Delen via


Microsoft Entra-beveiligingsbewerkingen voor gebruikersaccounts

Gebruikersidentiteit is een van de belangrijkste aspecten van het beveiligen van uw organisatie en gegevens. Dit artikel bevat richtlijnen voor het bewaken van het maken, verwijderen en gebruiken van accounts. In het eerste gedeelte wordt beschreven hoe u kunt controleren op ongebruikelijke accounts maken en verwijderen. In het tweede gedeelte wordt beschreven hoe u kunt controleren op ongebruikelijk accountgebruik.

Als u het overzicht van Beveiligingsbewerkingen van Microsoft Entra nog niet hebt gelezen, raden we u aan dit te doen voordat u doorgaat.

In dit artikel worden algemene gebruikersaccounts behandeld. Zie Beveiligingsbewerkingen: bevoegde accounts voor accounts met bevoegdheden voor accounts.

Een basislijn definiëren

Als u afwijkend gedrag wilt detecteren, moet u eerst definiëren wat normaal en verwacht gedrag is. Door te definiëren wat verwacht gedrag voor uw organisatie is, kunt u bepalen wanneer onverwacht gedrag optreedt. De definitie helpt ook om het ruisniveau van fout-positieven te verminderen bij het bewaken en waarschuwen.

Zodra u definieert wat u verwacht, voert u basislijnbewaking uit om uw verwachtingen te valideren. Met deze informatie kunt u de logboeken bewaken voor alles wat buiten de toleranties valt die u definieert.

Gebruik de Microsoft Entra-auditlogboeken, Microsoft Entra-aanmeldingslogboeken en directorykenmerken als uw gegevensbronnen voor accounts die buiten normale processen zijn gemaakt. Hieronder vindt u suggesties om u te helpen nadenken over en te definiëren wat normaal is voor uw organisatie.

  • Gebruikersaccount maken : evalueer het volgende:

    • Strategie en principes voor hulpprogramma's en processen die worden gebruikt voor het maken en beheren van gebruikersaccounts. Zijn er bijvoorbeeld standaardkenmerken, indelingen die worden toegepast op gebruikersaccountkenmerken.

    • Goedgekeurde bronnen voor het maken van accounts. Bijvoorbeeld, afkomstig uit Active Directory (AD), Microsoft Entra ID- of HR-systemen zoals Workday.

    • Waarschuwingsstrategie voor accounts die buiten goedgekeurde bronnen zijn gemaakt. Is er een gecontroleerde lijst met organisaties waarmee uw organisatie samenwerkt?

    • Inrichting van gastaccounts en waarschuwingsparameters voor accounts die zijn gemaakt buiten rechtenbeheer of andere normale processen.

    • Strategie- en waarschuwingsparameters voor accounts die zijn gemaakt, gewijzigd of uitgeschakeld door een account dat geen goedgekeurde gebruikersbeheerder is.

    • Bewakings- en waarschuwingsstrategie voor accounts waarvoor standaardkenmerken ontbreken, zoals werknemers-id's of het niet volgen van organisatienaamconventies.

    • Strategie, principes en proces voor het verwijderen en bewaren van accounts.

  • On-premises gebruikersaccounts : evalueer het volgende voor accounts die zijn gesynchroniseerd met Microsoft Entra Connect:

    • De forests, domeinen en organisatie-eenheden (OE's) binnen het bereik voor synchronisatie. Wie zijn de goedgekeurde beheerders die deze instellingen kunnen wijzigen en hoe vaak wordt het bereik gecontroleerd?

    • De typen accounts die worden gesynchroniseerd. Bijvoorbeeld gebruikersaccounts en of serviceaccounts.

    • Het proces voor het maken van bevoegde on-premises accounts en hoe de synchronisatie van dit type account wordt beheerd.

    • Het proces voor het maken van on-premises gebruikersaccounts en hoe de synchronisatie van dit type account wordt beheerd.

Zie Microsoft 365 beveiligen tegen on-premises aanvallen voor meer informatie over het beveiligen en bewaken van on-premises accounts.

  • Cloudgebruikersaccounts : evalueer het volgende:

    • Het proces voor het inrichten en beheren van cloudaccounts rechtstreeks in Microsoft Entra ID.

    • Het proces voor het bepalen van de typen gebruikers die zijn ingericht als Microsoft Entra-cloudaccounts. Staat u bijvoorbeeld alleen bevoegde accounts toe of staat u ook gebruikersaccounts toe?

    • Het proces voor het maken en onderhouden van een lijst met vertrouwde personen en of processen die naar verwachting cloudgebruikersaccounts maken en beheren.

    • Het proces voor het maken en onderhouden van een waarschuwingsstrategie voor niet-goedgekeurde cloudaccounts.

Waar te zoeken

De logboekbestanden die u gebruikt voor onderzoek en bewaking zijn:

Vanuit Azure Portal kunt u de Microsoft Entra-auditlogboeken bekijken en downloaden als csv-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). De Azure-portal biedt verschillende manieren om Microsoft Entra-logboeken te integreren met andere hulpprogramma's waarmee bewaking en waarschuwingen kunnen worden geautomatiseerd:

  • Microsoft Sentinel : maakt intelligente beveiligingsanalyse op ondernemingsniveau mogelijk door SIEM-mogelijkheden (Security Information and Event Management) te bieden.

