Azure AD Identity Protection oppleves lett som fullstendig uunnværlig. Det er et verktøy som lar organisasjoner automatisere oppdagelse og utbedring av identitetsbaserte risikoer. Du konfigurer retningslinjer for å identifisere risikofylt brukeratferd og merkverdige påloggingsmønstre. Du kan undersøke dem ved å bruke data i portalen og eksportere risikodeteksjonsdata for videre analyse. Dessverre krever produktet Azure AD Premium P2, som for Microsoft 365 Business Premium betyr en tilleggslisens. Man kan bare håpe på at funksjonen innlemmes i Business Premium i forbindelse med prisøkningen til neste år.
Utrulling av MFA, brukerrisiko og påloggingsrisiko
Med Azure AD Identity Protection kan du sette opp tre typer retningslinjer. MFA registration policy krever at brukere registrerer seg for multifaktor-autentisering (MFA) eller totrinnsbekreftelse. Så har de to uker på seg før de må logge på med MFA. Som administrator konfigurer du registreringen sammen med selvbetjent tilbakestilling av passord. User risk policy forebygger identitetstyveri. Sign-in risk policy oppdager mistenkelige pålogginger.
Utrulling av MFA
Du skal uansett ikke konfigurere MFA med det som kalles Eldre MFA per bruker, som også omtales som Office 365 MFA, annet enn hvis du strengt tatt må det. Her går du inn i Microsoft 365-administrasjonssenter og klikker på Godkjenning med flere faktorer. Fra portalen for Azure AD velger du Users | All users, Multi-Factor Authentication. Sørg for at alle brukere er deaktivert. Bedre er det med Sikkerhetsstandarder, som riktig nok kan skape problemer med å sende innskannede dokumenter til e-post fordi eldre protokoller blokkeres. Dessuten støttes bare Microsoft Authenticator som annen faktor – ikke SMS, taleanrop eller tredjeparts enheter.
Den beste måten å rulle ut MFA på med Azure AD Premium P1 (som inngår i Microsoft 365 Business Premium) er å benytte Betinget tilgang. De første fire policyene gjenskaper det Sikkerhetsstandarder gjør: Krev MFA for alle brukere, krev MFA for administrative roller, blokker eldre protokoller som ikke støtter moderne autentisering, og krev MFA for administrasjon i Azure. Fordelen med denne fremgangsmåten er at du kan legge til unntak, for eksempel for skannere. Dessuten kan du ytterligere styrke sikkerheten ved å kreve at brukere bare kan logge på fra klarerte enheter (policy 5).
Betinget tilgang kan ikke brukes side om side med Sikkerhetsstandarder, noe som er litt dumt fordi Sikkerhetsstandarder gjør to ting du ikke får til med vanlig Betinget tilgang: bare kreve MFA for brukere når det er nødvendig basert på maskinlæring, og gi brukere to uker fra de har registrert seg for MFA til de må logge på med totrinnsverifisering. Her kommer Azure AD Identity Protection inn. Registreringen er mer elegant, mens håndhevelsen av påloggingsrisikoen er mer omfattende.
Identitetsbeskyttelse i praksis
Her har noen hackere foretatt et reelt angrep. De klarte å knekke passordet, men kom ikke videre på grunn av kravet om MFA. Men her kunne en bruker ha trykket på Godkjenn i Microsoft Authenticator i ren distraksjon. Da kommer det hendig med at det ytterligere bare godtas pålogginger fra klarerte enheter. Identitetsbeskyttelse bruker læring Microsoft har tilegnet seg fra Azure AD, Microsoft-kontoer og Xbox-spill. Selskapet analyserer 6,5 billioner signaler per dag for å identifisere og beskytte kunder mot trusler. Risikodeteksjoner i Azure AD Identity Protection inkluderer alle identifiserte mistenkelige handlinger relatert til brukerkontoer i organisasjoner.
Varslene samles til hendelser i Microsoft 365 Defender. De kan videre mates inn i verktøy som Betinget tilgang for å gi beslutninger om å godkjenne adgang. For illustrasjonens skyld har jeg foretatt en pålogging fra en anonym IP-adresse og tastet inn passordet feil gjentatte ganger for å simulere et angrep med passordsprøyting.
