![LOGO_STOIK_WHITE.png]](https://help.stoik.io/hs-fs/hubfs/LOGO_STOIK_WHITE.png?height=40&name=LOGO_STOIK_WHITE.png){kind=logo}
Das Identitätsmodul ermöglicht die Überwachung verdächtiger Aktivitäten in Ihrem Active Directory (AD); es analysiert Authentifizierungs- und Anmeldeprozesse.
Anders gesagt: Das Modul analysiert detailliert die Interaktionen im Active Directory – wer sich wo anmeldet, wie häufig, welche Objekte miteinander interagieren und zu welchen Zeitpunkten.
1. Konfiguration und Ergebnisse
Für einen ordnungsgemäßen Betrieb gilt:
- Der EDR muss auf dem Domänencontroller installiert sein
- Ein Patch-Management-Tool (z. B. Intune) wird empfohlen
- ✅ Keine Aktion Ihrerseits erforderlich : Stoïk übernimmt die gesamte Konfiguration über das CrowdStrike-Portal
Die Ergebnisse sind direkt in Stoïk Protect sichtbar, unter dem Reiter „End-Points“ > „Identitäten“.
2. Umfang des Moduls Identity Threat Protection
- ITP kann auch auf Entra ID bereitgestellt werden, um die Authentifizierungs- und Anmeldeflüsse in dieser Cloud-Umgebung zu analysieren.
- 👉 Siehe Artikel „Wie wird die ITP-Option mit Entra ID bereitgestellt?“
- Das ITP-Modul von CrowdStrike analysiert standardmäßig alle Konten im Active Directory. Es ist nicht möglich, nur einen Teil der Konten auszuschließen.
- 👉 Eine Einschränkung auf bestimmte Benutzerkonten würde die Ergebnisse verfälschen und die Fähigkeit zur Erkennung verdeckter Angriffe erheblich einschränken.
💡 Eine Warnung bei einem Konto ohne besondere Berechtigungen ist eine wertvolle Gelegenheit – sie ermöglicht es, erste Anzeichen eines Eindringversuchs frühzeitig zu erkennen.
⚠️ Umgekehrt gilt: Wenn der Alarm ein hoch privilegiertes Konto (Tier 0) betrifft, ist es oft bereits zu spät – der Angriff ist fortgeschritten und der potenzielle Schaden erheblich.