Microsoft Entra-beveiligingsbewerkingen voor gebruikersaccounts
Gebruikersidentiteit is een van de belangrijkste aspecten van het beveiligen van uw organisatie en gegevens. Dit artikel bevat richtlijnen voor het bewaken van het maken, verwijderen en gebruiken van accounts. In het eerste gedeelte wordt beschreven hoe u kunt controleren op ongebruikelijke accounts maken en verwijderen. In het tweede gedeelte wordt beschreven hoe u kunt controleren op ongebruikelijk accountgebruik.
Als u het overzicht van Beveiligingsbewerkingen van Microsoft Entra nog niet hebt gelezen, raden we u aan dit te doen voordat u doorgaat.
In dit artikel worden algemene gebruikersaccounts behandeld. Zie Beveiligingsbewerkingen: bevoegde accounts voor accounts met bevoegdheden voor accounts.
Een basislijn definiëren
Als u afwijkend gedrag wilt detecteren, moet u eerst definiëren wat normaal en verwacht gedrag is. Door te definiëren wat verwacht gedrag voor uw organisatie is, kunt u bepalen wanneer onverwacht gedrag optreedt. De definitie helpt ook om het ruisniveau van fout-positieven te verminderen bij het bewaken en waarschuwen.
Zodra u definieert wat u verwacht, voert u basislijnbewaking uit om uw verwachtingen te valideren. Met deze informatie kunt u de logboeken bewaken voor alles wat buiten de toleranties valt die u definieert.
Gebruik de Microsoft Entra-auditlogboeken, Microsoft Entra-aanmeldingslogboeken en directorykenmerken als uw gegevensbronnen voor accounts die buiten normale processen zijn gemaakt. Hieronder vindt u suggesties om u te helpen nadenken over en te definiëren wat normaal is voor uw organisatie.
Gebruikersaccount maken : evalueer het volgende:
Strategie en principes voor hulpprogramma's en processen die worden gebruikt voor het maken en beheren van gebruikersaccounts. Zijn er bijvoorbeeld standaardkenmerken, indelingen die worden toegepast op gebruikersaccountkenmerken.
Goedgekeurde bronnen voor het maken van accounts. Bijvoorbeeld, afkomstig uit Active Directory (AD), Microsoft Entra ID- of HR-systemen zoals Workday.
Waarschuwingsstrategie voor accounts die buiten goedgekeurde bronnen zijn gemaakt. Is er een gecontroleerde lijst met organisaties waarmee uw organisatie samenwerkt?
Inrichting van gastaccounts en waarschuwingsparameters voor accounts die zijn gemaakt buiten rechtenbeheer of andere normale processen.
Strategie- en waarschuwingsparameters voor accounts die zijn gemaakt, gewijzigd of uitgeschakeld door een account dat geen goedgekeurde gebruikersbeheerder is.
Bewakings- en waarschuwingsstrategie voor accounts waarvoor standaardkenmerken ontbreken, zoals werknemers-id's of het niet volgen van organisatienaamconventies.
Strategie, principes en proces voor het verwijderen en bewaren van accounts.
On-premises gebruikersaccounts: evalueer het volgende voor accounts die zijn gesynchroniseerd met Microsoft Entra Verbinding maken:
De forests, domeinen en organisatie-eenheden (OE's) binnen het bereik voor synchronisatie. Wie zijn de goedgekeurde beheerders die deze instellingen kunnen wijzigen en hoe vaak wordt het bereik gecontroleerd?
De typen accounts die worden gesynchroniseerd. Bijvoorbeeld gebruikersaccounts en of serviceaccounts.
Het proces voor het maken van bevoegde on-premises accounts en hoe de synchronisatie van dit type account wordt beheerd.
Het proces voor het maken van on-premises gebruikersaccounts en hoe de synchronisatie van dit type account wordt beheerd.
Zie Microsoft 365 beveiligen tegen on-premises aanvallen voor meer informatie over het beveiligen en bewaken van on-premises accounts.
Cloudgebruikersaccounts : evalueer het volgende:
Het proces voor het inrichten en beheren van cloudaccounts rechtstreeks in Microsoft Entra ID.
Het proces voor het bepalen van de typen gebruikers die zijn ingericht als Microsoft Entra-cloudaccounts. Staat u bijvoorbeeld alleen bevoegde accounts toe of staat u ook gebruikersaccounts toe?
Het proces voor het maken en onderhouden van een lijst met vertrouwde personen en of processen die naar verwachting cloudgebruikersaccounts maken en beheren.
Het proces voor het maken en onderhouden van een waarschuwingsstrategie voor niet-goedgekeurde cloudaccounts.
Waar te zoeken
De logboekbestanden die u gebruikt voor onderzoek en controle zijn:
Vanuit Azure Portal kunt u de Microsoft Entra-auditlogboeken bekijken en downloaden als csv-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). De Azure-portal biedt verschillende manieren om Microsoft Entra-logboeken te integreren met andere hulpprogramma's waarmee bewaking en waarschuwingen kunnen worden geautomatiseerd:
Microsoft Sentinel: maakt intelligente beveiligingsanalyse op ondernemingsniveau mogelijk door SIEM-mogelijkheden (Security Information and Event Management) te bieden.