Signalene kan fanges opp av en SIEM-løsning som Microsoft Sentinel. SIEM står for Security Information and Event Management eller sikkerhetsinformasjon og hendelseshåndtering. Dette gir identitetsbeskyttelsen tilgang til kraftige ressurser slik at du raskt kan reagere på mistenkelige aktiviteter.
Anbefalt konfigurasjon av Identity Protection
Dette er beste praksis fra Microsoft. Ved mistanke om en kompromittert brukeridentitet bør du tillate tilgang, men kreve at bruker tilbakestiller passordet. Brukerrisikoen skal settes til høy. Du skal også tillate tilgang for påloggingsrisiko, som settes til middels. Her krever du MFA, som håndheves uansett om du har angitt at MFA skal huskes på enheten. Naturligvis kan du blokkere brukeren, men det krever mer administrativ innsats fra administrator for å åpne kontoen igjen.
Brukerrisiko
Identitetsbeskyttelse kan beregne hva den mener er normalt for en brukers atferd og bruke det til å basere beslutninger for risikoen deres. Brukerrisiko er en beregning av sannsynligheten for at en identitet er blitt kompromittert. Basert på dette risikoscoresignalet kan administrator velge å blokkere tilgang, tillate tilgang eller tillate tilgang, men krever en passordendring ved å bruke Azure AD selvbetjent tilbakestilling av passord.
Påloggingsrisikoer
Identity Protection analyserer signaler fra hver pålogging – både i sanntid og offline – og beregner en poengsum basert på sannsynligheten for at påloggingen ikke ble utført av brukeren. Administrator kan så bestemme hvordan denne risikoskåren skal håndteres. For øyeblikket oppdager Azure Active Directory seks typer risikodeteksjoner:
- Brukere med lekket legitimasjon deles ofte av nettkriminelle når du har kompromittert gyldige passord til legitime brukere.
- Pålogginger fra anonyme IP-adresser identifiserer brukere som har logget på fra en IP-adresse som er blitt identifisert som en anonym proxy-IP-adresse.
- Umulig reise til atypiske steder identifiserer to pålogginger som stammer fra geografisk fjerne steder, der minst ett av stedene også kan være atypiske for brukeren, gitt tidligere atferd.
- Pålogginger fra infiserte enheter identifiserer pålogginger fra enheter infisert med skadelig programvare som er kjent for å kommunisere aktivt med en bot-server.
- Pålogginger fra IP-adresser med mistenkelig aktivitet identifiserer IP-adresser som et høyt antall mislykkede påloggingsforsøk på tvers av flere brukerkontoer over en kort periode.
- Pålogging fra ukjente steder vurderer tidligere påloggingsplasseringer (IP, breddegrad/ lengdegrad og ASN) for å finne nye/ukjente steder.
Rapporter og varsler
Det er god rapportering. Du kan sette opp varsler og motta ukentlige sammendrag. Innsiktene du får fra risikodeteksjon er knyttet til Azure AD-abonnementet ditt. Med Azure AD Premium P2-utgaven får du mest detaljerte informasjon om alle underliggende oppdagelser. Med Azure AD Premium P1 ser du bare en melding om pålogging med ekstra risiko oppdaget. Feltene for risikonivå og risikodetaljer er skjult. Selv om deteksjon av risikodeteksjon allerede representerer et viktig aspekt ved å beskytte identitetene dine, har du også muligheten til enten å adressere dem manuelt eller iverksette automatiserte svar ved å konfigurere policyer for betinget tilgang.
Avsluttende ord
Korona-pandemien har ført til at vi i mye høyere grad benytter oss av hjemmekontor. Den har også ført til at hackere utnytter situasjonen til å angripe mobile brukere langt mer målrettet. Vi bør gjøre hva vi kan for å sikre dem. Azure AD Identity Protection legger til nok et lag i et dybdeforsvar mot identitetsangrep i skymiljøer. Personlig skulle jeg ønske at denne funksjonen ble løsrevet fra Azure AD Premium P2 og innlemmet i Microsoft 365 Business Premium. Det vil gjøre oss godt rustet når vi jobber når som helst, på hva som helst, hvor som helt.
