Microsoft heeft binnen de Defender suite een aantal oplossingen die samen voor een optimale XDR security zorgen. In dit tweede artikel in de reeks over XDR gaan we in op deze producten. Zo ben je op de best mogelijke manier beschermd tegen dreigingen.
In deze reeks artikelen gaan we in op XDR en de mogelijkheden hiervan voor jouw organisatie. In het vorige artikel bespraken we XDR, in dit artikel gaan we in op XDR technologies en tot slot bespreken we waarom XDR en SIEM samen de meest complete security oplossing biedt.
XDR en de voordelen daarvan
In het eerste artikel in deze reeks zijn we ingegaan op XDR, wat het is en wat de voordelen zijn van deze holistische vorm van security. XDR is een techniek waarin slimme security producten samenkomen, waarmee incidenten gecorreleerd en geanalyseerd kunnen worden. Dit leidt tot het vroegtijdig herkennen en tegenhouden van aanvalspatronen. In het eerste artikel gingen we in op de verschillende assets die met XDR beschermd kunnen worden, namelijk identiteit, infrastructuur, de apparaten, data en applicaties.
Voor vele assets een Defender product
Microsoft heeft voor al de hiervoor genoemde assets een Defender product. Deze producten werken onderling samen om de nodige signalen op te vangen, deze met elkaar te correleren, daar analyses met behulp van AI en machine learning op te doen en de benodigde acties te ondernemen.
Binnen de Defender suite onderscheiden we de volgende Microsoft producten:
- Microsoft Azure ID Identity Protection
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Cloud
Voor de leesbaarheid refereren hierna meestal alleen naar de productnamen en laten we de merknaam Microsoft achterwege.
Verschillende Defender producten werken samen
Deze complete Defender suite werkt samen om intelligent bedreigingen te detecteren en daarop te reageren. Defender for Cloud Apps gebruikt bijvoorbeeld data van Defender for Endpoint op de werkplek en geeft zo inzicht in niet toegestane bedrijfsapplicaties (het zogenaamde shadow IT, wat we verderop in dit artikel verder toelichten).
Twee productgroepen binnen de Defender suite – voor eindgebruikers en infrastructuur
Microsoft onderscheidt twee productgroepen binnen de Defender producten: Microsoft 365 Defender en Microsoft Defender for Cloud.
Microsoft 365 Defender richt zich op de identity, endpoint, data en applicaties. Deze vormen samen de Moderne Werkplek.
Defender for Cloud richt zich op multi-cloud beveiliging. Uiteindelijk zijn Microsoft 365 Defender en Defender for Cloud samen erop gericht alle 5 assets van het IT-landschap te beschermen. Elke Defender richt zich op een specifieke asset. Een ketting is zo sterk als de zwakste schakel, je moet dus zorgen dat elke asset optimaal beveiligd is.
Cybercriminelen gebruiken elke mogelijk ingang om binnen te komen
In dit tijdperk van assume breach – je moet aannemen dat je gehackt gaat worden – heb je op alle gebieden een veilige inrichting (secure-by-design) nodig, om zo goed mogelijk beveiligd te zijn tegen potentiële dreigingen. Cybercriminelen zullen namelijk alle mogelijke ingangen benutten om binnen te komen, zoals we ook kunnen zien in de Cyber Kill Chain. Het is dus belangrijk al die mogelijke ingangen te beschermen. Dat doet Defender met alle verschillende producten, die met elkaar samenwerken.
Microsoft 365 Defender
De Microsoft 365 Defender oplossingen hebben te maken met de gebruiker en zijn werkplek. Hieronder gaan we in op de verschillende 365 Defender security oplossingen.
Microsoft 365 Defender richt zich op het beveiligen van de Moderne Werkplek – de altijd veiligen en up-to-date werkplek waar medewerkers optimaal kunnen samenwerken – en daarbij horende assets. Dit is waar een gebruiker inlogt met zijn accountgegevens (identity) en gebruik maakt van applicaties (apps). Vaak doet een gebruiker dit om data te benaderen of te gebruiken (data) vanaf een apparaat (endpoint).
Hoe de verschillende Defender producten deze assets beveiligen leggen we hieronder uit.