Sigma-regels - Sigma is een steeds verder ontwikkelende open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Waar Sigma-sjablonen bestaan voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. De Sigma-sjablonen worden niet geschreven, getest en beheerd door Microsoft. In plaats daarvan worden de opslagplaats en sjablonen gemaakt en verzameld door de wereldwijde IT-beveiligingscommunity.
Azure Monitor: maakt geautomatiseerde bewaking en waarschuwingen voor verschillende omstandigheden mogelijk. U kunt werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.
Azure Event Hubs geïntegreerd met een SIEM - Microsoft Entra-logboeken kunnen worden geïntegreerd met andere SIEM's , zoals Splunk, ArcSight, QRadar en Sumo Logic via de Integratie van Azure Event Hubs.
Microsoft Defender voor Cloud-apps – hiermee kunt u apps detecteren en beheren, apps en resources beheren en de naleving van uw cloud-apps controleren.
Workloadidentiteiten beveiligen met Identity Protection Preview: wordt gebruikt om risico's van workloadidentiteiten bij aanmeldingsgedrag en offline indicatoren van inbreuk te detecteren.
Wat u bewaakt en waar u waarschuwingen voor krijgt, is vaak het gevolg van uw beleid voor voorwaardelijke toegang. U kunt de werkmap Voor voorwaardelijke toegang en rapportage gebruiken om de effecten van een of meer beleidsregels voor voorwaardelijke toegang op uw aanmeldingen en de resultaten van beleidsregels, inclusief de apparaatstatus, te onderzoeken. Met deze werkmap kunt u een samenvatting bekijken en de effecten gedurende een specifieke periode identificeren. U kunt de werkmap ook gebruiken om de aanmeldingen van een specifieke gebruiker te onderzoeken.
In de rest van dit artikel wordt beschreven wat u wordt aangeraden te controleren en te waarschuwen en wordt georganiseerd op basis van het type bedreiging. Als er specifieke vooraf gebouwde oplossingen zijn, bieden we koppelingen daarnaar of geven we voorbeelden na de tabel. Anders kunt u waarschuwingen maken met behulp van de voorgaande hulpprogramma's.
Account maken
Afwijkend account maken kan duiden op een beveiligingsprobleem. Accounts met korte levensduur, accounts die niet voldoen aan naamgevingsstandaarden en accounts die buiten normale processen zijn gemaakt, moeten worden onderzocht.
Kortstondige accounts
Account maken en verwijderen buiten normale processen voor identiteitsbeheer moeten worden bewaakt in Microsoft Entra-id. Kortstondige accounts zijn accounts die in korte tijd zijn gemaakt en verwijderd. Dit type account maken en snel verwijderen kan betekenen dat een slechte actor detectie probeert te voorkomen door accounts te maken, te gebruiken en vervolgens het account te verwijderen.
Accountpatronen met korte levensduur geven mogelijk aan dat niet-goedgekeurde personen of processen mogelijk het recht hebben om accounts te maken en te verwijderen die buiten gevestigde processen en beleidsregels vallen. Met dit type gedrag worden zichtbare markeringen uit de map verwijderd.
Als het gegevenspad voor het maken en verwijderen van accounts niet snel wordt gedetecteerd, bestaat de informatie die nodig is om een incident te onderzoeken mogelijk niet meer. Accounts kunnen bijvoorbeeld worden verwijderd en vervolgens uit de Prullenbak worden verwijderd. Auditlogboeken worden 30 dagen bewaard. U kunt uw logboeken echter exporteren naar Azure Monitor of een SIEM-oplossing (Security Information and Event Management) voor langetermijnretentie.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Gebeurtenissen voor het maken en verwijderen van accounts binnen een korte periode. | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Gebruiker toevoegen Status = Geslaagd en Activiteit: Gebruiker verwijderen Status = Geslaagd |
Zoek naar UPN-gebeurtenissen (User Principal Name). Zoek naar accounts die zijn gemaakt en vervolgens binnen 24 uur zijn verwijderd. Microsoft Sentinel-sjabloon |
| Accounts die zijn gemaakt en verwijderd door niet-goedgekeurde gebruikers of processen. | Medium | Microsoft Entra-auditlogboeken | Gestart door (actor) – USER PRINCIPAL NAME en Activiteit: Gebruiker toevoegen Status = Geslaagd en-of Activiteit: Gebruiker verwijderen Status = Geslaagd |
Als de actoren niet-goedgekeurde gebruikers zijn, configureert u deze om een waarschuwing te verzenden. Microsoft Sentinel-sjabloon |
| Accounts van niet-goedgekeurde bronnen. | Medium | Microsoft Entra-auditlogboeken | Activiteit: Gebruiker toevoegen Status = Geslaagd Target(s) = USER PRINCIPAL NAME |
Als de vermelding niet afkomstig is van een goedgekeurd domein of een bekend geblokkeerd domein is, configureert u deze om een waarschuwing te verzenden. Microsoft Sentinel-sjabloon |
| Accounts die zijn toegewezen aan een bevoorrechte rol. | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Gebruiker toevoegen Status = Geslaagd en Activiteit: Gebruiker verwijderen Status = Geslaagd en Activiteit: Lid toevoegen aan rol Status = Geslaagd |
Als het account is toegewezen aan een Microsoft Entra-rol, Azure-rol of bevoorrechte groepslidmaatschap, waarschuwt u en geeft u prioriteit aan het onderzoek. Microsoft Sentinel-sjabloon Sigma-regels |
Zowel bevoegde als niet-bevoegde accounts moeten worden bewaakt en gewaarschuwd. Omdat bevoegde accounts echter beheerdersmachtigingen hebben, moeten ze een hogere prioriteit hebben in uw bewakings-, waarschuwings- en reactieprocessen.
