Drift-Alerts verstehen¶
Hier erfahren Sie, was die verschiedenen Alert-Level bedeuten, wie Sie Drift-Alerts lesen und wie Sie angemessen darauf reagieren.
Was ist ein Drift-Alert?¶
Ein Drift-Alert wird ausgelöst, wenn ein Drift-Monitor eine Abweichung zwischen dem aktuellen Konfigurationszustand und dem definierten Referenz-Snapshot erkennt. Jeder Alert enthält detaillierte Informationen darueber, was sich geändert hat.
Alert-Level¶
TCM365 klassifiziert Drift-Alerts nach Schweregrad:
Kritisch (Critical)¶
- Bedeutung: Sicherheitskritische Konfigurationsänderungen, die sofortige Aufmerksamkeit erfordern
- Beispiele:
- Conditional Access Policy deaktiviert oder gelöscht
- MFA-Anforderungen gelockert
- Globale Admin-Rolle einem neuen Benutzer zugewiesen
- Firewall-Regeln gelöscht oder stark gelockert
- Empfohlene Reaktion: Sofortige Untersuchung. Prüfen Sie, ob die Änderung autorisiert war. Falls nicht, führen Sie umgehend einen Rollback durch.
Hoch (High)¶
- Bedeutung: Wichtige Konfigurationsänderungen, die zeitnah überprüft werden sollten
- Beispiele:
- Compliance Policy geändert
- Neue Mail Flow Rules erstellt
- DLP-Richtlinien angepasst
- SSL-Inspection-Regeln geändert
- Empfohlene Reaktion: Überprüfen Sie die Änderung innerhalb von Stunden. Stellen Sie sicher, dass ein genehmigter Change Request vorliegt.
Mittel (Medium)¶
- Bedeutung: Nennenswerte Änderungen, die im Rahmen der normalen Wartung auftreten können
- Beispiele:
- Teams-Messaging-Policy angepasst
- SharePoint-Sharing-Einstellungen geändert
- App-Protection-Policy aktualisiert
- Empfohlene Reaktion: Überprüfen Sie die Änderung beim nächsten regulaeren Review. Dokumentieren Sie den Change.
Niedrig (Low)¶
- Bedeutung: Geringfuegige Änderungen oder erwartete Anpassungen
- Beispiele:
- Beschreibungstext einer Policy geändert
- Display-Name aktualisiert
- Nicht-sicherheitsrelevante Metadaten angepasst
- Empfohlene Reaktion: Zur Kenntnis nehmen. Keine sofortige Aktion erforderlich.
Einen Drift-Alert lesen¶
Jeder Alert enthält folgende Informationen:
| Feld | Beschreibung |
|---|---|
| Zeitpunkt | Wann der Drift erkannt wurde |
| Tenant | Welcher Tenant betroffen ist |
| Monitor | Welcher Monitor den Alert ausgelöst hat |
| Alert-Level | Schweregrad (Kritisch, Hoch, Mittel, Niedrig) |
| Resource Type | Welcher Konfigurationsbereich betroffen ist |
| Änderungen | Liste der geänderten, hinzugefuegten oder entfernten Einstellungen |
| Details | Vorher/Nachher-Vergleich der geänderten Werte |
Auf einen Alert reagieren¶
1. Alert untersuchen¶
- Öffnen Sie den Alert in der Drift-Übersicht
- Prüfen Sie die Aenderungsdetails -- was genau hat sich geändert?
- Prüfen Sie die Audit-Attribution (bei M365) -- wer hat die Änderung vorgenommen?
2. Änderung bewerten¶
Stellen Sie sich folgende Fragen:
- War die Änderung geplant und genehmigt?
- Liegt ein Change Request vor?
- Ist die Änderung sicherheitskritisch?
- Entspricht die Konfiguration noch den Compliance-Anforderungen?
3. Aktion wählen¶
Je nach Bewertung haben Sie folgende Optionen:
| Aktion | Wann verwenden |
|---|---|
| Alert bestätigen | Die Änderung war gewollt und genehmigt -- den Alert als erledigt markieren |
| Referenz aktualisieren | Die Änderung ist der neue Soll-Zustand -- den Referenz-Snapshot des Monitors aktualisieren |
| Rollback ausführen | Die Änderung war ungewollt -- den vorherigen Zustand wiederherstellen |
| Incident erstellen | Die Änderung ist ein Sicherheitsvorfall -- einen Incident im KRITIS/NIS2-Modul anlegen |
4. Dokumentieren¶
Unabhaengig von der gewählten Aktion sollten Sie die Entscheidung dokumentieren:
- Bestätigen Sie den Alert mit einem Kommentar
- Referenzieren Sie ggf. den Change Request oder das Ticket
- Bei Rollbacks: Prüfen Sie nach dem Rollback, ob der Soll-Zustand wiederhergestellt wurde
Tipp
Richten Sie für Ihr Team einen klaren Prozess ein, wie auf Drift-Alerts reagiert wird. Definieren Sie Verantwortlichkeiten und Reaktionszeiten für die verschiedenen Alert-Level.
Alert-Historie¶
Alle Drift-Alerts werden in TCM365 gespeichert und können jederzeit eingesehen werden:
- Navigieren Sie zu Drift
- Wechseln Sie zur Ansicht Alert-Historie
- Filtern Sie nach Zeitraum, Tenant, Alert-Level oder Status
Die Alert-Historie dient als Audit-Trail und dokumentiert:
- Alle erkannten Drift-Ereignisse
- Die ergriffenen Maßnahmen
- Den Zeitpunkt der Reaktion
Nächster Schritt¶
- Rollback ausführen -- Ungewollte Änderungen rückgängig machen
- Incident erstellen -- Sicherheitsvorfall dokumentieren