Delen via


Wat is Microsoft Entra ID Protection?

Microsoft Entra ID Protection helpt organisaties bij het detecteren, onderzoeken en oplossen van identiteitsrisico's. Deze risico's kunnen worden ingevoerd in hulpprogramma's zoals voorwaardelijke toegang om toegangsbeslissingen te nemen of verzonden naar een SIEM-hulpprogramma (Security Information and Event Management) voor verder onderzoek en correlatie.

Diagram waarin wordt getoond hoe ID Protection op hoog niveau werkt.

Risico's detecteren

Microsoft voegt voortdurend detecties toe en werkt deze bij in onze catalogus om organisaties te beschermen. Deze detecties zijn afkomstig van onze bevindingen op basis van de analyse van biljoenen signalen per dag van Active Directory, Microsoft-accounts en games met Xbox. Dit brede scala aan signalen helpt ID Protection riskant gedrag te detecteren, zoals:

  • Anoniem IP-adresgebruik
  • Aanvallen met wachtwoordspray
  • Gelekte inloggegevens
  • en meer...

Tijdens elke aanmelding voert ID Protection alle realtime aanmeldingsdetecties uit, waardoor een risiconiveau voor aanmeldingssessies wordt gegenereerd dat aangeeft hoe waarschijnlijk de aanmelding is gecompromitteerd. Op basis van dit risiconiveau worden beleidsregels toegepast om de gebruiker en de organisatie te beschermen.

Zie het artikel Wat is risico's voor een volledige lijst met risico's en hoe ze worden gedetecteerd.

Onderzoeken

Eventuele risico's die op een identiteit worden gedetecteerd, worden bijgehouden met rapportage. ID Protection biedt drie belangrijke rapporten voor beheerders om risico's te onderzoeken en actie te ondernemen:

  • Risicodetecties: elk gedetecteerd risico wordt gerapporteerd als een risicodetectie.
  • Riskante aanmeldingen: Er wordt een riskante aanmelding gerapporteerd wanneer er een of meer risicodetecties zijn gerapporteerd voor die aanmelding.
  • Riskante gebruikers: een riskante gebruiker wordt gerapporteerd wanneer een van de volgende of beide waar is:
    • De gebruiker heeft een of meer riskante aanmeldingen.
    • Een of meer risicodetecties worden gerapporteerd.

Zie het artikel Procedure: Risico onderzoeken voor meer informatie over het gebruik van de rapporten.

Risico's mitigeren

Automatisering is essentieel voor beveiliging omdat de schaal van signalen en aanvallen automatisering vereist om bij te blijven.

Het Microsoft Digital Defense Report 2024 biedt de volgende statistieken:

78 biljoen veiligheidssignalen per dag geanalyseerd, een toename van 13 biljoen van het vorige jaar

600 miljoen aanvallen op Microsoft-klanten per dag

2,75x toename jaar na jaar bij door mensen beheerde ransomware-aanvallen

Deze statistieken blijven een opwaartse trend vertonen, zonder tekenen van vertraging. In deze omgeving is automatisering de sleutel tot het identificeren en oplossen van risico's, zodat IT-organisaties zich kunnen richten op de juiste prioriteiten.

Automatische correctie

Beleidsregels voor voorwaardelijke toegang op basis van risico's kunnen worden ingeschakeld om toegangsbeheer te vereisen, zoals een sterke verificatiemethode, meervoudige verificatie uitvoeren of een beveiligd wachtwoord opnieuw instellen op basis van het gedetecteerde risiconiveau. Als de gebruiker het toegangsbeheer heeft voltooid, wordt het risico automatisch hersteld.

Handmatig herstel

Wanneer gebruikersherstel niet is ingeschakeld, moet een beheerder deze handmatig controleren in de rapporten in de portal, via de API of in Microsoft Defender XDR. Beheerders kunnen handmatige acties uitvoeren om de risico's af te wijzen, als veilig te bevestigen of als gecompromitteerd te bevestigen.

Gebruik maken van de gegevens

Gegevens uit ID Protection kunnen worden geƫxporteerd naar andere hulpprogramma's voor archiveren, verder onderzoek en correlatie. Met de op Microsoft Graph gebaseerde API's kunnen organisaties deze gegevens verzamelen voor verdere verwerking in een hulpprogramma zoals hun SIEM. Informatie over toegang tot de ID Protection-API vindt u in het artikel Aan de slag met Microsoft Entra ID Protection en Microsoft Graph

Informatie over het integreren van ID Protection-informatie met Microsoft Sentinel vindt u in het artikel Gegevens verbinden van Microsoft Entra ID Protection.

