Wat is Identity Protection?What is Identity Protection?

Identity Protection is een hulpprogramma waarmee organisaties drie belangrijke taken kunnen uitvoeren:Identity Protection is a tool that allows organizations to accomplish three key tasks:

  • Het detecteren en oplossen van risico's op basis van de identiteit automatiseren.Automate the detection and remediation of identity-based risks.
  • Risico's onderzoeken met behulp van gegevens in de portal.Investigate risks using data in the portal.
  • Gegevens van risicodetectie exporteren naar hulpprogramma's van derden voor verdere analyse.Export risk detection data to third-party utilities for further analysis.

Identity Protection maakt gebruik van de informatie die Microsoft heeft verkregen dankzij zijn positie in organisaties met Azure AD, in de consumentenwereld met Microsoft-accounts en in gaming met Xbox om uw gebruikers te beschermen.Identity Protection uses the learnings Microsoft has acquired from their position in organizations with Azure AD, the consumer space with Microsoft Accounts, and in gaming with Xbox to protect your users. Microsoft analyseert 6.500.000.000.000 signalen per dag om bedreigingen te identificeren en klanten ertegen te beveiligen.Microsoft analyses 6.5 trillion signals per day to identify and protect customers from threats.

De signalen die worden gegenereerd door en worden doorgevoerd naar Identity Protection, kunnen verder worden doorgevoerd naar hulpprogramma's zoals voorwaardelijke toegang om toegangsbeslissingen te maken, of worden teruggevoerd naar een hulpprogramma voor beveiligingsgegevens en gebeurtenisbeheer (SIEM) voor verder onderzoek op basis van het beleid van uw organisatie.The signals generated by and fed to Identity Protection, can be further fed into tools like Conditional Access to make access decisions, or fed back to a security information and event management (SIEM) tool for further investigation based on your organization's enforced policies.

Waarom is automatisering belangrijk?Why is automation important?

In zijn blogpost van oktober 2018 legde Alex Weinert, die het Identity Security and Protection van Microsoft leidt, uit waarom automatisering zo belangrijk is voor het verwerken van grote volumes gebeurtenissen:In his blog post in October of 2018 Alex Weinert, who leads Microsoft's Identity Security and Protection team, explains why automation is so important when dealing with the volume of events:

Elke dag bieden onze machine learning- en heuristische systemen risicoscores voor 18.000.000.000 aanmeldingspogingen voor meer dan 800.000.000 afzonderlijke accounts, waarvan 300.000.000 waarschijnlijk worden uitgevoerd door aanvallers (bijvoorbeeld criminele organisaties, hackers).Each day, our machine learning and heuristic systems provide risk scores for 18 billion login attempts for over 800 million distinct accounts, 300 million of which are discernibly done by adversaries (entities like: criminal actors, hackers).

Vorig jaar op Ignite sprak ik over de drie meest voorkomende aanvallen op onze identiteitssystemen.At Ignite last year, I spoke about the top 3 attacks on our identity systems. Dit zijn recente cijfers voor deze aanvallenHere is the recent volume of these attacks

  • Herhaalde schendingen: 4,6 miljard aanvallen gedetecteerd in mei 2018Breach replay: 4.6BN attacks detected in May 2018
  • Wachtwoordspray: 350.000 in april 2018Password spray: 350k in April 2018
  • Phishing: het is moeilijk om een precies aantal te geven, maar we hebben 23 miljoen risicogebeurtenissen gedetecteerd in maart 2018, waarvan er veel met phishing te maken hebbenPhishing: This is hard to quantify exactly, but we saw 23M risk events in March 2018, many of which are phish related

Risicodetectie en -herstelRisk detection and remediation

Identity Protection identificeert risico's in de volgende classificaties:Identity Protection identifies risks in the following classifications:

RisicodetectietypeRisk detection type BeschrijvingDescription
Ongewoon trajectAtypical travel Aanmelding vanaf een ongewone locatie op basis van recente aanmeldingen van de gebruiker.Sign in from an atypical location based on the user's recent sign-ins.
Anoniem IP-adresAnonymous IP address Aanmelding vanaf een anoniem IP-adres (bijvoorbeeld een Tor-browser, anonymizer-VPN's).Sign in from an anonymous IP address (for example: Tor browser, anonymizer VPNs).
Onbekende aanmeldingseigenschappenUnfamiliar sign-in properties Aanmelding met eigenschappen die niet recent zijn waargenomen voor de gebruiker.Sign in with properties we've not seen recently for the given user.
Aan malware gekoppeld IP-adresMalware linked IP address Aanmelding via een aan malware gekoppeld IP-adres.Sign in from a malware linked IP address.
Gelekte aanmeldingsgegevensLeaked Credentials Geeft aan dat de geldige referenties van de gebruiker zijn gelekt.Indicates that the user's valid credentials have been leaked.
WachtwoordsprayPassword spray Geeft aan dat meerdere gebruikersnamen worden aangevallen met behulp van veelvoorkomende wachtwoorden op een manier die lijkt op een brute-forceaanval.Indicates that multiple usernames are being attacked using common passwords in a unified, brute-force manner.
Azure AD-bedreigingsinformatieAzure AD threat intelligence De interne en externe bedreigingsinformatiebronnen van Microsoft hebben een bekend aanvalspatroon geïdentificeerd.Microsoft's internal and external threat intelligence sources have identified a known attack pattern.

Meer informatie over deze risico's en hoe/wanneer deze worden vastgesteld, vindt u in het artikel What is risk (Wat is een risico?).More detail on these risks and how/when they are calculated can be found in the article, What is risk.

De risicosignalen kunnen herstelpogingen activeren, zoals gebruikers vragen om Azure Multi-Factor Authentication uit te voeren, gebruikers vragen hun wachtwoord opnieuw in te stellen met selfservice voor wachtwoordherstel of door een account te blokkeren totdat een beheerder actie onderneemt.The risk signals can trigger remediation efforts such as requiring users to: perform Azure Multi-Factor Authentication, reset their password using self-service password reset, or blocking until an administrator takes action.

Risico-onderzoekRisk investigation

Beheerders kunnen detecties bekijken en zo nodig handmatig actie ondernemen.Administrators can review detections and take manual action on them if needed. Er zijn drie belangrijke rapporten die door beheerders worden gebruikt voor onderzoeken in Identity Protection:There are three key reports that administrators use for investigations in Identity Protection:

  • Riskante gebruikersRisky users
  • Riskante aanmeldingenRisky sign-ins
  • RisicodetectieRisk detections

Meer informatie vindt u in het artikel How To: Investigate risk (Procedure: risico onderzoeken).More information can be found in the article, How To: Investigate risk.

RisiconiveausRisk levels

Met Identity Protection wordt het risico gecategoriseerd in drie niveaus: laag, gemiddeld en hoog.Identity Protection categorizes risk into three tiers: low, medium, and high.

Microsoft biedt geen specifieke details over de manier waarop het risico wordt berekend, maar hoe hoger het niveau is, hoe betrouwbaarder het is dat de gebruiker of het aanmelden is gecompromitteerd.While Microsoft does not provide specific details about how risk is calculated, we will say that each level brings higher confidence that the user or sign-in is compromised. Een voorbeeld: één geval van onbekende aanmeldingseigenschappen voor een gebruiker kan minder bedreigend zijn dan gelekte referenties voor een andere gebruiker.For example, something like one instance of unfamiliar sign-in properties for a user might not be as threatening as leaked credentials for another user.

Risicogegevens exporterenExporting risk data

Gegevens van Identity Protection kunnen worden geëxporteerd naar andere hulpprogramma's voor archivering en verder onderzoek en samenhang.Data from Identity Protection can be exported to other tools for archive and further investigation and correlation. Met de op Microsoft Graph gebaseerde API's kunnen organisaties deze gegevens verzamelen voor verdere verwerking in een hulpprogramma zoals hun SIEM.The Microsoft Graph based APIs allow organizations to collect this data for further processing in a tool such as their SIEM. Informatie over het openen van de Identity Protection-API vindt u in het artikel Get started with Azure Active Directory Identity Protection and Microsoft Graph (Aan de slag met Azure Active Directory Identity Protection en Microsoft Graph)Information about how to access the Identity Protection API can be found in the article, Get started with Azure Active Directory Identity Protection and Microsoft Graph

Informatie over het integreren van Identity Protection-gegevens met Azure Sentinel vindt u in het artikel Connect data from Azure AD Identity Protection (Gegevens uit Azure AD Identity Protection koppelen).Information about integrating Identity Protection information with Azure Sentinel can be found in the article, Connect data from Azure AD Identity Protection.