Accounts die geen naamgevingsbeleid volgen
Gebruikersaccounts die geen naamgevingsbeleid volgen, zijn mogelijk buiten organisatiebeleid gemaakt.
U kunt het beste een naamgevingsbeleid voor gebruikersobjecten hebben. Het hebben van een naamgevingsbeleid maakt het beheer eenvoudiger en helpt consistentie te bieden. Het beleid kan ook helpen ontdekken wanneer gebruikers buiten goedgekeurde processen zijn gemaakt. Een slechte actor is mogelijk niet op de hoogte van uw naamgevingsstandaarden en kan het eenvoudiger maken om een account te detecteren dat buiten uw organisatieprocessen is ingericht.
Organisaties hebben meestal specifieke indelingen en kenmerken die worden gebruikt voor het maken van gebruikers- en of bevoegde accounts. Bijvoorbeeld:
Beheer account-UPN =ADM_firstname.lastname@tenant.onmicrosoft.com
UPN van gebruikersaccount = Firstname.Lastname@contoso.com
Vaak hebben gebruikersaccounts een kenmerk waarmee een echte gebruiker wordt geïdentificeerd. Bijvoorbeeld EMPID = XXXNNN. Gebruik de volgende suggesties om normaal te definiëren voor uw organisatie en bij het definiëren van een basislijn voor logboekvermeldingen wanneer accounts niet voldoen aan uw naamconventie:
Accounts die niet voldoen aan de naamconventie. Bijvoorbeeld,
nnnnnnn@contoso.comversusfirstname.lastname@contoso.com.Accounts waarop de standaardkenmerken niet zijn ingevuld of die niet de juiste indeling hebben. U hebt bijvoorbeeld geen geldige werknemer-id.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Gebruikersaccounts waarvoor geen verwachte kenmerken zijn gedefinieerd. | Laag | Microsoft Entra-auditlogboeken | Activiteit: Gebruiker toevoegen Status = Geslaagd |
Zoek naar accounts met uw standaardkenmerken null of in de verkeerde indeling. Bijvoorbeeld EmployeeID Microsoft Sentinel-sjabloon |
| Gebruikersaccounts die zijn gemaakt met een onjuiste naamgevingsindeling. | Laag | Microsoft Entra-auditlogboeken | Activiteit: Gebruiker toevoegen Status = Geslaagd |
Zoek naar accounts met een UPN die niet voldoet aan uw naamgevingsbeleid. Microsoft Sentinel-sjabloon |
| Bevoegde accounts die geen naamgevingsbeleid volgen. | Hoog | Azure-abonnement | Azure-roltoewijzingen weergeven met behulp van Azure Portal - Azure RBAC | Lijst met roltoewijzingen voor abonnementen en waarschuwingen waarbij de aanmeldingsnaam niet overeenkomt met de indeling van uw organisatie. ADM_ bijvoorbeeld als voorvoegsel. |
| Bevoegde accounts die geen naamgevingsbeleid volgen. | Hoog | Microsoft Entra-map | Microsoft Entra-roltoewijzingen vermelden | Vermeld roltoewijzingen voor Microsoft Entra-rollen, waarbij UPN niet overeenkomt met de indeling van uw organisatie. ADM_ bijvoorbeeld als voorvoegsel. |
Zie voor meer informatie over parseren:
Microsoft Entra-auditlogboeken - Tekstgegevens parseren in Azure Monitor-logboeken
Azure-abonnementen - Azure-roltoewijzingen vermelden met behulp van Azure PowerShell
Microsoft Entra-id - Roltoewijzingen van Microsoft Entra vermelden
Accounts die buiten normale processen zijn gemaakt
Standaardprocessen voor het maken van gebruikers en bevoegde accounts is belangrijk, zodat u de levenscyclus van identiteiten veilig kunt beheren. Als gebruikers buiten gevestigde processen worden ingericht en de inrichting ervan ongedaan worden gemaakt, kan dit beveiligingsrisico's veroorzaken. Het werken buiten gevestigde processen kan ook leiden tot problemen met identiteitsbeheer. Mogelijke risico's zijn:
Gebruikers- en bevoegde accounts zijn mogelijk niet onderworpen aan het beleid van de organisatie. Dit kan leiden tot een breder kwetsbaarheid voor aanvallen op accounts die niet correct worden beheerd.
Het wordt moeilijker om te detecteren wanneer slechte actoren accounts maken voor schadelijke doeleinden. Als er geldige accounts zijn gemaakt buiten de vastgestelde procedures, wordt het moeilijker om te detecteren wanneer accounts worden gemaakt of machtigingen die zijn gewijzigd voor schadelijke doeleinden.
