Wat is Identity Protection?

Identity Protection maakt gebruik van de learnings die Microsoft heeft verkregen van hun positie in organisaties met Azure Active Directory, de consumentenruimte met Microsoft-accounts en gaming met Xbox om uw gebruikers te beschermen. Microsoft analyseert biljoenen signalen per dag om klanten te identificeren en te beschermen tegen bedreigingen. Met Identity Protection kunnen organisaties drie belangrijke taken uitvoeren:

De signalen die door Identity Protection worden gegenereerd en worden ingevoerd, kunnen verder worden ingevoerd in hulpprogramma's zoals voorwaardelijke toegang om toegangsbeslissingen te nemen of terug te gaan naar een SIEM-hulpprogramma (Security Information and Event Management) voor verder onderzoek.

Waarom is automatisering belangrijk?

In het blogbericht Cyber Signals: Defenseing against cyber threat with the latest research, insights, and trends dateed 3 februari 2022 we shared a threat intelligence brief including the following statistics:

  • Geanalyseerd... 24 biljoen beveiligingssignalen gecombineerd met intelligentie die we volgen door meer dan 40 nationale staatsgroepen en meer dan 140 bedreigingsgroepen te bewaken...
  • ... Vanaf januari 2021 tot en met december 2021 hebben we meer dan 25,6 miljard Azure AD beveiligingsaanvallen geblokkeerd...

De grote schaal van signalen en aanvallen vereist enige mate van automatisering om bij te kunnen blijven.

Risico detecteren

Identity Protection detecteert risico's van veel typen, waaronder:

  • Anoniem IP-adresgebruik
  • Ongewoon traject
  • Aan malware gekoppeld IP-adres
  • Onbekende aanmeldingseigenschappen
  • Gelekte referenties
  • Wachtwoordspray
  • en meer...

De risicosignalen kunnen herstelbewerkingen activeren, zoals vereisen: meervoudige verificatie uitvoeren, hun wachtwoord opnieuw instellen met selfservice voor wachtwoordherstel of toegang blokkeren totdat een beheerder actie onderneemt.

Meer informatie over deze en andere risico's, waaronder hoe of wanneer ze worden berekend, vindt u in het artikel Wat is risico.

Risico onderzoeken

Beheerders kunnen detecties bekijken en zo nodig handmatig actie ondernemen. Er zijn drie belangrijke rapporten die door beheerders worden gebruikt voor onderzoeken in Identity Protection:

  • Riskante gebruikers
  • Riskante aanmeldingen
  • Risicodetectie

Meer informatie vindt u in het artikel How To: Investigate risk (Procedure: risico onderzoeken).

Risiconiveaus

Identity Protection categoriseert risico's in lagen: laag, gemiddeld en hoog.

Microsoft biedt geen specifieke informatie over hoe risico's worden berekend. Elk risiconiveau zorgt voor een hogere betrouwbaarheid dat de gebruiker of aanmelding wordt aangetast. Een voorbeeld: één geval van onbekende aanmeldingseigenschappen voor een gebruiker kan minder bedreigend zijn dan gelekte referenties voor een andere gebruiker.

Verder gebruik maken van risicogegevens

Gegevens van Identity Protection kunnen worden geëxporteerd naar andere hulpprogramma's voor archivering en verder onderzoek en samenhang. Met de op Microsoft Graph gebaseerde API's kunnen organisaties deze gegevens verzamelen voor verdere verwerking in een hulpprogramma zoals hun SIEM. Informatie over het openen van de Identity Protection-API vindt u in het artikel Get started with Azure Active Directory Identity Protection and Microsoft Graph (Aan de slag met Azure Active Directory Identity Protection en Microsoft Graph)

Informatie over het integreren van Identity Protection-gegevens met Microsoft Sentinel vindt u in het artikel Gegevens verbinden van Azure AD Identity Protection.

Organisaties kunnen ervoor kiezen om gegevens langer op te slaan door diagnostische instellingen in Azure AD te wijzigen. Ze kunnen ervoor kiezen om gegevens te verzenden naar een Log Analytics-werkruimte, gegevens te archiveren naar een opslagaccount, gegevens naar Event Hubs te streamen of gegevens naar een partneroplossing te verzenden. Gedetailleerde informatie over hoe u dit doet, vindt u in het artikel Procedure: Risicogegevens exporteren.

Vereiste rollen

Voor toegang tot Identity Protection moeten gebruikers een Beveiligingslezer, Beveiligingsoperator, Beveiligingsbeheerder, Globale lezer of Globale beheerder zijn.

Rol Wel Niet
Hoofdbeheerder Volledige toegang tot Identity Protection
Beveiligingsbeheer Volledige toegang tot Identity Protection Wachtwoord opnieuw instellen voor een gebruiker
Beveiligingsoperator Alle Identity Protection-rapporten en -overzicht weergeven

Gebruikersrisico's negeren, veilige aanmelding bevestigen, inbreuk bevestigen
Beleid configureren of wijzigen

Wachtwoord opnieuw instellen voor een gebruiker

Waarschuwingen configureren
Beveiligingslezer Alle Identity Protection-rapporten en -overzicht weergeven Beleid configureren of wijzigen

Wachtwoord opnieuw instellen voor een gebruiker

Waarschuwingen configureren

Feedback geven op detecties
Algemene lezer Alleen-lezentoegang tot Identity Protection

Momenteel heeft de rol Beveiligingsoperator geen toegang tot het rapport Riskante aanmeldingen.

Beheerders van voorwaardelijke toegang kunnen beleidsregels maken die rekening houden met gebruikers- of aanmeldingsrisico's als voorwaarde. Meer informatie vindt u in het artikel Voorwaardelijke toegang: Conditions (Voorwaardelijke toegang: voorwaarden).

Licentievereisten

Voor het gebruik van deze functie zijn Azure AD Premium P2 licenties vereist. Zie Algemeen beschikbare functies van Azure AD vergelijken als u een licentie zoekt die bij uw vereisten past.

Mogelijkheid Details Azure AD Free/Microsoft 365-apps Azure AD Premium P1 Azure AD Premium P2
Risicobeleid Beleid voor gebruikersrisico's (via Identity Protection) Nee Nee Ja
Risicobeleid Beleid voor aanmeldingsrisico's (via Identity Protection of voorwaardelijke toegang) Nee Nee Ja
Beveiligingsrapporten Overzicht Nee Nee Ja
Beveiligingsrapporten Riskante gebruikers Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detailslade of risicogeschiedenis. Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detailslade of risicogeschiedenis. Volledige toegang
Beveiligingsrapporten Riskante aanmeldingen Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. Volledige toegang
Beveiligingsrapporten Risicodetectie Nee Beperkte informatie. Geen detailslade. Volledige toegang
Meldingen Waarschuwingen bij gebruikers die risico lopen Nee Nee Ja
Meldingen Wekelijkse samenvatting Nee Nee Ja
MFA-registratiebeleid Nee Nee Ja

Meer informatie over deze uitgebreide berichten vindt u in het artikel How To: Investigate risk (Procedure: risico onderzoeken).

Volgende stappen