Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Analyse van aanmeldingslogboeken [CHK-1188]

Deze controle analyseert de aanmeldingslogboeken van Microsoft Entra ID over een doorlopend venster van 30 dagen om beveiligingsproblemen te identificeren. De controle volgt het gebruik van enkelvoudige authenticatie, MFA-adoptiepercentages per gebruiker en applicatie, en detecteert indicatoren van brute-force aanvallen. De controle wordt dagelijks uitgevoerd en verzamelt gegevens incrementeel. Een Entra ID P1 of hogere licentie is vereist.

De controle maakt onderscheid tussen twee soorten enkelvoudige aanmeldingen:

  • Door klant adresseerbaar: Conditional Access-beleid is van toepassing maar staat nog steeds enkelvoudige authenticatie toe. Dit zijn hiaten in uw MFA-beleid die u kunt verhelpen.
  • Door Microsoft vrijgesteld: Conditional Access-beleid wordt niet toegepast vanwege vrijstellingen van Microsoft. Deze vallen buiten uw directe controle.

Alleen interactieve aanmeldingen worden beoordeeld; niet-interactieve en achtergrondauthenticatie worden uitgesloten.

Rationale

Enkelvoudige authenticatie is een van de meest voorkomende aanvalsvectoren voor accountcompromittering. Zonder MFA is een gestolen of geraden wachtwoord voldoende voor een aanvaller om toegang te krijgen. Het monitoren van MFA-adoptiepercentages en het identificeren van gebruikers en applicaties die nog steeds afhankelijk zijn van enkelvoudige authenticatie helpt u beveiligingslekken te dichten voordat ze worden misbruikt.

Brute-force aanvallen, waarbij een aanvaller veel wachtwoorden probeert tegen een of meer accounts, vormen een aanhoudende dreiging. Het detecteren van gebruikers met een ongewoon hoog aantal mislukte aanmeldingen (meer dan 10 op een enkele dag) biedt een vroegtijdige waarschuwing voor mogelijke accountaanvallen of compromitteringspogingen.

Fix

Er is geen geautomatiseerde fix beschikbaar voor deze controle.

Voor brute-force indicatoren:

  1. Onderzoek de getroffen gebruikersaccounts die in het alarm worden vermeld op tekenen van compromittering.
  2. Stel wachtwoorden onmiddellijk opnieuw in als compromittering wordt vermoed.
  3. Schakel MFA in voor alle getroffen gebruikersaccounts.
  4. Overweeg het gebruikersaccount tijdelijk te blokkeren als de aanval nog gaande is.

Voor door klant adresseerbare enkelvoudige aanmeldingen:

  1. Controleer uw Conditional Access-beleid in het Microsoft Entra-beheercentrum op https://entra.microsoft.com.
  2. Identificeer hiaten waar MFA niet wordt afgedwongen voor specifieke gebruikers, groepen of applicaties.
  3. Zorg ervoor dat MFA-beleid alle gebruikers en alle applicaties dekt, met name de meest voorkomende applicaties die in het alarm worden vermeld.
  4. Controleer op uitsluitingen in Conditional Access-beleid die gebruikers onbeschermd kunnen laten.
  5. Gebruik de MFA-percentages per applicatie uit de controle om te bepalen welke applicaties als eerste moeten worden aangepakt.

Impact

Het opvolgen van de bevindingen van deze controle versterkt de authenticatiebeveiliging van uw tenant. Het afdwingen van MFA voor alle gebruikers en applicaties vermindert het risico op accountcompromittering aanzienlijk. Het snel onderzoeken van brute-force indicatoren helpt ongeautoriseerde toegang te voorkomen voordat deze plaatsvindt.

Meer informatie

Voor meer informatie over aanmeldingslogboeken en authenticatiemethoden, zie de Microsoft Entra aanmeldingslogboeken documentatie.