Azure AD Identity Protection gebruiken voor risicodetectie en herstel

Azure AD Identity Protection gebruiken voor risicodetectie en herstel

14/12/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het gebruik van Azure AD Identity Protection om identiteitsrisico's in hun omgevingen te detecteren, onderzoeken en herstellen. Azure AD Identity Protection is een functie van Microsoft Entra ID (voorheen Azure Active Directory) die de detectie en het herstel van op identiteit gebaseerde risico's automatiseert, waardoor organisaties worden beschermd tegen bedreigingen zoals aangetaste inloggegevens, brute force-aanvallen en ongeautoriseerde toegang [1].

Introductie

Identiteiten zijn de nieuwe veiligheidsperimeter. Met de verschuiving naar de cloud en werken op afstand is het beschermen van gebruikersidentiteiten belangrijker dan ooit geworden. Phishing-aanvallen, lekken van inloggegevens, het verspreiden van wachtwoorden en toegang vanaf ongebruikelijke locaties zijn voortdurende bedreigingen die kunnen leiden tot het compromitteren van accounts en bijgevolg tot datalekken en serviceonderbrekingen. Azure AD Identity Protection biedt een proactieve, geautomatiseerde oplossing om risicovolle activiteiten te identificeren, het risiconiveau dat aan gebruikers en aanmeldingen is gekoppeld te beoordelen en realtime herstelbeleid toe te passen om de identiteit van uw organisatie te beschermen [2].

In deze praktische handleiding worden de fundamentele concepten van Azure AD Identity Protection behandeld, inclusief typen risicodetectie, beleid voor gebruikers- en aanmeldingsrisico's, het configureren van dit beleid, de integratie met voorwaardelijke toegang van Azure AD en risicoonderzoek en -herstel. Er worden stapsgewijze instructies en configuratievoorbeelden gegeven zodat de lezer Azure AD Identity Protection kan implementeren en valideren, de beveiliging van zijn identiteit kan versterken en een effectieve reactie op identiteitsbeveiligingsincidenten kan garanderen op een autonome, professionele en betrouwbare manier.

Waarom is Azure AD Identity Protection cruciaal?

  • Realtime risicodetectie: maakt gebruik van Microsoft machine learning en threat intelligence-algoritmen om automatisch verdachte activiteiten te detecteren, zoals aanmeldingen vanaf anonieme locaties, geïnfecteerde IP-adressen, onmogelijk reizen en gelekte inloggegevens.
  • Adaptieve risicobeoordeling: wijst een risiconiveau (laag, gemiddeld, hoog) toe aan elke gebruiker en input op basis van een verscheidenheid aan factoren, waardoor proportionele reacties op de dreiging mogelijk worden.
  • Geautomatiseerd herstelbeleid: Hiermee kunt u beleid configureren dat automatisch MFA vereist, wachtwoorden opnieuw instelt of de toegang blokkeert als reactie op specifieke risiconiveaus.
  • Conditional Access Integration: Werkt samen met Azure AD Conditional Access om adaptieve toegangscontroles af te dwingen op basis van identiteitsrisico.
  • Zichtbaarheid en onderzoek: Biedt gedetailleerde rapporten over risicodetecties, risicogebruikers en risico-invoer, waardoor onderzoek en incidentrespons worden vergemakkelijkt.
  • Verminder de SOC-werklast: Automatiseert de beoordeling en het herstel van veel identiteitsincidenten, waardoor beveiligingspersoneel zich kan concentreren op complexere bedreigingen.

Vereisten

Om Azure AD Identity Protection te gebruiken, hebt u de volgende items nodig:

  1. Licenties: Azure AD Identity Protection vereist een Microsoft Entra ID P2-licentie (voorheen Azure AD Premium P2) [3].
  2. Administratieve toegang: een account met de rol van Security Administrator, Conditional Access Administrator of Global Administrator in de Azure portal (https://portal.azure.com).
  3. MFA geconfigureerd: Om het aanmeldings- en gebruikersrisicobeleid effectief te laten werken, moeten gebruikers Multi-Factor Authentication (MFA) hebben geconfigureerd en geregistreerd. Het gebruik van Azure AD Multi-Factor Authenticatie wordt aanbevolen.

Stap voor stap: Azure AD Identity Protection configureren

We zullen een risicobeleid configureren om uw identiteit te beschermen.

