7 tips for å beskytte identiteter i Azure AD

Identiteten vår er en av de siste barrierene i en verden hvor flere og flere flytter til skyen. Det er dermed viktigere enn noensinne å beskytte denne. Angrepene øker i omfang og angriperne finner stadig nye metoder for å lure deg. Vi har blitt noenlunde flinke til å oppdage tradisjonelle phishing-angrep, men nye metoder gjør at vi må gjøre flere tiltak enn tidligere. I denne artikkelen har jeg laget 7 tips til å beskytte identitetene våre i Microsoft Azure AD.

Tips 1

MFA spamming eller MFA utmattelse er et økende problem. Benytt funksjonene under for å beskytte deg mot dette. 

1. Azure AD number matching (preview) 

2. Show additional context in notifications (preview) 

Tips 2

Adversary-in-the-middle (AiTH) eller MFA–phishing angrep øker. Figuren under (fra Microsoft) viser et slik angrep.

Beskytt deg ved å: 

1. Bruk MFA-metoder som er phishing-resistente som for eksempel FIDO2, Windows Hello for Business eller sertifikater. 

2. Beskytt deg mot angrep med Conditional Access policyer. Særlig viktig er grant kontrollene «Require device to be marked as compliant» og «Require Hybrid Azure AD joined device». 

3. Overvåk innlogginger med MFA fra ulike lokasjoner.

Tips 3

OAuth consent phishing-forsøk øker også, men hva er consent phishing?
Beskytt deg ved å: 

• I Azure AD: Skru av «user consent» og bruk consent workflows. 

• Gå gjennom eksisterende apper og tillatelser i Microsoft Defender for Cloud Apps. 

• Skru på varsler for OAuth apper i Microsoft Defender for Cloud Apps. 

• Bruk Azure AD Identity Protection 

Les mer om consent phishing i "Protect against consent phishing" hos Microsoft Learn.  

Tips 4

Bruk Privileged Identity Management (PIM), bruk minste privilegium og verifiser alltid. Ikke stol 100% på PIM. PIM beskyter IKKE mot AiTH-angrep. 

Tips 5

Alle Microsofts sikkerhetsprodukter genererer varsler. Følgende varsler er viktige for å avdekke AiTH angrep. 

Microsoft 365 Defender

• Stolen session cookie was used

Defender for Cloud Apps 

• Suspicious inbox manipulation rule 

• Impossible travel activity 

• Activity from infrequent country

Azure AD Identity Protection 

• Anomalous Token 

• Unfamiliar sign-on properties 

• Unfamiliar sign-in properties for session cookies 

• Anonymous IP-address

Defender for Office 365 

• Email messages containing malicious file removed after delivery 

• Email messages from a campaign removed after delivery 

• Creation of forwarding/redirect rule

Defender for Endpoint 

• Potential Phishing website

Tips 6

Noen generelle tips som jeg håper du allerede, har konfigurert: 

• Konfigurer MFA for ALLE brukere og administratorer 

• Blokker legacy autentisering (ja, Microsoft gjør dette, men IKKE VENT) 

• Konfigurer Continuous Access Evaluation 

• Bruk Conditional Access basert på risiko signaler 

Tips 7

Samle logger fra Azure AD i Microsoft Sentinel eller Log Analytics 

• Lag ytterligere detection / hunting regler 

• Lær deg KQL. En glimrende kilde er "MustLearnKQL" hos Github.