Azure AD Identity Protection

ITSäkerhetsGuiden har tidigare förklarat hur vi stärker autentiseringen och skyddar våra identiteter genom Azure Active Directory och hur Azure AD Premium-licensen ger rapporter och larm på olegitima inloggningar både baserat på beteende och information från bl.a. Microsoft Cybercrime Center

https://itsäkerhetsguiden.se/autentisering-i-azure/
https://itsäkerhetsguiden.se/förekommer-ditt-konto-i-en-stulen-kontodatabas/

Tack vare dessa avancerade rapporter får verksamheten bland annat reda på om en användare loggar in från flera destinationer inom en orimlig tidsperiod eller om inloggningen kommer från en svartlistad IP eller enhet. Dessa rapporter ger oss vetskap men överlåter ansvaret till verksamheten att vidta åtgärder. (Dock är denna information tillgänglig via öppna APIer så våra egna utvecklare har gjort skräddarsydda åtgärder efter våra kunders behov vid dessa larm).

Vad tillför då Azure AD Identity Protection?

Detta är en ny central plats i Azure för att skydda våra identiteter. Azure Identity Protection portalen redovisar

  • en översikt över alla konton i vårat Azure AD
  • en översikt över händelser och sårbarheter/svagheter
  • information från Priviliged Identity Protection (PIM) över administrativa roller och dess nyttjande av just-in-time access.

Möjlighet att konfigurera åtgärdspolicys som triggar på riskfyllda event och antingen blockerar tillgång till tjänster eller påtvingar åtgärder som lösenordsåterställning eller flerfaktorinloggning.

clip_image002

Exempel

Om en inloggning kommer från en anonymiseringstjänst så som exempelvis en Tor Browser eller dess nätverk och policyn är inställd på att blockera tillgång händer följande:

Användaren blockeras att nå den tjänst publicerad via Azure AD (både externa men även Interna via Azure Application Proxy)

snip_20160913074803 snip_20160913074749

Kontot blir vid denna händelse låst och all tillgång via detta konto blockeras även via en legitim webbläsare eller applikation.

image

För att kontot skall aktiveras på nytt måste användaren antingen kontakta IT som återaktiverar kontot. Alternativt finns även möjligheten för användaren att logga in från en registrerad och godkänd enhet från en tidigare nyttjad och godkänd IP och med flerfaktor autentisering aktivera kontot på nytt.

Händelsen redovisas i Azure AD Identity Protection portalen som då ger verksamheten möjlighet att utreda och få spårbarhet över denna händelse och även övriga inloggningar som skett via detta konto för att genomföra en utredning. Från samma portal har vi även möjlighet att hantera kontot i form att återställa lösenordet eller påtvinga flerfaktorautentisering.

snip_20160913074720

Annonser
Det här inlägget postades i Azure och har märkts med etiketterna . Bokmärk permalänken.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s