MDR
      Zurück zur Startseite
      1. Hilfezentrum
      2. Stoïk Protect
      3. MDR

      Einrichtung der ITP-Integration mit Entra ID

      Voraussetzungen

      Bevor Sie mit der Integration beginnen, stellen Sie sicher, dass Sie über eine kostenpflichtige Entra ID-Lizenz verfügen. Es ist zu beachten, dass Microsoft Entra ID Free nicht unterstützt wird.

      Prozess der Integration

      Die Integration von Identity Protection mit Microsoft Entra ID erfordert die folgenden Schritte für jeden Azure-Tenant :

      Schritt 1: Erstellen und Einrichten einer Anwendung in Entra ID

      1. Öffnen Sie in Ihrem Azure-Portal das Menü auf der linken Seite und klicken Sie auf "Microsoft Entra ID".
      2. Wählen Sie auf der Seite Microsoft Entra ID aus dem Menü Hinzufügen die Option "Anwendungsregistrierung".
      3. Auf der Seite "Anwendung registrieren" :
        • Geben Sie unter "Name" einen Namen ein, der Ihren internen Namenskonventionen entspricht, oder alternativ den Namen "stoik-connector-itp"
        • Wählen Sie unter "Unterstützte Kontotypen" die Option "Nur Konten in diesem Organisationsverzeichnis".
        • Wählen Sie unter "Umleitungs-URI" die Option "Web" und geben Sie "https://localhost" ein.
        • Klicken Sie auf "Speichern".
      4. Klicken Sie im linken Menü der Anwendung auf "API-Berechtigungen".
      5. Klicken Sie auf der Seite "API-Berechtigungen" auf "Berechtigung hinzufügen".
      6. Im Bereich "API-Berechtigungen anfordern" :
        • Klicken Sie auf "Microsoft Graph".
        • Wählen Sie "Anwendungsberechtigungen".
        • Wichtig : In "Berechtigungen auswählen" :
          • Geben Sie "directory" ein, erweitern Sie "Directory" und wählen Sie "Directory.Read.All".
          • Geben Sie "audit" ein, erweitern Sie "AuditLog" und wählen Sie "AuditLog.Read.All".
      7. Klicken Sie auf "Berechtigungen hinzufügen".
      8. Klicken Sie auf der Seite mit den API-Berechtigungen auf "Administratorenzustimmung gewähren" und bestätigen Sie.

      Schritt 2: Wiederherstellen der Tenant-Domain

      1. Gehen Sie im Azure-Portal zu Microsoft Entra ID
      2. Klicken Sie im Menü auf der linken Seite auf "Überblick".
      3. Notieren Sie sich den Wert der "Hauptdomäne" (z.B. example.onmicrosoft.com), Sie werden ihn später benötigen.

      Schritt 3: Abrufen der Anwendungs-ID und des Geheimnisses

      1. Gehen Sie in Microsoft Entra ID zu "Anwendungsregistrierung".
      2. Wählen Sie Ihre Anwendung.
      3. Notieren Sie sich unter "Übersicht" die Anwendungs-ID (Client), Sie werden sie später brauchen.
      4. In "Zertifikate und Geheimnisse" :
        • Erstellen Sie ein neues Kundengeheimnis
        • Geben Sie ihm eine Beschreibung und eine Gültigkeitsdauer
        • Wichtig : Notieren Sie sich sofort den erzeugten Wert, er wird später nicht mehr sichtbar sein, Sie werden ihn später brauchen

      Schritt 4: Erstellen einer benutzerdefinierten Rolle für den RBAC-Zugang

      Um Informationen über Azure RBAC-Rollenzuweisungen in Identity Protection anzuzeigen, müssen Sie der Anwendung die Erlaubnis erteilen, RBAC-Definitionen und -Zuweisungen zu lesen. Es wird empfohlen, eine benutzerdefinierte Rolle mit den minimal erforderlichen Berechtigungen zu erstellen.

      Erstellen der benutzerdefinierten Rolle

      1. Gehen Sie im Azure-Portal zu Administrationsgruppen
      2. Klicken Sie auf Tenant Root Group
      3. Wählen Sie Zugangskontrolle (IAM) und klicken Sie dann auf Rollen
      4. Klicken Sie auf Hinzufügen und wählen Sie dann Benutzerdefinierte Rolle hinzufügen.
      5. Auf der Registerkarte Grundlegende Informationen :
        • Geben Sie einen aussagekräftigen Namen für die Rolle ein (z. B. "RBAC Identity Protection Reader").
      6.    Fügen Sie auf der Registerkarte Berechtigungen die folgenden Berechtigungen hinzu:

        • Microsoft.Authorization/roleDefinitions/read
        • Microsoft.Authorization/roleAssignments/read
        7. Klicken Sie auf Prüfen + Erstellen, überprüfen Sie die Einstellungen der neuen Rolle und klicken Sie dann auf Erstellen.

