Handleiding voor microsoft Entra-beveiligingsbewerkingen

Microsoft hanteert een succesvolle en bewezen benadering van Zero Trust-beveiliging, waarbij gebruik wordt gemaakt van diepgaande verdedigingsprincipes die de identiteit als besturingsvlak gebruiken. Organisaties blijven hybride workloads omarmen om te kunnen schalen, kosten te besparen en om de beveiliging. Microsoft Entra ID speelt een belangrijke rol in uw strategie voor identiteitsbeheer. Onlangs heeft nieuws omtrent identiteits- en beveiligingslekken IT voor ondernemingen in toenemende mate gedwongen om het succes van de defensieve beveiliging af te meten aan de beveiliging van hun identiteitspostuur.

Organisaties zien zich steeds vaker genoodzaakt om een combinatie van on-premises en cloudtoepassingen te gebruiken die voor gebruikers toegankelijk moeten zijn met zowel on-premises als cloudaccounts. Het is een uitdaging om gebruikers, toepassingen en apparaten zowel on-premises als in de cloud te beheren.

Hybride identiteit

Microsoft Entra ID maakt een algemene gebruikersidentiteit voor verificatie en autorisatie voor alle resources, ongeacht de locatie. We noemen dit hybride identiteit.

Voor het bereiken van een hybride identiteit met Microsoft Entra ID kan een van de drie verificatiemethoden worden gebruikt, afhankelijk van uw scenario's. Deze methoden zijn:

Wanneer u uw huidige beveiligingsbewerkingen controleert of beveiligingsbewerkingen voor uw Azure-omgeving tot stand brengt, raden we u aan het volgende te doen:

  • Lees specifieke gedeelten van de Microsoft-beveiligingsrichtlijnen om een basislijn op te stellen voor het beveiligen van uw cloudgebaseerde of hybride Azure-omgeving.
  • Controleer uw account- en wachtwoordstrategie en verificatiemethoden om de meest voorkomende aanvalsvectoren te voorkomen.
  • Maak een strategie voor continue bewaking en waarschuwingen omtrent activiteiten die kunnen duiden op een beveiligingsrisico.

Doelgroep

De Microsoft Entra SecOps-handleiding is bedoeld voor it-teams en beveiligingsactiviteiten voor ondernemingen en beheerde serviceproviders die bedreigingen moeten tegenhouden via betere configuratie- en bewakingsprofielen voor identiteitsbeveiliging. Deze handleiding is met name relevant voor IT-beheerders en identiteitsarchitecten die advies geven aan SOC-teams (Security Operations Center) en teams die defensie en penetratietests uitvoeren om hun identiteitsbeveiligingspostuur te verbeteren en te onderhouden.

Bereik

Deze inleiding bevat suggesties om u in te lezen en aanbevelingen met betrekking tot wachtwoordcontroles en -strategieën. Dit artikel bevat ook een overzicht van de hulpprogramma's die beschikbaar zijn voor hybride en volledig cloudgebaseerde Azure-omgevingen. Tot slot bieden we u een lijst met gegevensbronnen die u kunt gebruiken voor bewaken en waarschuwen, en om uw SIEM-strategie en -omgeving (Security Information and Event Management) te configureren. De rest van de richtlijnen hebben betrekking op de bewakings- en waarschuwingsstrategieën omtrent tot de volgende gebieden:

  • Gebruikersaccounts. Richtlijnen die specifiek zijn voor gebruikersaccounts zonder uitgebreide bevoegdheden en zonder beheerdersbevoegdheden, waaronder afwijkend accountaanmaak en -gebruik, en ongebruikelijke aanmeldingen.

  • Accounts met bevoegdheden. Richtlijnen die specifiek zijn voor gebruikersaccounts met uitgebreide bevoegdheden en met verhoogde machtigingen voor het uitvoeren van beheertaken. Taken omvatten Microsoft Entra-roltoewijzingen, Azure-resourceroltoewijzingen en toegangsbeheer voor Azure-resources en -abonnementen.

  • Privileged Identity Management (PIM). Richtlijnen die specifiek zijn voor het gebruik van PIM om de toegang tot resources te beheren, te bepalen en te bewaken.

  • Toepassingen. Richtlijnen die specifiek zijn voor accounts die worden gebruikt voor de verificatie bij toepassingen.