  • Sigma-regels - Sigma is een steeds verder ontwikkelende open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Waar Sigma-sjablonen bestaan voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. De Sigma-sjablonen worden niet geschreven, getest en beheerd door Microsoft. In plaats daarvan worden de opslagplaats en sjablonen gemaakt en verzameld door de wereldwijde IT-beveiligingscommunity.

  • Azure Monitor : maakt geautomatiseerde bewaking en waarschuwingen van verschillende voorwaarden mogelijk. U kunt werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.

  • Azure Event Hubs geïntegreerd met een SIEM - Microsoft Entra-logboeken kunnen worden geïntegreerd met andere SIEM's , zoals Splunk, ArcSight, QRadar en Sumo Logic via de Integratie van Azure Event Hubs.

  • Microsoft Defender voor Cloud-apps – hiermee kunt u apps detecteren en beheren, apps en resources beheren en de naleving van uw cloud-apps controleren.

  • Workloadidentiteiten beveiligen met Microsoft Entra ID Protection : wordt gebruikt voor het detecteren van risico's voor workloadidentiteiten bij aanmeldingsgedrag en offline-indicatoren van inbreuk.

Veel van wat u bewaakt en waarschuwt, zijn de effecten van uw beleid voor voorwaardelijke toegang. U kunt de werkmap Voor voorwaardelijke toegang en rapportage gebruiken om de effecten van een of meer beleidsregels voor voorwaardelijke toegang op uw aanmeldingen en de resultaten van beleidsregels, inclusief de apparaatstatus, te onderzoeken. Met deze werkmap kunt u een samenvatting bekijken en de effecten gedurende een specifieke periode identificeren. U kunt de werkmap ook gebruiken om de aanmeldingen van een specifieke gebruiker te onderzoeken.

In de rest van dit artikel wordt beschreven wat u wordt aangeraden te controleren en te waarschuwen en wordt georganiseerd op basis van het type bedreiging. Als er specifieke vooraf gebouwde oplossingen zijn, koppelen we er een koppeling naar of bieden we voorbeelden die volgen op de tabel. Anders kunt u waarschuwingen maken met behulp van de voorgaande hulpprogramma's.

Account maken

Afwijkend account maken kan duiden op een beveiligingsprobleem. Accounts met korte levensduur, accounts die niet voldoen aan naamgevingsstandaarden en accounts die buiten normale processen zijn gemaakt, moeten worden onderzocht.

Kortstondige accounts

Account maken en verwijderen buiten normale processen voor identiteitsbeheer moeten worden bewaakt in Microsoft Entra-id. Kortstondige accounts zijn accounts die in korte tijd zijn gemaakt en verwijderd. Dit type account maken en snel verwijderen kan betekenen dat een slechte actor detectie probeert te voorkomen door accounts te maken, te gebruiken en vervolgens het account te verwijderen.

Accountpatronen met korte levensduur geven mogelijk aan dat niet-goedgekeurde personen of processen mogelijk het recht hebben om accounts te maken en te verwijderen die buiten gevestigde processen en beleidsregels vallen. Met dit type gedrag worden zichtbare markeringen uit de map verwijderd.

Als het gegevenspad voor het maken en verwijderen van accounts niet snel wordt gedetecteerd, bestaat de informatie die nodig is om een incident te onderzoeken mogelijk niet meer. Accounts kunnen bijvoorbeeld worden verwijderd en vervolgens uit de Prullenbak worden verwijderd. Auditlogboeken worden 30 dagen bewaard. U kunt uw logboeken echter exporteren naar Azure Monitor of een SIEM-oplossing (Security Information and Event Management) voor langetermijnretentie.

Wat moet ik controleren? Risiconiveau Waar Filter/subfilter Notities
Gebeurtenissen voor het maken en verwijderen van accounts binnen een korte periode. Hoog Microsoft Entra-auditlogboeken Activiteit: Gebruiker toevoegen
Status = geslaagd
-en-
Activiteit: Gebruiker verwijderen
Status = geslaagd
Zoek naar UPN-gebeurtenissen (User Principal Name). Zoek naar accounts die zijn gemaakt en vervolgens binnen 24 uur zijn verwijderd.
Microsoft Sentinel-sjabloon
Accounts die zijn gemaakt en verwijderd door niet-goedgekeurde gebruikers of processen. Gemiddeld Microsoft Entra-auditlogboeken Gestart door (actor) – USER PRINCIPAL NAME
-en-
Activiteit: Gebruiker toevoegen
Status = geslaagd
en-of
Activiteit: Gebruiker verwijderen
Status = geslaagd
Als de actoren niet-goedgekeurde gebruikers zijn, configureert u deze om een waarschuwing te verzenden.
Microsoft Sentinel-sjabloon
Accounts van niet-goedgekeurde bronnen. Gemiddeld Microsoft Entra-auditlogboeken Activiteit: Gebruiker toevoegen
Status = geslaagd
Target(s) = USER PRINCIPAL NAME
Als de vermelding niet afkomstig is van een goedgekeurd domein of een bekend geblokkeerd domein is, configureert u deze om een waarschuwing te verzenden.
Microsoft Sentinel-sjabloon
Accounts die zijn toegewezen aan een bevoorrechte rol. Hoog Microsoft Entra-auditlogboeken Activiteit: Gebruiker toevoegen
Status = geslaagd
-en-
Activiteit: Gebruiker verwijderen
Status = geslaagd
-en-
Activiteit: Lid toevoegen aan rol
Status = geslaagd
Als het account is toegewezen aan een Microsoft Entra-rol, Azure-rol of bevoorrechte groepslidmaatschap, waarschuwt u en geeft u prioriteit aan het onderzoek.
Microsoft Sentinel-sjabloon
Sigma-regels

