Idag har vi oftast hybrida IT-miljöer med både en lokal infrastruktur och flertalet olika molntjänster. Förhoppningsvis har vi lyckats hantera så vi enbart har en enda identitet åt våra användare att hålla reda på. Utmaningarna som följer handlar om att övervaka och identifiera intrång baserat på dessa identiteter oavsett om det rör sig om lokala tjänster eller molntjänster.

Microsoft har sedan en tid tillbaka haft flera lösningar som nu kommer centraliseras till en gemenskap SecOps -portal:

• Azure AD Identity Protection (AADIP)
  En lösning för att skydda verksamhetens Azure AD konton och dess autentiseringar. Kortfattat är det en lösning för att identifiera sårbarheter och skydda våra inloggningar via Azure Active Directory. Detta bygger dels på beteende och känner av om inloggningarna är rimliga eller om det finns riskfylld information (via Microsoft Security Graph) om exempelvis IP adressen eller lösenordet.
• Microsoft Cloud App Security (MCAS)
  MCAS håller koll på våra molntjänster och kan bland annat likvärdigt med Identity Protection detektera beteendeavvikelser. Exempelvis om Office 365 olika tjänster nyttjas på ett orimligt sätt av en användare. Exempelvis om en användare jobbar mot ett dokument i Teams samtidigt som den delar/laddar ner information från en annan molntjänst från ett och samma IP.
• Azure Advanced Treat Protection (AATP)
  Azure ATP är efterföljaren av Advanced Threat Analytics (ATA) som övervakar lokalt Active Directory. Baserat på både beteende, kända attackmönster/sårbarheter och svaga protokoll identifieras intrång i ett tidigt skede.

Ovanstående lösningar med dess portaler finns fortfarande kvar men en preview har startat för att få signaler från dessa lösningar till ett och samma ställe. Detta ger oss en överblick som hjälper oss utreda om ett konto blivit kapat eller på annat sätt beter sig illa.

Istället för att vi nu skall få ännu en portal att hålla reda på kommer det vara MCAS portalen som får signaler från de andra två lösningarna. Om Azure ATP används inom samma tenant kan vi helt enkelt inkludera den tjänsten tillsammans med vårat Azure AD.

Larm från samtliga säkerhetslösningar redovisas tidsmässigt i ett tydligt flöde. Varje larm poängsätts enligt en skala och genom att klicka på poängen redovisas anledningen till poängsättningen. För att basera riskanalysen även på andra tjänster kommer vi kunna integrera med Microsofts nya SIEM lösning. Microsoft Azure Sentinel ger möjlighet att ansluta och ta emot loggar från andra lösningar och skapa larm utifrån dessa. Poängsättningen värderas också mot andra användare inom organisationen för att göra det enklare att utvärdera en användarrisk och prioritera.

Önskas mer detaljer finns ett flertal fördjupningar att göra, vilket krävs både vid en djupare analys för att utreda om ett konto har blivit kapat. Men även för att få insikt av vad ett kapat konto har hunnit göra innan man lyckats återta kontot.

Tack vare att vi kommer åt all information i en och samma portal får nu vi en tydlig bild av vad en användare haft för sig både i lokal infrastruktur såväl som i ansluten molntjänst

Det finns ett flertal åtgärder att göra för att skydda framför allt Office 365. Självklart skall även AD/AAD kontot återställas/byta lösenord vid kapning men för att minimera risken att det finns en aktiv session igång mot Office 365 kan vi påtvinga ny inloggning eller avbryta tillgången tills utredningen är klar.

Vill du gå med i denna preview läs mer här

Notera att Azure ATP and Azure AD Identity Protection inte kommer påverkas men att de som hanterar Cloud App Security kommer få en hel del ny data.

Det blir intressant att se vad denna fantastiska portal kommer döpas till framöver 🙂