Aanbevelingen voor bewaking en bedreigingsdetectie

Van toepassing op deze aanbeveling voor de Well-Architected Security-checklist: Power Platform

ZOO:08	Implementeer een holistische monitoringstrategie die werkt met moderne mechanismen voor detectie van bedreigingen die met het platform kunnen worden geïntegreerd. Mechanismen moeten op betrouwbare wijze waarschuwen voor triage en signalen naar bestaande SecOps-processen sturen.

In deze guide worden de aanbevelingen voor bewaking en detectie van bedreigingen beschreven. Bewaking is in wezen een proces van informatie krijgen over gebeurtenissen die al hebben plaatsgevonden. Beveiligingsbewaking is een praktijk waarbij informatie op verschillende hoogten van de workload (identiteit, stromen, toepassing, bewerkingen) wordt vastgelegd om inzicht te krijgen in verdachte activiteiten. Het doel is om incidenten te voorspellen en te leren van gebeurtenissen uit het verleden. Bewakingsgegevens vormen de basis voor analyse na incidenten van wat er is gebeurd, ter ondersteuning van incidentrespons en forensisch onderzoek.

Monitoring is een Operational Excellence-benadering die wordt toegepast op alle Well-Architected-pijlers. Power Platform Deze guide biedt alleen aanbevelingen vanuit een beveiligingsperspectief. Algemene concepten van bewaking worden behandeld in Aanbevelingen voor het ontwerpen en creëren van een bewakingssysteem.

Definities

Term	Definitie
Auditlogboeken	Een record van activiteiten in een systeem.
Security Information and Event Management (SIEM)	Een aanpak waarbij ingebouwde bedreigingsdetectie en intelligentiemogelijkheden worden gebruikt op basis van gegevens die uit meerdere bronnen zijn verzameld.
Detectie van bedreigingen	Een strategie voor het detecteren van afwijkingen van verwachte acties door gebruik te maken van verzamelde, geanalyseerde en gecorreleerde gegevens.
Bedreigingsinformatie	Een strategie voor het interpreteren van gegevens over bedreigingsdetectie om verdachte activiteiten of bedreigingen te detecteren door patronen te onderzoeken.
Preventie van bedreigingen	Beveiligingscontroles die op verschillende hoogten in een workload worden geplaatst om de activa ervan te beschermen.

Belangrijke ontwerpstrategieën

Het hoofddoel van beveiligingsbewaking is detectie van bedreigingen. Het primaire doel is het voorkomen van potentiële inbreuken op de beveiliging en het handhaven van een veilige omgeving. Het is echter net zo belangrijk om te erkennen dat niet alle bedreigingen preventief kunnen worden geblokkeerd. In dergelijke gevallen dient bewaking ook als een mechanisme om de oorzaak van een beveiligingsincident te achterhalen dat ondanks de preventieve inspanningen heeft plaatsgevonden.

Bewaking kan vanuit verschillende perspectieven worden benaderd:

• Bewaking op verschillende hoogtes. Observeren vanuit verschillende hoogtes is het proces waarbij informatie wordt verkregen over gebruikersstromen, gegevenstoegang, identiteit, netwerken en zelfs het besturingssysteem. Elk van deze gebieden biedt unieke inzichten die u kunnen helpen bij het identificeren van afwijkingen van het verwachte gedrag dat is vastgesteld op basis van de beveiligingsbasislijn. Omgekeerd kan het continu monitoren van een systeem en toepassingen in de loop der tijd helpen bij het vaststellen van die basishouding. Normaal gesproken ziet u bijvoorbeeld elk uur ongeveer 1000 inlogpogingen in uw identiteitssysteem. Als uw bewaking gedurende een korte periode een piek van 50.000 aanmeldingspogingen detecteert, probeert een aanvaller mogelijk toegang te krijgen tot uw systeem.

• Bewaking op verschillende impactniveaus. Het is van cruciaal belang om de toepassing en het platform te observeren. Stel dat een toepassingsgebruiker per ongeluk geëscaleerde bevoegdheden krijgt of dat er een inbreuk op de beveiliging plaatsvindt. Als de gebruiker acties uitvoert die buiten het aan hen toegewezen bereik vallen, kan de impact beperkt blijven tot acties die andere gebruikers kunnen uitvoeren.

  Als een interne entiteit echter een database compromitteert, is de omvang van de potentiële schade onzeker.

  De omvang van de gevolgen kan aanzienlijk verschillen, afhankelijk van welk van deze scenario's zich voordoet.

• Gebruik gespecialiseerde bewakingstools. Het is van cruciaal belang om te investeren in gespecialiseerd tools die voortdurend kunnen scannen op afwijkend gedrag dat op een aanval zou kunnen duiden. De meeste van deze tools hebben mogelijkheden voor detectie van bedreigingen die voorspellende analyses kunnen uitvoeren op basis van een grote hoeveelheid gegevens en bekende bedreigingen. De meeste tools zijn niet stateless en omvatten een diepgaand begrip van telemetrie in een beveiligingscontext.

  De tools moeten platformgeïntegreerd of op zijn minst platformbewust zijn om diepgaande signalen van het platform te ontvangen en met hoge betrouwbaarheid voorspellingen te kunnen doen. Ze moeten tijdig waarschuwingen kunnen genereren met voldoende informatie om een goede triage te kunnen uitvoeren. Het gebruik van te veel verschillende tools kan tot complexiteit leiden.

• Gebruik bewaking om op incidenten te reageren. Geaggregeerde gegevens, omgezet in bruikbare informatie, maken snelle en effectieve reacties op incidenten mogelijk. Bewaking helpt bij activiteiten na een incident. Het doel is om voldoende gegevens te verzamelen om te analyseren en te kunnen begrijpen wat er is gebeurd. In het bewakingsproces wordt informatie vastgelegd over gebeurtenissen uit het verleden om de reactieve capaciteiten te verbeteren en mogelijk toekomstige incidenten te voorspellen.

In de volgende secties worden aanbevolen werkwijzen gegeven waarin de voorgaande bewakingsperspectieven zijn verwerkt.

Gegevens vastleggen om een spoor van activiteiten bij te houden

Het doel is het in stand houden van een uitgebreide audittrail van gebeurtenissen die vanuit beveiligingsoogpunt belangrijk zijn. Logboekregistratie is de meest gebruikelijke manier om toegangspatronen vast te leggen. Er moet logboekregistratie worden uitgevoerd voor de toepassing en het platform.

Voor een audittrail moet u het wat, wanneer en wie vaststellen dat is gekoppeld aan acties. U moet de specifieke tijdsbestekken identificeren waarop acties worden uitgevoerd. Voer deze evaluatie uit in uw bedreigingsmodellering. Om een afwijzingsdreiging tegen te gaan, moet u sterke logboekregistratie- en auditsystemen opzetten die resulteren in een record van activiteiten en transacties.

In de volgende secties worden gebruiksscenario's beschreven voor enkele veelvoorkomende hoogten van een workload.

Workload-gebruikersstromen

Uw workload moet zo zijn ontworpen dat runtime-zichtbaarheid wordt geboden wanneer er gebeurtenissen plaatsvinden. Identificeer kritieke punten binnen uw workload en voer logboekregistratie in voor deze punten. Het is belangrijk om elke escalatie van gebruikersrechten, de acties die door de gebruiker worden uitgevoerd en of de gebruiker toegang heeft gekregen tot gevoelige informatie in een veilige gegevensopslag te erkennen. Houd de activiteiten van de gebruiker en de gebruikerssessie bij.

Om deze tracering te vergemakkelijken, moet de code worden geïnstrumenteerd via gestructureerde logboekregistratie. Daardoor is het eenvoudig en uniform opvragen en filteren van de logboeken mogelijk.

Belangrijk

U moet verantwoorde logboekregistratie afdwingen om de vertrouwelijkheid en integriteit van uw systeem te behouden. Geheimen en gevoelige gegevens mogen niet in logboeken voorkomen. Houd rekening met het lekken van persoonlijke gegevens en andere nalevingsvereisten wanneer u deze logboekgegevens vastlegt.

Identiteits- en toegangsbewaking

Houd een grondig registratie bij van de toegangspatronen voor de toepassing en wijzigingen aan platformresources. Zorg voor robuuste activiteitenlogboeken en mechanismen voor het detecteren van bedreigingen, vooral voor identiteitsgerelateerde activiteiten, omdat aanvallers vaak proberen identiteiten te manipuleren om ongeautoriseerde toegang te verkrijgen.

Implementeer uitgebreide logboekregistratie door alle beschikbare gegevenspunten te gebruiken. Neem bijvoorbeeld het IP-adres van de client op om onderscheid te maken tussen reguliere gebruikersactiviteit en potentiële bedreigingen vanuit onverwachte locaties. Alle logboekregistratiegebeurtenissen moeten door de server van een tijdstempel worden voorzien.

Registreer alle activiteiten waarbij toegang tot hulpbronnen is vereist, waarbij u vastlegt wie wat doet en wanneer. Gevallen van escalatie van bevoegdheden zijn een significant gegevenspunt dat moet worden vastgelegd. Acties gerelateerd aan het aanmaken of verwijderen van een account door de toepassing moeten ook worden vastgelegd. Deze aanbeveling geldt ook voor toepassingsgeheimen. Houd bij wie toegang heeft tot geheimen heeft en wanneer deze worden gerouleerd.

Hoewel het vastleggen van succesvolle acties belangrijk is, is het vastleggen van mislukte acties vanuit beveiligingsoogpunt noodzakelijk. Documenteer eventuele schendingen, zoals een gebruiker die een actie probeert uit te voeren maar te maken krijgt met een autorisatiefout, toegangspogingen tot niet-bestaande resources en andere acties die verdacht lijken.

Netwerkbewaking

Uw segmentatieontwerp moet observatiepunten op de grenzen mogelijk maken om bij te houden wat eroverheen gaat en die gegevens te registreren. Bewaak bijvoorbeeld subnetten met netwerkbeveiligingsgroepen die stroomlogboeken genereren. Controleer ook firewall-logboeken die de stromen laten zien die zijn toegestaan of geweigerd.

Er zijn toegangslogboeken voor inkomende verbindingsverzoeken. In deze logboeken worden de bron-IP-adressen vastgelegd die de aanvragen initiëren, het type verzoek (GET, POST) en alle andere informatie die deel uitmaakt van de aanvragen.

Het vastleggen van DNS-stromen is voor veel organisaties een belangrijke vereiste. Zo kunnen DNS-logboeken bijvoorbeeld helpen bij het identificeren welke gebruiker of welk apparaat een bepaalde DNS-query heeft gestart. Door DNS-activiteit te correleren met verificatielogboeken van gebruikers/apparaten, kunt u activiteiten voor individuele clients volgen. Deze verantwoordelijkheid strekt zich vaak uit tot het workloadteam, vooral als zij iets implementeren dat DNS-verzoeken tot onderdeel van hun activiteiten maakt. Analyse van DNS-verkeer is een belangrijk aspect van de waarneembaarheid van platformbeveiliging.

Het is belangrijk om onverwachte DNS-aanvragen of DNS-aanvragen die zijn gericht op bekende opdracht- en besturingseindpunten bij te houden.

Afweging: Het loggen van alle netwerkactiviteiten kan resulteren in een grote hoeveelheid gegevens. Helaas is het niet mogelijk om alleen ongewenste voorvallen vast te leggen, omdat deze pas kunnen worden geïdentificeerd nadat ze hebben plaatsgevonden. Neem strategische beslissingen over het soort gebeurtenissen dat u wilt vastleggen en hoelang u deze wilt bewaren. Als u niet oppast, kan het beheren van de gegevens overweldigend zijn. Er is ook een afweging te maken met betrekking tot de kosten voor het opslaan van die gegevens.