Zowel bevoegde als niet-bevoegde accounts moeten worden bewaakt en gewaarschuwd. Omdat bevoegde accounts echter beheerdersmachtigingen hebben, moeten ze een hogere prioriteit hebben in uw bewakings-, waarschuwings- en reactieprocessen.

Accounts die geen naamgevingsbeleid volgen

Gebruikersaccounts die geen naamgevingsbeleid volgen, zijn mogelijk buiten organisatiebeleid gemaakt.

U kunt het beste een naamgevingsbeleid voor gebruikersobjecten hebben. Het hebben van een naamgevingsbeleid maakt het beheer eenvoudiger en helpt consistentie te bieden. Het beleid kan ook helpen ontdekken wanneer gebruikers buiten goedgekeurde processen zijn gemaakt. Een slechte actor is mogelijk niet op de hoogte van uw naamgevingsstandaarden en kan het eenvoudiger maken om een account te detecteren dat buiten uw organisatieprocessen is ingericht.

Organisaties hebben meestal specifieke indelingen en kenmerken die worden gebruikt voor het maken van gebruikers- en of bevoegde accounts. Bijvoorbeeld:

  • UPN van beheerdersaccount = ADM_firstname.lastname@tenant.onmicrosoft.com

  • UPN van gebruikersaccount = Firstname.Lastname@contoso.com

Vaak hebben gebruikersaccounts een kenmerk waarmee een echte gebruiker wordt geïdentificeerd. Bijvoorbeeld EMPID = XXXNNN. Gebruik de volgende suggesties om normaal te definiëren voor uw organisatie en bij het definiëren van een basislijn voor logboekvermeldingen wanneer accounts niet voldoen aan uw naamconventie:

  • Accounts die niet voldoen aan de naamconventie. Bijvoorbeeld, nnnnnnn@contoso.com versus firstname.lastname@contoso.com.

  • Accounts waarop de standaardkenmerken niet zijn ingevuld of die niet de juiste indeling hebben. U hebt bijvoorbeeld geen geldige werknemer-id.

Wat moet ik controleren? Risiconiveau Waar Filter/subfilter Notities
Gebruikersaccounts waarvoor geen verwachte kenmerken zijn gedefinieerd. Laag Microsoft Entra-auditlogboeken Activiteit: Gebruiker toevoegen
Status = geslaagd
Zoek naar accounts met uw standaardkenmerken null of in de verkeerde indeling. Bijvoorbeeld EmployeeID
Microsoft Sentinel-sjabloon
Gebruikersaccounts die zijn gemaakt met een onjuiste naamgevingsindeling. Laag Microsoft Entra-auditlogboeken Activiteit: Gebruiker toevoegen
Status = geslaagd
Zoek naar accounts met een UPN die niet voldoet aan uw naamgevingsbeleid.
Microsoft Sentinel-sjabloon
Bevoegde accounts die geen naamgevingsbeleid volgen. Hoog Azure-abonnement Azure-roltoewijzingen weergeven met behulp van Azure Portal - Azure RBAC Lijst met roltoewijzingen voor abonnementen en waarschuwingen waarbij de aanmeldingsnaam niet overeenkomt met de indeling van uw organisatie. ADM_ bijvoorbeeld als voorvoegsel.
Bevoegde accounts die geen naamgevingsbeleid volgen. Hoog Microsoft Entra-map Microsoft Entra-roltoewijzingen vermelden Vermeld roltoewijzingen voor Microsoft Entra-rollen, waarbij UPN niet overeenkomt met de indeling van uw organisatie. ADM_ bijvoorbeeld als voorvoegsel.

Zie voor meer informatie over parseren:

Accounts die buiten normale processen zijn gemaakt

Standaardprocessen voor het maken van gebruikers en bevoegde accounts is belangrijk, zodat u de levenscyclus van identiteiten veilig kunt beheren. Als gebruikers buiten gevestigde processen worden ingericht en de inrichting ervan ongedaan worden gemaakt, kan dit beveiligingsrisico's veroorzaken. Het werken buiten gevestigde processen kan ook leiden tot problemen met identiteitsbeheer. Mogelijke risico's zijn:

  • Gebruikers- en bevoegde accounts zijn mogelijk niet onderworpen aan het beleid van de organisatie. Dit kan leiden tot een breder kwetsbaarheid voor aanvallen op accounts die niet correct worden beheerd.

  • Het wordt moeilijker om te detecteren wanneer slechte actoren accounts maken voor schadelijke doeleinden. Als er geldige accounts zijn gemaakt buiten de vastgestelde procedures, wordt het moeilijker om te detecteren wanneer accounts worden gemaakt of machtigingen die zijn gewijzigd voor schadelijke doeleinden.