Het is raadzaam dat gebruikers- en bevoegde accounts alleen worden gemaakt volgens het beleid van uw organisatie. Er moet bijvoorbeeld een account worden gemaakt met de juiste naamgevingsstandaarden, organisatiegegevens en onder het bereik van de juiste identiteitsgovernance. Organisaties moeten strenge controles hebben voor wie de rechten heeft om identiteiten te maken, beheren en verwijderen. Rollen voor het maken van deze accounts moeten nauw worden beheerd en de rechten die alleen beschikbaar zijn na het volgen van een bestaande werkstroom om deze machtigingen goed te keuren en te verkrijgen.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Gebruikersaccounts die zijn gemaakt of verwijderd door niet-goedgekeurde gebruikers of processen. | Medium | Microsoft Entra-auditlogboeken | Activiteit: Gebruiker toevoegen Status = Geslaagd en-of- Activiteit: Gebruiker verwijderen Status = Geslaagd en Gestart door (actor) = USER PRINCIPAL NAME |
Waarschuwing voor accounts die zijn gemaakt door niet-goedgekeurde gebruikers of processen. Prioriteit geven aan accounts die zijn gemaakt met verhoogde bevoegdheden. Microsoft Sentinel-sjabloon |
| Gebruikersaccounts die zijn gemaakt of verwijderd uit niet-goedgekeurde bronnen. | Medium | Microsoft Entra-auditlogboeken | Activiteit: Gebruiker toevoegen Status = Geslaagd of Activiteit: Gebruiker verwijderen Status = Geslaagd en Target(s) = USER PRINCIPAL NAME |
Waarschuwing wanneer het domein niet-goedgekeurd of bekend geblokkeerd domein is. |
Ongebruikelijke aanmeldingen
Het zien van fouten voor gebruikersverificatie is normaal. Maar het zien van patronen of foutenblokken kan een indicator zijn dat er iets gebeurt met de identiteit van een gebruiker. Bijvoorbeeld tijdens wachtwoordspray of Brute Force-aanvallen, of wanneer een gebruikersaccount wordt aangetast. Het is van cruciaal belang dat u bewaakt en waarschuwt wanneer er patronen ontstaan. Dit zorgt ervoor dat u de gegevens van de gebruiker en uw organisatie kunt beveiligen.
Succes lijkt te zeggen dat alles goed is. Maar het kan betekenen dat een slechte actor toegang heeft tot een service. Door geslaagde aanmeldingen te bewaken, kunt u gebruikersaccounts detecteren die toegang krijgen, maar geen gebruikersaccounts zijn die toegang moeten hebben. Geslaagde gebruikersverificatie zijn normale vermeldingen in aanmeldingslogboeken van Microsoft Entra. We raden u aan om te controleren en te waarschuwen wanneer er patronen ontstaan. Dit zorgt ervoor dat u gebruikersaccounts en de gegevens van uw organisatie kunt beveiligen.
Houd bij het ontwerpen en operationeel maken van een strategie voor logboekbewaking en waarschuwingen rekening met de hulpprogramma's die beschikbaar zijn via Azure Portal. Met Identity Protection kunt u de detectie, beveiliging en herstel van identiteitsrisico's automatiseren. Identiteitsbeveiliging maakt gebruik van machine learning en heuristieke systemen om risico's te detecteren en een risicoscore toe te wijzen voor gebruikers en aanmeldingen. Klanten kunnen beleidsregels configureren op basis van een risiconiveau voor het toestaan of weigeren van toegang of toestaan dat de gebruiker veilig zelf herstelt van een risico. De volgende identiteitsbeveiligingsrisicodetecties informeren vandaag nog over risiconiveaus:
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Detectie van gebruikersrisico's met gelekte referenties | Hoog | Microsoft Entra-logboeken voor risicodetectie | UX: Gelekte referenties API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
| Detectie van gebruikersrisico's van Microsoft Entra Threat Intelligence | Hoog | Microsoft Entra-logboeken voor risicodetectie | UX: Bedreigingsinformatie van Microsoft Entra API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
| Detectie van anonieme IP-adresrisico's | Varieert | Microsoft Entra-logboeken voor risicodetectie | UX: Anoniem IP-adres API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
| Atypische aanmeldingsrisicodetectie voor reizen | Varieert | Microsoft Entra-logboeken voor risicodetectie | UX: Atypical travel API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
| Afwijkend token | Varieert | Microsoft Entra-logboeken voor risicodetectie | UX: Afwijkend token API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
| Detectie van aan malware gekoppelde IP-adresrisico's | Varieert | Microsoft Entra-logboeken voor risicodetectie | UX: Gekoppeld IP-adres voor malware API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
| Detectie van verdachte aanmeldingsrisico's van browser | Varieert | Microsoft Entra-logboeken voor risicodetectie | UX: Verdachte browser API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
