Microsoft 365 Incident Response

Unser Incident Response Team unterstützt Ihr Unternehmen dabei, kritische Sicherheitsvorfälle in M365 schnell einzudämmen und zu beheben.

Unterstützung anfordern
Dieses Video wird beim Abspielen von YouTube geladen. Mit dem Abspielen akzeptieren Sie die Datenschutzerklärungen von HVS Consulting / IS-FOX und YouTube.

Mehr als 500 Kunden vertrauen unserer Cyber Security-Expertise

Dieses Video wird beim Abspielen von YouTube geladen. Mit dem Abspielen akzeptieren Sie die Datenschutzerklärungen von HVS Consulting / IS-FOX und YouTube.

Allianz
Amadeus
Audi
Munich Airport
LBBW
Lufthansa
Osram
RS
Saarlb
VKB

Sie wurden angegriffen?

Für sofortige Hilfe rufen Sie bitte unsere Incident Response-Hotline unter +49 89 890 63 62 61 an oder nutzen Sie das Kontaktformular:
Sofortige Unterstützung erhalten

Die Herausforderung: Identitätsdiebstahl in M365

Die Kompromittierung von Cloud-Identitäten stellen ein erhebliches Risiko für Unternehmen dar. Angreifer können verschiedene Techniken nutzen, um auf Identitäten zuzugreifen, ohne auf Malware oder Kompromittierung von Servern zurückzugreifen.

Unzureichende Sicherheitskonfigurationen und fehlende Überwachung können dazu führen, dass Identitätsdiebstähle sehr einfach werden. Zum Beispiel durch das Extrahieren von wiederverwendeten Passwörtern aus öffentlich verfügbaren Data Breaches.

Darüber hinaus werden Angreifer zunehmend raffinierter und überwinden häufig verwendete Multi-Faktor-Authentifizierungsmaßnahmen wie Push-Benachrichtigungen (Microsoft Authenticator) oder zeitbasierte Einmalpasswörter (TOTP). Diese Faktoren werden von den Angreifern mittels Adversary-in-the-Middle (AitM) Angriffen abgephisht.

Unsere Experten haben in den letzten 10 Jahren Hunderte von Incident Response Einsätzen bewältigt, von mittelständischen Unternehmen bis hin zu großen Konzernen (DAX40), und haben in dieser Zeit ein umfangreiches Know-how aufgebaut. 

Adobestock 88348922 1 (10)

Die Lösung: Schnelle Reaktion auf kritische Sicherheitsvorfälle

Angesichts eines kritischen IT-Sicherheitsvorfalls ist schnelles und effektives Handeln entscheidend. Unsere Priorität liegt darin, den Vorfall einzudämmen und seine Auswirkungen auf Ihre Betriebsabläufe zu minimieren. Wir durchsuchen akribisch verschiedene Protokolle in Azure, Entra, M365, O365 und Exchange Online, um jegliche bösartige Aktivität zu lokalisieren und den vollen Umfang des Angriffs zu erfassen. So gehen wir vor:
Triage Assessment
Eindämmung
Im ersten Schritt fokussieren wir uns darauf, den Fortschritt der Angreifer zu stoppen und weiteren Schaden zu verhindern. Wir überprüfen bereits durchgeführte Eindämmungsmaßnahmen und ergreifen bei Bedarf zusätzliche Schritte. Ob es darum geht, Passwörter in EntraID zurückzusetzen, aktive Sitzungen zu beenden, Persistenztechniken wie E-Mail-Weiterleitungen oder alternative MFA-Methoden zu beseitigen – unser Ziel: die Verhinderung weiteren Schadens.
Disk Ram Analysis
Beweissicherung und Analyse
Wir beschaffen, korrelieren und analysieren Ihre Cloud-Protokolle, wie z.B. die O365-Aktivitätsprotokolle. Verdächtige Aktivitäten auf nicht verwalteten Geräten, untypische Geolokationen oder andere ungewöhnliche Verhaltensweisen in der Cloud-Umgebung – kein Detail bleibt unbeachtet. Mit diesen Einblicken implementieren wir weitere Eindämmungsmaßnahmen und antizipieren zukünftige Risiken.
Compromise Assessments
Ursachenanalyse
Wir führen gründliche Bewertungen durch, um die Ursache der Kompromittierung aufzudecken. Phishing-Angriffe dienen oft als Eingangsvektor für solche Angriffe, was uns dazu veranlasst, Nachrichtenprotokolle und Auditprotokolle zu analysieren. Unser Ansatz geht über das Offensichtliche hinaus und nutzt OSINT-Techniken und Client-Triage-Pakete. Durch diesen facettenreichen Ansatz decken wir nicht nur die Ursache auf, sondern legen auch den Grundstein für wirksame Strategien zur Schadensbegrenzung.