Systeemwijzigingen vastleggen

Om de integriteit van uw systeem te behouden, moet u over een nauwkeurige en actuele registratie van de systeemstatus beschikken. Als er wijzigingen zijn, kunt u deze record gebruiken om eventuele problemen die zich voordoen onmiddellijk aan te pakken.

Bouwprocessen moeten ook telemetrie uitzenden. Het begrijpen van de beveiligingscontext van gebeurtenissen is van cruciaal belang. Weten wat het bouwproces heeft geactiveerd, wie het heeft geactiveerd en wanneer het is geactiveerd, kan waardevolle inzichten opleveren.

Houd bij wanneer resources worden aangemaakt en wanneer ze buiten gebruik worden gesteld. Deze informatie moet uit het platform worden gehaald. Deze informatie biedt waardevolle inzichten voor resourcebeheer en verantwoording.

Houd drift in de resourceconfiguratie bij. Documenteer elke wijziging aan een bestaande resource. Houd ook wijzigingen bij die niet worden voltooid als onderdeel van een implementatie naar een reeks resources. Logboeken moeten de details van de wijziging en het exacte tijdstip waarop deze heeft plaatsgevonden vastleggen.

Krijg vanuit patchperspectief een uitgebreid beeld van de vraag of het systeem bijgewerkt en veilig is. Controleer routinematige updateprocessen om te verifiëren of ze volgens plan worden uitgevoerd. Een proces voor beveiligingspatches dat niet wordt voltooid, moet als een kwetsbaarheid worden beschouwd. U moet ook een voorraad bijhouden waarin de patchniveaus en alle andere vereiste details worden vastgelegd.

Wijzigingsdetectie is ook van toepassing op het besturingssysteem. Hierbij wordt bijgehouden of services worden toegevoegd of uitgeschakeld. Het omvat ook het bijhouden wanneer nieuwe gebruikers aan het systeem worden toegevoegd. Er zijn tools die zijn ontworpen voor een besturingssysteem. Ze helpen bij contextloze bewaking in de zin dat ze zich niet richten op de functionaliteit van de workload. Het bewaken van de bestandsintegriteit is bijvoorbeeld een cruciaal hulpmiddel waarmee u wijzigingen in systeembestanden kunt bijhouden.

U moet waarschuwingen instellen voor deze wijzigingen, vooral als u niet verwacht dat deze zich vaak zullen voordoen.

Belangrijk

Wanneer u uitrolt naar productie, moet u ervoor zorgen dat er waarschuwingen zijn geconfigureerd om afwijkende activiteiten op te vangen die worden gedetecteerd in de toepassingsresources en het bouwproces.

Neem de validatie van logboekregistratie en waarschuwingen op in uw testplannen als geprioriteerde testgevallen.

Gegevens opslaan, aggregeren en analyseren

Gegevens die uit deze bewakingsactiviteiten worden verzameld, moeten worden opgeslagen in data-sinks waar ze grondig kunnen worden onderzocht, genormaliseerd en gecorreleerd. Beveiligingsgegevens moeten buiten de eigen gegevensopslag van het systeem worden bewaard. Bewakings-sinks, of ze nu gelokaliseerd of centraal zijn, moeten de gegevensbronnen overleven. De sinks mogen niet efemeer zijn, omdat sinks de bron zijn voor inbraakdetectiesystemen.

Netwerklogboeken kunnen uitgebreid zijn en opslagruimte in beslag nemen. Ontdek verschillende niveaus in opslagsystemen. Logboeken kunnen na verloop van tijd op natuurlijke wijze overgaan naar een lagere opslaglaag. Deze aanpak is nuttig omdat oudere stroomlogboeken doorgaans niet actief worden gebruikt en alleen op aanvraag nodig zijn. Met deze methode wordt efficiënt opslagbeheer gewaarborgd en zorgt u er tegelijkertijd voor dat u toegang hebt tot historische gegevens wanneer dat nodig is.