| Onbekende aanmeldingseigenschappen voor aanmeldingsrisicodetectie | Varieert | Microsoft Entra-logboeken voor risicodetectie | UX: Onbekende aanmeldingseigenschappen API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
| Detectie van aanmeldingsrisico's voor schadelijke IP-adressen | Varieert | Microsoft Entra-logboeken voor risicodetectie | UX: Schadelijk IP-adres API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
| Detectie van aanmeldingsrisico's voor verdachte regels voor Postvak IN | Varieert | Microsoft Entra-logboeken voor risicodetectie | UX: Verdachte regels voor manipulatie van Postvak IN API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
| Detectie van aanmeldingsrisico's voor wachtwoordspray | Hoog | Microsoft Entra-logboeken voor risicodetectie | UX: Wachtwoordspray API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
| Onmogelijke detectie van aanmeldingsrisico's voor reizen | Varieert | Microsoft Entra-logboeken voor risicodetectie | UX: Onmogelijk reizen API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
| Detectie van aanmeldingsrisico's voor nieuw land/regio | Varieert | Microsoft Entra-logboeken voor risicodetectie | UX: Nieuw land/regio API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
| Activiteit van anonieme IP-adresdetectie voor aanmeldingsrisico's | Varieert | Microsoft Entra-logboeken voor risicodetectie | UX: Activiteit van anoniem IP-adres API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
| Detectie van verdachte aanmeldingsrisico's voor postvak IN | Varieert | Microsoft Entra-logboeken voor risicodetectie | UX: Verdacht postvak IN doorsturen API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
| Detectie van aanmeldingsrisico's voor Microsoft Entra-bedreigingsinformatie | Hoog | Microsoft Entra-logboeken voor risicodetectie | UX: Bedreigingsinformatie van Microsoft Entra API: Resourcetype riskDetection bekijken - Microsoft Graph |
Wat is risico? Microsoft Entra ID Protection Sigma-regels |
Ga voor meer informatie naar What is Identity Protection.
Waar u naar moet zoeken
Configureer bewaking van de gegevens in de aanmeldingslogboeken van Microsoft Entra om ervoor te zorgen dat waarschuwingen worden uitgevoerd en voldoen aan het beveiligingsbeleid van uw organisatie. Enkele voorbeelden hiervan zijn:
Mislukte verificaties: als mensen krijgen allemaal onze wachtwoorden van tijd tot tijd verkeerd. Veel mislukte verificaties kunnen echter aangeven dat een slechte actor probeert toegang te krijgen. Aanvallen verschillen in ferocity, maar kunnen variëren van een paar pogingen per uur tot een veel hoger tarief. Wachtwoordspray gebruikt bijvoorbeeld normaal gesproken gemakkelijkere wachtwoorden tegen veel accounts, terwijl Brute Force veel wachtwoorden probeert tegen doelaccounts.
Onderbroken verificaties: Een interrupt in Microsoft Entra-id vertegenwoordigt een injectie van een proces om te voldoen aan verificatie, zoals bij het afdwingen van een besturingselement in een beleid voor voorwaardelijke toegang. Dit is een normale gebeurtenis en kan optreden wanneer toepassingen niet correct zijn geconfigureerd. Maar wanneer u veel onderbrekingen voor een gebruikersaccount ziet, kan dit erop wijzen dat er iets met dat account gebeurt.
- Als u bijvoorbeeld hebt gefilterd op een gebruiker in aanmeldingslogboeken en een groot aantal aanmeldingsstatussen ziet = Onderbroken en voorwaardelijke toegang = Fout. Dieper graven kan worden weergegeven in verificatiedetails dat het wachtwoord juist is, maar dat sterke verificatie is vereist. Dit kan betekenen dat de gebruiker meervoudige verificatie (MFA) niet voltooit, wat kan aangeven dat het wachtwoord van de gebruiker is aangetast en dat de slechte actor niet kan voldoen aan MFA.
Slimme vergrendeling: Microsoft Entra ID biedt een slimme vergrendelingsservice die het concept van vertrouwde en niet-vertrouwde locaties introduceert voor het verificatieproces. Een gebruikersaccount dat een vertrouwde locatie bezoekt, kan worden geverifieerd terwijl een slechte actor die niet bekend is met dezelfde locatie, wordt geblokkeerd na verschillende pogingen. Zoek naar accounts die zijn vergrendeld en onderzoek verder.
IP-wijzigingen: het is normaal om gebruikers te zien die afkomstig zijn van verschillende IP-adressen. Zero Trust-statussen vertrouwen echter nooit en verifiëren altijd. Het zien van een groot aantal IP-adressen en mislukte aanmeldingen kan een indicatie zijn van inbraak. Zoek naar een patroon van veel mislukte verificaties die plaatsvinden vanaf meerdere IP-adressen. Opmerking: VPN-verbindingen (Virtual Private Network) kunnen fout-positieven veroorzaken. Ongeacht de uitdagingen raden we u aan om te controleren op wijzigingen in IP-adressen en, indien mogelijk, Microsoft Entra ID Protection te gebruiken om deze risico's automatisch te detecteren en te beperken.
