Risico's onderzoeken

  • Artikel

Identity Protection biedt organisaties drie rapporten die ze kunnen gebruiken om identiteitsrisico's in hun omgeving te onderzoeken. Het gaat om de rapporten met riskante gebruikers, riskante aanmeldingen en risicodetecties. Onderzoek van gebeurtenissen is essentieel om zwakke punten in uw beveiligingsstrategie beter te doorgronden en te identificeren.

Met alle drie de rapporten kunt u gebeurtenissen in CSV-indeling downloaden voor verdere analyse buiten Azure Portal. Met de rapporten met riskante gebruikers en riskante aanmeldingen kunt u de meest recente 2500 vermeldingen downloaden, terwijl u met het rapport met risicodetecties de meest recente 5000 records kunt downloaden.

Organisaties kunnen profiteren van de Microsoft Graph API-integraties om gegevens te combineren met andere bronnen die toegankelijk zijn voor de organisatie.

De drie rapporten zijn te vinden bij Azure Portal>Azure Active Directory>Beveiliging.

Elk rapport begint met een lijst met alle detecties voor de periode die boven aan het rapport wordt weergegeven. In elk rapport kunnen kolommen worden toegevoegd of verwijderd op basis van beheerdersvoorkeur. Beheerders kunnen ervoor kiezen om de gegevens te downloaden in CSV- of JSON-indeling. Rapporten kunnen worden gefilterd met behulp van de filters bovenaan het rapport.

Als u afzonderlijke vermeldingen selecteert, zijn er meer vermeldingen mogelijk bovenaan het rapport, zoals de mogelijkheid om een aanmelding te bevestigen als gecompromitteerd of veilig, een gebruiker te bevestigen als gecompromitteerd of gebruikersrisico te negeren.

Als u afzonderlijke vermeldingen selecteert, wordt een detailvenster onder de detecties uitgevouwen. Met de detailweergave kunnen beheerders elke detectie onderzoeken en actie ondernemen.

Riskante gebruikers

Rapport met riskante gebruikers in Azure Portal

Met de verstrekte informatie in het rapport met riskante gebruikers kunnen beheerders het volgende vinden:

  • Welke gebruikers lopen risico, hebben risico's gehad die zijn opgelost of hebben risico's gehad die zijn gesloten?
  • Details van detecties
  • Geschiedenis van alle riskante aanmeldingen
  • Risicogeschiedenis

Beheerders kunnen er vervolgens voor kiezen om actie te ondernemen voor deze gebeurtenissen. Beheerders kunnen kiezen voor het volgende:

  • Het gebruikerswachtwoord opnieuw instellen
  • Gebruikersinbreuk bevestigen
  • Gebruikersrisico negeren
  • Voorkomen dat een gebruiker zich aanmeldt
  • Onderzoek verder met behulp van Microsoft Defender for Identity

Riskante aanmeldingen

Rapport met riskante aanmeldingen in Azure Portal

Het rapport met riskante aanmeldingen bevat te filteren gegevens voor de afgelopen 30 dagen (één maand).

Met de verstrekte informatie in het rapport met riskante aanmeldingen kunnen beheerders het volgende vinden:

  • Welke aanmeldingen zijn geclassificeerd als riskant, bevestigd gecompromitteerd, bevestigd veilig, gesloten of opgelost.
  • Realtime- en aggregatierisiconiveaus die zijn gekoppeld aan aanmeldingspogingen.
  • Geactiveerde detectietypen
  • Toegepast beleid voor voorwaardelijke toegang
  • MFA-details
  • Apparaatgegevens
  • Toepassingsgegevens
  • Locatie-informatie

Beheerders kunnen er vervolgens voor kiezen om actie te ondernemen voor deze gebeurtenissen. Beheerders kunnen kiezen voor het volgende:

  • Aanmeldingsinbreuk bevestigen
  • Veilige aanmelding bevestigen

Notitie

Met Identity Protection wordt het risico voor alle verificatiestromen geëvalueerd, ongeacht of deze interactief of niet-interactief zijn. Het rapport met riskante aanmeldingen bevat nu zowel interactieve als niet-interactieve aanmeldingen. Gebruik het filter 'aanmeldingstype' om deze weergave te wijzigen.

