Skip to content

Drift-Überwachung

Hier erfahren Sie, was Configuration Drift ist, warum er gefaehrlich sein kann und wie TCM365 Sie bei der automatischen Erkennung und Behebung unterstützt.

Was ist Configuration Drift?

Configuration Drift bezeichnet die schleichende, oft unbemerkte Abweichung von Cloud-Konfigurationen von einem definierten Soll-Zustand. Drift entsteht zum Beispiel durch:

  • Manuelle Änderungen im Azure Portal, in Zscaler oder in der Atlassian Admin-Konsole, die nicht dokumentiert werden
  • Automatische Updates durch Microsoft, Zscaler oder Atlassian, die Standardwerte ändern
  • Fehlerhafte Skripte oder Automatisierungen, die ungewollte Änderungen vornehmen
  • Mehrere Administratoren, die unkoordiniert Änderungen durchführen

Warum ist Drift gefaehrlich?

Unkontrollierter Configuration Drift kann schwerwiegende Folgen haben:

  • Sicherheitsluecken: Deaktivierte MFA-Policies, gelockerte Conditional-Access-Regeln, geaenderte Firewall-Regeln oder aufgeweichte Atlassian-Sicherheitsrichtlinien
  • Compliance-Verstöße: Abweichungen von vorgeschriebenen Security Baselines (CIS, NIST, BSI)
  • Betriebsstoerungen: Geaenderte Exchange-Regeln oder Teams-Policies, die den Arbeitsalltag beeinträchtigen
  • Audit-Probleme: Nicht nachvollziehbare Änderungen bei regulatorischen Prüfungen

Wie funktioniert Drift-Erkennung in TCM365?

TCM365 erkennt Drift durch den automatischen Vergleich:

  1. Referenz-Snapshot -- Sie definieren einen Soll-Zustand (z.B. den letzten genehmigten Snapshot)
  2. Aktueller Snapshot -- TCM365 erstellt regelmäßig neue Snapshots
  3. Vergleich -- Jeder neue Snapshot wird automatisch mit dem Referenz-Snapshot verglichen
  4. Alert -- Bei Abweichungen werden Sie über den konfigurierten Benachrichtigungskanal informiert

Drift-Überwachung im Ueberblick

Die Drift-Überwachung besteht aus zwei Hauptkomponenten:

Drift-Monitore

Ein Monitor ist eine Ueberwachungsregel, die definiert:

  • Welcher Tenant überwacht wird
  • Welche Resource Types geprüft werden
  • Welche Schwellwerte für Alerts gelten
  • Über welchen Kanal benachrichtigt wird

Monitor einrichten

Drift-Alerts

Ein Alert wird ausgelöst, wenn ein Monitor eine Abweichung erkennt:

  • Alerts werden nach Schweregrad klassifiziert
  • Jeder Alert enthält Details zu den geänderten Einstellungen
  • Alerts können bestätigt, untersucht oder als Grundlage für einen Rollback genutzt werden

Alerts verstehen

Typische Einsatzszenarien

  • Security-Monitoring: Überwachung von Conditional Access Policies und MFA-Einstellungen
  • Compliance-Sicherung: Sicherstellen, dass Konfigurationen den vorgeschriebenen Baselines entsprechen
  • Change-Verifikation: Prüfen, ob nach einem genehmigten Change keine zusätzlichen ungewollten Änderungen vorgenommen wurden
  • Multi-Admin-Umgebungen: Transparenz über Änderungen, wenn mehrere Administratoren den gleichen Tenant verwalten

In diesem Bereich