Locaties: Over het algemeen verwacht u dat een gebruikersaccount zich op dezelfde geografische locatie bevindt. U verwacht ook aanmeldingen vanaf locaties waar u werknemers of zakelijke relaties hebt. Wanneer het gebruikersaccount afkomstig is van een andere internationale locatie in minder tijd dan nodig is om daar te reizen, kan het erop wijzen dat het gebruikersaccount wordt misbruikt. Houd er rekening mee dat VPN's fout-positieven kunnen veroorzaken, we raden u aan om te controleren op gebruikersaccounts die zich aanmelden vanaf geografisch verre locaties en, indien mogelijk, Microsoft Entra ID Protection te gebruiken om deze risico's automatisch te detecteren en te beperken.
Voor dit risicogebied raden we u aan standaardgebruikersaccounts en bevoegde accounts te controleren, maar prioriteit te geven aan onderzoeken van bevoegde accounts. Bevoegde accounts zijn de belangrijkste accounts in elke Microsoft Entra-tenant. Zie Beveiligingsbewerkingen, bevoegde accounts, voor specifieke richtlijnen voor bevoegde accounts.
Detecteren
U gebruikt Microsoft Entra ID Protection en de aanmeldingslogboeken van Microsoft Entra om bedreigingen te detecteren die worden aangegeven door ongebruikelijke aanmeldingskenmerken. Informatie over Identity Protection is beschikbaar op What is Identity Protection. U kunt de gegevens ook repliceren naar Azure Monitor of een SIEM voor bewakings- en waarschuwingsdoeleinden. Als u normaal wilt definiëren voor uw omgeving en een basislijn wilt instellen, bepaalt u het volgende:
de parameters die u normaal beschouwt voor uw gebruikersbestand.
het gemiddelde aantal pogingen van een wachtwoord gedurende een bepaalde periode voordat de gebruiker de servicedesk belt of een selfservice voor wachtwoordherstel uitvoert.
hoeveel mislukte pogingen u wilt toestaan voordat u een waarschuwing geeft en of dit anders is voor gebruikersaccounts en bevoegde accounts.
hoeveel MFA-pogingen u wilt toestaan voordat u een waarschuwing ontvangt en of dit anders is voor gebruikersaccounts en bevoegde accounts.
als verouderde verificatie is ingeschakeld en uw roadmap voor het stopzetten van gebruik.
de bekende UITGAANDE IP-adressen zijn voor uw organisatie.
de landen/regio's waaruit uw gebruikers werken.
of er groepen gebruikers zijn die stationair blijven binnen een netwerklocatie of land/regio.
Identificeer eventuele andere indicatoren voor ongebruikelijke aanmeldingen die specifiek zijn voor uw organisatie. Bijvoorbeeld dagen of tijden van de week of het jaar dat uw organisatie niet werkt.
Nadat u het bereik hebt bereikt wat normaal is voor de accounts in uw omgeving, kunt u de volgende lijst overwegen om te bepalen welke scenario's u wilt bewaken en waarschuwen en om uw waarschuwingen af te stemmen.
Moet u controleren en waarschuwen als Identity Protection is geconfigureerd?
Zijn er strengere voorwaarden toegepast op bevoegde accounts die u kunt gebruiken om te controleren en te waarschuwen? Het vereisen van bevoegde accounts wordt bijvoorbeeld alleen gebruikt vanuit vertrouwde IP-adressen.
Zijn de basislijnen die u te agressief instelt? Als u te veel waarschuwingen hebt, kunnen waarschuwingen worden genegeerd of gemist.
Configureer Identity Protection om ervoor te zorgen dat beveiliging aanwezig is die ondersteuning biedt voor uw beveiligingsbasislijnbeleid. Bijvoorbeeld het blokkeren van gebruikers als risico = hoog. Dit risiconiveau geeft aan met een hoge mate van vertrouwen dat een gebruikersaccount wordt aangetast. Ga naar Identity Protection-beleid voor meer informatie over het instellen van beleid voor aanmeldingsrisico's en beleidsregels voor gebruikersrisico's. Ga voor meer informatie over het instellen van voorwaardelijke toegang naar Voorwaardelijke toegang: Op risico gebaseerde voorwaardelijke toegang aanmelden.
Hieronder vindt u een lijst in volgorde van urgentie op basis van het effect en de ernst van de vermeldingen.
