Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Entra ID Protection helpt organisaties bij het detecteren, onderzoeken en oplossen van identiteitsrisico's. Deze risico's kunnen worden ingevoerd in hulpprogramma's zoals voorwaardelijke toegang om toegangsbeslissingen te nemen of verzonden naar een SIEM-hulpprogramma (Security Information and Event Management) voor verder onderzoek en correlatie.
Risico's detecteren
Microsoft voegt voortdurend detecties toe en werkt deze bij in onze catalogus om organisaties te beschermen. Deze detecties zijn afkomstig van onze bevindingen op basis van de analyse van biljoenen signalen per dag van Active Directory, Microsoft-accounts en games met Xbox. Dit brede scala aan signalen helpt ID Protection riskant gedrag te detecteren, zoals:
- Anoniem IP-adresgebruik
- Aanvallen met wachtwoordspray
- Gelekte inloggegevens
- en meer...
Tijdens elke aanmelding voert ID Protection alle realtime aanmeldingsdetecties uit, waardoor een risiconiveau voor aanmeldingssessies wordt gegenereerd dat aangeeft hoe waarschijnlijk de aanmelding is gecompromitteerd. Op basis van dit risiconiveau worden beleidsregels toegepast om de gebruiker en de organisatie te beschermen.
Zie het artikel Wat is risico's voor een volledige lijst met risico's en hoe ze worden gedetecteerd.
Onderzoeken
Eventuele risico's die op een identiteit worden gedetecteerd, worden bijgehouden met rapportage. ID Protection biedt drie belangrijke rapporten voor beheerders om risico's te onderzoeken en actie te ondernemen:
- Risicodetecties: elk gedetecteerd risico wordt gerapporteerd als een risicodetectie.
- Riskante aanmeldingen: Er wordt een riskante aanmelding gerapporteerd wanneer er een of meer risicodetecties zijn gerapporteerd voor die aanmelding.
-
Riskante gebruikers: een riskante gebruiker wordt gerapporteerd wanneer een van de volgende of beide waar is:
- De gebruiker heeft een of meer riskante aanmeldingen.
- Een of meer risicodetecties worden gerapporteerd.
Zie het artikel Procedure: Risico onderzoeken voor meer informatie over het gebruik van de rapporten.
Risico's mitigeren
Automatisering is essentieel voor beveiliging omdat de schaal van signalen en aanvallen automatisering vereist om bij te blijven.
Het Microsoft Digital Defense Report 2024 biedt de volgende statistieken:
78 biljoen veiligheidssignalen per dag geanalyseerd, een toename van 13 biljoen van het vorige jaar
600 miljoen aanvallen op Microsoft-klanten per dag
2,75x toename jaar na jaar bij door mensen beheerde ransomware-aanvallen
Deze statistieken blijven een opwaartse trend vertonen, zonder tekenen van vertraging. In deze omgeving is automatisering de sleutel tot het identificeren en oplossen van risico's, zodat IT-organisaties zich kunnen richten op de juiste prioriteiten.
Automatische correctie
Beleidsregels voor voorwaardelijke toegang op basis van risico's kunnen worden ingeschakeld om toegangsbeheer te vereisen, zoals een sterke verificatiemethode, meervoudige verificatie uitvoeren of een beveiligd wachtwoord opnieuw instellen op basis van het gedetecteerde risiconiveau. Als de gebruiker het toegangsbeheer heeft voltooid, wordt het risico automatisch hersteld.
Handmatig herstel
Wanneer gebruikersherstel niet is ingeschakeld, moet een beheerder deze handmatig controleren in de rapporten in de portal, via de API of in Microsoft Defender XDR. Beheerders kunnen handmatige acties uitvoeren om de risico's af te wijzen, als veilig te bevestigen of als gecompromitteerd te bevestigen.
Gebruik maken van de gegevens
Gegevens uit ID Protection kunnen worden geƫxporteerd naar andere hulpprogramma's voor archiveren, verder onderzoek en correlatie. Met de op Microsoft Graph gebaseerde API's kunnen organisaties deze gegevens verzamelen voor verdere verwerking in een hulpprogramma zoals hun SIEM. Informatie over toegang tot de ID Protection-API vindt u in het artikel Aan de slag met Microsoft Entra ID Protection en Microsoft Graph
Informatie over het integreren van ID Protection-informatie met Microsoft Sentinel vindt u in het artikel Gegevens verbinden van Microsoft Entra ID Protection.