Het is raadzaam dat gebruikers- en bevoegde accounts alleen worden gemaakt volgens het beleid van uw organisatie. Er moet bijvoorbeeld een account worden gemaakt met de juiste naamgevingsstandaarden, organisatiegegevens en onder het bereik van de juiste identiteitsgovernance. Organisaties moeten strenge controles hebben voor wie de rechten heeft om identiteiten te maken, beheren en verwijderen. Rollen voor het maken van deze accounts moeten nauw worden beheerd en de rechten die alleen beschikbaar zijn na het volgen van een bestaande werkstroom om deze machtigingen goed te keuren en te verkrijgen.

Wat moet ik controleren? Risiconiveau Waar Filter/subfilter Notities
Gebruikersaccounts die zijn gemaakt of verwijderd door niet-goedgekeurde gebruikers of processen. Gemiddeld Microsoft Entra-auditlogboeken Activiteit: Gebruiker toevoegen
Status = geslaagd
en-of-
Activiteit: Gebruiker verwijderen
Status = geslaagd
-en-
Gestart door (actor) = USER PRINCIPAL NAME
Waarschuwing voor accounts die zijn gemaakt door niet-goedgekeurde gebruikers of processen. Prioriteit geven aan accounts die zijn gemaakt met verhoogde bevoegdheden.
Microsoft Sentinel-sjabloon
Gebruikersaccounts die zijn gemaakt of verwijderd uit niet-goedgekeurde bronnen. Gemiddeld Microsoft Entra-auditlogboeken Activiteit: Gebruiker toevoegen
Status = geslaagd
-of-
Activiteit: Gebruiker verwijderen
Status = geslaagd
-en-
Target(s) = USER PRINCIPAL NAME
Waarschuwing wanneer het domein niet-goedgekeurd of bekend geblokkeerd domein is.

Ongebruikelijke aanmeldingen

Het zien van fouten voor gebruikersverificatie is normaal. Maar het zien van patronen of foutenblokken kan een indicator zijn dat er iets gebeurt met de identiteit van een gebruiker. Bijvoorbeeld tijdens wachtwoordspray of Brute Force-aanvallen, of wanneer een gebruikersaccount wordt aangetast. Het is van cruciaal belang dat u bewaakt en waarschuwt wanneer er patronen ontstaan. Dit zorgt ervoor dat u de gegevens van de gebruiker en uw organisatie kunt beveiligen.

Succes lijkt te zeggen dat alles goed is. Maar het kan betekenen dat een slechte actor toegang heeft tot een service. Door geslaagde aanmeldingen te bewaken, kunt u gebruikersaccounts detecteren die toegang krijgen, maar geen gebruikersaccounts zijn die toegang moeten hebben. Geslaagde gebruikersverificatie zijn normale vermeldingen in aanmeldingslogboeken van Microsoft Entra. We raden u aan om te controleren en te waarschuwen wanneer er patronen ontstaan. Dit zorgt ervoor dat u gebruikersaccounts en de gegevens van uw organisatie kunt beveiligen.

Houd bij het ontwerpen en operationeel maken van een strategie voor logboekbewaking en waarschuwingen rekening met de hulpprogramma's die beschikbaar zijn via Azure Portal. Met Microsoft Entra ID Protection kunt u de detectie, beveiliging en herstel van identiteitsrisico's automatiseren. ID Protection maakt gebruik van machine learning en heuristische systemen om risico's te detecteren en een risicoscore toe te wijzen voor gebruikers en aanmeldingen. Klanten kunnen beleidsregels configureren op basis van een risiconiveau voor het toestaan of weigeren van toegang of toestaan dat de gebruiker veilig zelf herstelt van een risico. De volgende id-beveiligingsrisicodetecties informeren vandaag de dag risiconiveaus:

Wat moet ik controleren? Risiconiveau Waar Filter/subfilter Notities
Detectie van gebruikersrisico's met gelekte referenties Hoog Microsoft Entra-logboeken voor risicodetectie UX: Gelekte referenties

API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels
Detectie van gebruikersrisico's van Microsoft Entra Threat Intelligence Hoog Microsoft Entra-logboeken voor risicodetectie UX: Bedreigingsinformatie van Microsoft Entra

API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels
Detectie van anonieme IP-adresrisico's Varieert Microsoft Entra-logboeken voor risicodetectie UX: Anoniem IP-adres

API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels
Atypische aanmeldingsrisicodetectie voor reizen Varieert Microsoft Entra-logboeken voor risicodetectie UX: Atypical travel

API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels
Afwijkend token Varieert Microsoft Entra-logboeken voor risicodetectie UX: Afwijkend token

API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels
Detectie van aan malware gekoppelde IP-adresrisico's Varieert Microsoft Entra-logboeken voor risicodetectie UX: Gekoppeld IP-adres voor malware

API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels
Detectie van verdachte aanmeldingsrisico's van browser Varieert Microsoft Entra-logboeken voor risicodetectie UX: Verdachte browser

API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels
Onbekende aanmeldingseigenschappen voor aanmeldingsrisicodetectie Varieert Microsoft Entra-logboeken voor risicodetectie UX: Onbekende aanmeldingseigenschappen