1. Toegang krijgen tot Azure AD Identity Protection

  1. Open uw browser en navigeer naar de Azure-portal: https://portal.azure.com.
  2. Log in met een account dat over de benodigde rechten beschikt.
  3. Typ 'Azure AD Identity Protection' in het bovenste zoekveld en selecteer dit uit de resultaten.

2. Gebruikersrisicobeleid configureren

Dit beleid definieert de actie die moet worden ondernomen wanneer een gebruiker wordt gedetecteerdals risico lopend (bijvoorbeeld gelekte inloggegevens, aanhoudende abnormale activiteit).

  1. Selecteer in het linkernavigatievenster van Azure AD Identity Protection Gebruikersrisicobeleid.

  2. Verantwoordelijkheden:

    • Selecteer onder 'Gebruikers' de optie 'Alle gebruikers' of 'Selecteer individuen en groepen' om het beleid toe te passen op specifieke gebruikers of testgroepen. Om te beginnen wordt aanbevolen om zich aan te melden bij een testgroep.
    • Optioneel kunt u 'Gebruikers en groepen verwijderen' (bijvoorbeeld serviceaccounts, noodbeheerders).

  3. Voorwaarden:

    • Stel onder 'Gebruikersrisico' het risiconiveau in dat het beleid activeert (bijvoorbeeld 'Hoog'). U kunt beginnen met 'Gemiddeld en hoger' en indien nodig aanpassen.

  4. Besturingselementen:

    • Toegang: Selecteer Toegang toestaan.
    • Beleid afdwingen: Selecteer 'Veilige wachtwoordwijziging vereisen'.
      • Uitleg: Als een gebruiker het geconfigureerde risiconiveau bereikt, wordt hij bij de volgende aanmelding gedwongen zijn wachtwoord te wijzigen. Dit is cruciaal voor gelekte inloggegevens.

  5. Beleid inschakelen: instellen op Aan.

  6. Klik op Opslaan.

3. Het aanmeldingsrisicobeleid configureren

Dit beleid definieert de actie die moet worden ondernomen wanneer een inlogpoging als riskant wordt gedetecteerd (bijvoorbeeld vanaf een ongebruikelijke locatie, anoniem IP-adres, geïnfecteerd IP-adres).

  1. Selecteer in het linkernavigatievenster van Azure AD Identity Protection Beleid voor inkomend risico.

  2. Verantwoordelijkheden:

    • Onder 'Gebruikers' selecteert u 'Alle gebruikers' of 'Selecteer individuen en groepen'.
    • Optioneel kunt u 'Gebruikers en groepen verwijderen'.

  3. Voorwaarden:

    • Definieer bij 'Invoerrisico' het risiconiveau dat het beleid activeert (bijvoorbeeld 'Gemiddeld').

  4. Besturingselementen:

    • Toegang: Selecteer Toegang toestaan.
    • Beleid afdwingen: Selecteer 'Meervoudige authenticatie vereisen'.
      • Uitleg: Als een invoer als riskant wordt gedetecteerd, moet de gebruiker een MFA-uitdaging voltooien, zelfs als dit normaal gesproken niet vereist is. Dit helpt bij het verifiëren van de identiteit van de gebruiker.

  5. Beleid inschakelen: instellen op Aan.

  6. Klik op Opslaan.

4. Register-MFA-beleid configureren

Dit beleid zorgt ervoor dat nieuwe gebruikers of gebruikers die MFA nog niet hebben geregistreerd, worden gevraagd dit te doen, wat een voorwaarde is voor risicobeleid.

  1. Selecteer in het linkernavigatievenster van Azure AD Identity Protection MFA-registratiebeleid.

  2. Verantwoordelijkheden:

    • Onder 'Gebruikers' selecteert u 'Alle gebruikers' of 'Selecteer individuen en groepen'.
    • Optioneel kunt u 'Gebruikers en groepen verwijderen'.

  3. Beleid afdwingen: instellen op Ingeschakeld.

  4. Klik op Opslaan.

5. Onderzoek naar risicovolle gebruikers en inputs

Identity Protection biedt rapporten om risicovolle activiteiten te monitoren en te onderzoeken.

  1. Selecteer in het linkernavigatievenster van Azure AD Identity Protection Risicogebruikers.

    • In dit rapport worden gebruikers vermeld waarvan is vastgesteld dat ze risico lopen, samen met hun risiconiveau en de laatste risicodetectie.