Organisaties kunnen gegevens langere perioden opslaan door de diagnostische instellingen in Microsoft Entra-id te wijzigen. Ze kunnen ervoor kiezen om gegevens naar een Log Analytics-werkruimte te verzenden, gegevens naar een opslagaccount te archiveren, gegevens naar Event Hubs te streamen of gegevens naar een andere oplossing te verzenden. Gedetailleerde informatie over hoe u dit doet, vindt u in het artikel: Risicogegevens exporteren.
Vereiste rollen
Id Protection vereist dat gebruikers een of meer van de volgende rollen krijgen toegewezen.
Rol | Kan doen | Kan niet |
---|---|---|
Globale lezer | Alleen-lezentoegang tot ID-beveiliging | Schrijftoegang tot ID-bescherming |
Gebruikersbeheerder | Gebruikerswachtwoorden opnieuw instellen | Lezen of schrijven in ID-protectie |
Beheerder voor voorwaardelijke toegang | Beleidsregels maken die rekening houden met gebruikers- of aanmeldingsrisico's als voorwaarde | Lezen of schrijven naar verouderd id-beveiligingsbeleid |
Beveiligingslezer | Alle id-beveiligingsrapporten en overzicht weergeven | Beleid configureren of wijzigen Wachtwoord opnieuw instellen voor een gebruiker Waarschuwingen configureren Feedback geven op detecties |
Beveiligingsoperator | Alle id-beveiligingsrapporten en overzicht weergeven Gebruikersrisico negeren, veilige aanmelding bevestigen, inbreuk bevestigen |
Beleid configureren of wijzigen Wachtwoord opnieuw instellen voor een gebruiker Waarschuwingen configureren |
Beveiligingsbeheerder | Volledige toegang tot ID-beveiliging | Wachtwoord opnieuw instellen voor een gebruiker |
Licentievereisten
Voor het gebruik van deze functie zijn Microsoft Entra ID P2-licenties vereist. Zie Microsoft Entra-abonnementen en -prijzenom de juiste licentie voor uw vereisten te vinden. In de volgende tabel worden de belangrijkste mogelijkheden van Microsoft Entra ID Protection en de licentievereisten voor elke mogelijkheid beschreven. Raadpleeg de microsoft Entra-abonnementen en -prijzenpagina voor prijsinformatie.
Mogelijkheid | Gegevens | Microsoft Entra ID Free / Microsoft 365-apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 / Microsoft Entra Suite |
---|---|---|---|---|
Risicobeleid | Beleid voor aanmelding en gebruikersrisico (via ID-beveiliging of voorwaardelijke toegang) | Nee | Nee | Ja |
Beveiligingsrapporten | Overzicht | Nee | Nee | Ja |
Beveiligingsrapporten | Riskante gebruikers | Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detailsoverzicht en risicogeschiedenis. | Beperkte informatie. Alleen gebruikers met een gemiddeld en hoog risico worden weergegeven. Geen detailsoverzicht en risicogeschiedenis. | Volledige toegang |
Beveiligingsrapporten | Riskante aanmeldingen | Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. | Beperkte informatie. Er wordt geen risicodetail of risiconiveau weergegeven. | Volledige toegang |
Beveiligingsrapporten | Risicodetectie | Nee | Beperkte informatie. Geen detailslade. | Volledige toegang |
Meldingen | Waarschuwingen gedetecteerd bij gebruikers die risico lopen | Nee | Nee | Ja |
Meldingen | Wekelijkse samenvatting | Nee | Nee | Ja |
MFA-registratiebeleid | Multi-Factor Authenticatie vereisen (via voorwaardelijk toegangsbeheer) | Nee | Nee | Ja |
Microsoft Grafiek | Alle risicorapporten | Nee | Nee | Ja |
Als u het rapport Riskante workloadidentiteiten en het tabblad Detecties van workloadidentiteiten in het rapport Risicodetecties wilt bekijken, hebt u Premium-licenties voor workloadidentiteiten nodig. Voor meer informatie, zie Het beveiligen van workloadidentiteiten.
Microsoft Defender
Microsoft Entra ID Protection ontvangt signalen van Microsoft Defender-producten voor verschillende risicodetecties, dus u hebt ook de juiste licentie nodig voor het Microsoft Defender-product dat eigenaar is van het signaal waarin u geĆÆnteresseerd bent.
Microsoft 365 E5 omvat alle volgende signalen:
Microsoft Defender voor Cloud Applicaties
- Activiteit vanaf anoniem IP-adres
- Onmogelijke reis
- Massatoegang tot gevoelige bestanden
- Nieuw land
Microsoft Defender voor Office 365
- Verdachte regels voor het Postvak IN
Microsoft Defender voor Eindpunt
- Mogelijke poging om toegang te krijgen tot het primaire vernieuwings-token