  • (P.R.D). Richtlijnen die specifiek zijn voor het controleren en melden van apparaten die zijn geregistreerd of toegevoegd buiten beleid, niet-compatibel gebruik, het beheren van apparaatbeheerrollen en aanmeldingen bij virtuele machines.

  • Infrastructuur. Richtlijnen die specifiek zijn voor het bewaken en melden van bedreigingen voor uw hybride en cloudomgevingen.

Belangrijk referentiemateriaal

Microsoft heeft tal van producten en services waarmee u uw IT-omgeving kunt aanpassen aan uw behoeften. We raden u aan het volgende referentiemateriaal voor uw besturingsomgeving te bekijken:

Gegevensbronnen

De logboekbestanden die u gebruikt voor onderzoek en controle zijn:

Vanuit Azure Portal kunt u de Auditlogboeken van Microsoft Entra bekijken. Download logboeken als CSV-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). De Azure-portal biedt verschillende manieren om Microsoft Entra-logboeken te integreren met andere hulpprogramma's waarmee bewaking en waarschuwingen kunnen worden geautomatiseerd:

  • Microsoft Sentinel : maakt intelligente beveiligingsanalyse op ondernemingsniveau mogelijk door SIEM-mogelijkheden (Security Information and Event Management) te bieden.

  • Sigma-regels - Sigma is een steeds verder ontwikkelende open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Waar Sigma-sjablonen bestaan voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. De Sigma-sjablonen worden niet geschreven, getest en beheerd door Microsoft. In plaats daarvan worden de opslagplaats en sjablonen gemaakt en verzameld door de wereldwijde IT-beveiligingscommunity.

  • Azure Monitor : maakt geautomatiseerde bewaking en waarschuwingen van verschillende voorwaarden mogelijk. U kunt werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.

  • Azure Event Hubs geïntegreerd met een SIEM. Microsoft Entra-logboeken kunnen worden geïntegreerd met andere SIEM's, zoals Splunk, ArcSight, QRadar en Sumo Logic via de Integratie van Azure Event Hubs. Zie Stream Microsoft Entra-logboeken naar een Azure Event Hub voor meer informatie.

  • Microsoft Defender voor Cloud-apps - Hiermee kunt u apps detecteren en beheren, apps en resources beheren en de naleving van uw cloud-apps controleren.

  • Workloadidentiteiten beveiligen met Identity Protection Preview: wordt gebruikt om risico's van workloadidentiteiten bij aanmeldingsgedrag en offline indicatoren van inbreuk te detecteren.

Wat u bewaakt en waar u waarschuwingen voor krijgt, is vaak het gevolg van uw beleid voor voorwaardelijke toegang. U kunt de inzichten en rapportagewerkmap voor voorwaardelijke toegang gebruiken om de effecten van een of meer beleidsregels voor voorwaardelijke toegang op uw aanmeldingen en de resultaten van beleidsregels, inclusief de apparaatstatus, te onderzoeken. Met deze werkmap kunt u een impactoverzicht bekijken en de impact in een bepaalde periode identificeren. U kunt de werkmap ook gebruiken om de aanmeldingen van een specifieke gebruiker te onderzoeken. Zie Inzichten en rapportage voor voorwaardelijke toegang voor meer informatie.

In de rest van dit artikel wordt beschreven wat u moet bewaken en waarvoor waarschuwingen moeten worden gegenereerd. Als er specifieke vooraf gebouwde oplossingen zijn, bieden we koppelingen daarnaar of geven we voorbeelden na de tabel. Anders kunt u waarschuwingen maken met behulp van de voorgaande hulpprogramma's.

  • Identity Protection genereert drie belangrijke rapporten die u kunt gebruiken om u te helpen met uw onderzoek:

  • Riskante gebruikers bevat informatie over welke gebruikers risico lopen, details over detecties, geschiedenis van alle riskante aanmeldingen en risicogeschiedenis.

  • Riskante aanmeldingen bevat informatie omtrent de omstandigheid van een aanmelding die kan duiden op verdachte omstandigheden. Zie Procedure: Risico onderzoeken voor meer informatie over het onderzoeken van informatie uit dit rapport.

  • Risicodetecties bevatten informatie over risicosignalen die zijn gedetecteerd door Microsoft Entra ID Protection die aanmeldings- en gebruikersrisico's informeert. Zie de Handleiding voor beveiligingsbewerkingen van Microsoft Entra voor gebruikersaccounts voor meer informatie.