Risicodetectie

Het rapport met risicodetecties in Azure Portal

Het rapport met risicodetecties bevat filterbare gegevens voor de afgelopen 90 dagen (drie maanden).

Met de verstrekte informatie in het rapport met riskante risicodetecties kunnen beheerders het volgende vinden:

  • Informatie over elke risicodetectie, inclusief het type.
  • Andere risico's die tegelijkertijd zijn geactiveerd
  • Locatie van de aanmeldingspoging
  • Een koppeling naar meer details van Microsoft Defender voor Cloud-apps.

Beheerders kunnen er vervolgens voor kiezen om terug te keren naar het risico- of aanmeldingsrapport van de gebruiker om actie te ondernemen op basis van verzamelde gegevens.

Notitie

Ons systeem kan detecteren dat de risicogebeurtenis die heeft bijgedragen aan de risicoscore van de gebruiker fout-positief was of dat het gebruikersrisico is opgelost door middel van beleidshandhaving zoals het voltooien van een MFA-prompt of wijziging van een beveiligd wachtwoord. Daarom zal ons systeem de risicostatus negeren. Het risicodetail 'AI heeft bevestigd dat aanmelding veilig is' wordt weergegeven en de risicogebeurtenis draagt niet langer bij aan het risico van de gebruiker.

Onderzoeksframework

Organisaties kunnen de volgende frameworks gebruiken om hun onderzoek naar verdachte activiteiten te starten. Voor onderzoek kan een gesprek met de gebruiker in kwestie nodig zijn, het controleren van de aanmeldingslogboeken en het controleren van de auditlogboeken, om er enkele te noemen.

  1. Controleer de logboeken en valideer of de verdachte activiteit normaal is voor die gebruiker.
    1. Bekijk de eerdere activiteiten van de gebruiker, waaronder ten minste de volgende eigenschappen, om te zien of deze normaal zijn voor de opgegeven gebruiker.
      1. Toepassing
      2. Apparaat: is het apparaat geregistreerd of compatibel?
      3. Locatie: reist de gebruiker naar een andere locatie of heeft de gebruiker vanaf meerdere locaties toegang tot apparaten?
      4. IP-adres
      5. Tekenreeks van de gebruikersagent
    2. Als u toegang hebt tot andere beveiligingshulpprogramma's, zoals Microsoft Sentinel, controleert u de bijbehorende waarschuwingen die kunnen duiden op een groter probleem.
  2. Neem contact op met de gebruiker om te bevestigen of deze de aanmelding herkent. Methoden zoals e-mail of Teams kunnen zijn gecompromitteerd.
    1. Bevestig de informatie die u hebt, zoals:
      1. Toepassing
      2. Apparaat
      3. Locatie
      4. IP-adres

Detecties van Azure AD-bedreigingsinformatie onderzoeken

Voer de volgende stappen uit om een risicodetectie van Azure AD-bedreigingsinformatie te onderzoeken:

Als er meer informatie wordt weergegeven voor de detectie:

  1. De aanmelding was vanaf een verdacht IP-adres:
    1. Controleer of voor het IP-adres verdacht gedrag in uw omgeving te zien is.
    2. Wordt met het IP-adres een groot aantal fouten voor een gebruiker of set gebruikers in uw map gegenereerd?
    3. Is het verkeer van het IP-adres afkomstig van een onverwacht protocol of onverwachte toepassing, bijvoorbeeld verouderde Exchange-protocollen?
    4. Als het IP-adres overeenkomt met een cloudserviceprovider, moet u nagaan of er geen legitieme ondernemingstoepassingen worden uitgevoerd vanaf hetzelfde IP-adres.
  2. Dit account is aangevallen door een wachtwoordspray:
    1. Controleer of er geen andere gebruikers in uw map doelwit zijn geworden van dezelfde aanval.
    2. Hebben andere gebruikers aanmeldingen met vergelijkbare atypische patronen als in de gedetecteerde aanmelding binnen hetzelfde tijdsbestek? Wachtwoordsprayaanvallen kunnen ongebruikelijke patronen weergeven in:
      1. Tekenreeks van de gebruikersagent
      2. Toepassing
      3. Protocol
      4. Bereiken van IP-adressen/ASN's
      5. Tijd en frequentie van aanmeldingen

Volgende stappen