De stromen van uw workload zijn doorgaans een samenstelling van meerdere logboekregistratiebronnen. Bewakingsgegevens moeten op intelligente wijze worden geanalyseerd binnen al die bronnen. Uw firewall blokkeert bijvoorbeeld alleen het verkeer dat de firewall bereikt. Als u een netwerkbeveiligingsgroep hebt die bepaald verkeer al heeft geblokkeerd, is dat verkeer niet zichtbaar voor de firewall. Om de loop der gebeurtenissen te reconstrueren, moet u gegevens van alle onderdelen die zich in de stroom bevinden aggregeren en vervolgens gegevens van alle stromen aggregeren. Deze gegevens zijn vooral bruikbaar in een scenario bij een reactie na een incident, wanneer u probeert te begrijpen wat er is gebeurd. Nauwkeurige tijdregistratie is essentieel. Uit veiligheidsoverwegingen moeten alle systemen een netwerktijdbron gebruiken, zodat ze altijd gesynchroniseerd zijn.

Gecentraliseerde detectie van bedreigingen met gecorreleerde logboeken

U kunt een systeem zoals SIEM (Security Information and Event Management) gebruiken om beveiligingsgegevens op een centrale locatie te consolideren waar het kan worden gecorreleerd tussen verschillende diensten. Deze systemen hebben ingebouwde mechanismen voor detectie van bedreigingen. Ze kunnen verbinding maken met externe feeds om gegevens over bedreigingsinformatie te verkrijgen. Microsoftpubliceert bijvoorbeeld bedreigingsinformatie die u kunt gebruiken. U kunt ook feeds met bedreigingsinformatie kopen van andere providers, zoals Anomali en FireEye. Deze feeds kunnen waardevolle inzichten bieden en uw beveiligingspositie verbeteren. Voor inzichten in bedreigingen van Microsoft, zie Security Insider.

Een SIEM-systeem kan waarschuwingen genereren op basis van gecorreleerde en genormaliseerde gegevens. Deze waarschuwingen zijn een belangrijke resource tijdens het proces voor respons op incidenten.

Afweging: SIEM-systemen kunnen duur en complex zijn en vereisen gespecialiseerde vaardigheden. Als u er echter geen hebt, moet u mogelijk de gegevens zelf correleren. Dit kan een tijdrovend en complex proces zijn.

SIEM-systemen worden doorgaans beheerd door de centrale teams van een organisatie. Als uw organisatie er geen heeft, overweeg dan om ervoor te pleiten. Het zou de last van handmatige logboekanalyse en correlatie kunnen verlichten om efficiënter en effectiever beveiligingsbeheer mogelijk te maken.

Enkele kosteneffectieve opties worden geboden door Microsoft. Veel Microsoft Defender-producten bieden de waarschuwingsfunctionaliteit van een SIEM-systeem, maar zonder een functie voor gegevensaggregatie.

Door verschillende kleinere tools te combineren, kunt u enkele functies van een SIEM-systeem emuleren. U moet echter weten dat deze geïmproviseerde oplossingen mogelijk geen correlatieanalyses kunnen uitvoeren. Deze alternatieven kunnen nuttig zijn, maar vervangen mogelijk niet volledig de functionaliteit van een speciaal SIEM-systeem.

Misbruik detecteren

Wees proactief in het detecteren van bedreigingen en wees alert op tekenen van misbruik, zoals brute force-aanvallen op een SSH-component of een RDP eindpunt. Hoewel externe bedreigingen veel ruis kunnen veroorzaken, vooral als de toepassing is blootgesteld aan internet, zijn interne bedreigingen vaak een groter probleem. Een onverwachte beveiligingsaanval van een vertrouwde netwerkbron of een onbedoelde verkeerde configuratie moeten bijvoorbeeld onmiddellijk worden onderzocht.