      Zuweisung der benutzerdefinierten Rolle

      Nachdem Sie die Rolle erstellt haben, müssen Sie sie der zuvor erstellten Anwendung zuweisen :

      1. Gehen Sie im Azure-Portal zurück zu Administrationsgruppen
      2. Klicken Sie auf Tenant Root Group
      3. Wählen Sie Zugriffskontrolle (IAM) und klicken Sie dann auf Rollenzuweisungen
      4. Klicken Sie auf Hinzufügen und wählen Sie dann Rollenzuweisung hinzufügen.
      5. Wählen Sie auf der Registerkarte Rolle die benutzerdefinierte Rolle aus, die Sie gerade erstellt haben
      6. Auf der Registerkarte Mitglieder :
        • Klicken Sie auf Mitglieder auswählen
        • Suchen Sie die zuvor erstellte Anwendung (z. B. "stoik-connector-itp").
        • Markieren Sie sie und klicken Sie auf Auswählen
      7. Klicken Sie auf Prüfen + zuweisen
      8. Überprüfen Sie die Details der Zuweisung und klicken Sie zur Bestätigung erneut auf Überprüfen + zuweisen.

       

      Schritt 5.A: Übermittlung der gesammelten Informationen

      Hinweis: Dieser Schritt gilt nur, wenn Sie keinen Administrationszugang zu Ihrer Falcon ITP-Plattform haben. Andernfalls gehen Sie bitte zu Schritt 5.B über.

      Übermitteln Sie die zuvor gesammelten Elemente für die Einrichtung der ITP-Verbindung auf sichere Weise an Ihre Stoik-Kontaktstelle:

      • Tenant-Domäne
      • Anwendungs-ID
      • Anwendungsgeheimnis

      Schritt 5.B: Einrichten des Konnektors in Identity Protection

      1. Gehen Sie in der Falcon-Konsole zu "Identity Protection > Configure > Connectors"
      2. Wählen Sie "Entra" in der Kategorie IDAAS aus
      3. Konfigurieren Sie den Konnektor mit :
        • Tenant-Domäne
        • Anwendungs-ID
        • Anwendungsgeheimnis
        • Aktivieren Sie die Option zum Sammeln von Verbindungsdaten
      4. Speichern Sie die Konfiguration

      Die Anzeige sollte innerhalb einer Minute auf grün wechseln und damit bestätigen, dass die Verbindung erfolgreich hergestellt wurde.

      Schritt 6: Nachbesserung durch die Stoik-Teams

      Wenn ein Konto in Ihrer Entra ID-Umgebung am Wochenende oder in der Nacht kompromittiert wird, ist es wahrscheinlich, dass Ihre Mitarbeiter nicht verfügbar sind, um die notwendigen Abhilfemaßnahmen durchzuführen. Wir empfehlen Ihnen daher, Zugriffsmöglichkeiten bereitzustellen, um die betroffenen Konten im Falle einer Kompromittierung zu deaktivieren.

      Dazu müssen Sie nur auf diesen Link klicken. Sie werden dann auf eine Seite mit dem unten stehenden Muster weitergeleitet. Klicken Sie auf die Schaltfläche Akzeptieren, nachdem Sie die geforderten Genehmigungen zur Kenntnis genommen haben. Sie werden dann zu einer leeren Seite weitergeleitet, die Sie schließen können.

      Die Anwendung verfügt nur über die notwendigen Berechtigungen, um bestehende Konten in Ihrer Azure-Umgebung zu aktivieren/deaktivieren, ohne die Möglichkeit, andere Attribute zu erstellen oder zu ändern.

      Der Zugriff auf diese Funktionen ist streng geregelt: Jede Aktion wird über MFA (Multi-Faktor-Authentifizierung) authentifiziert, nachverfolgt und mit einem Zeitstempel versehen. Ein vollständiges Audit-Protokoll dieser Vorgänge kann Ihnen auf Anfrage zur Verfügung gestellt werden.