Zie Wat is Identity Protection? voor meer informatie.

Gegevensbronnen voor de bewaking van domeincontrollers

Voor de beste resultaten raden we u aan uw domeincontrollers te bewaken met Microsoft Defender for Identity. Met deze benadering maakt u gebruik van de beste detectie- en automatiseringsmogelijkheden. Volg de richtlijnen van deze resources:

Als u niet van plan bent om Microsoft Defender for Identity te gebruiken, controleert u uw domeincontrollers op een van de volgende manieren:

Onderdelen van hybride verificatie

Als onderdeel van een hybride Azure-omgeving moet er een basislijn voor de volgende items worden gemaakt en opgenomen in uw bewakings- en waarschuwingsstrategie.

Onderdelen van cloudverificatie

Als onderdeel van een Azure-cloudomgeving moet er een basislijn voor de volgende items worden gemaakt en opgenomen in uw bewakings- en waarschuwingsstrategie.

  • Microsoft Entra-toepassingsproxy : deze cloudservice biedt veilige externe toegang tot on-premises webtoepassingen. Zie Externe toegang tot on-premises toepassingen via de Microsoft Entra-toepassingsproxy voor meer informatie.

  • Microsoft Entra Verbinding maken - Services die worden gebruikt voor een Microsoft Entra Verbinding maken-oplossing. Zie Wat is Microsoft Entra Verbinding maken voor meer informatie.

  • Microsoft Entra Verbinding maken Health - Service Health biedt u een aanpasbaar dashboard waarmee de status van uw Azure-services wordt bijgehouden in de regio's waar u ze gebruikt. Zie Microsoft Entra Verbinding maken Health voor meer informatie.

  • Meervoudige verificatie van Microsoft Entra: voor meervoudige verificatie is een gebruiker vereist om meer dan één vorm van bewijs voor verificatie te bieden. Deze aanpak biedt mogelijk de eerste proactieve stap om uw omgeving te beveiligen. Zie Microsoft Entra multifactor authentication voor meer informatie.

  • Dynamische groepen: dynamische configuratie van lidmaatschap van beveiligingsgroepen voor Microsoft Entra-Beheer istrators kunnen regels instellen om groepen in te vullen die zijn gemaakt in Microsoft Entra-id op basis van gebruikerskenmerken. Zie Dynamische groepen en Microsoft Entra B2B-samenwerking voor meer informatie.

  • Voorwaardelijke toegang - Voorwaardelijke toegang is het hulpprogramma dat wordt gebruikt door Microsoft Entra ID om signalen samen te brengen, beslissingen te nemen en organisatiebeleid af te dwingen. Voorwaardelijke toegang vormt de kern van het nieuwe besturingsvlak op basis van identiteiten. Zie Wat is voorwaardelijke toegang? voor meer informatie.

  • Identity Protection : een hulpprogramma waarmee organisaties de detectie en herstel van identiteitsrisico's kunnen automatiseren, risico's onderzoeken met behulp van gegevens in de portal en risicodetectiegegevens exporteren naar uw SIEM. Zie Wat is Identity Protection? voor meer informatie.

  • Licenties op basis van groepen: licenties kunnen worden toegewezen aan groepen in plaats van rechtstreeks aan gebruikers. Microsoft Entra ID slaat informatie op over licentietoewijzingsstatussen voor gebruikers.

  • Provisioning Service : inrichten verwijst naar het maken van gebruikersidentiteiten en -rollen in de cloudtoepassingen waartoe gebruikers toegang nodig hebben. Naast het maken van gebruikersidentiteiten omvat automatische inrichting het onderhoud en de verwijdering van gebruikersidentiteiten, zoals gewijzigde status of rollen. Zie Hoe toepassingsinrichting werkt in Microsoft Entra-id voor meer informatie.

  • Graph API - De Microsoft Graph API is een RESTful-web-API waarmee u toegang hebt tot Microsoft Cloud-serviceresources. Nadat u uw toepassing hebt geregistreerd en verificatietokens hebt ontvangen voor een gebruiker of service, kunt u aanvragen indienen bij de Microsoft Graph API. Zie Overzicht van Microsoft Graph voor meer informatie.