API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels
Detectie van aanmeldingsrisico's voor schadelijke IP-adressen Varieert Microsoft Entra-logboeken voor risicodetectie UX: Schadelijk IP-adres

API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels
Detectie van aanmeldingsrisico's voor verdachte regels voor Postvak IN Varieert Microsoft Entra-logboeken voor risicodetectie UX: Verdachte regels voor manipulatie van Postvak IN

API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels
Detectie van aanmeldingsrisico's voor wachtwoordspray Hoog Microsoft Entra-logboeken voor risicodetectie UX: Wachtwoordspray

API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels
Onmogelijke detectie van aanmeldingsrisico's voor reizen Varieert Microsoft Entra-logboeken voor risicodetectie UX: Onmogelijk reizen

API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels
Detectie van aanmeldingsrisico's voor nieuw land/regio Varieert Microsoft Entra-logboeken voor risicodetectie UX: Nieuw land/regio

API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels
Activiteit van anonieme IP-adresdetectie voor aanmeldingsrisico's Varieert Microsoft Entra-logboeken voor risicodetectie UX: Activiteit van anoniem IP-adres

API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels
Detectie van verdachte aanmeldingsrisico's voor postvak IN Varieert Microsoft Entra-logboeken voor risicodetectie UX: Verdacht postvak IN doorsturen

API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels
Detectie van aanmeldingsrisico's voor Microsoft Entra-bedreigingsinformatie Hoog Microsoft Entra-logboeken voor risicodetectie UX: Bedreigingsinformatie van Microsoft Entra
API: Resourcetype riskDetection bekijken - Microsoft Graph
Wat is risico? Microsoft Entra ID Protection
Sigma-regels

Ga naar What is ID Protection voor meer informatie.

Waar moet ik naar zoeken?

Configureer bewaking van de gegevens in de aanmeldingslogboeken van Microsoft Entra om ervoor te zorgen dat waarschuwingen worden uitgevoerd en voldoen aan het beveiligingsbeleid van uw organisatie. Enkele voorbeelden hiervan zijn:

  • Mislukte verificaties: als mensen krijgen allemaal onze wachtwoorden van tijd tot tijd verkeerd. Veel mislukte verificaties kunnen echter aangeven dat een slechte actor probeert toegang te krijgen. Aanvallen verschillen in ferocity, maar kunnen variëren van een paar pogingen per uur tot een veel hoger tarief. Wachtwoordspray gebruikt bijvoorbeeld normaal gesproken gemakkelijkere wachtwoorden tegen veel accounts, terwijl Brute Force veel wachtwoorden probeert tegen doelaccounts.

  • Onderbroken verificaties: Een interrupt in Microsoft Entra-id vertegenwoordigt een injectie van een proces om te voldoen aan verificatie, zoals bij het afdwingen van een besturingselement in een beleid voor voorwaardelijke toegang. Dit is een normale gebeurtenis en kan optreden wanneer toepassingen niet correct zijn geconfigureerd. Maar wanneer u veel onderbrekingen voor een gebruikersaccount ziet, kan dit erop wijzen dat er iets met dat account gebeurt.

    • Als u bijvoorbeeld hebt gefilterd op een gebruiker in aanmeldingslogboeken en een groot aantal aanmeldingsstatussen ziet = Onderbroken en voorwaardelijke toegang = Fout. Dieper graven kan worden weergegeven in verificatiedetails dat het wachtwoord juist is, maar dat sterke verificatie is vereist. Dit kan betekenen dat de gebruiker meervoudige verificatie (MFA) niet voltooit, wat kan aangeven dat het wachtwoord van de gebruiker is aangetast en dat de slechte actor niet kan voldoen aan MFA.
  • Slimme vergrendeling: Microsoft Entra ID biedt een slimme vergrendelingsservice die het concept van vertrouwde en niet-vertrouwde locaties introduceert voor het verificatieproces. Een gebruikersaccount dat een vertrouwde locatie bezoekt, kan worden geverifieerd terwijl een slechte actor die niet bekend is met dezelfde locatie, wordt geblokkeerd na verschillende pogingen. Zoek naar accounts die zijn vergrendeld en onderzoek verder.

  • IP-wijzigingen: het is normaal om gebruikers te zien die afkomstig zijn van verschillende IP-adressen. Zero Trust-statussen vertrouwen echter nooit en verifiëren altijd. Het zien van een groot aantal IP-adressen en mislukte aanmeldingen kan een indicatie zijn van inbraak. Zoek naar een patroon van veel mislukte verificaties die plaatsvinden vanaf meerdere IP-adressen. Opmerking: VPN-verbindingen (Virtual Private Network) kunnen fout-positieven veroorzaken. Ongeacht de uitdagingen raden we u aan om te controleren op wijzigingen in IP-adressen en, indien mogelijk, Microsoft Entra ID Protection te gebruiken om deze risico's automatisch te detecteren en te beperken.

  • Locaties: Over het algemeen verwacht u dat een gebruikersaccount zich op dezelfde geografische locatie bevindt. U verwacht ook aanmeldingen vanaf locaties waar u werknemers of zakelijke relaties hebt. Wanneer het gebruikersaccount afkomstig is van een andere internationale locatie in minder tijd dan nodig is om daar te reizen, kan het erop wijzen dat het gebruikersaccount wordt misbruikt. Houd er rekening mee dat VPN's fout-positieven kunnen veroorzaken, we raden u aan om te controleren op gebruikersaccounts die zich aanmelden vanaf geografisch verre locaties en, indien mogelijk, Microsoft Entra ID Protection te gebruiken om deze risico's automatisch te detecteren en te beperken.

