Verdachte activiteit melden [CHK-1156]

Reden

MFA fatigue (ook wel MFA bombing genoemd) is een veelgebruikte techniek waarbij aanvallers die al over geldige credentials beschikken herhaaldelijk MFA-pushmeldingen triggeren, in de hoop dat de gebruiker er uiteindelijk uit frustratie of per ongeluk één accepteert. Zodra dit gebeurt, krijgt de aanvaller volledige toegang tot het account, vaak met omzeiling van andere verdedigingsmechanismen.

Report Suspicious Activity geeft gebruikers een duidelijke, one-tap manier om deze ongevraagde prompts te melden. Wanneer een gebruiker een verdachte push rapporteert, verhoogt Entra ID direct het risiconiveau van de gebruiker naar high. Dit triggert Conditional Access policies die gekoppeld zijn aan user risk (zoals een geforceerde password reset of het blokkeren van sign-in) en zorgt ervoor dat het account zichtbaar wordt in Identity Protection voor verder onderzoek.

Als deze functie uitgeschakeld blijft, gaan MFA bombing-pogingen ongemeld en onopgemerkt voorbij, waardoor de kans toeneemt dat er uiteindelijk één slaagt. Het inschakelen voor alle gebruikers is een laagdrempelige maatregel met grote waarde: elke medewerker wordt een sensor voor credential compromise.

Fix

Een geautomatiseerde fix is beschikbaar via Attic.

Handmatige stappen:

1. Log in op het Entra admin center als Security Administrator of Authentication Policy Administrator.
2. Ga naar Beveiliging > Verificatiemethoden > Instellingen.
3. Stel Verdachte activiteit rapporteren in op Ingeschakeld.
4. Selecteer onder Insluiten de optie Alle gebruikers (of een specifieke groep voor een gefaseerde uitrol, maar Alle gebruikers wordt aanbevolen).
5. Klik op Opslaan.

Meer informatie

• Microsoft: Report suspicious activity in Entra ID
• Microsoft: Wat is Identity Protection?
• Microsoft: Conditional Access user risk policies