  2. Klik op een gebruiker om de risicodetails te bekijken, inclusief specifieke risicodetecties (bijvoorbeeld 'Gelekte inloggegevens', 'Anonieme IP-invoer').

  3. Selecteer in het linkernavigatievenster Risico-inputs.

    • In dit rapport worden inlogpogingen vermeld die als riskant zijn gedetecteerd, samen met het risiconiveau en de inloggegevens.

  4. Klik op een risico-invoer om de volledige details te bekijken, inclusief detectietype, locatie, apparaat en toepassing.

6. Risico's handmatig verhelpen

Hoewel beleid het herstel automatiseert, moet u risico's mogelijk handmatig herstellen.

  1. Voor risicovolle gebruikers:

    • Selecteer een gebruiker in het rapport 'Risicogebruikers'.
    • U kunt kiezen voor 'Bevestig gebruiker aangetast' (hierdoor wordt het gebruikersrisicobeleid geactiveerd, waardoor een wachtwoordwijziging wordt afgedwongen) of 'Gebruikersrisico afwijzen' (als u vaststelt dat het risico vals positief is).

  2. Voor risico-inputs:

    • Selecteer een item in het rapport 'Risico-inputs'.
    • U kunt kiezen voor 'Bevestig compromis' of 'Bevestig beveiliging' (als het een vals positief resultaat is).

Validatie en testen

Het testen van Azure AD Identity Protection is van cruciaal belang om ervoor te zorgen dat het beleid goed werkt.zoals verwacht.

1. Inkomende risicosimulatie (anonieme IP)

  1. Gebruik een VPN of proxy om verbinding te maken met internet vanaf een andere locatie dan uw gebruikelijke werkplek die kan worden geclassificeerd als een anoniem IP-adres (bijvoorbeeld een openbare proxyserver, Tor).

  2. Probeer u met een testaccount aan te melden bij de Azure-portal of een met Azure AD verbonden toepassing.

    • Verwacht resultaat: als het beleid voor aanmeldingsrisico's is ingesteld op 'Gemiddeld' of 'Hoog' en 'Multi-factor authenticatie vereisen', wordt u gevraagd de MFA te voltooien. Als het risico 'Hoog' is en het beleid is ingesteld op 'Toegang blokkeren', wordt de toegang geweigerd.

  3. Controleer het rapport 'Risk Entry's' in Azure AD Identity Protection. U zou een risico-invoer voor het testaccount moeten zien met het detectietype 'Anonieme IP-invoer'.

2. Simulatie van gebruikersrisico's (gelekte inloggegevens)

U kunt gelekte inloggegevens niet rechtstreeks simuleren, maar u kunt het gebruikersrisicobeleid testen door een testgebruiker handmatig op het risiconiveau 'Hoog' in te stellen (alleen voor testdoeleinden in een gecontroleerde omgeving).

  1. Selecteer in het rapport 'Risicogebruikers' een testgebruiker.
  2. Klik op 'Bevestig gecompromitteerde gebruiker' (dit stelt het gebruikersrisico in op 'Hoog' en activeert het beleid).
  3. Vraag de testgebruiker om te proberen in te loggen.
    • Verwacht resultaat: de gebruiker moet bij de volgende aanmelding worden gevraagd zijn wachtwoord te wijzigen, zoals geconfigureerd in het gebruikersrisicobeleid.

3. Auditlogboeken en invoerlogboeken controleren

  1. Navigeer in de Azure-portal naar 'Azure Active Directory' > 'Monitoring' > 'Inkomende logboeken'.
  2. Filter de logboeken op 'Input Risk Status' en 'User Risk Status' om de input te zien die is geëvalueerd en de ondernomen acties.

