Policy’s in Microsoft 365: Identificeer afwijkend gedrag in je ICT-omgeving

Ben je ooit geconfronteerd met afwijkend gedrag in je ICT-omgeving? En vroeg je je af hoe je dit vroegtijdig had kunnen detecteren en voorkomen? Maak kennis met policy’s, oftewel beleidsregels, in Microsoft 365.  

Afwijkend gedrag is vaak een vroegtijdige waarschuwing voor potentieel schadelijke of kwaadwillende activiteiten. Maar wat is afwijkend gedrag? Hoe richt je op de juiste manier beleidsregels in om dit te detecteren en, net zo belangrijk, welke veelgemaakte fouten wil je hierbij absoluut vermijden? We vertellen je er alles over in deze blog. 

Wat is afwijkend gedrag in je Microsoft-omgeving?  

Als bedrijf is het ontzettend belangrijk om je Microsoft-tenant zorgvuldig te monitoren op mogelijke bedreigingen of kwetsbaarheden. Hierbij let je op verschillende indicatoren. Deze ‘rode vlaggen’ worden in Azure AD aangeduid als ‘Risk detections’ en zijn verbonden aan gebruikers- en inlogactiviteiten. Drie voorbeelden van deze indicatoren:  

1. Anonieme IP-adressen:
   Een inlogpoging van een anoniem IP-adres kan wijzen op pogingen tot ongeoorloofde toegang. Anonieme IP-adressen worden namelijk vaak gebruikt om de identiteit of locatie van de gebruiker te verbergen. 
2. Onbekende inloggegevens:
   Wanneer er wordt ingelogd vanaf een locatie of apparaat dat niet eerder is gebruikt voor dit account, dan kan dit duiden op een ongeautoriseerde toegangspoging. 
3. Atypische reisactiviteit:
   Wanneer een gebruiker wil inloggen vanaf locaties die geografisch zo ver uit elkaar liggen dat ze binnen de tijdsperiode niet logisch bereikbaar zouden zijn. Dit kan suggereren dat verschillende personen toegang proberen te krijgen tot het account. 

Als je de juiste policy's hebt ingesteld en er wordt een rode vlag ontdekt, dan wordt een gebruiker of inlogactiviteit geblokkeerd. Daar merk je als IT-beheerder niets van. Dit gebeurt namelijk allemaal automatisch. Wil je hier wél graag alerts voor ontvangen? Dan kun je die instellen via Microsoft Defender. 

Hoe werken die Microsoft 365 policy's precies?  

Microsoft Azure AD ‘leert’ het gebruik van je tenant te herkennen. Door dit gedrag te monitoren, kan Microsoft patronen herkennen die overeenkomen met die van bekende kwaadwillende activiteiten. Die zijn bijvoorbeeld gebaseerd op specifieke apparaten of IP-adressen waarvan bekend is dat ze door cybercriminelen worden gebruikt. Dit stelt Microsoft in staat om potentiële bedreigingen te herkennen en deze aan de achterkant proactief af te vangen. Hierdoor wordt de beveiliging van je IT-omgeving proactief verhoogd. 

Zitten die policy’s al in mijn Microsoft-licentie? 

De Microsoft 365 Azure AD Premium-licenties P1 en P2 bieden uitgebreide mogelijkheden voor het beheren van toegangsrechten en het verkleinen van risico’s, oftewel de rode vlaggen. De P1-licentie focust op conditional access, terwijl de P2-licentie een stap verdergaat met risicogebaseerde beleidsmaatregelen. Bij die laatste komen policy’s om de hoek kijken. Zowel conditional access en het toepassen van beleidsregels zijn essentiële beveiligingsmaatregelen voor je Microsoft-omgeving.   

Hoe pak je dat aan: policy’s inrichten? 

Het toepassen van de juiste policy’s in Microsoft 365 begint bij het opzetten van een goed beleid op organisatorisch niveau. Dit zijn 7 factoren die in ieder geval moeten terugkomen bij het bepalen van je beleid:  