  • Domain Service - Microsoft Entra Domain Services (AD DS) biedt beheerde domeinservices zoals domeindeelname, groepsbeleid. Zie Wat is Microsoft Entra Domain Services voor meer informatie.

  • Azure Resource Manager : Azure Resource Manager is de implementatie- en beheerservice voor Azure. Het biedt een beheerlaag waarmee u resources in uw Azure-account kunt maken, bijwerken en verwijderen. Zie Wat is Azure Resource Manager? voor meer informatie.

  • Beheerde identiteit : beheerde identiteiten elimineren de noodzaak voor ontwikkelaars om referenties te beheren. Beheerde identiteiten bieden een identiteit die toepassingen kunnen gebruiken bij het maken van verbinding met resources die ondersteuning bieden voor Microsoft Entra-verificatie. Zie Wat zijn beheerde identiteiten voor Azure-resources? voor meer informatie.

  • Privileged Identity Management - PIM is een service in Microsoft Entra ID waarmee u de toegang tot belangrijke resources in uw organisatie kunt beheren, beheren en bewaken. Zie Wat is Microsoft Entra Privileged Identity Management voor meer informatie.

  • Toegangsbeoordelingen - Met Microsoft Entra-toegangsbeoordelingen kunnen organisaties groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen efficiënt beheren. De gebruikerstoegang kan regelmatig herzien worden om ervoor te zorgen dat alleen de juiste mensen toegang blijven hebben. Zie Wat zijn Microsoft Entra-toegangsbeoordelingen voor meer informatie.

  • Rechtenbeheer - Microsoft Entra-rechtenbeheer is een functie voor identiteitsbeheer . Hiermee kunnen organisaties de levenscyclus van en toegang tot identiteiten op schaal beheren door werkstromen voor het aanvragen van toegang, toegangstoewijzingen, controles en de verlooptijd te automatiseren. Zie Wat is Microsoft Entra-rechtenbeheer voor meer informatie.

  • Activiteitenlogboeken: het activiteitenlogboek is een Azure-platformlogboek dat inzicht biedt in gebeurtenissen op abonnementsniveau. Dit logboek bevat onder andere informatie over wanneer een resource is gewijzigd of wanneer een virtuele machine is gestart. Zie Activiteitenlogboek van Azure voor meer informatie.

  • Selfservice voor wachtwoordherstel- Microsoft Entra selfservice voor wachtwoordherstel (SSPR) biedt gebruikers de mogelijkheid om hun wachtwoord te wijzigen of opnieuw in te stellen. Zonder tussenkomst van een beheerder of helpdesk. Zie Hoe het werkt: Selfservice voor wachtwoordherstel van Microsoft Entra voor meer informatie.

  • Apparaatservices : apparaatidentiteitsbeheer vormt de basis voor voorwaardelijke toegang op basis van apparaten. Met apparaatgebaseerde voorwaardelijke toegangsbeleidsregels kunt u ervoor zorgen dat toegang tot resources in uw omgeving alleen mogelijk is via beheerde apparaten. Zie Wat is een apparaat-id? voor meer informatie.

  • Selfservicegroepsbeheer : u kunt gebruikers in staat stellen hun eigen beveiligingsgroepen of Microsoft 365-groepen te maken en te beheren in Microsoft Entra ID. De eigenaar van de groep kan lidmaatschapsaanvragen goedkeuren of weigeren en het beheer van een groepslidmaatschap delegeren. Functies voor self-service voor groepsbeheer zijn niet beschikbaar voor door e-mail ingeschakelde beveiligingsgroepen of distributielijsten. Zie Selfservicegroepsbeheer instellen in Microsoft Entra ID voor meer informatie.

  • Risicodetectie: bevat informatie over andere risico's die worden geactiveerd wanneer een risico wordt gedetecteerd en andere relevante informatie, zoals aanmeldingslocatie en eventuele details van Microsoft Defender voor Cloud Apps.

Volgende stappen

Raadpleeg de volgende artikelen over beveiligingsbewerkingen:

Beveiligingsbewerkingen voor gebruikersaccounts

Beveiligingsbewerkingen voor consumentenaccounts

Beveiligingsbewerkingen voor bevoegde accounts

Beveiligingsbewerkingen voor Privileged Identity Management

Beveiligingsbewerkingen voor toepassingen

Beveiligingsbewerkingen voor apparaten

Beveiligingsbewerkingen voor infrastructuur