Voor dit risicogebied raden we u aan standaardgebruikersaccounts en bevoegde accounts te controleren, maar prioriteit te geven aan onderzoeken van bevoegde accounts. Bevoegde accounts zijn de belangrijkste accounts in elke Microsoft Entra-tenant. Zie Beveiligingsbewerkingen, bevoegde accounts, voor specifieke richtlijnen voor bevoegde accounts.

Detecteren

U gebruikt Microsoft Entra ID Protection en de aanmeldingslogboeken van Microsoft Entra om bedreigingen te detecteren die worden aangegeven door ongebruikelijke aanmeldingskenmerken. Zie het artikel What is ID Protection voor meer informatie. U kunt de gegevens ook repliceren naar Azure Monitor of een SIEM voor bewakings- en waarschuwingsdoeleinden. Als u normaal wilt definiëren voor uw omgeving en een basislijn wilt instellen, bepaalt u het volgende:

  • de parameters die u normaal beschouwt voor uw gebruikersbestand.

  • het gemiddelde aantal pogingen van een wachtwoord gedurende een bepaalde periode voordat de gebruiker de servicedesk belt of een selfservice voor wachtwoordherstel uitvoert.

  • hoeveel mislukte pogingen u wilt toestaan voordat u een waarschuwing geeft en of dit anders is voor gebruikersaccounts en bevoegde accounts.

  • hoeveel MFA-pogingen u wilt toestaan voordat u een waarschuwing ontvangt en of dit anders is voor gebruikersaccounts en bevoegde accounts.

  • als verouderde verificatie is ingeschakeld en uw roadmap voor het stopzetten van gebruik.

  • de bekende UITGAANDE IP-adressen zijn voor uw organisatie.

  • de landen/regio's waaruit uw gebruikers werken.

  • of er groepen gebruikers zijn die stationair blijven binnen een netwerklocatie of land/regio.

  • Identificeer eventuele andere indicatoren voor ongebruikelijke aanmeldingen die specifiek zijn voor uw organisatie. Bijvoorbeeld dagen of tijden van de week of het jaar dat uw organisatie niet werkt.

Nadat u het bereik hebt bereikt wat normaal is voor de accounts in uw omgeving, kunt u de volgende lijst overwegen om te bepalen welke scenario's u wilt bewaken en waarschuwen en om uw waarschuwingen af te stemmen.

  • Moet u controleren en waarschuwen als Microsoft Entra ID Protection is geconfigureerd?

  • Zijn er strengere voorwaarden toegepast op bevoegde accounts die u kunt gebruiken om te controleren en te waarschuwen? Het vereisen van bevoegde accounts wordt bijvoorbeeld alleen gebruikt vanuit vertrouwde IP-adressen.

  • Zijn de basislijnen die u te agressief instelt? Als u te veel waarschuwingen hebt, kunnen waarschuwingen worden genegeerd of gemist.

Configureer ID-beveiliging om ervoor te zorgen dat beveiliging aanwezig is die ondersteuning biedt voor uw beveiligingsbasislijnbeleid. Bijvoorbeeld het blokkeren van gebruikers als risico = hoog. Dit risiconiveau geeft aan met een hoge mate van vertrouwen dat een gebruikersaccount wordt aangetast. Ga naar ID Protection-beleid voor meer informatie over het instellen van beleid voor aanmeldingsrisico's en beleidsregels voor gebruikersrisico's.

Hieronder vindt u een lijst in volgorde van urgentie op basis van het effect en de ernst van de vermeldingen.

Aanmeldingen van externe gebruikers bewaken

Wat moet ik controleren? Risiconiveau Waar Filter/subfilter Notities
Gebruikers die zich verifiëren bij andere Microsoft Entra-tenants. Laag Aanmeldingslogboek van Microsoft Entra Status = geslaagd
ResourcetenantID != Tenant-id thuis
Detecteert wanneer een gebruiker is geverifieerd bij een andere Microsoft Entra-tenant met een identiteit in de tenant van uw organisatie.
Waarschuwing als resourcetenant-id niet gelijk is aan de tenant-id home
Microsoft Sentinel-sjabloon
Sigma-regels
De gebruikersstatus is gewijzigd van Gast in Lid Gemiddeld Microsoft Entra-auditlogboeken Activiteit: Gebruiker bijwerken
Categorie: UserManagement
UserType is gewijzigd van Gast in Lid
Bewaak en waarschuw bij het wijzigen van het gebruikerstype van Gast naar Lid. Was dit verwacht?
Microsoft Sentinel-sjabloon
Sigma-regels
Gastgebruikers uitgenodigd voor tenant door niet-goedgekeurde genodigden Gemiddeld Microsoft Entra-auditlogboeken Activiteit: Externe gebruiker uitnodigen
Categorie: UserManagement
Gestart door (actor): User Principal Name
Bewaak en waarschuw niet-goedgekeurde actoren die externe gebruikers uitnodigen.
Microsoft Sentinel-sjabloon
Sigma-regels

