Buenas prácticas en M365 previas a un incidente

Gute Praktiken in M365 vor einem Vorfall

5. Mai 2025 Juan Antonio Calles

In der Cybersicherheit ist Vorbereitung alles. Besonders bei Umgebungen wie Microsoft 365, wo eine korrekte Vorkonfiguration den Unterschied zwischen einer effektiven Untersuchung und einer völlig undurchsichtigen Situation ausmachen kann. Es reicht nicht aus, erst nach einem Vorfall zu reagieren; die eigentliche forensische Arbeit beginnt viel früher, indem man die Umgebung so vorbereitet, dass Beweise erfasst, aufbewahrt und die Analyse erleichtert wird.

Unified Audit Log (UAL) ist das zentrale Element jeder Untersuchung in M365. Obwohl aktuelle Mandanten es standardmäßig aktiviert haben, ist dies in älteren Umgebungen nicht immer der Fall. Den Status im Compliance-Portal von Microsoft Purview zu überprüfen, ist eine wichtige Maßnahme. Weitere Informationen findet ihr unter folgendem Link:

https://learn.microsoft.com/es-es/windows-server/administration/user-access-logging/get-started-with-user-access-logging

Zur Klarstellung: Was früher als „Microsoft 365 Compliance Center“ oder „Purview Compliance Portal“ bekannt war, wurde von Microsoft in Microsoft Purview umbenannt und vereint sowohl Compliance- als auch Daten-Governance-Funktionen.

Eine Umgebung ohne UAL ist eine blinde Umgebung. Jeder Zugriff, jede Änderung oder verdächtiges Verhalten kann unbemerkt bleiben. Um UAL zu aktivieren, genügt es, einen einfachen PowerShell-Befehl auszuführen:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Protokollaufbewahrung: Dauer und Lizenzen

Die Dauer der Protokollaufbewahrung ist ein weiterer wesentlicher Aspekt. Bei Microsoft 365 E5-Lizenzen oder Äquivalenten kann Audit (Premium) aktiviert werden, das die Aufbewahrung auf bis zu 1 Jahr verlängert und erweiterte Ereignisse wie MailItemsAccessed ermöglicht. So lässt sich genau feststellen, ob ein Angreifer eine bestimmte Nachricht gelesen hat. Für strengere Compliance-Anforderungen kann diese Aufbewahrung durch benutzerdefinierte Richtlinien auf bis zu 10 Jahre verlängert werden.

Bei fehlenden E5-Lizenzen gibt es praktikable Alternativen:

90-tägige kostenlose Testversion von Purview Premium.
Automatischer Export von Logs in externen Speicher über API, PowerShell oder automatisierte Abläufe mit Azure Logic Apps, wobei Azure Blob Storage ein üblicher Zielort ist.

Diese Art von Maßnahmen ist besonders nützlich für regulierte Organisationen oder solche, die in kritischen Sektoren wie dem Gesundheitswesen oder dem Finanzwesen tätig sind, wo Rückverfolgbarkeit eine gesetzliche Anforderung ist.

Postfach-Auditierung: Nicht alle Ereignisse sind gleich

Seit 2019 aktiviert Microsoft standardmäßig die Basis-Auditierung von Postfächern. Erweiterte Funktionen – wie das Protokollieren, wer eine E-Mail gelesen oder auf ein freigegebenes Postfach zugegriffen hat – erfordern jedoch spezifische Konfigurationen und entsprechende Lizenzen. Beispielsweise ist für die Protokollierung des Zugriffs auf freigegebene Postfächer häufig ein Befehl wie dieser erforderlich:

Set-Mailbox -Identity "buzoncompartido@zerolynx.com" -AuditEnabled $true

Diese Art der Prüfung ist bei internen Untersuchungen unerlässlich, besonders wenn der Verdacht auf unbefugten Zugriff auf vertrauliche Informationen besteht. In hochsensiblen Umgebungen empfiehlt es sich, auch Service- oder Ressourcenpostfächer zu auditieren, die oft außerhalb der üblichen Kontrollen liegen.

Bewusste Aufbewahrung: Retention und Litigation Hold

Eine wirkungsvolle Präventionsstrategie ist die Verwendung von Litigation Hold bei Schlüsselanwendern. Auch wenn kein Rechtsstreit anhängig ist, stellt diese Funktion sicher, dass keine E-Mail dauerhaft gelöscht werden kann, nicht einmal vom Benutzer selbst.

Beispielsweise wenden viele Organisationen eine dauerhafte Aufbewahrung für Postfächer von Führungskräften oder Verantwortlichen kritischer Bereiche an. Dies schützt nicht nur vor Angriffen, sondern auch vor menschlichen Fehlern oder interner Sabotage.