Aanmeldingen van externe gebruikers bewaken
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Gebruikers die zich verifiëren bij andere Microsoft Entra-tenants. | Laag | Aanmeldingslogboek van Microsoft Entra | Status = Geslaagd ResourcetenantID != Tenant-id voor thuisgebruik |
Detecteert wanneer een gebruiker is geverifieerd bij een andere Microsoft Entra-tenant met een identiteit in de tenant van uw organisatie. Waarschuwing als resourcetenant-id niet gelijk is aan de tenant-id home Microsoft Sentinel-sjabloon Sigma-regels |
| De gebruikersstatus is gewijzigd van Gast in Lid | Medium | Microsoft Entra-auditlogboeken | Activiteit: Gebruiker bijwerken Categorie: UserManagement UserType is gewijzigd van gast naar lid |
Bewaak en waarschuw bij het wijzigen van het gebruikerstype van Gast naar Lid. Was dit verwacht? Microsoft Sentinel-sjabloon Sigma-regels |
| Gastgebruikers uitgenodigd voor tenant door niet-goedgekeurde uitnodigers | Medium | Microsoft Entra-auditlogboeken | Activiteit: Externe gebruiker uitnodigen Categorie: UserManagement Gestart door (actor): User Principal Name |
Bewaak en waarschuw niet-goedgekeurde actoren die externe gebruikers uitnodigen. Microsoft Sentinel-sjabloon Sigma-regels |
Bewaking voor mislukte ongebruikelijke aanmeldingen
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Mislukte aanmeldingspogingen. | Gemiddeld - indien geïsoleerd incident Hoog: als veel accounts hetzelfde patroon of een VIP hebben. |
Aanmeldingslogboek van Microsoft Entra | Status = mislukt en Foutcode 50126 - Fout bij het valideren van referenties vanwege een ongeldige gebruikersnaam of wachtwoord. |
Definieer een drempelwaarde voor een basislijn en bewaak en pas deze vervolgens aan om het gedrag van uw organisatie in te stellen en valse waarschuwingen te beperken die niet worden gegenereerd. Microsoft Sentinel-sjabloon Sigma-regels |
| Slimme vergrendelingsgebeurtenissen. | Gemiddeld - indien geïsoleerd incident Hoog: als veel accounts hetzelfde patroon of een VIP hebben. |
Aanmeldingslogboek van Microsoft Entra | Status = mislukt en Foutcode voor aanmelden = 50053 – IdsLocked |
Definieer een drempelwaarde voor een basislijn en bewaak en pas deze vervolgens aan om het gedrag van uw organisatie in te stellen en valse waarschuwingen te beperken die niet worden gegenereerd. Microsoft Sentinel-sjabloon Sigma-regels |
| Onderbrekingen | Gemiddeld - indien geïsoleerd incident Hoog: als veel accounts hetzelfde patroon of een VIP hebben. |
Aanmeldingslogboek van Microsoft Entra | 500121 is verificatie mislukt tijdens een sterke verificatieaanvraag. of 50097, apparaatverificatie is vereist of 50074, sterke verificatie is vereist. of 50155, DeviceAuthenticationFailed of 50158, ExternalSecurityChallenge - Externe beveiligingsvraag is niet voldaan of Reden van 53003 en fout = geblokkeerd door voorwaardelijke toegang |
Bewaken en waarschuwen bij interrupts. Definieer een drempelwaarde voor een basislijn en bewaak en pas deze vervolgens aan om het gedrag van uw organisatie in te stellen en valse waarschuwingen te beperken die niet worden gegenereerd. Microsoft Sentinel-sjabloon Sigma-regels |
Hieronder vindt u een lijst in volgorde van urgentie op basis van het effect en de ernst van de vermeldingen.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Meervoudige verificatie (MFA) fraudewaarschuwingen. | Hoog | Aanmeldingslogboek van Microsoft Entra | Status = mislukt en Details = MFA geweigerd |
Controleer en waarschuw bij elke vermelding. Microsoft Sentinel-sjabloon Sigma-regels |
| Mislukte verificaties van landen/regio's waarvan u niet werkt. | Medium | Aanmeldingslogboek van Microsoft Entra | Locatie = <niet-goedgekeurde locatie> | Controleer en waarschuw alle vermeldingen. Microsoft Sentinel-sjabloon Sigma-regels |
| Mislukte verificaties voor verouderde protocollen of protocollen die niet worden gebruikt. | Medium | Aanmeldingslogboek van Microsoft Entra | Status = fout en Client-app = Andere clients, POP, IMAP, MAPI, SMTP, ActiveSync |
Controleer en waarschuw alle vermeldingen. Microsoft Sentinel-sjabloon Sigma-regels |
| Fouten geblokkeerd door voorwaardelijke toegang. | Medium | Aanmeldingslogboek van Microsoft Entra | Foutcode = 53003 en Reden van fout = geblokkeerd door voorwaardelijke toegang |
Controleer en waarschuw alle vermeldingen. Microsoft Sentinel-sjabloon Sigma-regels |
| Verhoogde mislukte verificaties van elk type. | Medium | Aanmeldingslogboek van Microsoft Entra | Vastleggen neemt toe in fouten over de hele linie. Dat wil gezegd: het totaal van de fouten voor vandaag is >10% op dezelfde dag, de vorige week. | Als u geen ingestelde drempelwaarde hebt, controleert en waarschuwt u of fouten met 10% of hoger toenemen. Microsoft Sentinel-sjabloon |
| Verificatie vindt plaats op tijdstippen en dagen van de week wanneer landen/regio's geen normale bedrijfsactiviteiten uitvoeren. | Laag | Aanmeldingslogboek van Microsoft Entra | Leg interactieve verificatie vast die plaatsvindt buiten normale bedrijfsdagen\tijd. Status = Geslaagd en Locatie = <locatie> en Dag\Tijd = <niet normale werktijden> |