MachtigingenPermissions

Voor toegang tot Identity Protection moeten gebruikers een Beveiligingslezer, Beveiligingsoperator, Beveiligingsbeheerder, Globale lezer of Globale beheerder zijn.Identity Protection requires users be a Security Reader, Security Operator, Security Administrator, Global Reader, or Global Administrator in order to access.

RolRole WelCan do NietCan't do
Globale beheerderGlobal administrator Volledige toegang tot Identity ProtectionFull access to Identity Protection
BeveiligingsbeheerderSecurity administrator Volledige toegang tot Identity ProtectionFull access to Identity Protection Wachtwoord opnieuw instellen voor een gebruikerReset password for a user
BeveiligingsoperatorSecurity operator Alle rapporten en de overzichts-blade van Identity Protection bekijkenView all Identity Protection reports and Overview blade

Gebruikersrisico's negeren, veilige aanmelding bevestigen, inbreuk bevestigenDismiss user risk, confirm safe sign-in, confirm compromise
Beleid configureren of wijzigenConfigure or change policies

Wachtwoord opnieuw instellen voor een gebruikerReset password for a user

Waarschuwingen configurerenConfigure alerts
BeveiligingslezerSecurity reader Alle rapporten en de overzichts-blade van Identity Protection bekijkenView all Identity Protection reports and Overview blade Beleid configureren of wijzigenConfigure or change policies

Wachtwoord opnieuw instellen voor een gebruikerReset password for a user

Waarschuwingen configurerenConfigure alerts

Feedback geven op detectiesGive feedback on detections

De rol van beveiligingsoperator heeft momenteel geen toegang tot het rapport Riskante aanmeldingen.Currently, the security operator role cannot access the Risky sign-ins report.

Beheerders met voorwaardelijke toegang kunnen ook beleidsregels maken met aanmeldrisico’s als een voorwaarde.Conditional Access administrators can also create policies that factor in sign-in risk as a condition. Meer informatie vindt u in het artikel Voorwaardelijke toegang: Conditions (Voorwaardelijke toegang: voorwaarden).Find more information in the article Conditional Access: Conditions.

LicentievereistenLicense requirements

Voor deze functie hebt u een Azure AD Premium P2-licentie nodig.Using this feature requires an Azure AD Premium P2 license. Raadpleeg  Algemeen beschikbare functies van de edities Gratis, Office 365-apps en Premium vergelijken als u een licentie zoekt die bij uw vereisten past.To find the right license for your requirements, see Comparing generally available features of the Free, Office 365 Apps, and Premium editions.

MogelijkheidCapability DetailsDetails Azure AD Free/Microsoft 365-appsAzure AD Free / Microsoft 365 Apps Azure AD Premium P1Azure AD Premium P1 Azure AD Premium P2Azure AD Premium P2
RisicobeleidRisk policies Beleid voor gebruikersrisico's (via Identity Protection)User risk policy (via Identity Protection) NeeNo NeeNo JaYes
RisicobeleidRisk policies Beleid voor aanmeldingsrisico's (via Identity Protection of voorwaardelijke toegang)Sign-in risk policy (via Identity Protection or Conditional Access) NeeNo NeeNo JaYes
BeveiligingsrapportenSecurity reports OverzichtOverview NeeNo NeeNo JaYes
BeveiligingsrapportenSecurity reports Riskante gebruikersRisky users Beperkte informatieLimited Information Beperkte informatieLimited Information Volledige toegangFull access
BeveiligingsrapportenSecurity reports Riskante aanmeldingenRisky sign-ins Beperkte informatieLimited Information Beperkte informatieLimited Information Volledige toegangFull access
BeveiligingsrapportenSecurity reports RisicodetectieRisk detections NoNo Beperkte informatieLimited Information Volledige toegangFull access
MeldingenNotifications Waarschuwingen bij gebruikers die risico lopenUsers at risk detected alerts NeeNo NeeNo JaYes
MeldingenNotifications Wekelijkse samenvattingWeekly digest NeeNo NeeNo JaYes
MFA-registratiebeleidMFA registration policy NeeNo NeeNo JaYes

Meer informatie over deze uitgebreide berichten vindt u in het artikel How To: Investigate risk (Procedure: risico onderzoeken).More information on these rich reports can be found in the article, How To: Investigate risk.

Volgende stappenNext steps