Azure AD Identity Protection
Azure AD Identity protection draagt niet Defender in de naam, maar is wel onderdeel van M365 Defender. Azure AD Identity Protection beschermt de accounts en identities in Azure AD op basis van miljoenen identity signalen die Microsoft dagelijks ontvangt. Hierbij geeft het de gebruikers een zogenaamde risicoscore, variërend van laag en gemiddeld tot hoog.
Stel, er vindt een verdachte aanmelding op een account plaats. Zoals:
- User aanmelding vanaf een onbekend IP adres
- User login vanaf een IP welke is gelinkt aan malware
- Onmogelijke afstand/verplaatsing
- Gelekt wachtwoord
Dan treedt er een sign-in policy in werking. Deze dwingt een extra MFA authenticatie via conditional succes af. Een tweede type policy dat geconfigureerd kan worden is een user-risk policy, dat iets zegt over de kans dat een account gecompromitteerd is. Dit risiconiveau wordt bepaald via Threat Intelligence en kan automatisch een wachtwoord wijziging afdwingen.
Kracht van integratie
Azure AD Identity Protection beschermt de identities in Azure AD op vergelijkbare wijze zoals Defender for Identity dat doet voor de accounts in Active Directory. Beide producten integreren met Defender for Cloud Apps. Dit biedt inzicht in het identity-gedrag van een gebruiker, zowel on-premises als in de cloud. Doordat beide producten ook integreren met Defender voor Cloud Apps, kan vanuit deze direct ingegrepen worden bij verdachte identity situaties, in combinatie met de eigen monitoring van data en applicaties en Office 365.
Defender for Identity
Defender for Identity richt zich op accounts (identities) van gebruikers binnen het bedrijfsnetwerk. Waar Azure AD Identity Protection zich richt op bescherming van de identiteiten in de cloud (Azure AD), richt Microsoft Defender for Identity zich op het beveiligen van lokale identiteiten (AD).
Er wordt gekeken naar de Active Directory en wat er met het gebruikersaccount gebeurt. Waar logt de gebruiker in, wat doet zij of hij? Met als doel verdachte situaties te identificeren.
Een hacker wil bijvoorbeeld de identity van een gebruiker stelen. Hij probeert binnen te komen met een phishing mail. Een identity blijft vaak gecached, een hacker kan dat uitlezen en dat hergebruiken. Zodra hij een identity gestolen heeft, kan hij proberen te bewegen in het bedrijfsnetwerk, op zoek naar data en informatie. Hij kan zich verplaatsen van apparaat naar apparaat (lateral movement), tot hij zich toegang verschaft tot de domain controller. Dat noemen we ‘the keys to the kingdom’, dan heb je volledige zeggenschap over de organisatie. Dan kun je alle data vinden en exfiltreren.
Het beschermen van deze identities is dus cruciaal. Defender for Identity richt zich daar heel specifiek op. Het systeem waarschuwt je voor verdachte activiteiten, gecompromitteerde gebruikers en laterale verplaatsingen. Uiteraard worden deze incidenten gecorreleerd met andere incidenten die door de Microsoft 365 Defender toepassingen zijn opgemerkt. De systemen werken samen aan optimale security.
Defender for Office 365
Een phishingmail is nog steeds een veel voorkomende manier om credentials van gebruikers te ontfutselen. Defender for Office 365 is erop gericht om je tegen dergelijke praktijken te beschermen.
Deze oplossing kijkt naar berichten en onveilige bijlagen en detecteert opvallend en afwijkend gedrag daarbinnen.. Zo voorkom je ook aanvallen van ransomware en malware dankzij dagelijkse analyses van e-mails, machine learning en algoritmes. Deze oplossing detecteert ook schadelijke en verdachte inhoud, zoals koppelingen en bestanden. Dit wordt gedaan binnen de Office 365 (Exchange, Teams, SharePoint, OneDrive) omgeving. Bovendien kan Defender for Office 365 gebruikers trainen in het herkennen en bewuster maken van aanvallen door middel van simulaties.
Defender for Cloud Apps
Defender for Cloud Apps is erg groot en bevat verschillende innovatieve functionaliteiten. Het is een ‘cloud access security broker’ die helpt identiteiten, applicaties en data te beveiligen. Het is een schakel tussen de applicaties en de gebruikers. Het bewaakt het gedrag van gebruikers en dwingt security policies af voor de vele SaaS clouddiensten die een organisatie gebruikt.
