Delen via


Wat is Microsoft Entra ID Protection?

Microsoft Entra ID Protection helpt organisaties bij het detecteren, onderzoeken en oplossen van identiteitsrisico's. Deze identiteitsrisico's kunnen verder worden ingevoerd in hulpprogramma's zoals voorwaardelijke toegang om toegangsbeslissingen te nemen of terug te keren naar een SIEM-hulpprogramma (Security Information and Event Management) voor verder onderzoek en correlatie.

Diagram waarin wordt getoond hoe ID Protection op hoog niveau werkt.

Risico's detecteren

Microsoft voegt voortdurend detecties toe en werkt deze bij in onze catalogus om organisaties te beschermen. Deze detecties zijn afkomstig van onze bevindingen op basis van de analyse van biljoenen signalen per dag van Active Directory, Microsoft-accounts en games met Xbox. Dit brede scala aan signalen helpt ID Protection riskant gedrag te detecteren, zoals:

  • Anoniem IP-adresgebruik
  • Aanvallen met wachtwoordspray
  • Gelekte referenties
  • en meer...

Tijdens elke aanmelding voert ID Protection alle realtime aanmeldingsdetecties uit die een risiconiveau voor aanmeldingssessies genereren, wat aangeeft hoe waarschijnlijk de aanmelding is gecompromitteerd. Op basis van dit risiconiveau worden beleidsregels vervolgens toegepast om de gebruiker en de organisatie te beveiligen.

Zie het artikel Wat is risico's voor een volledige lijst met risico's en hoe ze worden gedetecteerd.

Onderzoeken

Eventuele risico's die op een identiteit worden gedetecteerd, worden bijgehouden met rapportage. ID Protection biedt drie belangrijke rapporten voor beheerders om risico's te onderzoeken en actie te ondernemen:

  • Risicodetecties: elk gedetecteerd risico wordt gerapporteerd als een risicodetectie.
  • Riskante aanmeldingen: Er wordt een riskante aanmelding gerapporteerd wanneer er een of meer risicodetecties zijn gerapporteerd voor die aanmelding.
  • Riskante gebruikers: een riskante gebruiker wordt gerapporteerd wanneer een van de volgende of beide waar is:
    • De gebruiker heeft een of meer riskante aanmeldingen.
    • Een of meer risicodetecties worden gerapporteerd.

Zie het artikel Procedure: Risico onderzoeken voor meer informatie over het gebruik van de rapporten.

Risico's herstellen

Waarom is automatisering essentieel voor beveiliging?

In het blogbericht Cyber Signals: Bescherming tegen cyberbedreigingen met het nieuwste onderzoek, inzichten en trends van 3 februari 2022 heeft Microsoft een brief over bedreigingsinformatie gedeeld, waaronder de volgende statistieken:

Geanalyseerd... 24 biljoen beveiligingssignalen gecombineerd met intelligentie die we volgen door meer dan 40 nationale staatsgroepen en meer dan 140 bedreigingsgroepen te bewaken...

... Vanaf januari 2021 tot en met december 2021 hebben we meer dan 25,6 miljard Verificatieaanvallen van Microsoft Entra geblokkeerd...

De enorme schaal van signalen en aanvallen vereist enige mate van automatisering om bij te blijven.

Automatisch herstel

Beleidsregels voor voorwaardelijke toegang op basis van risico's kunnen worden ingeschakeld om toegangsbeheer te vereisen, zoals een sterke verificatiemethode, meervoudige verificatie uitvoeren of een beveiligd wachtwoord opnieuw instellen op basis van het gedetecteerde risiconiveau. Als de gebruiker het toegangsbeheer heeft voltooid, wordt het risico automatisch hersteld.

Handmatig herstel

Wanneer gebruikersherstel niet is ingeschakeld, moet een beheerder deze handmatig controleren in de rapporten in de portal, via de API of in Microsoft 365 Defender. Beheerders kunnen handmatige acties uitvoeren om de risico's te sluiten, veilig te bevestigen of te bevestigen.

