Wat is Identity Protection?

Identity Protection is een hulpprogramma waarmee organisaties drie belangrijke taken kunnen uitvoeren:

Identity Protection maakt gebruik van de informatie die Microsoft heeft verkregen dankzij zijn positie in organisaties met Azure AD, in de consumentenwereld met Microsoft-accounts en in gaming met Xbox om uw gebruikers te beschermen. Microsoft analyseert 6.500.000.000.000 signalen per dag om bedreigingen te identificeren en klanten ertegen te beveiligen.

De signalen die worden gegenereerd door en worden doorgevoerd naar Identity Protection, kunnen verder worden doorgevoerd naar hulpprogramma's zoals voorwaardelijke toegang om toegangsbeslissingen te maken, of worden teruggevoerd naar een hulpprogramma voor beveiligingsgegevens en gebeurtenisbeheer (SIEM) voor verder onderzoek op basis van het beleid van uw organisatie.

Waarom is automatisering belangrijk?

In het blogbericht Cyber Signals: Defenseing against cyber threats with the latest research, insights, and trends dated 3 februari 2022 we shared a thread intelligence brief including the following statistics:

  • Geanalyseerd... 24 biljoen beveiligingssignalen gecombineerd met intelligentie die we volgen door meer dan 40 natiestaatgroepen en meer dan 140 bedreigingsgroepen te bewaken...
  • ... Vanaf januari 2021 tot en met december 2021 hebben we meer dan 25,6 miljard Azure AD-beveiligingsaanvallen geblokkeerd...

Deze schaal van signalen en aanvallen vereist een zekere mate van automatisering om bij te kunnen blijven.

Risicodetectie en -herstel

Identity Protection identificeert risico's van veel typen, waaronder:

  • Anoniem IP-adresgebruik
  • Ongewoon traject
  • Aan malware gekoppeld IP-adres
  • Onbekende aanmeldingseigenschappen
  • Gelekte referenties
  • Wachtwoordspray
  • en meer...

Meer informatie over deze en andere risico's, waaronder hoe of wanneer ze worden berekend, vindt u in het artikel Wat is risico.

De risicosignalen kunnen herstelpogingen activeren, zoals gebruikers vragen om Azure AD Multi-Factor Authentication uit te voeren, gebruikers vragen hun wachtwoord opnieuw in te stellen met self-service voor wachtwoordherstel of door een account te blokkeren totdat een beheerder actie onderneemt.

Risico-onderzoek

Beheerders kunnen detecties bekijken en zo nodig handmatig actie ondernemen. Er zijn drie belangrijke rapporten die door beheerders worden gebruikt voor onderzoeken in Identity Protection:

  • Riskante gebruikers
  • Riskante aanmeldingen
  • Risicodetectie

Meer informatie vindt u in het artikel How To: Investigate risk (Procedure: risico onderzoeken).

Risiconiveaus

Identity Protection categoriseert risico's in lagen: laag, gemiddeld en hoog.

Hoewel Microsoft geen specifieke informatie biedt over hoe risico's worden berekend, zeggen we dat elk niveau een hoger vertrouwen geeft dat de gebruiker of aanmelding wordt aangetast. Een voorbeeld: één geval van onbekende aanmeldingseigenschappen voor een gebruiker kan minder bedreigend zijn dan gelekte referenties voor een andere gebruiker.

Risicogegevens exporteren

Gegevens van Identity Protection kunnen worden geëxporteerd naar andere hulpprogramma's voor archivering en verder onderzoek en samenhang. Met de op Microsoft Graph gebaseerde API's kunnen organisaties deze gegevens verzamelen voor verdere verwerking in een hulpprogramma zoals hun SIEM. Informatie over het openen van de Identity Protection-API vindt u in het artikel Get started with Azure Active Directory Identity Protection and Microsoft Graph (Aan de slag met Azure Active Directory Identity Protection en Microsoft Graph)

Informatie over het integreren van Identity Protection-informatie met Microsoft Sentinel vindt u in het artikel Connect-gegevens van Azure AD Identity Protection.

Daarnaast kunnen organisaties ervoor kiezen om gegevens langere perioden op te slaan door diagnostische instellingen in Azure AD te wijzigen om RiskyUsers- en UserRiskEvents-gegevens te verzenden naar een Log Analytics-werkruimte, gegevens te archiveren naar een opslagaccount, gegevens naar Event Hubs te streamen of gegevens naar een partneroplossing te verzenden. Gedetailleerde informatie over hoe u dit doet, vindt u in het artikel Procedure : Risicogegevens exporteren.

Machtigingen

Voor toegang tot Identity Protection moeten gebruikers een Beveiligingslezer, Beveiligingsoperator, Beveiligingsbeheerder, Globale lezer of Globale beheerder zijn.

Rol Wel Niet
Globale beheerder Volledige toegang tot Identity Protection
Beveiligingsbeheerder Volledige toegang tot Identity Protection Wachtwoord opnieuw instellen voor een gebruiker
Beveiligingsoperator Alle rapporten en de overzichts-blade van Identity Protection bekijken

Gebruikersrisico's negeren, veilige aanmelding bevestigen, inbreuk bevestigen
Beleid configureren of wijzigen

Wachtwoord opnieuw instellen voor een gebruiker

Waarschuwingen configureren
Beveiligingslezer Alle rapporten en de overzichts-blade van Identity Protection bekijken Beleid configureren of wijzigen

Wachtwoord opnieuw instellen voor een gebruiker

Waarschuwingen configureren

Feedback geven op detecties

Momenteel heeft de rol van beveiligingsoperator geen toegang tot het rapport Riskante aanmeldingen.

Beheerders met voorwaardelijke toegang kunnen ook beleidsregels maken met aanmeldrisico’s als een voorwaarde. Meer informatie vindt u in het artikel Voorwaardelijke toegang: Conditions (Voorwaardelijke toegang: voorwaarden).

Licentievereisten

Voor deze functie hebt u een Azure AD Premium P2-licentie nodig. Zie De algemeen beschikbare functies van Azure AD vergelijken om de juiste licentie voor uw vereisten te vinden.

Mogelijkheid Details Azure AD Free/Microsoft 365-apps Azure AD Premium P1 Azure AD Premium P2
Risicobeleid Beleid voor gebruikersrisico's (via Identity Protection) Nee Nee Ja
Risicobeleid Beleid voor aanmeldingsrisico's (via Identity Protection of voorwaardelijke toegang) Nee Nee Ja
Beveiligingsrapporten Overzicht Nee Nee Ja
Beveiligingsrapporten Riskante gebruikers Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detailslade of risicogeschiedenis. Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detailslade of risicogeschiedenis. Volledige toegang
Beveiligingsrapporten Riskante aanmeldingen Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. Volledige toegang
Beveiligingsrapporten Risicodetectie Nee Beperkte informatie. Geen detailslade. Volledige toegang
Meldingen Waarschuwingen bij gebruikers die risico lopen Nee Nee Ja
Meldingen Wekelijkse samenvatting Nee Nee Ja
MFA-registratiebeleid Nee Nee Ja

Meer informatie over deze uitgebreide berichten vindt u in het artikel How To: Investigate risk (Procedure: risico onderzoeken).

Volgende stappen