Defender for Cloud Apps maakt inzichtelijk welke applicaties gebruikt worden en brengt onveilige applicaties en afwijkend gedrag direct aan het licht.
Het richt zich in de kern op drie zaken: applicatiebewaking, identiteit en gedrag en informatiebeveiliging. Zo controleert het apps die in een omgeving draaien en staat het het gebruik van vreemde apps niet toe. Ook controleert Defender for Cloud Apps identiteiten op afwijkend gedrag: wordt er iets verdachts gesignaleerd, dan wordt dat aangemerkt als een incident. Daarnaast richt het zich op informatiebeveiliging, hiermee voorkomt het dat gevoelige bestanden op een verkeerde manier worden gedeeld.
Hierdoor wordt bijvoorbeeld ook shadow IT inzichtelijk gemaakt. Shadow IT is het gebruik van systemen die buiten het eigendom of de controle van IT-organisaties vallen. Shadow IT brengt vaak beveiligingsproblemen met zich mee.
Stel, een medewerker of hacker brengt data vanuit de Microsoft omgeving naar Google Docs of Dropbox. Dat is een potentieel bedrijfsrisico, want je wil niet dat bedrijfsdata buiten je IT-infrastructuur terecht komt, zeker niet als je ervoor gekozen hebt je security monitoring in te richten op alleen het Microsoft platform. Defender for Cloud Apps maakt dat inzichtelijk, maar kan het ook direct tegenhouden.
Defender for Cloud Apps houdt dus het applicatielandschap, en het verkeer daartussen, in de gaten en reageert daar actief op zodra dat nodig is.
Defender for Endpoint
Dit is de beveiligingsoplossing voor alle soorten apparaten (zoals tablets, laptops, workstations en telefoons), ook wel endpoints genoemd. Of het nu draait op Windows, Linux, Mac, Android of IOS, dat maakt niet uit.
Defender for Endpoint richt zich met name op Next-Generation Protection, Attack Surface Protection en Threat and Vulnerability Management. Met Threat and Vulnerability Management (TVM) wordt er continu een inventarisatie van alle aanwezige software gemaakt en worden zwakke punten onderzocht.
Defender for Endpoint is een Next Generation antivirus oplossing en een EDR (Endpoint Detection and Response) oplossing in één. De EDR functionaliteit maakt het mogelijk om eerder niet-bekende (zero-days) bedreigingen te detecteren door middel van het herkennen van bepaalde gedragingen. Malware die gisteren is geschreven zal door een traditionele oplossing niet gedetecteerd worden, maar een EDR oplossing wel. Deze zal namelijk door het gedrag van de malware (zoals het aanpassen van RegistryKeys) deze detecteren en hierop actie ondernemen door het proces te stoppen.
Defender for Endpoint is ook gericht op het verkleinen van de attack surface. Dat doet het door middel van Attack Surface Protection met behulp van Attack Surface Rules (ASR’s). ASR’s zijn gericht op bepaalde software gedragingen, zoals:
- het starten van uitvoerbare bestanden en scripts die proberen bestanden te downloaden of uit te voeren
- het uitvoeren van verborgen of anderszins verdachte scripts
- gedrag dat apps normaal gesproken niet initiëren tijdens normale dagelijkse werkzaamheden.
Dus het kijkt preventief naar wat het apparaat doet, welke software erop draait en wat die software doet. Ongewenste zaken kunnen door Defender for Endpoint geblokkeerd worden.
Je kunt Defender for Endpoint zien als een next-gen antivirus scanner. Het bouwt daar op door, maar met de kracht van de cloud erbij. Defender for Endpoint is namelijk verbonden aan een cloud service. Hier worden AI en machine learning analyses gedaan van verdachte activiteiten op het apparaat. Deze cloud service is in staat om vele signalen bij elkaar te brengen en te correleren, waardoor sneller op verdachte acties kan worden gereageerd, soms nog voordat dit op het apparaat te zien is.Het kan dus sneller reageren op potentieel kwaadaardige zaken, zoals het detecteren van malware.
Defender for Endpoint heeft ook een post-breach functie. Nadat er iets fout is gegaan kan het een device bijvoorbeeld compleet isoleren, zodat het niet meer bij de bedrijfsdata kan.
