsletter

Jetzt abonnieren

Jetzt Beitrag teilen!

  • teilen 
  • teilen 
  • teilen 
  • E-Mail 

Unternehmen

  • Profil
  • Kontakt
  • Karriere
  • Impressum
  • Datenschutzerklärung
  • Allgemeine Geschäftsbedingungen (AGB)
  • Datenschutzinformation für Geschäftspartner und Bewerber

Kompetenzen

  • Microsoft 365
  • Microsoft 365 Change Management
  • Managed Services Provider
  • Microsoft Teams
  • Microsoft Teams Telefonie
  • Microsoft Teams Contact Center
  • Microsoft 365 Security
  • Microsoft Copilot
  • Microsoft Azure
  • Microsoft SharePoint
  • Microsoft Exchange
  • Microsoft Power Platform
  • Informationsmanagement
  • Intranet
  • E-Mail-Sicherheit

Microsoft Solutions Partner Modern Work

Microsoft Solutions Partner Security

News

  • Newsletter abonnieren
  • Kompetenzen
  • Unternehmen
  • Termine
  • Alle News

Letzte News

  • Defender External Attack Surface Management Preview
    Defender External Attack Surface Management: So verwalten Sie externe Ressourcen2025-05-09 - 10:00
  • Great Place To Work – Net at Work zählt zu den Top 30 der besten Arbeitgeber in Deutschland
    Great Place To Work – Net at Work zählt zu den Top 30 der besten Arbeitgeber in Deutschland2025-04-28 - 10:16
  • Cyberangriff Beispiel – detaillierte Analyse eines echten Angriffs
    Cyberangriff Beispiel – detaillierte Analyse eines echten Angriffs2025-04-10 - 11:00
IMPRESSUM • Datenschutzerklärung •  • © 2025 Net at Work GmbH
  • Link zu X
  • Link zu Xing
  • Link zu LinkedIn
  • Link zu Instagram
  • Link zu Youtube
Nach oben scrollen Nach oben scrollen Nach oben scrollen