Hva er hovedformålet med å styrke identitetssikkerheten i Azure AD?

Å redusere risiko for kompromittering av brukerkontoer, som ofte er den primære inngangsveien for moderne angrep i skymiljøer.

Hvorfor er MFA-spamming et reelt problem?

Angripere bombarderer brukeren med forespørsler til de gir etter. Dette er en sosial manipulasjonsteknikk som omgår tradisjonell MFA hvis den ikke er riktig konfigurert.

Hvordan beskytter number matching mot MFA-utmattelse?

Brukeren må aktivt matche en kode som vises på skjermen. Angriperen kan ikke gjette dette, og automatiserte forespørsler mister effekt.

Hva gjør phishing-resistente MFA-metoder tryggere?

De bygger på kryptografiske nøkler som ikke lar seg fange opp via mellommannsangrep (AiTM) eller phishing-sider.

Hvordan hjelper Conditional Access mot AiTM-angrep?

Ved å kreve compliant enheter eller Hybrid Azure AD-join blokkeres sesjoner kapret gjennom proxytjenester.

Hva er consent phishing, og hvorfor øker det?

Angripere forsøker å få brukere til å gi apptillatelser i stedet for passord. Det omgår MFA og er vanskelig å oppdage uten kontroll på apptillatelser.

Hvorfor bør user-consent skrus av i Azure AD?

Fordi brukere ikke har forutsetning for å vurdere risikoen. Med workflows må tillatelser godkjennes av administrator.

Hvorfor er PIM ikke nok alene?

PIM kontrollerer tildeling av rettigheter, men beskytter ikke mot token-kapring via AiTM-angrep.

Hvilke sikkerhetsvarsler er viktige å følge med på?

Varsler fra Defender-plattformene om mistenkelige sesjonskaker, anonym IP, infrequent travel, manipulerte innboksregler m.m.

Hvorfor er legacy authentication en risiko?

Den støtter ikke moderne MFA og brukes aktivt i angrep. Den bør blokkeres uavhengig av Microsofts egne planer.

Hva er Continuous Access Evaluation?

En mekanisme som avslutter aktive sesjoner raskere ved risikoendringer som passordendring eller policyendring.

Hvorfor samle Azure AD-logger i Sentinel?

Det muliggjør avansert analyse, korrelasjon og jakt på angrepsmønstre.

Hva brukes KQL til i denne sammenhengen?

Til å skrive queries som avdekker mistenkelig aktivitet og bygge deteksjonsregler.

Hva er indikatorer på AiTM-angrep?

Ukjente sign-ins, cookie reuse, ukjente lokasjoner, og MFA-bruk fra unormale steder.

Hvorfor er overvåkning av app-tillatelser viktig?

OAuth-applikasjoner kan få tilgang til epost, filer og API-er uten passord. Angripere utnytter dette.

Hvordan beskytter man seg mot misbruk av MFA-notifikasjoner?

Number matching, kontekstvisning og begrensning av godkjente metoder.

Hva er et godt utgangspunkt for å sikre identiteter i Azure AD?

En kombinasjon av MFA, Conditional Access, PIM, risiko-baserte signaler og overvåkningsregler.

Hvilke brukere bør sikres først?

Administratorer, utviklere og andre med høy privilegietilgang.

Hvordan kan Sicra hjelpe?

Sicra kan bistå med hardening av Azure AD, implementere MFA-strategi, etablere Conditional Access-policyer, konfigurere Defender-plattformen, sette opp Identity Protection, bygge overvåkningsregler i Sentinel og gi rådgivning om phishing-resistent autentisering.

7 tips for å beskytte identiteter i Azure AD

Identiteten vår er en av de siste barrierene i en verden hvor flere og flere flytter til skyen. Det er dermed viktigere enn noensinne å beskytte denne. Angrepene øker i omfang og angriperne finner stadig nye metoder for å lure deg. Vi har blitt noenlunde flinke til å oppdage tradisjonelle phishing-angrep, men nye metoder gjør at vi må gjøre flere tiltak enn tidligere. I denne artikkelen har jeg laget 7 tips til å beskytte identitetene våre i Microsoft Azure AD.

Tips 1

MFA spamming eller MFA utmattelse er et økende problem. Benytt funksjonene under for å beskytte deg mot dette.

Azure AD number matching (preview)
Show additional context in notifications (preview)

Skjermbilde-2022-08-30-090451-Sicra

Tips 2

Adversary-in-the-middle (AiTH) eller MFA–phishing angrep øker. Figuren under (fra Microsoft) viser et slik angrep.

AiTM-Phishing-Bypassing-MFA-Sicra

Beskytt deg ved å:

Bruk MFA-metoder som er phishing-resistente som for eksempel FIDO2, Windows Hello for Business eller sertifikater.
Beskytt deg mot angrep med Conditional Access policyer. Særlig viktig er grant kontrollene «Require device to be marked as compliant» og «Require Hybrid Azure AD joined device».
Overvåk innlogginger med MFA fra ulike lokasjoner.

Tips 3

OAuth consent phishing-forsøk øker også, men hva er consent phishing?
Beskytt deg ved å:

I Azure AD: Skru av «user consent» og bruk consent workflows.
Gå gjennom eksisterende apper og tillatelser i Microsoft Defender for Cloud Apps.
Skru på varsler for OAuth apper i Microsoft Defender for Cloud Apps.
Bruk Azure AD Identity Protection

Les mer om consent phishing i "Protect against consent phishing" hos Microsoft Learn.

Tips 4

Bruk Privileged Identity Management (PIM), bruk minste privilegium og verifiser alltid. Ikke stol 100% på PIM. PIM beskyter IKKE mot AiTH-angrep.

Tips 5

Alle Microsofts sikkerhetsprodukter genererer varsler. Følgende varsler er viktige for å avdekke AiTH angrep.

Microsoft 365 Defender

Stolen session cookie was used

Defender for Cloud Apps

Suspicious inbox manipulation rule
Impossible travel activity
Activity from infrequent country

Azure AD Identity Protection

Anomalous Token
Unfamiliar sign-on properties
Unfamiliar sign-in properties for session cookies
Anonymous IP-address

Defender for Office 365

Email messages containing malicious file removed after delivery
Email messages from a campaign removed after delivery
Creation of forwarding/redirect rule

Defender for Endpoint

Potential Phishing website

Tips 6

Noen generelle tips som jeg håper du allerede, har konfigurert:

Konfigurer MFA for ALLE brukere og administratorer
Blokker legacy autentisering (ja, Microsoft gjør dette, men IKKE VENT)
Konfigurer Continuous Access Evaluation
Bruk Conditional Access basert på risiko signaler

Tips 7

Samle logger fra Azure AD i Microsoft Sentinel eller Log Analytics

Lag ytterligere detection / hunting regler
Lær deg KQL. En glimrende kilde er "MustLearnKQL" hos Github.

7 tips for å beskytte identiteter i Azure AD

Tips 1

Tips 2

Tips 3

Tips 4

Tips 5

Tips 6

Tips 7

Les mer

Attack-konferansen 2025: Reelle trusler og nye regelverk krever handling

Seks trinn som kan redde Norge fra det neste cyberangrepet

Tre døgn til angrep: Hvorfor sårbarheter må lukkes raskere

Sikker og brukervennlig multifaktor-autentisering (MFA) er mulig