SCCT werkt samen met een groot aantal klanten. Bij sommige van onze klanten vliegen we in om te helpen met het blussen van IT-brandjes. Bij anderen houden we de bestaande IT-middelen in stand. Maar bij een steeds groter aantal klanten zorgen we ook voor nieuwe inzichten. Die laatste categorie geeft SCCT-medewerkers het meeste voldoening: zo helpen we organisaties innoveren met behulp van Microsoft-cloudoplossingen. Van alle platformen, diensten en applicaties die Microsoft in de cloud aanbiedt, is Azure AD de dienst waarin de meeste organisaties graag meer inzicht zouden krijgen. Bijvoorbeeld op het gebied van Azure Log Analytics.
Typische vragen
Typische vragen die klanten ons stellen zijn:
“Een andere leverancier vertelt me dat ik moet afstappen van multi-factorauthenticatie op basis van sms-berichten, omdat deze onveilig zouden zijn. Hoeveel mensen gebruiken er nu nog SMS in mijn organisatie?”
“We hebben een paar jaar geleden alle Android-apparaten uitgerold met App Passwords om te voldoen aan multi-factorauthenticatievereisten op deze apparaten. Op welke apparaten gebruiken mijn medewerkers dit nog?”
“We hebben Conditional Access-beleidsregels gedefinieerd, maar hoe effectief zijn deze nu eigenlijk?”
“Microsoft stopt per 1 oktober met de ondersteuning van achterhaalde basic authentication. Waar wordt dit nog gebruikt, zodat we voor die datum de bedrijfsprocessen die hier nog afhankelijk van zijn, kunnen omzetten naar modern authentication?”
“Microsoft stopt per december met de ondersteuning van de Azure Active Directory Authentication Library (ADAL) in applicaties en diensten. Hoeveel van mijn applicaties gebruiken dit?”
Het antwoord van SCCT: Azure Log Analytics
Azure AD ondersteunt het beantwoorden van deze vragen helaas niet met ingebouwde functionaliteit. En het schrijven van een script om deze informatie uit de logboeken te halen is niet alleen een onderneming, maar ook iets dat je in 2023 opnieuw moet doen met Microsoft Graph, de API waarmee je data uit een omgeving kan halen.
Naast het in gebruik nemen van een SIEM-oplossing, zijn er additionele Microsoft cloudtechnologieën die ons erbij kunnen helpen: Azure Log Analytics en Azure AD Workbooks.
Azure Log Analytics slaat gegevens op. Azure AD Workbooks geeft deze gegevens visueel weer, met de mogelijkheid om zoekopdrachten uit te voeren. De visualisaties in Azure AD Workbooks zijn gebaseerd op gegevens in een Azure Log Analytics-workspace. Wanneer je Microsoft Sentinel overweegt als SIEM, weet dan dat deze ook voor de gegevens naar deze workspace verwijst.
Over Azure Log Analytics
Azure Log Analytics biedt mogelijkheden om logboekgegevens op te slaan vanuit meerdere bronnen. Azure AD, maar ook Sentinel, Defender for Cloud en zelfs Windows Server-installaties in je on-premises datacenter kunnen logboeken naar een Azure Log Analytics-workspace sturen.
De voordelen voor jouw organisatie
Er zijn dus steeds meer diensten en applicaties die logboeken naar een Azure Log Analytics-workspace kunnen versturen. Door deze logboeken allemaal naar dezelfde workspace sturen, kun je met zoekopdrachten in de Keyword Query Language (KQL) alle logboeken rondom een bepaalde gebeurtenis raadplegen.
Daarnaast integreert het met Azure Monitor, waardoor het op basis van deze KQL-zoekopdrachten ook automatisch notificaties aan beheerders verstuurt.
Om de meeste cyberaanvallen het hoofd te bieden raadt het NCSC als eerste van de acht basismaatregelen aan om logbestanden met voldoende bewaartermijn te bewaren. Aangezien het gemiddeld 280 dagen duurt om een cyberaanval te detecteren en op te lossen, is een bewaartermijn van 365 dagen een goed handvat. Met Azure Log Analytics kunt u de standaardbewaartermijn van Azure AD-logboeken dus ruim voorbij de standaard 30 dagen rekken.
Over Azure AD Workbooks
Wanneer de Azure AD-logboeken voor aanmeldingen en beheeracties naar Azure Log Analytics worden verstuurd, dan kan je in het Microsoft Entra-beheerportaal gebruik maken van de Azure AD Workbooks-functionaliteit. Onder het kopje Workbooks onder Monitoring & Health in het Azure Active Directory-navigatiemenu stelt Microsoft standaardrapporten beschikbaar om snel te achterhalen wat er in de Azure AD-tenant gebeurt:
De voordelen van Azure AD Workbooks
Het grote voordeel van Azure AD Workbooks is dat je op een directe manier antwoord krijgt op de meeste vragen die we hierboven noemen. Niet alleen kunnen we zo aangeven hoe vaak bijvoorbeeld multi-factorauthenticatie op basis van sms-berichten is uitgevoerd, maar kunnen we dit ook tegen de tijd uitzetten en kunnen we vervolgens een lijst met gebruikersaccounts opleveren.
We kunnen niet alle vragen die onze klanten ons stellen beantwoorden met de ingebouwde workbooks, maar gelukkig is er altijd de mogelijkheid om ze op basis van eigen KQL-zoekopdrachten van een additioneel dashboard te voorzien.
Gebruikt jouw organisatie al Azure Log Analytics?
Je wil je Azure AD-logboeken naar je Azure Log Analytics-workspace sturen om voldoende bewaartermijn te hebben en om gebruik te kunnen maken van de Azure AD Workbooks-functionaliteit.
SCCT kan je helpen bij de inrichting van jouw workspace. Meer weten? Neem contact met ons op via dit formulier.