Gebruik maken van de gegevens

Gegevens uit ID Protection kunnen worden geƫxporteerd naar andere hulpprogramma's voor archiveren, verder onderzoek en correlatie. Met de op Microsoft Graph gebaseerde API's kunnen organisaties deze gegevens verzamelen voor verdere verwerking in een hulpprogramma, zoals hun SIEM. Informatie over toegang tot de ID Protection-API vindt u in het artikel Aan de slag met Microsoft Entra ID Protection en Microsoft Graph

Informatie over het integreren van ID Protection-informatie met Microsoft Sentinel vindt u in het artikel Gegevens verbinden van Microsoft Entra ID Protection.

Organisaties kunnen gegevens langere perioden opslaan door de diagnostische instellingen in Microsoft Entra-id te wijzigen. Ze kunnen ervoor kiezen om gegevens naar een Log Analytics-werkruimte te verzenden, gegevens naar een opslagaccount te archiveren, gegevens naar Event Hubs te streamen of gegevens naar een andere oplossing te verzenden. Gedetailleerde informatie over hoe u dit doet, vindt u in het artikel: Risicogegevens exporteren.

Vereiste rollen

Id-beveiliging vereist dat gebruikers een of meer van de volgende rollen toegewezen krijgen om toegang te krijgen.

Rol Kan doen Kan het niet doen
Beveiligingsbeheerder Volledige toegang tot ID-beveiliging Wachtwoord opnieuw instellen voor een gebruiker
Beveiligingsoperator Alle id-beveiligingsrapporten en overzicht weergeven

Gebruikersrisico negeren, veilig aanmelden bevestigen, inbreuk bevestigen
Beleid configureren of wijzigen

Wachtwoord opnieuw instellen voor een gebruiker

Waarschuwingen configureren
Beveiligingslezer Alle id-beveiligingsrapporten en overzicht weergeven Beleid configureren of wijzigen

Wachtwoord opnieuw instellen voor een gebruiker

Waarschuwingen configureren

Feedback geven over detecties
Globale lezer Alleen-lezentoegang tot ID-beveiliging
Gebruikersbeheerder Gebruikerswachtwoorden opnieuw instellen

Momenteel heeft de rol Beveiligingsoperator geen toegang tot het rapport Riskante aanmeldingen.

Beheerders van voorwaardelijke toegang kunnen beleidsregels maken die rekening houden met gebruikers- of aanmeldingsrisico's als voorwaarde. Meer informatie vindt u in het artikel Voorwaardelijke toegang: Voorwaarden.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID P2-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken om de juiste licentie voor uw vereisten te vinden.

Vermogen Bijzonderheden Microsoft Entra ID Free/Microsoft 365-apps Microsoft Entra ID P1 Microsoft Entra ID P2
Risicobeleid Beleid voor aanmelding en gebruikersrisico (via ID-beveiliging of voorwaardelijke toegang) Nee Nee Ja
Beveiligingsrapporten Overzicht Nee Nee Ja
Beveiligingsrapporten Riskante gebruikers Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detaillade of risicogeschiedenis. Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detaillade of risicogeschiedenis. Volledige toegang
Beveiligingsrapporten Riskante aanmeldingen Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. Volledige toegang
Beveiligingsrapporten Risicodetecties Nee Beperkte informatie. Geen detaillade. Volledige toegang
Meldingen Gedetecteerde waarschuwingen voor gebruikers met risico Nee Nee Ja
Meldingen Wekelijkse samenvatting Nee Nee Ja
MFA-registratiebeleid Nee Nee Ja

Meer informatie over deze uitgebreide rapporten vindt u in het artikel How To: Investigate risk.

Als u gebruik wilt maken van risico's voor workloadidentiteiten, inclusief de risicovolle workloadidentiteiten en het tabblad Identiteitsdetectie van workloads in het deelvenster Risicodetectie in het beheercentrum, moet u Een Premium-licentie voor workloadidentiteiten hebben. Zie het artikel Over het beveiligen van workloadidentiteiten voor meer informatie.

Volgende stappen