Controleer en waarschuw alle vermeldingen. Microsoft Sentinel-sjabloon |
| Account uitgeschakeld/geblokkeerd voor aanmeldingen | Laag | Aanmeldingslogboek van Microsoft Entra | Status = fout en foutcode = 50057, het gebruikersaccount is uitgeschakeld. |
Dit kan erop wijzen dat iemand toegang probeert te krijgen tot een account zodra hij of zij een organisatie heeft verlaten. Hoewel het account is geblokkeerd, is het belangrijk om u aan te melden en te waarschuwen voor deze activiteit. Microsoft Sentinel-sjabloon Sigma-regels |
Bewaking voor geslaagde ongebruikelijke aanmeldingen
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Verificaties van bevoegde accounts buiten verwachte besturingselementen. | Hoog | Aanmeldingslogboek van Microsoft Entra | Status = Geslaagd en UserPricipalName = <Beheer-account> en Locatie = <niet-goedgekeurde locatie> en IP-adres = <niet-goedgekeurde IP> Apparaatgegevens= <niet-goedgekeurde browser, besturingssysteem> |
Bewaak en waarschuw voor geslaagde verificatie voor bevoegde accounts buiten verwachte besturingselementen. Er worden drie algemene besturingselementen weergegeven. Microsoft Sentinel-sjabloon Sigma-regels |
| Als er slechts één factor-verificatie is vereist. | Laag | Aanmeldingslogboek van Microsoft Entra | Status = Geslaagd Verificatievereiste = Verificatie met één factor |
Controleer periodiek en zorg voor verwacht gedrag. Sigma-regels |
| Ontdek bevoegde accounts die niet zijn geregistreerd voor MFA. | Hoog | Azure Graph API | Voer een query uit voor IsMFARegistered eq false voor beheerdersaccounts. List credentialUserRegistrationDetails - Microsoft Graph beta |
Controleer en onderzoek om te bepalen of het opzettelijk of een toezicht is. |
| Geslaagde verificaties van landen/regio's waarvan uw organisatie niet werkt. | Medium | Aanmeldingslogboek van Microsoft Entra | Status = Geslaagd Locatie = <niet-goedgekeurd land/regio> |
Controleer en waarschuw alle vermeldingen die niet gelijk zijn aan de plaatsnamen die u opgeeft. Sigma-regels |
| Geslaagde verificatie, sessie geblokkeerd door voorwaardelijke toegang. | Medium | Aanmeldingslogboek van Microsoft Entra | Status = Geslaagd en foutcode = 53003 : reden van fout, geblokkeerd door voorwaardelijke toegang |
Controleer en onderzoek wanneer verificatie is geslaagd, maar sessie wordt geblokkeerd door voorwaardelijke toegang. Microsoft Sentinel-sjabloon Sigma-regels |
| Geslaagde verificatie nadat u verouderde verificatie hebt uitgeschakeld. | Medium | Aanmeldingslogboek van Microsoft Entra | status = geslaagd en Client-app = Andere clients, POP, IMAP, MAPI, SMTP, ActiveSync |
Als uw organisatie verouderde verificatie heeft uitgeschakeld, controleert en waarschuwt u wanneer een geslaagde verouderde verificatie heeft plaatsgevonden. Microsoft Sentinel-sjabloon Sigma-regels |
U wordt aangeraden regelmatig verificaties te controleren op gemiddelde bedrijfsimpact (MBI) en HBI-toepassingen (High Business Impact), waarbij alleen eenmalige verificatie is vereist. Voor beide wilt u bepalen of eenmalige verificatie al dan niet is verwacht. Controleer bovendien op een geslaagde verificatie of op onverwachte tijden, op basis van de locatie.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Verificaties voor de MBI- en HBI-toepassing met behulp van verificatie met één factor. | Laag | Aanmeldingslogboek van Microsoft Entra | status = geslaagd en Toepassings-id = <HBI-app> en Verificatievereiste = verificatie met één factor. |
Controleer en valideer deze configuratie opzettelijk. Sigma-regels |
| Verificaties op dagen en tijden van de week of het jaar dat landen/regio's geen normale bedrijfsactiviteiten uitvoeren. | Laag | Aanmeldingslogboek van Microsoft Entra | Leg interactieve verificatie vast die plaatsvindt buiten normale bedrijfsdagen\tijd. Status = Geslaagd Locatie = <locatie> Datum\tijd = <niet normale werkuren> |
Controleer en waarschuw op verificatiedagen en -tijden van de week of het jaar dat landen/regio's geen normale bedrijfsactiviteiten uitvoeren. Sigma-regels |
| Meetbare toename van geslaagde aanmeldingen. | Laag | Aanmeldingslogboek van Microsoft Entra | Vastleggen neemt toe in geslaagde verificatie aan de hele linie. Dat wil gezegd: succestotalen voor vandaag zijn >10% op dezelfde dag, de vorige week. | Als u geen ingestelde drempelwaarde hebt, kunt u controleren en waarschuwen als geslaagde verificaties met 10% of hoger toenemen. Microsoft Sentinel-sjabloon Sigma-regels |
Volgende stappen
Raadpleeg de volgende artikelen over beveiligingsbewerkingen:
Overzicht van Microsoft Entra-beveiligingsbewerkingen
Beveiligingsbewerkingen voor consumentenaccounts
Beveiligingsbewerkingen voor bevoegde accounts
Beveiligingsbewerkingen voor Privileged Identity Management
Beveiligingsbewerkingen voor toepassingen