1. Applicaties: Identificeer welke applicaties jullie gebruiken en bepaal hoe de toegang tot deze applicaties moet worden geregeld. Een financiële applicatie vereist bijvoorbeeld strengere toegangsregels dan Outlook. 
2. Gebruikersgroepen: Welke gebruikersgroepen zijn er binnen de organisatie en welke toegangsbehoeften en -beperkingen horen hierbij?  
3. Inlogfrequentie: Bepaal hoe vaak gebruikers opnieuw moeten inloggen in hun accounts. Dit varieert per rol van de gebruiker en het risiconiveau.
4. Multifactorauthenticatie (MFA): Beslis hoe vaak MFA verplicht is. Tegenwoordig is MFA een van de basismaatregelen als het gaat om het voorkomen van ongeautoriseerde toegang.
5. Gastaccounts: Formuleer een beleid voor het omgaan met gastaccounts. Die vormen namelijk een potentiële kwetsbaarheid als ze niet op de juiste manier worden beheerd.
6. Beheerdersaccounts: Deze accounts hebben vaak meer rechten dan normale gebruikersaccounts en vereisen dus een strengere controle. 
7. Locaties: Beslis welke locaties toegestaan zijn voor toegang en welke niet. Een inlogpoging vanaf een locatie buiten je beleidsregels, wordt geblokkeerd.  

Als je dit beleid eenmaal hebt bepaald, kun je aan de slag met de technische implementatie van policy’s. 

Welke fouten komen vaak voor bij het instellen van policy’s in Microsoft 365?  

Bij het instellen van policy’s voor het identificeren van afwijkend gedrag binnen een Microsoft-omgeving zien we vaak de volgende 3 misverstanden: 

1. Uitsluiten van gebruikers, apps of services: Bepaalde gebruikers, apps of services worden uitgesloten of vergeten in bepaalde beveiligingsmaatregelen. Dan wordt bijvoorbeeld de toegang tot een locatie of de microfoon niet dichtgezet. Dit kan leiden tot datalekken. 
2. Vrijheden toestaan voor een managed identity: Het is niet de bedoeling dat een applicatie, die is ingelogd als een managed identity, meerdere taken mag uitvoeren. In een goed beveiligde omgeving mag een app slechts één specifieke taak uitvoeren en niets meer. Anders kan dit leiden tot ongeoorloofde toegang en dataverlies. 
3. Uitzonderingen maken voor MFA: Zonder bepaalde accounts niet uit van MFA. Want dan krijgt een account meer rechten dan is bedoeld. Denk aan de mogelijkheid om in te loggen op andere apps. 

Het vermijden van deze veelvoorkomende fouten draagt aanzienlijk bij aan het effectief identificeren van afwijkend gedrag. En daarbij natuurlijk een krachtigere beveiliging van je Microsoft-omgeving. 

Wat kan Hands on ICT voor mij doen als het gaat om policy’s? 

Het instellen van policy’s is belangrijk om afwijkend gedrag in Microsoft 365 te identificeren. Hiermee verklein je de risico’s op ongeoorloofde toegang en datalekken én waarborg je de veiligheid van je ICT-omgeving. 

Het implementeren van beleidsregels voor je Microsoft 365-omgeving is technisch gezien niet complex. Het grootste deel van het werk zit ‘m namelijk in de voorbereidende fase. Je moet eerst dat heldere en volledige overzicht creëren van hoe je de omgeving wilt inrichten. Onze specialisten helpen je graag bij een grondige beoordeling van het huidige beleid, een inventarisatie van mogelijke verbeterpunten en een duidelijke strategie voor de implementatie van de policy’s. Uiteraard inclusief risicobeoordeling. Dan weet je zeker dat je effectieve beleidsregels hebt voor het identificeren van en ingrijpen bij rode vlaggen.  

Heb je vragen over het toepassen van policy’s in Microsoft 365 voor jouw bedrijf? Neem gerust contact op. Aan de hand van onze blauwdruk ontdek je al snel hoe het ervoor staat met de beveiliging jouw ICT-omgeving.   

Vraag onze Security Health Scan aan

Wil je graag aan de slag met een verbeterd IT Security beleid? Lees dan meer over onze IT security dienst YourSecurity. Wil jij graag een onafhankelijke partij laten meekijken naar je huidige IT Security en direct inzicht in waar je risico loopt en waar de gaten zitten? Vraag dan onze Security Health Scan aan. Tijdens onze actieperiode t/m eind augustus 2023 bieden we deze scan aan voor slechts € 750,- (reguliere prijs € 2.400,-). Je ontvangt vervolgens een uitgebreid rapport met de uitkomsten én aanbevelingen om direct je IT-security level te verbeteren. Dit rapport kun je tevens gebruiken als gesprekstarter wanneer je het gesprek aan gaat over cybersecurity binnen je organisatie. Win-win situatie dus.