XELANED
DE|EN
Kontakt aufnehmen

Use-Cases

Szenarien aus der Praxis

Typische Szenarien und passende Lösungsansätze aus Sicht von Controls, Architektur und Betrieb. Wir betrachten dabei nicht nur Funktionen, sondern auch Abhängigkeiten, Betriebsfähigkeit und Umsetzbarkeit im Unternehmenskontext.

Identity & Access

MFA-Pflicht und Legacy-Protokolle blocken

Passwort-Spray, Basic Auth, zu breite Ausnahmen
Conditional AccessMFAPIM

SZENARIO

Phishing und Passwort‑Sprays führen zu Account‑Takeover – besonders dort, wo Legacy‑Authentifizierung (POP/IMAP/SMTP AUTH) oder zu breite Conditional‑Access‑Ausnahmen bestehen.
  • Risiko
    Umgehung moderner Controls, Persistenz über Refresh‑Tokens, laterale Bewegung in M365.
  • Typische Ursachen
    Break‑Glass ohne Governance, „temporäre“ Ausnahmen, fehlende Named Locations.
  • Signal
    Anomalous sign‑ins, MFA fatigue, wiederkehrende Failed‑Logins aus wechselnden ASN/Geo.

ANTWORT

Zielbild:„No‑Legacy‑Auth“ + risikobasierte Authentifizierung als verbindliche Identity‑Baseline.
  • Conditional‑Access‑Policies
    nach Rollen/Risiko standardisieren (User, Admin, Workload).
  • Legacy‑Auth
    deaktivieren (tenant‑weit) und Ausnahmen systematisch abbauen (Sunset‑Plan).
  • Break‑Glass
    als kontrolliertes Notfallverfahren (separat, überwacht, getestet).
  • Admin‑Rollen
    nur Just‑in‑Time über PIM (MFA, Approval, Ticket‑Referenz).
  • Session Controls & Token‑Lifetimes
    prüfen (Token‑Theft‑Resilienz, Sign‑in Frequency).

MICROSOFT STACK

  • Entra ID
    Conditional Access, Authentication Methods, Identity Protection
  • Entra PIM
    Just‑in‑Time‑Privilegien, Approval, Alerts
  • Defender for Office 365
    Phishing‑Schutz (sofern M365 im Einsatz)

Privileged Access sauber betreiben

Rollenexplosion, fehlende Reviews, unklare Break-Glass-Strategie
PIMZero TrustLogging

SZENARIO

Privilegierte Konten sind dauerhaft aktiv, Rollen wachsen historisch („Rollenexplosion“), Reviews fehlen und Änderungen sind nicht nachvollziehbar.
  • Risiko
    Privilege Escalation, unkontrollierte Admin‑Pfadbildung, Audit‑Findings („wer hatte wann warum Zugriff?“).
  • Typische Lücken
    Keine getrennten Admin‑Identitäten, kein Approval‑Flow, keine periodischen Reviews.
  • Signal
    Dauermitgliedschaften in hochprivilegierten Rollen, selten genutzte aber aktive Rechte.

ANTWORT

  • PIM‑Aktivierung für Rollen
    MFA, Approval, Zeitfenster, Begründung + Ticket‑Referenz.
  • Break‑Glass
    definierte Nutzungskriterien, starke Authentifizierung, Monitoring & regelmäßige Tests.

MICROSOFT STACK

  • Entra ID
    Identity-Provider, SSO, Conditional Access
  • Entra PIM
    Just-in-Time, Approval, Privileged Role Management
  • Entra Access Reviews
    Regelmäßige Zugriffsreviews und Rezertifizierung
  • Purview Audit
    für Nachweise

Endpoint & Workplace

Standardisiertes Device-Onboarding (Zero-Touch)

Uneinheitliche Images, langsame Rollouts, Audit-Lücken
IntuneAutopilotZero Trust

SZENARIO

Geräte werden heterogen und manuell ausgerollt. Konfigurationen driften, Basis‑Security ist inkonsistent, neue Geräte sind langsam produktiv.
  • Risiko
    Fehlkonfigurationen, Shadow‑IT, ungepatchte Clients, unklare Compliance‑Stati.
  • Typische Ursachen
    Kein standardisiertes Enrollment, fehlende Golden‑Config, kein Lifecycle‑Prozess.
  • Signal
    Hohe Varianz in Policies, viele „Not compliant“, lange Onboarding‑Zeiten.

ANTWORT

  • Lifecycle‑Prozess
    Joiner/Mover/Leaver, Geräteaustausch, Lost‑Device Runbook.