Der Ansatz

Es ist offensichtlich, dass es nicht darum geht, "ob", sondern "wann" ein Cyberangriff stattfinden wird. Eine solide Cybersicherheitsstrategie erfordert einen neuen Ansatz, der sich auf eine strukturierte und koordinierte Vorgehensweise konzentriert.

Melden Sie den M365 Vorfall

Egal, ob es sich um einen M365 Incident, eine O365 Kompromittierung, einen Entra Vorfall oder ein kompromittiertes Exchange Online-Postfach handelt, Ihr erster Schritt besteht immer darin, das Incident Response-Team über unsere Notfallhotline +49 89 890 63 62 61 zu informieren oder hier eine Anfrage zu stellen.

Unsere Experten werden sich um alle folgenden Schritte kümmern, um Sie so schnell wie möglich durch den gesamten Incident Response Prozess zu führen.

Melden Sie den M365 Vorfall


< >

Erstkontakt

In einem Erstkontakt erstellen wir einen Bericht über die aktuelle Situation und sammeln alle Fakten, die notwendig sind, um Folgemaßnahmen zu ergreifen, mit dem Ziel, den Vorfall schnell einzudämmen und zu beheben.

Der Erstkontakt, einschließlich des Lageberichts und der Entscheidungen, wird von HvS dokumentiert, damit Sie sich auf die nächsten Schritte und Entscheidungen konzentrieren können.

Erstkontakt


< >

Eindämmung

Um weitere Auswirkungen, wie Datenverlust oder Reputationsschäden, zu minimieren, ist eine schnelle Eindämmung entscheidend. Unsere erfahrenen Incident Responder werden Sie durch alle notwendigen Eindämmungsmaßnahmen führen.

Mit einer vorbereiteten Checkliste und gründlich getesteten Eindämmungsmaßnahmen wird dieser Schritt schnell und zuverlässig umgesetzt.

Eindämmung


< >

Forensische Analyse

Als nächstes folgt forensische Analyse des Angriffs. Durch das Sammeln von Beweisen, wie z.B. verschiedene Arten von Cloud-Protokollen, werden unsere forensischen Experten den Eintrittsvektor sowie die Aktivitäten der Angreifer identifiziert.

Die gesammelten Informationen helfen uns, den Vorfall im nächsten Schritt zu beheben und solche Vorfälle in Zukunft zu verhindern.

Forensische Analyse


< >

Remediation und Learnings

Auf der Grundlage der forensischen Ergebnisse werden wir über die notwendigen Maßnahmen zur Behebung entscheiden.

Um aus dem Vorfall zu lernen, erhalten Sie einen ausführlichen Bericht, der eine Zusammenfassung für das Management, einen detaillierten Ablauf des Angriffs sowie Empfehlungen zur Vermeidung solcher Vorfälle in der Zukunft enthält.

Remediation und Learnings


< >

Sofortige Unterstützung erhalten

Im Notfall kontaktieren Sie bitte unsere Incident Response-Hotline unter +49 89 890 63 62 61 oder nutzen Sie das Kontaktformular.

Wie wir mit Ihren Daten umgehen, finden Sie in unseren Datenschutzhinweisen.

Warum HvS-Consulting?

Experience

> 20

Jahre Erfahrung in der Cyber Security und wir lernen trotzdem noch jeden Tag dazu.
Hvs Employees

> 50

hochqualifizierte Mitarbeiter. Wir verstehen uns als "Boutique" und liefern Klasse statt Masse.
Clients

> 500

zufriedene Kunden, davon 50% der DAX-Konzerne und hunderte mittelständische Unternehmen.
Client Employees

> 1 Mio.

sensibilisierte Mitarbeiter, Manager, Administratoren und Entwickler, im In-und Ausland.

Antworten auf Ihre Fragen

Nach der ersten Entdeckung eines Vorfalls ist Schnelligkeit von größter Bedeutung, um weitere Schäden und Auswirkungen auf Ihr Unternehmen, wie Datenverlust oder Reputationsschäden, zu verhindern. Bei vergangenen Vorfällen haben wir die Exfiltration von E-Mails und SharePoint-Daten, weiteres internes Phishing oder sogar Betrugsfälle im sechsstelligen Bereich mit nur einer kompromittierten Cloud-Identität erlebt.

