Wat is Identity Protection?
Identity Protection maakt gebruik van de kennis die Microsoft heeft opgedaan op basis van hun positie in organisaties met Azure Active Directory, de consumentenruimte met Microsoft-accounts en games met Xbox om uw gebruikers te beschermen. Microsoft analyseert biljoenen signalen per dag om klanten te identificeren en te beschermen tegen bedreigingen. Met Identity Protection kunnen organisaties drie belangrijke taken uitvoeren:
- Automatiseer de detectie en het herstel van risico's op basis van identiteit.
- Risico's onderzoeken met behulp van gegevens in de portal.
- Risicodetectiegegevens exporteren naar andere hulpprogramma's.
De signalen die worden gegenereerd door en worden doorgegeven aan Identity Protection, kunnen verder worden ingevoerd in hulpprogramma's zoals voorwaardelijke toegang om toegangsbeslissingen te nemen, of worden teruggekoppeld naar een SIEM-hulpprogramma (Security Information and Event Management) voor verder onderzoek.
Waarom is automatisering belangrijk?
- Geanalyseerd... 24 biljoen beveiligingssignalen gecombineerd met inlichtingen die we volgen door meer dan 40 nationale staatsgroepen en meer dan 140 bedreigingsgroepen te bewaken...
- ... Van januari 2021 tot december 2021 hebben we meer dan 25,6 miljard Azure AD beveiligingsverificatieaanvallen geblokkeerd...
De grote schaal van signalen en aanvallen vereist een zekere mate van automatisering om bij te kunnen blijven.
Risico detecteren
Identity Protection detecteert risico's van vele typen, waaronder:
- Anoniem IP-adresgebruik
- Ongewoon traject
- Aan malware gekoppeld IP-adres
- Onbekende aanmeldingseigenschappen
- Gelekte referenties
- Wachtwoordspray
- en meer...
De risicosignalen kunnen herstelacties activeren, zoals het vereisen van meervoudige verificatie, het opnieuw instellen van hun wachtwoord met selfservice voor wachtwoordherstel of het blokkeren van toegang totdat een beheerder actie onderneemt.
Meer informatie over deze en andere risico's, inclusief hoe of wanneer ze worden berekend, vindt u in het artikel Wat is risico.
Risico onderzoeken
Beheerders kunnen detecties bekijken en zo nodig handmatig actie ondernemen. Er zijn drie belangrijke rapporten die door beheerders worden gebruikt voor onderzoeken in Identity Protection:
- Riskante gebruikers
- Riskante aanmeldingen
- Risicodetectie
Meer informatie vindt u in het artikel How To: Investigate risk (Procedure: risico onderzoeken).
Risiconiveaus
Identity Protection categoriseert risico's in lagen: laag, gemiddeld en hoog.
Microsoft biedt geen specifieke details over hoe het risico wordt berekend. Elk risiconiveau geeft meer vertrouwen dat de gebruiker of aanmelding is gecompromitteerd. Een voorbeeld: één geval van onbekende aanmeldingseigenschappen voor een gebruiker kan minder bedreigend zijn dan gelekte referenties voor een andere gebruiker.
Verder gebruik maken van risico-informatie
Gegevens van Identity Protection kunnen worden geëxporteerd naar andere hulpprogramma's voor archivering en verder onderzoek en samenhang. Met de op Microsoft Graph gebaseerde API's kunnen organisaties deze gegevens verzamelen voor verdere verwerking in een hulpprogramma zoals hun SIEM. Informatie over het openen van de Identity Protection-API vindt u in het artikel Get started with Azure Active Directory Identity Protection and Microsoft Graph (Aan de slag met Azure Active Directory Identity Protection en Microsoft Graph)
Informatie over het integreren van Identity Protection-gegevens met Microsoft Sentinel vindt u in het artikel Verbinding maken met gegevens van Azure AD Identity Protection.
Organisaties kunnen ervoor kiezen om gegevens voor langere perioden op te slaan door diagnostische instellingen te wijzigen in Azure AD. Ze kunnen ervoor kiezen om gegevens te verzenden naar een Log Analytics-werkruimte, gegevens te archiveren naar een opslagaccount, gegevens te streamen naar Event Hubs of gegevens naar een partneroplossing te verzenden. Gedetailleerde informatie over hoe u dit doet, vindt u in het artikel Procedure: Risicogegevens exporteren.
Vereiste rollen
Voor toegang tot Identity Protection moeten gebruikers een Beveiligingslezer, Beveiligingsoperator, Beveiligingsbeheerder, Globale lezer of Globale beheerder zijn.
| Rol | Wel | Niet |
|---|---|---|
| Hoofdbeheerder | Volledige toegang tot Identity Protection | |
| Beveiligingsbeheer | Volledige toegang tot Identity Protection | Wachtwoord opnieuw instellen voor een gebruiker |
| Beveiligingsoperator | Alle rapporten en overzicht van Identity Protection weergeven Gebruikersrisico's negeren, veilige aanmelding bevestigen, inbreuk bevestigen |
Beleid configureren of wijzigen Wachtwoord opnieuw instellen voor een gebruiker Waarschuwingen configureren |
| Beveiligingslezer | Alle rapporten en overzicht van Identity Protection weergeven | Beleid configureren of wijzigen Wachtwoord opnieuw instellen voor een gebruiker Waarschuwingen configureren Feedback geven op detecties |
| Algemene lezer | Alleen-lezentoegang tot Identity Protection |
Op dit moment heeft de rol Beveiligingsoperator geen toegang tot het rapport Riskante aanmeldingen.
Beheerders van voorwaardelijke toegang kunnen beleidsregels maken die rekening houden met gebruikers- of aanmeldingsrisico's als voorwaarde. Meer informatie vindt u in het artikel Voorwaardelijke toegang: Conditions (Voorwaardelijke toegang: voorwaarden).
Licentievereisten
Voor het gebruik van deze functie zijn Azure AD Premium P2 licenties vereist. Zie Algemeen beschikbare functies van Azure AD vergelijken als u een licentie zoekt die bij uw vereisten past.
| Mogelijkheid | Details | Azure AD Free/Microsoft 365-apps | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| Risicobeleid | Beleid voor aanmeldings- en gebruikersrisico's (via identiteitsbescherming of voorwaardelijke toegang) | Nee | Nee | Ja |
| Beveiligingsrapporten | Overzicht | Nee | Nee | Ja |
| Beveiligingsrapporten | Riskante gebruikers | Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detailslade of risicogeschiedenis. | Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detailslade of risicogeschiedenis. | Volledige toegang |
| Beveiligingsrapporten | Riskante aanmeldingen | Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. | Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. | Volledige toegang |
| Beveiligingsrapporten | Risicodetectie | Nee | Beperkte informatie. Geen detailslade. | Volledige toegang |
| Meldingen | Waarschuwingen bij gebruikers die risico lopen | Nee | Nee | Ja |
| Meldingen | Wekelijkse samenvatting | Nee | Nee | Ja |
| MFA-registratiebeleid | Nee | Nee | Ja |
Meer informatie over deze uitgebreide berichten vindt u in het artikel How To: Investigate risk (Procedure: risico onderzoeken).
Volgende stappen
What is risk (Wat is een risico?)
Policies available to mitigate risks (Beschikbare beleidsregels om risico's te beperken)