Identiteten vår er en av de siste barrierene i en verden hvor flere og flere flytter til skyen. Det er dermed viktigere enn noensinne å beskytte denne. Angrepene øker i omfang og angriperne finner stadig nye metoder for å lure deg. Vi har blitt noenlunde flinke til å oppdage tradisjonelle phishing-angrep, men nye metoder gjør at vi må gjøre flere tiltak enn tidligere. I denne artikkelen har jeg laget 7 tips til å beskytte identitetene våre i Microsoft Azure AD.
MFA spamming eller MFA utmattelse er et økende problem. Benytt funksjonene under for å beskytte deg mot dette.
Azure AD number matching (preview)
Show additional context in notifications (preview)
Adversary-in-the-middle (AiTH) eller MFA–phishing angrep øker. Figuren under (fra Microsoft) viser et slik angrep.
Beskytt deg ved å:
Bruk MFA-metoder som er phishing-resistente som for eksempel FIDO2, Windows Hello for Business eller sertifikater.
Beskytt deg mot angrep med Conditional Access policyer. Særlig viktig er grant kontrollene «Require device to be marked as compliant» og «Require Hybrid Azure AD joined device».
Overvåk innlogginger med MFA fra ulike lokasjoner.
OAuth consent phishing-forsøk øker også, men hva er consent phishing?
Beskytt deg ved å:
I Azure AD: Skru av «user consent» og bruk consent workflows.
Gå gjennom eksisterende apper og tillatelser i Microsoft Defender for Cloud Apps.
Skru på varsler for OAuth apper i Microsoft Defender for Cloud Apps.
Bruk Azure AD Identity Protection
Les mer om consent phishing i "Protect against consent phishing" hos Microsoft Learn.
Bruk Privileged Identity Management (PIM), bruk minste privilegium og verifiser alltid. Ikke stol 100% på PIM. PIM beskyter IKKE mot AiTH-angrep.
Alle Microsofts sikkerhetsprodukter genererer varsler. Følgende varsler er viktige for å avdekke AiTH angrep.
Microsoft 365 Defender
Stolen session cookie was used
Defender for Cloud Apps
Suspicious inbox manipulation rule
Impossible travel activity
Activity from infrequent country
Azure AD Identity Protection
Anomalous Token
Unfamiliar sign-on properties
Unfamiliar sign-in properties for session cookies
Anonymous IP-address
Defender for Office 365
Email messages containing malicious file removed after delivery
Email messages from a campaign removed after delivery
Creation of forwarding/redirect rule
Defender for Endpoint
Potential Phishing website
Noen generelle tips som jeg håper du allerede, har konfigurert:
Konfigurer MFA for ALLE brukere og administratorer
Blokker legacy autentisering (ja, Microsoft gjør dette, men IKKE VENT)
Konfigurer Continuous Access Evaluation
Bruk Conditional Access basert på risiko signaler
Samle logger fra Azure AD i Microsoft Sentinel eller Log Analytics
Lag ytterligere detection / hunting regler
Lær deg KQL. En glimrende kilde er "MustLearnKQL" hos Github.