Skip to content

Drift-Monitor einrichten

Hier erfahren Sie Schritt für Schritt, wie Sie einen Drift-Monitor konfigurieren, der Ihre Cloud-Konfigurationen automatisch überwacht und Sie bei Abweichungen benachrichtigt.

Voraussetzungen

  • Mindestens ein verbundener Tenant mit erfolgreichem Verbindungstest
  • Mindestens ein vorhandener Snapshot als Referenz
  • Die Rolle Workflow Manager, Tenant Admin oder Super Admin
  • Optional: Ein konfigurierter Benachrichtigungskanal

Schritt-für-Schritt-Anleitung

1. Monitor erstellen

  1. Navigieren Sie in der Sidebar zu Drift
  2. Klicken Sie auf Neuer Monitor

2. Tenant auswählen

  1. Wählen Sie den Tenant, der überwacht werden soll
  2. Der Tenant-Typ (Microsoft 365, Zscaler oder Atlassian) bestimmt die verfügbaren Resource Types

3. Resource Types wählen

Wählen Sie die Konfigurationsbereiche, die überwacht werden sollen:

Tipp

Beginnen Sie mit den sicherheitskritischen Resource Types wie Conditional Access Policies, MFA-Einstellungen oder Firewall-Regeln. Sie können den Monitor später um weitere Resource Types erweitern.

Beispiele für besonders ueberwachungswuerdige Resource Types:

  • Entra ID: Conditional Access Policies, Authentication Methods, Directory Roles
  • Intune: Compliance Policies, Configuration Profiles
  • Defender: Security Policies, Alert Policies
  • Zscaler ZIA: URL Filtering Rules, Firewall Rules, DLP Policies
  • Zscaler ZPA: Access Policies, App Segments
  • Atlassian Jira: Berechtigungsschemata, Workflow-Definitionen, Issue Security
  • Atlassian Confluence: Space-Berechtigungen, globale Einstellungen
  • Atlassian Org Security: Authentifizierungsrichtlinien, SSO-Konfigurationen, API-Token-Policies

4. Referenz-Snapshot festlegen

Der Monitor vergleicht den aktuellen Zustand mit einem Referenz-Snapshot:

  1. Wählen Sie einen vorhandenen Snapshot als Referenz
  2. Dieser Snapshot repraesentiert den gewünschten Soll-Zustand

Hinweis

Wählen Sie als Referenz einen Snapshot, der den genehmigten und geprueften Konfigurationszustand darstellt -- z.B. den Snapshot nach dem letzten erfolgreichen Audit oder nach einem genehmigten Change.

5. Schwellwerte definieren

Legen Sie fest, ab wann ein Alert ausgelöst werden soll:

Schwellwert Beschreibung Beispiel
Anzahl Änderungen Alert ab einer bestimmten Anzahl geänderter Einstellungen Alert bei mehr als 5 Änderungen
Kritische Resource Types Sofortiger Alert bei Änderungen an bestimmten Resource Types Alert bei jeder Änderung an Conditional Access
Aenderungstyp Alert nur bei bestimmten Aenderungstypen Alert nur bei geloeschten Einstellungen

6. Benachrichtigungskanal wählen

  1. Wählen Sie einen oder mehrere konfigurierte Benachrichtigungskanäle
  2. Verfügbare Optionen:
    • E-Mail
    • Microsoft Teams
    • Slack
    • Custom Webhook

Tipp

Für kritische Monitore (z.B. Conditional Access) empfehlen wir mehrere Kanäle -- z.B. Teams für sofortige Aufmerksamkeit und E-Mail für die Dokumentation.

7. Monitor aktivieren

  1. Prüfen Sie die Zusammenfassung der Monitor-Konfiguration
  2. Klicken Sie auf Monitor aktivieren
  3. Der Monitor beginnt sofort mit der Überwachung

Monitor verwalten

Monitor bearbeiten

  1. Öffnen Sie den Monitor in der Drift-Übersicht
  2. Klicken Sie auf Bearbeiten
  3. Ändern Sie Resource Types, Schwellwerte oder Benachrichtigungskanäle
  4. Speichern Sie die Änderungen

Monitor pausieren

Sie können einen Monitor voruebergehend deaktivieren, z.B. während geplanter Änderungen:

  1. Öffnen Sie den Monitor
  2. Klicken Sie auf Pausieren
  3. Der Monitor stoppt die Überwachung, bleibt aber konfiguriert
  4. Klicken Sie auf Fortsetzen, um die Überwachung wieder aufzunehmen

Tipp

Pausieren Sie Monitore vor geplanten Änderungen, um unnötige Alerts zu vermeiden. Vergessen Sie nicht, den Monitor nach dem Change wieder zu aktivieren.

Monitor löschen

  1. Öffnen Sie den Monitor
  2. Klicken Sie auf Löschen
  3. Bestätigen Sie die Löschung

Best Practices

  • Schrittweise beginnen: Starten Sie mit wenigen, kritischen Resource Types und erweitern Sie schrittweise
  • Referenz aktuell halten: Aktualisieren Sie den Referenz-Snapshot nach genehmigten Changes
  • Pausieren bei geplanten Änderungen: Vermeiden Sie Fehlalarme durch Pausieren während Wartungsfenstern
  • Mehrere Monitore: Erstellen Sie separate Monitore für verschiedene Bereiche (z.B. Identity, Endpoints, Network)
  • Benachrichtigungen testen: Prüfen Sie, ob Alerts zuverlaessig zugestellt werden

Nächster Schritt