>_AYSOLI SECURITY HUB
THREAT AREA

M365 Tenant Governance

Die Sicherheit deines gesamten M365-Ökosystems beginnt auf der globalen Administrationsebene. Standardeinstellungen sind oft zu offen und erlauben es Angreifern, sich dauerhaft im Tenant festzusetzen oder unbemerkt Daten abzuführen.

Deine Strategie

Etabliere eine strikte Kontrolle über Drittanbieter-Apps und Authentifizierungs-Methoden. Nutze das Unified Audit Log (UAL) als zentrale "Single Source of Truth" für forensische Analysen. Deaktiviere Legacy Auth konsequent, um MFA-Bypassing zu verhindern.

Best Practices

  • App Governance: Erlaube nur verifizierte Publisher und erzwinge den Admin-Consent-Workflow.
  • Identität: Nutze Cloud-Only Admin Accounts ohne Lizenzen/Postfächer zur Reduzierung der Angriffsfläche.
  • Monitoring: Integriere das UAL in dein SIEM und überwache globale Einstellungsänderungen.

STRIDE-LM Design-Risiken

SpoofingS-01

Identity Spoofing

Angreifer gibt sich als legitimer Benutzer oder Partner aus.

TamperingT-01

Data Tampering

Unbefugte Änderung von geteilten Daten oder Konfigurationen.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-M365-01

Exfiltration via Inbox Rules

Automatisierte Weiterleitung von E-Mails an externe Adressen.

Denial of ServiceD-01

Resource Exhaustion

Überlastung von Systemen durch massenhafte Anfragen oder Ressourcen-Hogging.

Elevation of PrivilegeE-M365-01

Illicit Consent Grant

Angreifer tricksen Benutzer aus, um einer bösartigen App weitreichende Rechte zu gewähren.

Lateral MovementL-01

Lateral Movement

Zugriff auf weitere interne Systeme nach erstem Login.

Monitoring GapsM-01

Insufficient Logging

Fehlende oder unzureichende Aufzeichnung von sicherheitsrelevanten Ereignissen.

MITRE ATT&CK® Techniken

Initial Access
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
Modern Auth EnforcementGrundschutzNiedrig
CIS: 6.1NIST: PR.AC-1
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
T1566-003

Spearphishing via Service

ATT&CK

Phishing über vertrauenswürdige Cloud-Dienste (Teams, LinkedIn).

Mitigiert durch
Anti-Phishing & Anti-Spam PoliciesGrundschutzNiedrig
CIS: 9.2NIST: PR.PT-4
Execution
T1137

Office Application Startup

ATT&CK

Ausnutzung von Office-Startvorgängen zur Codeausführung.

Mitigiert durch
Restricted App ConsentGrundschutzNiedrig
CIS: 16.1NIST: PR.AC-1
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1
Persistence
T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch
Restricted App ConsentGrundschutzNiedrig
CIS: 16.1NIST: PR.AC-1
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
T1484

Domain Policy Modification

ATT&CK

Ändern von Domänen-Richtlinien zur Rechteausweitung.

Mitigiert durch
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Break-Glass AccountsGrundschutzNiedrig
CIS: 6.5NIST: PR.IP-4
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Credential Access
T1528

Steal Application Access Token

ATT&CK

Diebstahl von Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Restricted App ConsentGrundschutzNiedrig
CIS: 16.1NIST: PR.AC-1
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Modern Auth EnforcementGrundschutzNiedrig
CIS: 6.1NIST: PR.AC-1
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
Discovery
T1087

Account Discovery

ATT&CK

Aufzählung interner Konten und Gruppenstrukturen nach erstem Zugriff.

Mitigiert durch
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Lateral Movement
T1550

Use Alternate Authentication Material

ATT&CK

Nutzung gestohlener Tokens oder Hashes zur Authentifizierung ohne Kennwort.

Mitigiert durch
Modern Auth EnforcementGrundschutzNiedrig
CIS: 6.1NIST: PR.AC-1
Collection
T1114-003

Email Forwarding Rule

ATT&CK

Automatisierte Exfiltration durch Posteingangsregeln.

Mitigiert durch
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch