7 tips for å beskytte identiteter i Azure AD
Identiteten vår er en av de siste barrierene i en verden hvor flere og flere flytter til skyen. Det er dermed viktigere enn noensinne å beskytte denne. Angrepene øker i omfang og angriperne finner stadig nye metoder for å lure deg. Vi har blitt noenlunde flinke til å oppdage tradisjonelle phishing-angrep, men nye metoder gjør at vi må gjøre flere tiltak enn tidligere. I denne artikkelen har jeg laget 7 tips til å beskytte identitetene våre i Microsoft Azure AD.
Tips 1
MFA spamming eller MFA utmattelse er et økende problem. Benytt funksjonene under for å beskytte deg mot dette.
-
Azure AD number matching (preview)
-
Show additional context in notifications (preview)
Tips 2
Adversary-in-the-middle (AiTH) eller MFA–phishing angrep øker. Figuren under (fra Microsoft) viser et slik angrep.
Beskytt deg ved å:
-
Bruk MFA-metoder som er phishing-resistente som for eksempel FIDO2, Windows Hello for Business eller sertifikater.
-
Beskytt deg mot angrep med Conditional Access policyer. Særlig viktig er grant kontrollene «Require device to be marked as compliant» og «Require Hybrid Azure AD joined device».
-
Overvåk innlogginger med MFA fra ulike lokasjoner.
Tips 3
OAuth consent phishing-forsøk øker også, men hva er consent phishing?
Beskytt deg ved å:
-
I Azure AD: Skru av «user consent» og bruk consent workflows.
-
Gå gjennom eksisterende apper og tillatelser i Microsoft Defender for Cloud Apps.
-
Skru på varsler for OAuth apper i Microsoft Defender for Cloud Apps.
-
Bruk Azure AD Identity Protection
Les mer om consent phishing i "Protect against consent phishing" hos Microsoft Learn.
Tips 4
Bruk Privileged Identity Management (PIM), bruk minste privilegium og verifiser alltid. Ikke stol 100% på PIM. PIM beskyter IKKE mot AiTH-angrep.
Tips 5
Alle Microsofts sikkerhetsprodukter genererer varsler. Følgende varsler er viktige for å avdekke AiTH angrep.
Microsoft 365 Defender
-
Stolen session cookie was used
Defender for Cloud Apps
-
Suspicious inbox manipulation rule
-
Impossible travel activity
-
Activity from infrequent country
Azure AD Identity Protection
-
Anomalous Token
-
Unfamiliar sign-on properties
-
Unfamiliar sign-in properties for session cookies
-
Anonymous IP-address
Defender for Office 365
-
Email messages containing malicious file removed after delivery
-
Email messages from a campaign removed after delivery
-
Creation of forwarding/redirect rule
Defender for Endpoint
-
Potential Phishing website
Tips 6
Noen generelle tips som jeg håper du allerede, har konfigurert:
-
Konfigurer MFA for ALLE brukere og administratorer
-
Blokker legacy autentisering (ja, Microsoft gjør dette, men IKKE VENT)
-
Konfigurer Continuous Access Evaluation
-
Bruk Conditional Access basert på risiko signaler
Tips 7
Samle logger fra Azure AD i Microsoft Sentinel eller Log Analytics
-
Lag ytterligere detection / hunting regler
-
Lær deg KQL. En glimrende kilde er "MustLearnKQL" hos Github.
Les mer
Cybersikkerhet og verdiskaping: En balansekunst
Hva gjør du når du blir utsatt for et cyberangrep?
Fra default til sikkert – slik gjør du Windows-innstillingene tryggere