Ohne schnelle und angemessene Eindämmungsmaßnahmen entwickelt sich ein kleiner Vorfall schnell zu einem Vorfall mit großer Tragweite.

Kontaktieren Sie daher unsere Incident Response-Experten so schnell wie möglich nach der ersten Entdeckung über unsere Notfall-Hotline +49 89 890 63 62 61 oder stellen Sie hier eine Anfrage.

Vorfälle in der Microsoft Cloud werden in der Regel durch Warnungen der Microsoft Defender-Suite erkannt, vor allem durch den Identitätsschutz von Microsoft. Typische Warnungen, die Sie sehen können, sind:

  • Atypical travel
  • Anomalous Token
  • Suspicious browser
  • Unfamiliar sign-in properties
  • Malicious IP address
  • Suspicious inbox manipulation rules
  • Password spray
  • Impossible travel
  • New country
  • Activity from anonymous IP address
  • Suspicious inbox forwarding
  • Mass Access to Sensitive Files
  • Verified threat actor IP
  • Additional risk detected
  • Anonymous IP address
  • Admin confirmed user compromised
  • Microsoft Entra threat intelligence
  • Possible attempt to access Primary Refresh Token (PRT)
  • Anomalous user activity
  • User reported suspicious activity
  • Suspicious API Traffic
  • Suspicious sending patterns
  • Leaked credentials
  • Microsoft Entra threat intelligence
  • Token issuer anomaly
  • Unusual volume of external file sharing
  • Messages have been delayed

Wenn Sie einige dieser Warnungen in Ihrer Umgebung sehen, sollten Sie sie ernst nehmen und sofortige Gegenmaßnahmen ergreifen.​

In den letzten Jahren haben viele Unternehmen die Multifaktor-Authentifizierung (MFA) als eine sehr wichtige Sicherheitsmaßnahme zum Schutz von Benutzerkonten erkannt.

In der Vergangenheit war jede MFA-Methode ausreichend, um ein Unternehmen vor den meisten Phishing-Bedrohungen zu schützen. Mit der zunehmenden Verbreitung von MFA haben die Angreifer ihre Phishing-Angriffe entsprechend angepasst.

Heute ist es üblich, dass Angreifer Adversary-in-the-Mittle (AitM), auch bekannt als Man-in-the-Middle (MitM), Phishing-Websites verwenden, die den Schutz durch nicht Phishing-resistente MFA-Methoden wie SMS-Token, TOTPs oder Push-Benachrichtigungen für mobile Apps umgehen können.

Bei beiden Phishing-Angriffen wird der Benutzer zunächst auf eine Phishing-Website geleitet und zur Eingabe seiner Anmeldedaten verleitet. Beim gewöhnlichen Phishing speichern die Angreifer die Anmeldedaten des Benutzers einfach zur späteren Verwendung. AitM - die raffiniertere Variante - verwendet einen bösartigen Proxy-Server, der die Phishing-Seite hostet.

Dieser Proxy wird verwendet, um die Anmeldeinformationen des Benutzers dynamisch und in Echtzeit an Microsoft weiterzuleiten, um einen Authentifizierungsprozess und die entsprechenden MFA-Mechanismen auszulösen.

Je nach MFA-Methode des Benutzers zeigt die Phishing-Seite dann die Eingabeaufforderung, das Formular oder die Informationen an, die dem Benutzer auf der echten Microsoft-Seite angezeigt werden würden. Auf diese Weise kann der Benutzer den MFA-Vorgang auf der Phishing-Seite abschließen, die dann wiederum vom Angreifer an Microsoft weitergeleitet wird.

Das daraus resultierende Multi-Faktor-Authentifizierungs-Session-Token wird vom Angreifer aufbewahrt und nicht an den Benutzer weitergeleitet.

Da die meisten Vorfälle in der Cloud immer noch mit einer Phishing-Mail beginnen, ist die beste Art, solche Vorfälle zu verhindern, die Implementierung einer Multi-Faktor-Authentifizierung mit phishing-resistenten Faktoren in Kombination mit einer umfassenden Sensibilisierungskampagne.

Im Notfall kontaktieren Sie bitte unsere Incident Response-Hotline:

+49 89 890 63 62 61

Alternativ nutzen Sie bitte das Kontaktformular, um sofortige Unterstützung zu erhalten.

Für andere Anliegen kontaktieren Sie uns bitte hier.