Einrichtung von CrowdStrike ITP mit Entra ID

1. Zweck von ITP

   1. Identitätszentrierte Verhaltensanalyse

   2. Bewertung Ihrer Active Directory-Sicherheitslage

   3. Cloud-Bedrohungsüberwachung (optional)

2. Integration von ITP

   1. Schritt 1: Erstellen und Konfigurieren einer Anwendung in Entra ID

   2. Schritt 2: Abrufen der Mandantendomäne

   3. Schritt 3: Abrufen der Anwendungs-ID und des Geheimnisses

   4. Schritt 4: Erstellen einer benutzerdefinierten Rolle für RBAC-Zugriff

   5. Schritt 5: Übermittlung der gesammelten Informationen

   6. Schritt 6: Konfiguration des Connectors in Identity Protection

   7. Schritt 7: Behebung durch Stoïk-Teams

1. Zweck von ITP (Identity Threat Protection)

Die ITP-Option überwacht kontinuierlich kontobezogene Aktivitäten und Active Directory, um ungewöhnliches Verhalten zu erkennen:

Identitätszentrierte Verhaltensanalyse

• Verdächtige Authentifizierungen

• Ungewöhnliche Zugriffsverhalten

• Unbefugte Anmeldeversuche

• Anomalien bei Benutzerkonten

Beispiele für erkannte Ereignisse: verdächtige Arbeitsstation-zu-Server-Verbindungen, Netzwerkscans, Brute-Force-Versuche oder Anmeldeinformations-Extraktion. Wenn ein kritisches Ereignis identifiziert wird, kann das Modul es automatisch blockieren.

Bewertung Ihrer Active Directory-Sicherheitslage

Das Modul bietet eine Echtzeitübersicht über die Sicherheit Ihres Active Directory, ähnlich dem Stoïk Protect AD-Scan, jedoch mit erweiterten Optionen:

• Erkennung von Konfigurationsproblemen

• Erkennung von Konten mit kompromittierten Passwörtern

• Verwaltung und Kontrolle von Benutzerprivilegien

Diese Funktion hilft Ihnen Schwachstellen schnell zu beheben und die Sicherheit Ihrer Infrastruktur zu stärken.

Cloud-Bedrohungsüberwachung (optional)

Wenn ITP mit Ihrem Identitätsdienst (z. B. Entra ID) konfiguriert ist, kann es Bedrohungen in Ihren Cloud-Umgebungen erkennen:

• Anmeldungen von verdächtigen IP-Adressen

• Ungewöhnliche Zugriffsversuche auf Benutzerkonten

Diese Integration hilft Ihre Identitäten sowohl vor Ort als auch in der Cloud zu schützen, indem sie vollständige und proaktive Transparenz über Ihre Sicherheitslage bietet.

2. Integration von ITP

Die Integration von Identity Protection mit Microsoft Entra ID erfordert die folgenden Schritte für jeden Azure-Mandanten:

• Erstellung und Konfiguration einer Anwendung in Entra ID

• Abruf der Mandantendomäne

• Abruf der Anwendungs-ID und des Geheimnisses

• Erstellung einer benutzerdefinierten Rolle für RBAC-Zugriff

• Konfiguration der ITP-Option

• Übermittlung der gesammelten Informationen

• Konfiguration des Connectors in Identity Protection

• Berechtigungen für die Behebung

Schritt 1: Erstellen und Konfigurieren einer Anwendung in Entra ID

1. Öffnen Sie im Azure-Portal das Menü auf der linken Seite und klicken Sie „Microsoft Entra ID“

2. Auf der Seite Microsoft Entra ID wählen Sie im Hinzufügen Menü aus, wählen Sie „App-Registrierungen“

3. Auf der Seite „Eine Anwendung registrieren“ Seite:

   • Unter NameGeben Sie einen Namen ein, der Ihren internen Namenskonventionen entspricht, oder verwenden Sie „stoik-connector-itp“