Organisaties kunnen gegevens langere perioden opslaan door de diagnostische instellingen in Microsoft Entra-id te wijzigen. Ze kunnen ervoor kiezen om gegevens naar een Log Analytics-werkruimte te verzenden, gegevens naar een opslagaccount te archiveren, gegevens naar Event Hubs te streamen of gegevens naar een andere oplossing te verzenden. Gedetailleerde informatie over hoe u dit doet, vindt u in het artikel: Risicogegevens exporteren.

Vereiste rollen

Id Protection vereist dat gebruikers een of meer van de volgende rollen krijgen toegewezen.

Rol Kan doen Kan niet
Globale lezer Alleen-lezentoegang tot ID-beveiliging Schrijftoegang tot ID-bescherming
Gebruikersbeheerder Gebruikerswachtwoorden opnieuw instellen Lezen of schrijven in ID-protectie
Beheerder voor voorwaardelijke toegang Beleidsregels maken die rekening houden met gebruikers- of aanmeldingsrisico's als voorwaarde Lezen of schrijven naar verouderd id-beveiligingsbeleid
Beveiligingslezer Alle id-beveiligingsrapporten en overzicht weergeven Beleid configureren of wijzigen

Wachtwoord opnieuw instellen voor een gebruiker

Waarschuwingen configureren

Feedback geven op detecties
Beveiligingsoperator Alle id-beveiligingsrapporten en overzicht weergeven

Gebruikersrisico negeren, veilige aanmelding bevestigen, inbreuk bevestigen
Beleid configureren of wijzigen

Wachtwoord opnieuw instellen voor een gebruiker

Waarschuwingen configureren
Beveiligingsbeheerder Volledige toegang tot ID-beveiliging Wachtwoord opnieuw instellen voor een gebruiker

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID P2-licenties vereist. Zie Microsoft Entra-abonnementen en -prijzenom de juiste licentie voor uw vereisten te vinden. In de volgende tabel worden de belangrijkste mogelijkheden van Microsoft Entra ID Protection en de licentievereisten voor elke mogelijkheid beschreven. Raadpleeg de microsoft Entra-abonnementen en -prijzenpagina voor prijsinformatie.

Mogelijkheid Gegevens Microsoft Entra ID Free / Microsoft 365-apps Microsoft Entra ID P1 Microsoft Entra ID P2 / Microsoft Entra Suite
Risicobeleid Beleid voor aanmelding en gebruikersrisico (via ID-beveiliging of voorwaardelijke toegang) Nee Nee Ja
Beveiligingsrapporten Overzicht Nee Nee Ja
Beveiligingsrapporten Riskante gebruikers Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detailsoverzicht en risicogeschiedenis. Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detailsoverzicht en risicogeschiedenis. Volledige toegang
Beveiligingsrapporten Riskante aanmeldingen Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. Volledige toegang
Beveiligingsrapporten Risicodetectie Nee Beperkte informatie. Geen detailslade. Volledige toegang
Meldingen Waarschuwingen gedetecteerd bij gebruikers die risico lopen Nee Nee Ja
Meldingen Wekelijkse samenvatting Nee Nee Ja
MFA-registratiebeleid Multi-Factor Authenticatie vereisen (via voorwaardelijk toegangsbeheer) Nee Nee Ja
Microsoft Grafiek Alle risicorapporten Nee Nee Ja

Als u het rapport Riskante workloadidentiteiten en het tabblad Detecties van workloadidentiteiten in het rapport Risicodetecties wilt bekijken, hebt u Premium-licenties voor workloadidentiteiten nodig. Voor meer informatie, zie Het beveiligen van workloadidentiteiten.

Microsoft Defender

Microsoft Entra ID Protection ontvangt signalen van Microsoft Defender-producten voor verschillende risicodetecties, dus u hebt ook de juiste licentie nodig voor het Microsoft Defender-product dat eigenaar is van het signaal waarin u geĆÆnteresseerd bent.

Microsoft 365 E5 omvat alle volgende signalen:

  • Microsoft Defender voor Cloud Applicaties

    • Activiteit vanaf anoniem IP-adres
    • Onmogelijke reis
    • Massatoegang tot gevoelige bestanden
    • Nieuw land
  • Microsoft Defender voor Office 365

    • Verdachte regels voor het Postvak IN
  • Microsoft Defender voor Eindpunt

    • Mogelijke poging om toegang te krijgen tot het primaire vernieuwings-token

Volgende stappen