Wat is Identity Protection?
Identity Protection is een hulpprogramma waarmee organisaties drie belangrijke taken kunnen uitvoeren:
- Automatiseer de detectie en het herstel van identiteitsrisico's.
- Risico's onderzoeken met behulp van gegevens in de portal.
- Gegevens over risicodetectie exporteren naar uw SIEM.
Identity Protection maakt gebruik van de informatie die Microsoft heeft verkregen dankzij zijn positie in organisaties met Azure AD, in de consumentenwereld met Microsoft-accounts en in gaming met Xbox om uw gebruikers te beschermen. Microsoft analyseert 6.500.000.000.000 signalen per dag om bedreigingen te identificeren en klanten ertegen te beveiligen.
De signalen die worden gegenereerd door en worden doorgevoerd naar Identity Protection, kunnen verder worden doorgevoerd naar hulpprogramma's zoals voorwaardelijke toegang om toegangsbeslissingen te maken, of worden teruggevoerd naar een hulpprogramma voor beveiligingsgegevens en gebeurtenisbeheer (SIEM) voor verder onderzoek op basis van het beleid van uw organisatie.
Waarom is automatisering belangrijk?
In zijn blogpost van oktober 2018 legde Alex Weinert, die het Identity Security and Protection van Microsoft leidt, uit waarom automatisering zo belangrijk is voor het verwerken van grote volumes gebeurtenissen:
Elke dag bieden onze machine learning- en heuristische systemen risicoscores voor 18.000.000.000 aanmeldingspogingen voor meer dan 800.000.000 afzonderlijke accounts, waarvan 300.000.000 waarschijnlijk worden uitgevoerd door aanvallers (bijvoorbeeld criminele organisaties, hackers).
Vorig jaar op Ignite sprak ik over de drie meest voorkomende aanvallen op onze identiteitssystemen. Dit zijn recente cijfers voor deze aanvallen
- Herhaalde schendingen: 4,6 miljard aanvallen gedetecteerd in mei 2018
- Wachtwoordspray: 350.000 in april 2018
- Phishing: het is moeilijk om een precies aantal te geven, maar we hebben 23 miljoen risicogebeurtenissen gedetecteerd in maart 2018, waarvan er veel met phishing te maken hebben
Risicodetectie en -herstel
Identity Protection identificeert risico's van vele typen, waaronder:
- Anoniem IP-adres gebruiken
- Ongewoon traject
- Aan malware gekoppeld IP-adres
- Onbekende aanmeldingseigenschappen
- Gelekte referenties
- Wachtwoordspray
- en meer...
Meer informatie over deze en andere risico's, waaronder hoe of wanneer ze worden berekend, vindt u in het artikel Wat is risico.
De risicosignalen kunnen herstelpogingen activeren, zoals gebruikers vragen om Azure AD Multi-Factor Authentication uit te voeren, gebruikers vragen hun wachtwoord opnieuw in te stellen met self-service voor wachtwoordherstel of door een account te blokkeren totdat een beheerder actie onderneemt.
Risico-onderzoek
Beheerders kunnen detecties bekijken en zo nodig handmatig actie ondernemen. Er zijn drie belangrijke rapporten die door beheerders worden gebruikt voor onderzoeken in Identity Protection:
- Riskante gebruikers
- Riskante aanmeldingen
- Risicodetectie
Meer informatie vindt u in het artikel How To: Investigate risk (Procedure: risico onderzoeken).
Risiconiveaus
Met Identity Protection wordt het risico gecategoriseerd in drie niveaus: laag, gemiddeld en hoog.
Microsoft biedt geen specifieke details over de manier waarop het risico wordt berekend, maar hoe hoger het niveau is, hoe betrouwbaarder het is dat de gebruiker of het aanmelden is gecompromitteerd. Een voorbeeld: één geval van onbekende aanmeldingseigenschappen voor een gebruiker kan minder bedreigend zijn dan gelekte referenties voor een andere gebruiker.