Ergänzend ermöglicht die Definition von allgemeinen Aufbewahrungsrichtlinien für E-Mails und Dokumente – beispielsweise für ein Jahr – das Wiederherstellen aller innerhalb des konfigurierten Zeitraums gelöschten Inhalte. Wichtig ist, das Gleichgewicht zwischen rechtlichen Anforderungen, Datenschutz und forensischer Vorbereitung zu finden.

Differenzierte Konten für die Analyse

Ein weiteres Grundprinzip ist die Verwendung von differenzierten Konten für Untersuchungsoperationen. Das forensische oder Compliance-Team sollte nicht mit Standard-Administratorkonten arbeiten. Empfehlenswert ist es, spezifische Konten mit minimal notwendigen Berechtigungen (wie Zugriff auf eDiscovery, Audit oder Purview) zu haben, die mit dedizierter Multi-Faktor-Authentifizierung geschützt sind.

Dieser Ansatz bietet mehrere Vorteile:

Stärkt die Nachvollziehbarkeit: Jede Aktion wird klar einem Analyse-Konto zugeordnet.
Minimiert das Risiko seitlicher Eskalation: Wenn ein Administratorkonto kompromittiert wird, gewährt es keinen sofortigen Zugriff auf forensische Tools.
Ermöglicht strengere Kontrollen, wie die Verwendung dedizierter Geräte, IP- oder Geolokalisierungsbeschränkungen.

Die technischen Einschränkungen der Umgebung kennen

Eine angemessene Vorbereitung bedeutet auch, die Grenzen der Plattform zu kennen:

Entra ID speichert Audit-Logs standardmäßig nur 30 Tage lang.
Die Inhaltsuche in eDiscovery unterliegt Größen- und Zeitbeschränkungen.
Der Export aus Purview kann auf 2 TB pro Fall begrenzt sein.

Sich auf diese Einschränkungen vorzubereiten, hilft, kritische Blockaden während der Untersuchung zu vermeiden. Daher ist die Integration eines SIEM wie Microsoft Sentinel oder Lösungen von Drittanbietern zur Langzeitspeicherung von Logs eine immer verbreitetere Praxis.

Es ist auch ratsam, die Untersuchungen nach Custodians oder Abteilungen zu unterteilen, um die Datenmengen zu fragmentieren und Engpässe zu vermeiden.

Behandlung und Aufbewahrung von Beweismitteln

Sobald die Beweise gesammelt wurden – sei es PST-Dateien, CSV-Protokolle oder Screenshots – beginnt die empfindlichste Phase: die Aufbewahrung. Einige bewährte Praktiken umfassen:

Hash-Berechnung (SHA-256) zur Überprüfung der Integrität.
Speicherung in sicheren Repositorien mit Zugriffskontrolle (z. B. privates SharePoint, Azure Key Vault usw.).
Detaillierte Protokollierung des Extraktions- und Aufbewahrungsprozesses in einem forensischen Logbuch.

Obwohl Microsoft die anfängliche Sammlung erleichtert, hängt die Beweiskette vollständig von den internen Prozessen ab. Einen exklusiven digitalen Bereich für Untersuchungen zu haben, der nur autorisiertem Personal zugänglich ist, erleichtert die Verwaltung und Kontrolle der Beweisintegrität erheblich.

Forensische Übungen: Üben vor dem Chaos

Wie bei der Durchführung von Notfallwiederherstellungstests ist es unerlässlich, forensische Untersuchungsübungen durchzuführen. Diese Übungen sollten realistische Szenarien umfassen: unautorisierter Zugriff auf Postfächer, massiver Download von Dateien aus SharePoint, Manipulation von Berechtigungen usw.

Mit dem eDiscovery-Team zu üben, zu überprüfen, ob die Lizenzen korrekt zugewiesen sind, zu bestätigen, dass die Berechtigungen wie vorgesehen funktionieren, und die Reaktionszeiten zu messen, sind Maßnahmen, die den Unterschied ausmachen können, wenn ein echter Vorfall eintritt.

Fazit: Die Antworten sind da, wenn du sie richtig aufbewahrt hast

Wenn etwas schiefgeht, werden unweigerlich Fragen aufkommen: Was ist passiert? Wer war es? Von wo aus? Auf welche Informationen wurde zugegriffen oder wurden sie exfiltriert? Und all diese Antworten könnten bereits in den Microsoft 365-Protokollen enthalten sein.

Der Schlüssel liegt darin, dass diese Daten existieren, nicht manipuliert wurden und korrekt interpretiert werden können. Das ist die wahre Funktion einer effektiven Vorbereitung: nicht nur die Umgebung zu schützen, sondern sicherzustellen, dass im schlimmsten Fall die Wahrheit präzise rekonstruiert werden kann.

Zurück zum Blog