Identity Incidents effizienter analysieren: weniger Tool-Hopping, schnellere Entscheidungen
Identity Incidents gehören für viele SOC-Teams zu den häufigsten und zeitkritischsten Sicherheitsereignissen. Ob verdächtiger Sign-in, auffälliger Benutzer oder Microsoft Defender Incident mit Identity-Bezug – die zentrale Frage ist dabei fast immer dieselbe:
War diese Anmeldung legitim, verdächtig oder kompromittiert?
Während die Antwort darauf eigentlich schnell möglich sein sollte, sieht die Praxis leider oft anders aus: Analysten wechseln zwischen Microsoft Defender, Entra ID Sign-in Logs, Entra Audit Logs, Conditional Access, Risky Users, Threat Intelligence, Mailbox-Telemetrie und URL Click Events. Tool-Hopping statt eigentlicher Analyse – mit dem Resultat, dass wertvolle Zeit verloren geht, bevor klar ist, was getan werden muss.
Das Problem: Die Entscheidung kommt zu spät
Denn bevor eine Entscheidung überhaupt möglich ist, müssen Analysten bei jedem Identity Incident zahlreiche Details prüfen, zum Beispiel:
- Welche Benutzer und IP-Adressen sind betroffen?
- Gab es auffällige Sign-ins?
- Wurde MFA erfolgreich durchgeführt?
- Welche Conditional-Access-Entscheidung wurde getroffen?
- Gibt es Hinweise auf VPN, Proxy oder Hosting Provider?
- Gibt es passende E-Mail- oder URL-Aktivitäten?
- Ist die IP-Adresse aus Threat Intelligence bekannt?
Diese Arbeit ist notwendig – führt aber schnell bis zu 40 Minuten manueller Pivot-Arbeit. Selbst bei wenigen Identity Incidents pro Tag entsteht so trotzdem ein erheblicher operativer Aufwand.
Was Sign-In Investigator verändert
Genau hier setzt unser Sign-In Investigator an: Statt manuell zwischen verschiedenen Microsoft-Sicherheitsquellen zu wechseln, liefert der Microsoft Security Copilot Agent einen strukturierten, evidenzbasierten Report. Darin enthalten sind:
- Eine Incident-Zusammenfassung
- Relevante Sign-in-Aktivitäten des betroffenen Benutzers
- Hinweise auf Anomalien wie neue Standorte, MFA-Status, Conditional Access, Legacy Authentication oder auffällige Netzwerkmetadaten
- Identity-Kontext, IP-Reputation, E-Mail- und URL-Aktivitäten, sofern verfügbar
- Risikoklassifizierung und empfohlene nächste Schritte
Das Ergebnis: kein Black-Box-Urteil, sondern eine nachvollziehbare Entscheidungsvorlage.
Von bis zu 40 Minuten auf etwa 4 Minuten
Damit kann die Zeit, die für die Analyse eines Incidents benötigt wird, von durchschnittlich 20 bis 40 Minuten auf ca. 4 Minuten verkürzt werden. Was das in der Praxis bedeutet, hier mal anhand eines beispielhaften 20-Analysten-SOC mit 320 Identity Incidents pro Tag:
| Manuelle Tier-1-Triage pro Incident | ca. 20-40 Minuten |
| Triage mit Sign-In Investigator | ca. 4 Minuten |
| Zeitersparnis pro Incident | ca. 16-36 Minuten |
| Ersparnis bei 320 Incidents pro Tag | ca. 85-192 Analystenstunden |
| Jährlich freigesetzte Kapazität | ca. 31.000-70.000 Analystenstunden |
Der Vorteil: Analysten werden entlastet – und können ihre Zeit für Threat Hunting, Alert Tuning, komplexe Untersuchungen und Incident Response verwenden.
Wie unser Agent arbeitet
Sign-In Investigator akzeptiert entweder eine Microsoft Defender Incident ID oder einen User Principal Name. Anschließend läuft die Untersuchung in vier Schritten:
1. Incident-Kontext auflösen
Betroffene Benutzer, beteiligte IP-Adressen und relevante URLs werden extrahiert.
2. Sign-in-Aktivität rekonstruieren
Entra ID Sign-in Logs werden auf auffällige Muster geprüft, etwa neue Standorte, MFA-Status, Conditional Access, Device Posture oder Legacy Authentication.
3. Kontext anreichern
Der Agent ergänzt Identity-Kontext, Audit-Events, IP-Reputation sowie E-Mail- und URL-Telemetrie.
4. Report und Empfehlungen erstellen
Findings werden nach Risiko klassifiziert und in einem strukturierten Markdown-Report mit klaren Handlungsempfehlungen zusammengeführt.
Gut zu wissen: Unser KI-Agent ruft dabei keine APIs von Drittanbietern auf und keine Daten verlassen den Microsoft Tenant.
Human-in-the-loop: Der Agent empfiehlt, der Mensch entscheidet
Auch wenn unser Agent konkrete Handlungsempfehlungen gibt – wie etwa ein Passwort-Reset, Session Revocation, Account Lock, MFA-Überprüfung oder weitere Investigation –, führt er niemals Containment-Maßnahmen automatisch aus. Entscheidung und Umsetzung bleiben immer bei den Analysten und bestehenden Freigabe-, Runbook- oder SOAR-Prozessen.
Im Ablauf eines Managed SOC sitzt der Agent damit genau zwischen Alert und Response: Er beschleunigt die Untersuchung, standardisiert die Bewertung und übergibt die Entscheidung dann kontrolliert an die jeweiligen Analysten.
Für Microsoft-native Security Operations designt
Sign-In Investigator unterstützt SOC- und Identity-Teams in typischen Szenarien wie:
- SOC-Tier-1-Triage von Entra ID Sign-in Alerts
- Review verdächtiger Benutzerkonten
- Anreicherung von IPs und URLs mit Threat-Intelligence-Informationen
- Vorbereitung nachvollziehbarer Incident Reviews
Für den read-only Einsatz ist mindestens die Rolle „Security Reader“ erforderlich, die Rolle „Security Operator“ oder höher, wenn auf der Grundlage der Empfehlungen des Agenten Containment-Maßnahmen (Passwortzurücksetzung, Sitzungswiderruf, Kontosperrung etc.) durchgeführt werden sollen.
Für die Nutzung von Sign-In Investigator werden außerdem die folgenden Microsoft Produkte benötigt:
- Microsoft Entra ID P2
- Microsoft Defender for Office 365 Plan 2
- Microsoft Defender Threat Intelligence
Sign-In Investigator ist ab sofort im Microsoft Security Store verfügbar!