   • Unter Unterstützte Kontotypenwählen Sie „Konten nur in diesem Organisationsverzeichnis“

   • Unter Umleitungs-URIwählen Sie „Web“ und geben Sie ein https://localhost

   • Klicken Sie Registrieren

4. Klicken Sie im linken Menü der Anwendung auf „API-Berechtigungen“

5. Auf der API-Berechtigungen Seite, klicken Sie „Berechtigung hinzufügen“

6. Im Anforderungsfenster für API-Berechtigungen Bereich:

   • Klicken Sie Microsoft Graph

   • Wählen Sie Anwendungsberechtigungen

Wichtig – Unter „Berechtigungen auswählen“:

• Geben Sie ein „directory“, klappen Sie Directory, und wählen Sie Directory.Read.All

• Geben Sie ein Geben Sie, klappen Sie „audit“, und wählen Sie AuditLog

1. Klicken Sie AuditLog.Read.All

2. Berechtigungen hinzufügen Klicken Sie auf der Seite API-Berechtigungen auf Administratorzustimmung erteilen

Schritt 2: Abrufen der Mandantendomäne

1. und bestätigen Sie Wechseln Sie im Azure-Portal zu

2. Microsoft Entra ID Klicken Sie im linken Menü auf

3. Übersicht Notieren Sie den Wert der Primärdomäne (z. B.example.onmicrosoft.com

Schritt 3: Abrufen der Anwendungs-ID und des Geheimnisses

1. ), die später benötigt wird Wechseln Sie in Microsoft Entra ID zu

2. App-Registrierungen

3. Wählen Sie Ihre Anwendung aus Klicken Sie im linken Menü aufIn notieren Sie dieAnwendungs-(Client-)ID

4. Wählen Sie Ihre Anwendung aus , die später benötigt wird:

   • Zertifikate & Geheimnisse

   • Erstellen Sie ein neues Client-Geheimnis

   • Geben Sie eine Beschreibung und eine Ablaufdauer an Wichtig:

   

Schritt 4: Erstellen einer benutzerdefinierten Rolle für RBAC-Zugriff

speichern Sie den erzeugten Wert sofort, da er später nicht mehr sichtbar ist und benötigt wird

Um Azure RBAC-Rollen-Zuweisungsinformationen in Identity Protection anzuzeigen, muss der Anwendung die Berechtigung erteilt werden, RBAC-Definitionen und -Zuweisungen zu lesen. Es wird empfohlen, eine benutzerdefinierte Rolle mit den minimal erforderlichen Berechtigungen zu erstellen.

1. und bestätigen Sie Erstellen Sie die benutzerdefinierte Rolle

2. Klicken Sie Verwaltungsgruppen

3. Wählen Sie Tenant Root GroupZugriffssteuerung (IAM) , klicken Sie dann auf

4. Klicken Sie HinzufügenRollen , und wählen Sie dann

5. Im benutzerdefinierte Rolle hinzufügen Registerkarte

   • Geben Sie einen eindeutigen Namen für die Rolle ein (z. B. „Identity Protection RBAC Reader“)

6. Im Berechtigungen Registerkarte, fügen Sie die folgenden Berechtigungen hinzu:

   • Microsoft.Authorization/roleDefinitions/read

   • Microsoft.Authorization/roleAssignments/read

7. Klicken Sie Überprüfen + erstellen, überprüfen Sie die Rolleneinstellungen und klicken Sie dann auf Erstellen

Weisen Sie die benutzerdefinierte Rolle zu

Sobald die Rolle erstellt wurde, weisen Sie sie der zuvor erstellten Anwendung zu:

1. Wechseln Sie im Azure-Portal zurück zu Erstellen Sie die benutzerdefinierte Rolle

2. Klicken Sie Verwaltungsgruppen

3. Wählen Sie Tenant Root GroupZugriffssteuerung (IAM) Rollenzuweisungen

4. Klicken Sie HinzufügenRollen Rolle zuweisen

5. Im Registerkarte Rolle, wählen Sie die gerade erstellte benutzerdefinierte Rolle aus Mitglieder

6. Im Mitglieder auswählen Registerkarte

   • Klicken Sie Suchen Sie nach der zuvor erstellten Anwendung (z. B.