Bewaking voor mislukte ongebruikelijke aanmeldingen

Wat moet ik controleren? Risiconiveau Waar Filter/subfilter Notities
Mislukte aanmeldingspogingen. Gemiddeld - indien geïsoleerd incident
Hoog: als veel accounts hetzelfde patroon of een VIP hebben.
Aanmeldingslogboek van Microsoft Entra Status = mislukt
-en-
Foutcode 50126 -
Fout bij het valideren van referenties vanwege een ongeldige gebruikersnaam of wachtwoord.
Definieer een drempelwaarde voor een basislijn en bewaak en pas deze vervolgens aan aan het gedrag van uw organisatie en beperk valse waarschuwingen van gegenereerde waarschuwingen.
Microsoft Sentinel-sjabloon
Sigma-regels
Slimme vergrendelingsgebeurtenissen. Gemiddeld - indien geïsoleerd incident
Hoog: als veel accounts hetzelfde patroon of een VIP hebben.
Aanmeldingslogboek van Microsoft Entra Status = mislukt
-en-
Foutcode voor aanmelden = 50053 – IdsLocked
Definieer een drempelwaarde voor een basislijn en bewaak en pas deze vervolgens aan aan het gedrag van uw organisatie en beperk valse waarschuwingen van gegenereerde waarschuwingen.
Microsoft Sentinel-sjabloon
Sigma-regels
Interrupts Gemiddeld - indien geïsoleerd incident
Hoog: als veel accounts hetzelfde patroon of een VIP hebben.
Aanmeldingslogboek van Microsoft Entra 500121 is verificatie mislukt tijdens een sterke verificatieaanvraag.
-of-
50097, apparaatverificatie is vereist of 50074, sterke verificatie is vereist.
-of-
50155, DeviceAuthenticationFailed
-of-
50158, ExternalSecurityChallenge - Externe beveiligingsvraag is niet voldaan
-of-
Reden van 53003 en fout = geblokkeerd door voorwaardelijke toegang
Bewaken en waarschuwen bij interrupts.
Definieer een drempelwaarde voor een basislijn en bewaak en pas deze vervolgens aan aan het gedrag van uw organisatie en beperk valse waarschuwingen van gegenereerde waarschuwingen.
Microsoft Sentinel-sjabloon
Sigma-regels

Hieronder vindt u een lijst in volgorde van urgentie op basis van het effect en de ernst van de vermeldingen.

Wat moet ik controleren? Risiconiveau Waar Filter/subfilter Notities
Meervoudige verificatie (MFA) fraudewaarschuwingen. Hoog Aanmeldingslogboek van Microsoft Entra Status = mislukt
-en-
Details = MFA geweigerd
Controleer en waarschuw bij elke vermelding.
Microsoft Sentinel-sjabloon
Sigma-regels
Mislukte verificaties van landen/regio's waarvan u niet werkt. Gemiddeld Aanmeldingslogboek van Microsoft Entra Locatie = <niet-goedgekeurde locatie> Controleer en waarschuw alle vermeldingen.
Microsoft Sentinel-sjabloon
Sigma-regels
Mislukte verificaties voor verouderde protocollen of protocollen die niet worden gebruikt. Gemiddeld Aanmeldingslogboek van Microsoft Entra Status = fout
-en-
Client-app = Andere clients, POP, IMAP, MAPI, SMTP, ActiveSync
Controleer en waarschuw alle vermeldingen.
Microsoft Sentinel-sjabloon
Sigma-regels
Fouten geblokkeerd door voorwaardelijke toegang. Gemiddeld Aanmeldingslogboek van Microsoft Entra Foutcode = 53003
-en-
Reden van fout = geblokkeerd door voorwaardelijke toegang
Controleer en waarschuw alle vermeldingen.
Microsoft Sentinel-sjabloon
Sigma-regels
Verhoogde mislukte verificaties van elk type. Gemiddeld Aanmeldingslogboek van Microsoft Entra Vastleggen neemt toe in fouten over de hele linie. Dat wil gezegd: het totaal van de fouten voor vandaag is >10% op dezelfde dag, de vorige week. Als u geen ingestelde drempelwaarde hebt, controleert en waarschuwt u of fouten met 10% of hoger toenemen.
Microsoft Sentinel-sjabloon
Verificatie vindt plaats op tijdstippen en dagen van de week wanneer landen/regio's geen normale bedrijfsactiviteiten uitvoeren. Laag Aanmeldingslogboek van Microsoft Entra Leg interactieve verificatie vast die plaatsvindt buiten normale bedrijfsdagen\tijd.
Status = geslaagd
-en-
Locatie = <locatie>
-en-
Dag\Tijd = <niet normale werktijden>
Controleer en waarschuw alle vermeldingen.
Microsoft Sentinel-sjabloon
Account uitgeschakeld/geblokkeerd voor aanmeldingen Laag Aanmeldingslogboek van Microsoft Entra Status = fout
-en-
foutcode = 50057, het gebruikersaccount is uitgeschakeld.
Dit kan erop wijzen dat iemand toegang probeert te krijgen tot een account zodra hij of zij een organisatie heeft verlaten. Hoewel het account is geblokkeerd, is het belangrijk om u aan te melden en te waarschuwen voor deze activiteit.
Microsoft Sentinel-sjabloon
Sigma-regels