Beveiligingstips en best practices

  • Begin met de rapportagemodus: begin bij het configureren van risicobeleid met de modus 'Alleen rapporteren' om de impact van het beleid te begrijpen voordat u het in de handhavingsmodus toepast. Dit helpt valse positieven te identificeren zonder gebruikers te onderbreken.
  • Gebruikerseducatie: Informeer gebruikers over het belang van MFA en hoe ze kunnen reageren op verzoeken om wachtwoordwijzigingen of MFA-uitdagingen. Leg hen de voordelen van identiteitsbescherming uit.
  • Integratie met voorwaardelijke toegang: gebruik identiteitsbescherming in combinatie met voorwaardelijke toegang om een ​​geavanceerder adaptief toegangsbeleid te creëren. Bijvoorbeeld het blokkeren van de toegang tot kritieke applicaties als het toegangsrisico 'Hoog' is.
  • Continu toezicht: controleer regelmatig de rapporten 'Risicogebruikers' en 'Risico-inputs' om verdachte activiteiten te onderzoeken en ervoor te zorgen dat het beleid werkt zoals verwacht.
  • Periodieke evaluatie van beleid: Controleer en pas uw risicobeleid regelmatig aan om u aan te passen aan veranderingen in het bedreigingslandschap en de bedrijfsvereisten.
  • SIEM/SOAR-integratie: Integreer Azure AD Identity Protection-waarschuwingen met uw SIEM (bijvoorbeeld Microsoft Sentinel) voor gecentraliseerde weergave en uitgebreidere automatisering van incidentrespons.
  • Geef prioriteit aan geprivilegieerde gebruikers: focus op het beschermen van zeer geprivilegieerde gebruikers (beheerders) met het strengste risicobeleid.

Algemene probleemoplossing

  • Gebruikers worden niet gevraagd om MFA/wachtwoord te wijzigen: controleer of de gebruiker een Azure AD P2-licentie heeft. Zorg ervoor dat het risicobeleid 'Ingeschakeld' is en dat de gebruiker is opgenomen in de toewijzingen. Controleer of de gebruiker MFA al heeft geregistreerd.
  • Risico valse positieven: onderzoek risicodetecties om te begrijpen waarom deze zijn geactiveerd. U kunt 'Beveiliging bevestigen' voor vermeldingen of 'Gebruikersrisico afwijzen' voor gebruikers als u zeker weet dat er geen bedreiging is. Pas indien nodig de risicobeleidsvoorwaarden aan (verhoog bijvoorbeeld het risiconiveau dat aanleiding geeft tot het beleid).
  • Gebruikers ten onrechte geblokkeerd: als het beleid voor aanmeldingsrisico's is ingesteld op 'Toegang blokkeren' voor een 'Gemiddeld' of 'Laag' risico, kan dit resulteren in overmatige blokkeringen. Beoordeel het risiconiveau en de beleidsactie. Overweeg het gebruik van 'Multi-Factor Authenticatie vereisen' in plaats van 'Toegang blokkeren' voor gemiddelde risico's.
  • MFA-registratieproblemen: zorg ervoor dat het MFA-registratiebeleid 'Ingeschakeld' is en dat gebruikers zijn opgenomenJij. Controleer of er ander beleid voor voorwaardelijke toegang is dat mogelijk interfereert.
  • Risicodetecties verschijnen niet: Controleer of Identiteitsbescherming is ingeschakeld en of er verificatieverkeer is in uw Azure AD. Het kan enige tijd duren voordat risicodetecties verschijnen, vooral als het om gebruikersrisico's gaat.

Conclusie

Azure AD Identity Protection is een onmisbaar hulpmiddel voor het beschermen van identiteiten in moderne cloudgebaseerde omgevingen. Door de detectie en het herstel van identiteitsrisico's te automatiseren, kunnen organisaties snel reageren op bedreigingen, het aanvalsoppervlak verkleinen en hun algehele beveiligingspositie versterken. Zorgvuldige implementatie van risicobeleid, gecombineerd met gebruikerseducatie en continue monitoring, stelt beveiligingsteams in staat om proactief de meest kritieke identiteiten te beschermen. Met deze praktische gids zijn beveiligingsprofessionals goed toegerust om Azure AD Identity Protection te configureren, valideren en beheren, zodat hun identiteit veilig en veerkrachtig blijft tegen de steeds evoluerende cyberdreigingen.

Referenties:

[1] Microsoft Leer. Wat is Microsoft Entra ID-bescherming?. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection [2] Microsoft Leer. Wat zijn risicodetecties?. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/id-protection/concept-identity-protection-risks [3] Microsoft Leer. Licentievereisten voor Microsoft Entra ID Protection. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection#license-requirements [4] Microsoft Leer. Configureer risicobeleid voor Microsoft Entra ID Protection. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-configure-risk-policies [5] Microsoft Leer. Onderzoek risico's met Microsoft Entra ID Protection. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-investigate-risk [6] Microsoft Leer. Verhelp risico's en deblokkeer gebruikers. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-remediate-unblock