Microsoft Defender for Cloud
Defender for Cloud is de oplossing van Microsoft die zich richt op de infrastructuur, zoals het (virtuele) netwerk, verbindingen en resources als servers, database en storage accounts. Dit bevindt zich in bijvoorbeeld Azure of in andere cloud omgevingen of on-premises, zoals Amazon Cloud of Google Cloud.
Defender for Cloud richt zich op twee zaken: Cloud Security Posture Management en Cloud Workload Protection.
Cloud Security Posture Management (CSPM) beoordeelt continu de omgeving. Hiermee geeft het inzicht in de totale infrastructuur. Dit doet het aan de hand van een Security Benchmark, zoals de Microsoft Cloud Security Benchmark. Cloud Security Posture Management rapporteert over de voortgang hiervan en doet aanbevelingen om verbeteringen door te voeren. Bovendien toont het aan hoe de omgeving zich verhoudt tot industriële standaarden, zoals ISO 27001, NIST en CIS, indien organisaties zich hieraan moeten houden.
Cloud Workload Protection bestaat uit meerdere Defender Plans, ieder gericht op de bescherming van het resource type, met eigen aanbevelingen en security alerts. Dit kunnen servers, database en storage accounts zijn. Maar, bijvoorbeeld ook platformbrede resources als DNS en KeyVaults.
Defender for Cloud helpt ook bij het vormgeven van het interne proces – het geeft aanbevelingen op een afgesproken moment die de eigenaar van deze infrastructuur-component kan verhelpen. Dat noemen we Security Governance. Dit alles om de Secure Score voor infrastructuur te verhogen.
Nieuw binnen de CSPM is de Cloud Security Graph, die een soort security-kaart ontwikkelt van de complete infrastructuur. Zo wordt beter inzichtelijk waar zich potentiële problemen kunnen voordoen en waar dus het eerst ingegrepen moet worden. Deze informatie wordt gebruikt voor het tonen van zogenaamde Attack Paths, mogelijke aanvalswegen waarlangs een aanvaller potentieel kan binnendringen. Ook dit biedt inzicht waar als eerste actie moet worden ondernomen.
Defender for Cloud heeft ook integraties met Defender for Endpoint en Defender for Cloud Apps.
Bijsturen met Secure Score en recommendations
Alle Defender producten leveren een Microsoft Secure Score op. Dat is een rapportcijfer dat de beveiligingsstatus van je organisatie weergeeft.
Bij deze rapportcijfers komen ook aanbevelingen. Het volgen van de Secure Score-aanbevelingen levert een betere beveiliging op. Vanuit een dashboard in de Microsoft Defender 365 portal kun je de security monitoren en verbeteren.
Zo helpt het systeem jou als organisatie om zaken te verbeteren. Het vertelt je waar je je security niveau kunt verhogen door bepaalde adviezen toe te passen. Dat levert een continu verbeterproces op waar je je als organisatie op kunt richten voor optimale beveiliging. Je Secure Score wordt hoger door de aanbevolen beveiligingsacties uit te voeren. Het systeem geeft ook aan welke risico’s je loopt als je de suggesties niet uitvoert.
De Secure Score wordt realtime bijgewerkt en dagelijks gesynchroniseerd. Je kunt in het dashboard ook je score vergelijken met soortgelijke organisaties of bijvoorbeeld een actieplan opstellen.
Optimale security dankzij de kracht van het geheel
De Defender producten vormen samen een sterk geheel. De producten sluiten naadloos op elkaar aan en wisselen onderling informatie uit, zodat de binnen XDR mogelijke correlaties gelegd kunnen worden.
Met Microsoft Defender beveilig je dus je volledige cloud omgeving, bestaande uit de assets identiteiten, endpoints, data, applicaties en infrastructuur. Wat het een complete XDR oplossing maakt.
Meer weten over Microsoft Defender?
InSpark is Microsoft Partner en in 2019 verkozen tot Global Security & Compliance partner of the year en in 2018 tot Country Partner of the year. We gebruiken de Microsoft Defender producten om onze klanten te helpen een optimale beveiliging in te richten. De kracht van deze producten is dat je de producten met elkaar kunt integreren voor een veiligheidsoplossing van hoog niveau.
Wil je meer weten over Defender en hoe deze producten voor jouw organisatie kunnen worden toegepast? Neem dan contact met ons op.