   • Wählen Sie sie aus und klicken Sie auf „stoik-connector-itp“)

   • Überprüfen + zuweisen Wählen Sie

7. Klicken Sie Überprüfen Sie die Details der Zuweisung und klicken Sie

8. erneut, um zu bestätigen Überprüfen Sie die Details der Zuweisung und klicken Sie Hinweis:

Schritt 5: Übermittlung der gesammelten Informationen

Dieser Schritt gilt, wenn Sie nicht Über Administrationszugang zu Ihrer Falcon ITP-Plattform verfügen. Andernfalls beachten Sie bitte Schritt 5.B Senden Sie die zuvor gesammelten Informationen sicher an Ihren Stoïk-Ansprechpartner, um die ITP-Verbindung einzurichten:.

Primärer Domänenname des Mandanten*

• Anwendungs-ID

• Anwendungsgeheimnis

• * Bitte beachten Sie, dass der anzugebende Domänenname der ist, der von Microsoft bei der Erstellung Ihres Azure-Mandanten generiert wurde. Er ist über den untenstehenden Link zugänglich und endet immer mit

„onmicrosoft.com“ Gehen Sie in der Falcon-Konsole zu.

Schritt 6: Konfiguration des Connectors in Identity Protection

1. Identity Protection > Konfigurieren > Connectoren „Entra“

2. Wählen Sie unter der IDAAS Kategorie Konfigurieren Sie den Connector mit:

3. Primärer Domänenname des Mandanten

   • Aktivieren Sie die Option zur Sammlung von Anmeldedaten

   • Anwendungsgeheimnis

   • * Bitte beachten Sie, dass der anzugebende Domänenname der ist, der von Microsoft bei der Erstellung Ihres Azure-Mandanten generiert wurde. Er ist über den untenstehenden Link zugänglich und endet immer mit

4. Speichern Sie die Konfiguration

5. Die Statusanzeige sollte sich innerhalb einer Minute grün färben, was bestätigt, dass die Verbindung erfolgreich hergestellt wurde.

* Bitte beachten Sie, dass der zu verwendende Domänenname der ist, der von Microsoft bei der Erstellung Ihres Azure-Mandanten generiert wurde. Er ist über den untenstehenden Link zugänglich und endet immer mit

Im Falle einer Kompromittierung eines Kontos in Ihrer Entra ID-Umgebung während der Nacht- oder Wochenendzeiten sind Ihre Teams möglicherweise nicht verfügbar, um die notwendigen Behebungsmaßnahmen durchzuführen. Wir empfehlen daher, Zugriff zu gewähren, der es ermöglicht, betroffene Konten im Falle einer bestätigten Kompromittierung zu deaktivieren. Gehen Sie in der Falcon-Konsole zu.

Schritt 7: Behebung durch Stoïk-Teams

Um dies zu tun, klicken Sie einfach auf den

bereitgestellten Link . Sie werden auf eine Seite weitergeleitet, die dem untenstehenden Beispiel ähnelt. Klicken Sie nach Überprüfung der angeforderten Berechtigungen aufAkzeptieren Sie werden dann auf eine leere Seite weitergeleitet, die Sie schließen können. Die Anwendung verfügt nur über die Berechtigungen, die erforderlich sind, um vorhandene Konten in Ihrer Azure-Umgebung zu aktivieren oder zu deaktivieren, ohne die Möglichkeit, Konten zu erstellen oder andere Attribute zu ändern.

Der Zugriff auf diese Funktionen ist

streng kontrolliert : jede Aktion wird über MFA (Multi-Faktor-Authentifizierung) authentifiziert, protokolliert und mit Zeitstempel versehen. Ein vollständiges Prüfprotokoll dieser Vorgänge kann auf Anfrage bereitgestellt werden.