Erstgespräch vereinbaren

Break-Glass-Account überwachen – Monitoring und Alerting mit Microsoft Sentinel

Fenster mit Loch
istock.com/babyrhino
Inhaltsverzeichnis

Ein Break-Glass-Account ohne lückenloses Monitoring ist nicht nur ein Risiko – er ist eine Einladung. Wer hochprivilegierte Notfallkonten betreibt, muss jede Aktivität in Echtzeit erfassen, bewerten und alarmieren können. Unternehmen mit Microsoft Sentinel sollten ein wirksames Überwachungskonzept für ihre Break-Glass-Accounts aufbauen.

Warum Monitoring bei Break-Glass-Accounts nicht optional ist

Break-Glass-Accounts sind per Definition von den üblichen Sicherheitskontrollen ausgenommen. Keine Conditional-Access-Richtlinie blockiert den Zugriff, keine Risikobewertung greift automatisch ein. Genau das macht sie im Notfall wirksam – und im Alltag gefährlich. Ohne Monitoring würde ein Missbrauch oder ein unbefugter Zugriffsversuch unbemerkt bleiben. Compliance-Frameworks wie ISO 27001 und NIS2 fordern deshalb eine lückenlose Protokollierung und Überwachung privilegierter Zugriffskonten.

Für Unternehmen, die bereits ein SIEM as a Service einsetzen, ist die Integration der Break-Glass-Accounts ein naheliegender und vergleichsweise einfacher Schritt. Doch auch ohne bestehendes SIEM lässt sich mit Microsoft Sentinel ein effektives Monitoring aufbauen.

Die richtigen Datenquellen anbinden

Die Grundlage jedes Monitorings sind die Anmelde- und Audit-Logs aus Microsoft Entra ID. Diese müssen über einen Diagnostics-Connector in den Log-Analytics-Workspace gestreamt werden, der Sentinel als Backend nutzt. Relevant sind zwei Tabellen: SignInLogs für alle Anmeldeversuche und AuditLogs für administrative Aktionen wie Rollenzuweisungen, Passwortänderungen oder Gruppenänderungen.

Zusätzlich empfiehlt sich die Anbindung von Microsoft Defender for Cloud Apps. Dieser Dienst ermöglicht eine tiefergehende Analyse von Session-Aktivitäten und kann richtlinienbasierte Alarme auslösen, etwa wenn ein Break-Glass-Account auf Exchange Online oder SharePoint zugreift – Aktionen, die für ein reines Notfallkonto unüblich wären.

istock.com/Vladimir_Timofeev

KQL-Queries für die Break-Glass-Überwachung

Kusto Query Language ist das Herzstück jeder Sentinel-Analyse. Für Break-Glass-Accounts lassen sich mit wenigen Queries alle sicherheitsrelevanten Ereignisse erfassen. Eine Basisabfrage filtert die SignInLogs nach dem UserPrincipalName der Notfallkonten und gibt Zeitstempel, IP-Adresse, Standort und Ergebnisstatus zurück. Eine zweite Query deckt die AuditLogs ab und zeigt alle administrativen Änderungen, die unter dem Notfallkonto vorgenommen wurden.

Entscheidend ist dabei die Unterscheidung zwischen geplanten Tests und ungeplanten Zugriffen. Ein gut konfiguriertes SOC-Team pflegt einen Kalender mit den geplanten Validierungsterminen. Anmeldungen außerhalb dieser Fenster erhalten automatisch eine höhere Priorisierung.

Alerting-Regeln konfigurieren

In Sentinel werden Analytics Rules erstellt, die auf Basis der KQL-Queries Incidents erzeugen. Für Break-Glass-Accounts empfehlen sich mindestens drei Regeln: erstens ein Alarm bei jeder erfolgreichen Anmeldung, zweitens ein Alarm bei fehlgeschlagenen Anmeldeversuchen als Indikator für Brute-Force- oder Password-Spraying-Angriffe, und drittens ein Alarm bei jeder administrativen Änderung, die über das Konto durchgeführt wird.

Jeder dieser Alarme sollte als High-Severity-Incident klassifiziert werden. Die Benachrichtigung erfolgt idealerweise über mehrere Kanäle: E-Mail an das SOC-Team, SMS an den IT-Leiter und bei Bedarf ein automatisiertes Ticket im Incident-Management-System. Wer ein SOC as a Service nutzt, profitiert davon, dass diese Alarme rund um die Uhr bewertet und bei Bedarf eskaliert werden.

istock.com/NicoElNino

Regelmäßige Überprüfung der Überwachung

Monitoring ist kein statisches System. Mindestens einmal pro Quartal sollte geprüft werden, ob die Alerting-Regeln noch korrekt auslösen, ob die Benachrichtigungsketten funktionieren und ob neue Conditional-Access-Richtlinien versehentlich die Break-Glass-Accounts eingeschlossen haben. Die vierteljährliche Validierung des Break-Glass-Accounts, wie sie in unserem Artikel zur Einrichtung in Microsoft Entra ID beschrieben wird, bietet den idealen Rahmen, um gleichzeitig das Monitoring zu testen.

Sie möchten Ihre Break-Glass-Accounts professionell überwachen lassen? Mit unserem SOC as a Service übernehmen wir die 24/7-Überwachung Ihrer kritischsten Konten.

Break-Glass-Account vs. Break-Glass-Application – Welcher Notfallzugriff ist der richtige?

istock.com/Peach_iStock
Break-Glass-Account oder Break-Glass-Application? Wir erklären die Unterschiede, Vor- und Nachteile beider Ansätze in Microsoft Entra ID für Ihre Notfallstrategie.
Weiterlesen

Break-Glass-Account in Microsoft Entra ID einrichten – Schritt für Schritt

Fenster mit Löchern
So richten Sie einen Break-Glass-Account in Microsoft Entra ID ein: Cloud-only-Konto, FIDO2-Absicherung, Conditional-Access-Ausnahmen und Monitoring – Schritt für Schritt erklärt.
Weiterlesen

Starkiller und das Ende klassischer MFA: Warum CISOs jetzt umdenken müssen

Phishing Angreifer
Starkiller zeigt: Klassische MFA reicht nicht mehr. Warum CISOs jetzt auf phishing-resistente Authentifizierung und Session-Security setzen müssen.
Weiterlesen

Cybersicherheit mit der Cyber Security Strategie von ujima

Wir analysieren Ihre Cyber Security und beraten Sie zu weiterführenden Maßnahmen, um Ihr Unternehmen digital so sicher wie möglich zu machen.

  1. Info-Telefonat vereinbaren
  2. Von Cyber Security Spezialisten beraten lassen
  3. Cybersicherheit steigern und Ihr Unternehmen bulletproof machen
Erstgespräch vereinbaren

kostenfrei und unverbindlich

+49 69 153 22 793 - 0

Rufen Sie uns direkt an

Brandneu: 197 € 0 € Pentesting-Strategien 2026

Die wichtigsten Maßnahmen, die jeder IT-Verantwortliche 2026 ergreifen sollte!

Jetzt Report sichern