Wat is Identity Protection?

Identity Protection maakt gebruik van de kennis die Microsoft heeft opgedaan op basis van hun positie in organisaties met Azure Active Directory, de consumentenruimte met Microsoft-accounts en games met Xbox om uw gebruikers te beschermen. Microsoft analyseert biljoenen signalen per dag om klanten te identificeren en te beschermen tegen bedreigingen. Met Identity Protection kunnen organisaties drie belangrijke taken uitvoeren:

De signalen die worden gegenereerd door en worden doorgegeven aan Identity Protection, kunnen verder worden ingevoerd in hulpprogramma's zoals voorwaardelijke toegang om toegangsbeslissingen te nemen, of worden teruggekoppeld naar een SIEM-hulpprogramma (Security Information and Event Management) voor verder onderzoek.

Waarom is automatisering belangrijk?

In de blogpost Cyber Signals: Defenseing against cyber threats with the latest research, insights, and trends (Cyber Signals: Defenseing against cyber threats threat

  • Geanalyseerd... 24 biljoen beveiligingssignalen gecombineerd met inlichtingen die we volgen door meer dan 40 nationale staatsgroepen en meer dan 140 bedreigingsgroepen te bewaken...
  • ... Van januari 2021 tot december 2021 hebben we meer dan 25,6 miljard Azure AD beveiligingsverificatieaanvallen geblokkeerd...

De grote schaal van signalen en aanvallen vereist een zekere mate van automatisering om bij te kunnen blijven.

Risico detecteren

Identity Protection detecteert risico's van vele typen, waaronder:

  • Anoniem IP-adresgebruik
  • Ongewoon traject
  • Aan malware gekoppeld IP-adres
  • Onbekende aanmeldingseigenschappen
  • Gelekte referenties
  • Wachtwoordspray
  • en meer...

De risicosignalen kunnen herstelacties activeren, zoals het vereisen van meervoudige verificatie, het opnieuw instellen van hun wachtwoord met selfservice voor wachtwoordherstel of het blokkeren van toegang totdat een beheerder actie onderneemt.

Meer informatie over deze en andere risico's, inclusief hoe of wanneer ze worden berekend, vindt u in het artikel Wat is risico.

Risico onderzoeken

Beheerders kunnen detecties bekijken en zo nodig handmatig actie ondernemen. Er zijn drie belangrijke rapporten die door beheerders worden gebruikt voor onderzoeken in Identity Protection:

  • Riskante gebruikers
  • Riskante aanmeldingen
  • Risicodetectie

Meer informatie vindt u in het artikel How To: Investigate risk (Procedure: risico onderzoeken).

Risiconiveaus

Identity Protection categoriseert risico's in lagen: laag, gemiddeld en hoog.

Microsoft biedt geen specifieke details over hoe het risico wordt berekend. Elk risiconiveau geeft meer vertrouwen dat de gebruiker of aanmelding is gecompromitteerd. Een voorbeeld: één geval van onbekende aanmeldingseigenschappen voor een gebruiker kan minder bedreigend zijn dan gelekte referenties voor een andere gebruiker.

Verder gebruik maken van risico-informatie

Gegevens van Identity Protection kunnen worden geëxporteerd naar andere hulpprogramma's voor archivering en verder onderzoek en samenhang. Met de op Microsoft Graph gebaseerde API's kunnen organisaties deze gegevens verzamelen voor verdere verwerking in een hulpprogramma zoals hun SIEM. Informatie over het openen van de Identity Protection-API vindt u in het artikel Get started with Azure Active Directory Identity Protection and Microsoft Graph (Aan de slag met Azure Active Directory Identity Protection en Microsoft Graph)

Informatie over het integreren van Identity Protection-gegevens met Microsoft Sentinel vindt u in het artikel Verbinding maken met gegevens van Azure AD Identity Protection.

Organisaties kunnen ervoor kiezen om gegevens voor langere perioden op te slaan door diagnostische instellingen te wijzigen in Azure AD. Ze kunnen ervoor kiezen om gegevens te verzenden naar een Log Analytics-werkruimte, gegevens te archiveren naar een opslagaccount, gegevens te streamen naar Event Hubs of gegevens naar een partneroplossing te verzenden. Gedetailleerde informatie over hoe u dit doet, vindt u in het artikel Procedure: Risicogegevens exporteren.

Vereiste rollen

Voor toegang tot Identity Protection moeten gebruikers een Beveiligingslezer, Beveiligingsoperator, Beveiligingsbeheerder, Globale lezer of Globale beheerder zijn.

Rol Wel Niet
Hoofdbeheerder Volledige toegang tot Identity Protection
Beveiligingsbeheer Volledige toegang tot Identity Protection Wachtwoord opnieuw instellen voor een gebruiker
Beveiligingsoperator Alle rapporten en overzicht van Identity Protection weergeven

Gebruikersrisico's negeren, veilige aanmelding bevestigen, inbreuk bevestigen
Beleid configureren of wijzigen

Wachtwoord opnieuw instellen voor een gebruiker

Waarschuwingen configureren
Beveiligingslezer Alle rapporten en overzicht van Identity Protection weergeven Beleid configureren of wijzigen

Wachtwoord opnieuw instellen voor een gebruiker

Waarschuwingen configureren

Feedback geven op detecties
Algemene lezer Alleen-lezentoegang tot Identity Protection

Op dit moment heeft de rol Beveiligingsoperator geen toegang tot het rapport Riskante aanmeldingen.

Beheerders van voorwaardelijke toegang kunnen beleidsregels maken die rekening houden met gebruikers- of aanmeldingsrisico's als voorwaarde. Meer informatie vindt u in het artikel Voorwaardelijke toegang: Conditions (Voorwaardelijke toegang: voorwaarden).

Licentievereisten

Voor het gebruik van deze functie zijn Azure AD Premium P2 licenties vereist. Zie Algemeen beschikbare functies van Azure AD vergelijken als u een licentie zoekt die bij uw vereisten past.

Mogelijkheid Details Azure AD Free/Microsoft 365-apps Azure AD Premium P1 Azure AD Premium P2
Risicobeleid Beleid voor aanmeldings- en gebruikersrisico's (via identiteitsbescherming of voorwaardelijke toegang) Nee Nee Ja
Beveiligingsrapporten Overzicht Nee Nee Ja
Beveiligingsrapporten Riskante gebruikers Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detailslade of risicogeschiedenis. Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detailslade of risicogeschiedenis. Volledige toegang
Beveiligingsrapporten Riskante aanmeldingen Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. Volledige toegang
Beveiligingsrapporten Risicodetectie Nee Beperkte informatie. Geen detailslade. Volledige toegang
Meldingen Waarschuwingen bij gebruikers die risico lopen Nee Nee Ja
Meldingen Wekelijkse samenvatting Nee Nee Ja
MFA-registratiebeleid Nee Nee Ja

Meer informatie over deze uitgebreide berichten vindt u in het artikel How To: Investigate risk (Procedure: risico onderzoeken).

Volgende stappen