Risicogegevens exporteren
Gegevens van Identity Protection kunnen worden geëxporteerd naar andere hulpprogramma's voor archivering en verder onderzoek en samenhang. Met de op Microsoft Graph gebaseerde API's kunnen organisaties deze gegevens verzamelen voor verdere verwerking in een hulpprogramma zoals hun SIEM. Informatie over het openen van de Identity Protection-API vindt u in het artikel Get started with Azure Active Directory Identity Protection and Microsoft Graph (Aan de slag met Azure Active Directory Identity Protection en Microsoft Graph)
Informatie over het integreren van Identity Protection-gegevens met Microsoft Sentinel vindt u in het artikel Verbinding maken gegevens uit Azure AD Identity Protection.
Daarnaast kunnen organisaties ervoor kiezen om gegevens voor langere perioden op te slaan door diagnostische instellingen in Azure AD te wijzigen om riskyUsers- en UserRiskEvents-gegevens te verzenden naar een Log Analytics-werkruimte, gegevens te archiveren naar een opslagaccount, gegevens te streamen naar een Event Hub of gegevens te verzenden naar een partneroplossing. Gedetailleerde informatie over hoe u dit doet, vindt u in het artikel Instructies: Risicogegevens exporteren.
Machtigingen
Voor toegang tot Identity Protection moeten gebruikers een Beveiligingslezer, Beveiligingsoperator, Beveiligingsbeheerder, Globale lezer of Globale beheerder zijn.
| Rol | Wel | Niet |
|---|---|---|
| Globale beheerder | Volledige toegang tot Identity Protection | |
| Beveiligingsbeheerder | Volledige toegang tot Identity Protection | Wachtwoord opnieuw instellen voor een gebruiker |
| Beveiligingsoperator | Alle rapporten en de overzichts-blade van Identity Protection bekijken Gebruikersrisico's negeren, veilige aanmelding bevestigen, inbreuk bevestigen |
Beleid configureren of wijzigen Wachtwoord opnieuw instellen voor een gebruiker Waarschuwingen configureren |
| Beveiligingslezer | Alle rapporten en de overzichts-blade van Identity Protection bekijken | Beleid configureren of wijzigen Wachtwoord opnieuw instellen voor een gebruiker Waarschuwingen configureren Feedback geven op detecties |
De rol van beveiligingsoperator heeft momenteel geen toegang tot het rapport Riskante aanmeldingen.
Beheerders met voorwaardelijke toegang kunnen ook beleidsregels maken met aanmeldrisico’s als een voorwaarde. Meer informatie vindt u in het artikel Voorwaardelijke toegang: Conditions (Voorwaardelijke toegang: voorwaarden).
Licentievereisten
Voor deze functie hebt u een Azure AD Premium P2-licentie nodig. Zie Algemeen beschik bare functies van de gratis, Office 365-apps en Premium-edities vergelijkenom de juiste licentie voor uw vereisten te vinden.
| Mogelijkheid | Details | Azure AD Free/Microsoft 365-apps | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| Risicobeleid | Beleid voor gebruikersrisico's (via Identity Protection) | Nee | Nee | Ja |
| Risicobeleid | Beleid voor aanmeldingsrisico's (via Identity Protection of voorwaardelijke toegang) | Nee | Nee | Ja |
| Beveiligingsrapporten | Overzicht | Nee | Nee | Ja |
| Beveiligingsrapporten | Riskante gebruikers | Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detailslade of risicogeschiedenis. | Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detailslade of risicogeschiedenis. | Volledige toegang |
| Beveiligingsrapporten | Riskante aanmeldingen | Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. | Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. | Volledige toegang |
| Beveiligingsrapporten | Risicodetectie | Nee | Beperkte informatie. Geen detailslade. | Volledige toegang |
| Meldingen | Waarschuwingen bij gebruikers die risico lopen | Nee | Nee | Ja |
| Meldingen | Wekelijkse samenvatting | Nee | Nee | Ja |
| MFA-registratiebeleid | Nee | Nee | Ja |
Meer informatie over deze uitgebreide berichten vindt u in het artikel How To: Investigate risk (Procedure: risico onderzoeken).
Volgende stappen
What is risk (Wat is een risico?)
Policies available to mitigate risks (Beschikbare beleidsregels om risico's te beperken)