MICROSOFT STACK

  • Intune
    Geräteverwaltung, Policies, Compliance
  • Windows Autopilot
    Zero-Touch Provisioning und Enrollment
  • Defender for Endpoint
    EDR, ASR-Regeln, Device Risk Signals
  • Entra ID
    Device Join/CA

Ransomware-Resilienz auf Endpoints

Lokale Adminrechte, unklare Recovery-Fähigkeit, wenig Telemetrie
Defender for EndpointBackup/RestorePatch Management

SZENARIO

Ransomware‑Risiko auf Endpoints: Makro‑/Phishing‑Ingress, lokale Adminrechte, unsaubere Patch‑Hygiene und fehlende Recovery‑Prozesse.
  • Risiko
    Verschlüsselung + Exfiltration, laterale Bewegung, Stillstand kritischer Prozesse.
  • Typische Lücken
    Kein Attack Surface Reduction, kein App‑Control, unklare Backup/Restore‑Tests.
  • Signal
    Exploit‑Alerts, auffällige Prozessketten, Mass‑File‑Rename, Credential Dumping.

ANTWORT

  • Hardening
    ASR‑Regeln, Controlled Folder Access, Makro‑Policies, lokale Adminrechte minimieren.
  • EDR‑Tuning
    Defender‑Sensorik, Ausschlüsse minimieren, Alert‑Handling via SOC‑Runbooks.
  • Patch‑ und Update‑Disziplin
    Update Rings, Qualitäts‑KPIs (z. B. „Patch compliance > 95%“).
  • Recovery
    Wiederherstellungs‑Runbooks, regelmäßige Restore‑Tests (RTO/RPO) und Lessons Learned.

MICROSOFT STACK

  • Defender for Endpoint
    ASR/EDR
  • Intune
    Policy Rollout
  • Sentinel
    Correlation/Playbooks
  • Purview Audit
    Nachweis

SOC & Detection Engineering

SIEM-Einführung mit messbarem Use-Case

„Logs sammeln“ ohne Detection-Backlog, Kosten eskalieren

SZENARIO

Ein SIEM wird „eingekauft“, aber ohne priorisierte Use‑Cases, Datenstrategie und Operating Model. Ergebnis: viele Logs, wenig Wirkung.
  • Risiko
    Alert‑Fatigue, hohe Kosten, fehlende Abdeckung relevanter Taktiken/Techniken.
  • Typische Ursachen
    Kein MITRE‑Mapping, kein Content‑Lifecycle, unklare Zuständigkeiten.
  • Signal
    Hohe False‑Positive‑Rate, geringe Mean‑Time‑to‑Detect, ungepflegte Regeln.

ANTWORT

  • Datenstrategie
    welche Quellen, welches Normalisieren, welche Aufbewahrung (Kosten/Benefit).
  • Content Engineering
    Analytic Rules, Watchlists, UEBA‑Signale, Playbooks (SOAR) versionieren.
  • Operating Model
    On‑Call, Triage‑SLAs, Escalation, regelmäßiges Tuning (Monthly Detection Review).
  • KPIs
    MTTD/MTTR, False‑Positive‑Rate, Coverage nach MITRE, Incident‑Quality.

MICROSOFT STACK

  • Sentinel
    KQL, Analytic Rules, SOAR
  • Defender XDR
    Incident‑Hub
  • Azure Monitor/Log Analytics
    Telemetry, KQL-Queries, Alerts

AD-Attack-Path-Detection (Hybrid)

Kerberoasting, DCSync, Lateral movement, veraltete Tiering-Modelle

SZENARIO

Hybrid‑Identity mit klassischem AD: Angreifer nutzen schwache Pfade (Delegations, veraltete DCs, ungeschützte Admin‑Sessions) für Privilege Escalation bis Domain Admin.
  • Risiko
    Komplette Domänenkompromittierung, Ticket‑Theft, Golden/Silver‑Tickets.
  • Typische Lücken
    Unklare Tiering‑Modelle, fehlende LAPS, unzureichendes DC‑Hardening.
  • Signal
    Verdächtige Kerberos‑Events, ungewöhnliche Privilege Assignments, LDAP‑Anomalien.

ANTWORT

  • Monitoring
    MDI Alerts + Sentinel Korrelation, feste Triage‑Playbooks.

MICROSOFT STACK

  • Defender for Identity
    MDI
  • Defender for Endpoint
    EDR, ASR-Regeln, Device Risk Signals
  • Sentinel
    Correlation
  • Entra ID
    Hybrid Identity Controls

Data & Compliance

Datenklassifizierung und DLP in M365

Unklare Schutzbedarfe, Schatten-Sharing, fehlende Audit-Spuren
PurviewDLPeDiscovery

SZENARIO

Geschäftsdaten liegen in M365, werden aber nicht konsistent klassifiziert. DLP ist punktuell, Schattenkopien und „Share‑by‑Default“ erhöhen das Exfiltrationsrisiko.
  • Risiko
    Datenabfluss (E‑Mail/Teams/SharePoint/OneDrive), regulatorische Findings, Reputationsschaden.
  • Typische Ursachen
    Keine Taxonomie, keine Owner‑Prozesse, DLP ohne Pilotierung und Exceptions.
  • Signal
    Externe Freigaben, ungetaggte sensible Dateien, wiederkehrende Policy‑Bypasses.

