Zurück zum Blog

Entra ID Security Split – Tag 5: Threat Detection

Warum reine Prävention niemals reicht und wie du mit Microsoft Sentinel Angriffe in Echtzeit stoppst.

EntraIDSecurity
Entra ID Security Split – Tag 5: Threat Detection

Prävention ist wichtig. Aber wenn du glaubst, dass du jeden Angriff verhindern kannst, lügst du dir selbst in die Tasche. Kein System ist undurchdringlich — und genau deshalb brauchst du ein zentrales Nervensystem, das erkennt, wenn etwas schiefläuft.

Microsoft Sentinel ist dieses Nervensystem für deinen Tenant.

Schluss mit Alarm Fatigue

Das Problem in vielen Unternehmen: Es gibt Alerts. Hunderte. Aus verschiedenen Systemen, verschiedenen Konsolen, verschiedenen Teams. Und irgendwann klickt jeder nur noch weg.

Sentinel löst das, indem es Signale korreliert — über Systeme hinweg:

  • Ein Login aus einem unbekannten Land → allein vielleicht noch harmlos
  • Gleichzeitig eine MFA-Änderung → schon verdächtiger
  • Direkt danach eine Rolleneskalation → das ist ein Angriff

Einzeln betrachtet sind das Einzelsignale. Zusammen betrachtet siehst du den gesamten Angriffspfad. Und genau das ist der Unterschied zwischen “Alert weggeklickt” und “Angriff gestoppt”.

Verhaltensanalyse — dein Tenant lernt mit

Sentinel lernt, was normal ist. Für jeden User, jedes Gerät, jedes Muster. Und wenn etwas davon abweicht, schlägt es an:

  • Ungewöhnliche Login-Zeiten — ein User, der sonst nie nach 18 Uhr arbeitet, loggt sich um 3 Uhr morgens ein
  • Unmögliche Reisen — Login aus Frankfurt, 20 Minuten später Login aus Singapur
  • Massenänderungen — jemand ändert um 3 Uhr nachts 50 Sicherheitseinstellungen
  • Unbekannte Geräte — plötzlich ein Login von einem Gerät, das noch nie gesehen wurde

Das ist keine statische Regel. Das ist Behavioral Analysis — das System versteht Kontext und reagiert auf Abweichungen.

Automatische Abwehrreflexe

Erkennung allein reicht nicht. Wenn du einen Angriff erkennst, aber 45 Minuten brauchst, um zu reagieren, ist es zu spät. Sentinel ermöglicht automatisierte Reaktionen:

  • Sofortige Account-Sperrung — kompromittierter Account wird in Millisekunden deaktiviert
  • Echtzeit-Geräteisolation — betroffenes Gerät wird vom Netzwerk getrennt
  • Token Revocation — alle aktiven Sessions werden ungültig gemacht
  • Automatisierte Workflows — Playbooks, die ohne menschliches Zutun reagieren

Das ist wie ein Reflex. Du denkst nicht nach, ob du die Hand von der heißen Herdplatte ziehen sollst — du tust es. Automatisch. Sofort.

Trainingsplan: Threat Detection aufbauen

  • Entra ID Logs an Sentinel anbinden — Sign-In Logs, Audit Logs, Risky Users, Risky Sign-Ins
  • Atypische Login-Erkennung aktivieren — Impossible Travel, unfamiliar locations, anomalous token
  • Automatisierte Response-Regeln erstellen — Playbooks für die häufigsten Szenarien: Account kompromittiert, Massenänderung, Rolleneskalation
  • Alert-Triage definieren — wer bearbeitet welche Severity? Wer wird nachts geweckt?
  • Regelmäßige Übungen — simuliere Angriffe und prüfe, ob die Kette funktioniert

Prävention baut die Mauer. Detection sagt dir, wenn jemand drüberklettert. Und Automated Response wirft ihn wieder runter — bevor er landen kann.

Gruß Micha