Blijf op de hoogte van uw versterkingspraktijken. Bewaking is geen vervanging voor het proactief versterken van uw omgeving. Een groter oppervlak is vatbaar voor meer aanvallen. Verscherp zowel de controles als de praktijken. Detecteer en schakel ongebruikte accounts uit, gebruik een IP-firewall en blokkeer eindpunten die niet vereist zijn, bijvoorbeeld met beleid ter voorkoming van gegevensverlies.

Detectie op basis van handtekeningen kan een systeem gedetailleerd inspecteren. Hierbij wordt gezocht naar tekenen of correlaties tussen activiteiten die op een mogelijke aanval kunnen duiden. Een detectiemechanisme kan bepaalde kenmerken identificeren die indicatief zijn voor een specifiek type aanval. Het is misschien niet altijd mogelijk om het command-and-control-mechanisme van een aanval direct te detecteren. Vaak zijn er echter hints of patronen verbonden aan een bepaald command-and-control-proces. Een aanval kan bijvoorbeeld worden aangegeven door een bepaalde stroomsnelheid vanuit een aanvraagperspectief of mogelijk wordt er vaak toegang verkregen tot domeinen met specifieke eindes.

Detecteer afwijkende gebruikerstoegangspatronen zodat u afwijkingen van verwachte patronen kunt identificeren en onderzoeken. Hierbij wordt het huidige gebruikersgedrag vergeleken met gedrag uit het verleden om afwijkingen op te sporen. Hoewel het misschien niet haalbaar is om deze taak handmatig uit te voeren, kunt u hiervoor wel tools voor bedreigingsinformatie gebruiken. Investeer in UEBA-tools (User and Entity Behavior Analytics) die gebruikersgedrag verzamelen uit bewakingsgegevens en dit analyseren. Deze tools kunnen vaak voorspellende analyses uitvoeren die verdacht gedrag in verband brengen met mogelijke soorten aanvallen.

Detecteer bedreigingen tijdens de fasen vóór en na de implementatie. Neem tijdens de fase vóór implementatie het scannen op kwetsbaarheden op in pijplijnen en onderneem de nodige acties op basis van de resultaten. Ga na de implementatie door met het scannen op kwetsbaarheden. U kunt hulpmiddelen zoals Microsoft Defender for Containers gebruiken, die containerimages scant. Neem de resultaten op in de verzamelde gegevens. Zie Aanbevelingen voor veilige implementatiepraktijken voor meer informatie over veilige implementatiepraktijken.

Power Platform-facilitering

In de volgende secties worden de mechanismen beschreven die u kunt gebruiken om bedreigingen in Power Platform bij te houden en te detecteren.

Microsoft Schildwacht

Microsoft Met de Sentinel-oplossing voor Microsoft Power Platform kunnen klanten verschillende verdachte activiteiten detecteren, waaronder:

• Power Apps-uitvoerbewerking vanuit ongeautoriseerde geografische gebieden
• Verdachte gegevensvernietiging door Power Apps
• Massale verwijdering van Power Apps
• Phishing-aanvallen die via Power Apps worden uitgevoerd
• Power Automate stroomt activiteit op vertrekkende werknemers
• Microsoft Power Platform-connectors die aan een omgeving zijn toegevoegd
• Bijwerken of verwijderen van Microsoft Power Platform-beleid ter voorkoming van gegevensverlies

Voor meer informatie, zie de Microsoft Sentinel-oplossing voor Microsoft Power Platform een overzicht.

Microsoft Purview-activiteitenregistratie

Power Apps, Power Automate, Connectors, Data verliespreventie en Power Platform administratieve activiteitenregistratie worden bijgehouden en bekeken via de Microsoft Purview-complianceportal.