ANTWORT

  • Nachweisführung
    Audit‑Reports, Policy‑Änderungen, Ausnahmeregeln mit Genehmigungsprozess.

MICROSOFT STACK

  • Purview
    Labels, DLP, Audit, eDiscovery
  • Entra ID
    B2B, CA
  • Defender for Cloud Apps
    CASB, App-Governance, Schatten-IT

Workload-Governance in Azure (Landing-Zones)

Wildwuchs, fehlende RBAC-Grenzen, nicht nachweisbare Policies
Landing ZoneAzure PolicyRBAC

SZENARIO

Azure‑Workloads wachsen schnell, aber ohne Leitplanken. Subscriptions, RBAC, Netzwerk und Policies sind inkonsistent – Security wird „nachgezogen“.
  • Risiko
    Offene Endpunkte, überprivilegierte Rollen, fehlende Trennung, unklare Kosten‑ und Verantwortlichkeiten.
  • Typische Ursachen
    Keine Landing Zone, keine Policy‑As‑Code, kein Betriebsmodell.
  • Signal
    Drift zwischen Subscriptions, wiederkehrende Defender Findings, manuelle Ausnahmen.

ANTWORT

  • RBAC‑Standard
    Rollenmodelle, PIM für Azure, Break‑Glass, regelmäßige Reviews.
  • Security‑Operations
    Defender for Cloud, Continuous Export, Sentinel‑Integration, regelmäßige Posture‑Reviews.

MICROSOFT STACK

  • Azure Policy
    Policy-as-Code und Compliance
  • Azure Monitor/Log Analytics
    Telemetry, KQL-Queries, Alerts
  • Defender for Cloud
    CSPM, Empfehlungen, Secure Score
  • Entra ID
    RBAC, PIM
  • ggf. Arc für Hybrid
    Hybrid-Onboarding und Policy-Durchgriff

Delivery-Blueprint pro Use-Case

Damit Use‑Cases nicht bei PowerPoint enden, wird jede Umsetzung in ein standardisiertes Liefermodell übersetzt: Scope, Artefakte, Betriebsübergabe und Nachweise.

Design & Entscheidungsgrundlagen

  • Ist‑Aufnahme (Tenant/AD/Client/Logs) und Risiko‑/Gap‑Analyse
  • Architekturentscheidungen (ADR): Varianten, Annahmen, Trade‑offs
  • Backlog mit Priorisierung (Quick Wins vs. Strukturmaßnahmen)
GovernanceLanding ZoneZero Trust

Implementierung

  • Policies/Baselines als Code (wo sinnvoll) + Change‑Fenster
  • Pilot → Wellenrollout → Kontrollpunkte (KPIs/Abnahme)
  • Ausnahmen mit Begründung und Ablaufdatum (Exception‑Register)
Azure PolicyLanding ZoneIntune

Betrieb & Nachweis

  • Runbooks, Monitoring‑/Alert‑Set, On‑Call‑Übergabe
  • Evidence‑Kette: Policy/Config → Log/Report → Ablage → Review
  • Übungsbetrieb: Tabletop/IR‑Exercise, Restore‑Test, Zugriff‑Reviews
Azure MonitorSentinelPurview

Messgrößen (Beispiele)

  • Identity
    MFA‑Quote, CA‑Coverage, PIM‑Aktivierungen, Risky Sign‑ins
  • Endpoint
    Compliance‑Quote, Baseline‑Drift, EDR‑Coverage, TVM‑Backlog
  • SOC
    MTTD/MTTR, Incident‑Volume, False‑Positive‑Rate, Use‑Case‑Coverage
  • Compliance
    Evidence‑Vollständigkeit, Review‑Cadence, Exception‑Aging
Azure MonitorSentinelDefender for Cloud

Typische Stolperstellen

  • Zu viele Ausnahme‑Regeln in Conditional Access ohne Ablaufdatum
  • Unvollständige Log‑Quellen (z. B. M365 Audit, Entra, Endpoint) → Lücken im Nachweis
  • Fehlendes Rollenmodell (RACI) → ungeklärte Ownerships, langsame Remediation
  • Security‑Controls ohne Change‑/Release‑Prozess → Drift und „Policy‑Erosion“
Conditional AccessLoggingRBAC

Was möchten Sie jetzt tun?

Die Spezialisten der XELANED stehen Ihnen für die nächsten Schritte jederzeit zur Verfügung. Gemeinsam priorisieren wir Themen, klären Abhängigkeiten und wählen ein Vorgehen, das fachlich und organisatorisch zu Ihrer Umgebung passt.

Projektplanung

Wir besprechen Scope, Abhängigkeiten und erstellen eine belastbare Vorgehensplanung.
Kontakt aufnehmen