Bewaking voor geslaagde ongebruikelijke aanmeldingen

Wat moet ik controleren? Risiconiveau Waar Filter/subfilter Notities
Verificaties van bevoegde accounts buiten verwachte besturingselementen. Hoog Aanmeldingslogboek van Microsoft Entra Status = geslaagd
-en-
UserPricipalName = <Beheerdersaccount>
-en-
Locatie = <niet-goedgekeurde locatie>
-en-
IP-adres = <niet-goedgekeurde IP>
Apparaatgegevens= <niet-goedgekeurde browser, besturingssysteem>
Bewaak en waarschuw voor geslaagde verificatie voor bevoegde accounts buiten verwachte besturingselementen. Er worden drie algemene besturingselementen weergegeven.
Microsoft Sentinel-sjabloon
Sigma-regels
Als er slechts één factor-verificatie is vereist. Laag Aanmeldingslogboek van Microsoft Entra Status = geslaagd
Verificatievereiste = Verificatie met één factor
Controleer periodiek en zorg voor verwacht gedrag.
Sigma-regels
Ontdek bevoegde accounts die niet zijn geregistreerd voor MFA. Hoog Azure Graph API Voer een query uit voor IsMFARegistered eq false voor beheerdersaccounts.
List credentialUserRegistrationDetails - Microsoft Graph beta
Controleer en onderzoek om te bepalen of het opzettelijk of een toezicht is.
Geslaagde verificaties van landen/regio's waarvan uw organisatie niet werkt. Gemiddeld Aanmeldingslogboek van Microsoft Entra Status = geslaagd
Locatie = <niet-goedgekeurd land/regio>
Controleer en waarschuw alle vermeldingen die niet gelijk zijn aan de plaatsnamen die u opgeeft.
Sigma-regels
Geslaagde verificatie, sessie geblokkeerd door voorwaardelijke toegang. Gemiddeld Aanmeldingslogboek van Microsoft Entra Status = geslaagd
-en-
foutcode = 53003 : reden van fout, geblokkeerd door voorwaardelijke toegang
Controleer en onderzoek wanneer verificatie is geslaagd, maar sessie wordt geblokkeerd door voorwaardelijke toegang.
Microsoft Sentinel-sjabloon
Sigma-regels
Geslaagde verificatie nadat u verouderde verificatie hebt uitgeschakeld. Gemiddeld Aanmeldingslogboek van Microsoft Entra status = geslaagd
-en-
Client-app = Andere clients, POP, IMAP, MAPI, SMTP, ActiveSync
Als uw organisatie verouderde verificatie heeft uitgeschakeld, controleert en waarschuwt u wanneer een geslaagde verouderde verificatie heeft plaatsgevonden.
Microsoft Sentinel-sjabloon
Sigma-regels

U wordt aangeraden regelmatig verificaties te controleren op gemiddelde bedrijfsimpact (MBI) en HBI-toepassingen (High Business Impact), waarbij alleen eenmalige verificatie is vereist. Voor beide wilt u bepalen of eenmalige verificatie al dan niet is verwacht. Controleer bovendien op een geslaagde verificatie of op onverwachte tijden, op basis van de locatie.

Wat moet ik controleren? Risiconiveau Waar Filter/subfilter Notities
Verificaties voor de MBI- en HBI-toepassing met behulp van verificatie met één factor. Laag Aanmeldingslogboek van Microsoft Entra status = geslaagd
-en-
Toepassings-id = <HBI-app>
-en-
Verificatievereiste = verificatie met één factor.
Controleer en valideer deze configuratie opzettelijk.
Sigma-regels
Verificaties op dagen en tijden van de week of het jaar dat landen/regio's geen normale bedrijfsactiviteiten uitvoeren. Laag Aanmeldingslogboek van Microsoft Entra Leg interactieve verificatie vast die plaatsvindt buiten normale bedrijfsdagen\tijd.
Status = geslaagd
Locatie = <locatie>
Datum\tijd = <niet normale werkuren>
Controleer en waarschuw op verificatiedagen en -tijden van de week of het jaar dat landen/regio's geen normale bedrijfsactiviteiten uitvoeren.
Sigma-regels
Meetbare toename van geslaagde aanmeldingen. Laag Aanmeldingslogboek van Microsoft Entra Vastleggen neemt toe in geslaagde verificatie aan de hele linie. Dat wil gezegd: succestotalen voor vandaag zijn >10% op dezelfde dag, de vorige week. Als u geen ingestelde drempelwaarde hebt, kunt u controleren en waarschuwen als geslaagde verificaties met 10% of hoger toenemen.
Microsoft Sentinel-sjabloon
Sigma-regels

Volgende stappen

Raadpleeg de volgende artikelen over beveiligingsbewerkingen:

Overzicht van Microsoft Entra-beveiligingsbewerkingen

Beveiligingsbewerkingen voor consumentenaccounts

Beveiligingsbewerkingen voor bevoegde accounts

Beveiligingsbewerkingen voor Privileged Identity Management

Beveiligingsbewerkingen voor toepassingen

Beveiligingsbewerkingen voor apparaten

Beveiligingsbewerkingen voor infrastructuur