Zie voor meer informatie:

• Power Apps activiteitenregistratie
• Power Automate activiteitenregistratie
• Copilot Studio activiteitenregistratie
• Power Pages activiteitenregistratie
• Power Platform connectoractiviteit loggen
• Gegevens verliespreventie activiteitenregistratie
• Power Platform administratieve acties activiteitenregistratie
• Microsoft Dataverse en modelgestuurde apps activiteitenregistratie

Dataverse-controle

Tijdens databasecontrole worden wijzigingen vastgelegd die zijn aangebracht in klantrecords in een omgeving met een Dataverse-database. Dataverse-controle registreert ook gebruikerstoegang via een app of via de SDK in een omgeving. Deze controle wordt ingeschakeld op omgevingsniveau, en er is aanvullende configuratie vereist voor afzonderlijke tabellen en kolommen. Zie Dataverse-controle beheren voor meer informatie.

Telemetrie analyseren met Application Insights

Application Insights, een functie van Azure Monitor, wordt in ondernemingen veel gebruikt voor bewaking en diagnose. Gegevens die al zijn verzameld van een specifieke tenant of omgeving, worden naar die van uw eigen Application Insights-omgeving gepusht. De gegevens worden opgeslagen in Azure Monitor-logboeken door Application Insights en gevisualiseerd in de deelvensters Prestaties en Fouten onder Onderzoeken in het linkerdeelvenster. De gegevens worden geëxporteerd naar uw Application Insights-omgeving in het standaardschema dat is gedefinieerd door Application Insights. De ondersteunings-, ontwikkelaar- en beheerderspersona's kunnen deze functie gebruiken om problemen te schiften en op te lossen.

U kunt:

• ook een Application Insights-omgeving instellen om telemetrie te ontvangen over diagnostiek en prestaties vastgelegd door het Dataverse-platform.
• zich ook abonneren op het ontvangen van telemetrie over bewerkingen die toepassingen uitvoeren op uw Dataverse-database en binnen modelgestuurde apps. Deze telemetrie biedt informatie die u kunt gebruiken om problemen met betrekking tot fouten en prestaties te diagnosticeren en op te lossen.
• ook Power Automate-cloudstromen instellen voor integratie met Application Insights.
• ook gebeurtenissen en activiteiten van Power Apps canvas-apps naar Application Insights schrijven.

Zie Overzicht van integratie met Application Insights voor meer informatie.

Identiteit

Bewaak identiteitsgerelateerde risicogebeurtenissen op mogelijk gecompromitteerde identiteiten en herstel deze risico's. Bekijk de gerapporteerde risicogebeurtenissen op deze manieren:

• Gebruik Microsoft Entra ID-rapportage. Zie Wat is identiteitsbescherming? en Identity Protection voor meer informatie.

• Gebruik API-leden voor risicodetectie van Identity Protection om programmatische toegang te krijgen tot beveiligingsdetecties via Microsoft Graph. Zie riskDetection en riskyUser voor meer informatie.

Microsoft Entra ID gebruikt adaptieve Machine Learning-algoritmen, heuristiek en bekende gecompromitteerde referenties (gebruikersnaam- en wachtwoordparen) om verdachte acties te detecteren die verband houden met uw gebruikersaccounts. Deze gebruikersnamen en wachtwoorden worden ontdekt door het publieke en dark web te monitoren en door samen te werken met beveiligingsonderzoekers, wetshandhavers, beveiligingsteams van Microsoft en anderen.

Azure-pijplijnen

DevOps pleit voor wijzigingsbeheer van workloads via continue integratie en continue levering (CI/CD). Zorg ervoor dat u beveiligingsvalidatie in de pijplijnen toevoegt. Volg de richtlijnen zoals beschreven in Azure-pijplijnen beveiligen.

Gerelateerde informatie

• Wat is Microsoft Sentinel?
• Integratie van bedreigingsinformatie in Microsoft Sentinel
• Identificeer geavanceerde bedreigingen met User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel

Controlelijst voor beveiliging

Raadpleeg de volledige reeks aanbevelingen.

Veiligheidscontrolelijst