💼 Management Samenvatting
Meervoudige authenticatie moet verplicht zijn bij risicovolle inlogpogingen die worden gedetecteerd door Entra ID Identity Protection om real-time respons te bieden op indicatoren van gecompromitteerde inloggegevens.
Aanbeveling
IMPLEMENTEER MFA VOOR RISICOVOLLE INLOGPOGINGEN
Risico zonder
Critical
Risk Score
9/10
Implementatie
3u (tech: 1u)
Van toepassing op:
✓ Azure
✓ Entra ID
✓ Entra ID
Entra ID Identity Protection detecteert risicovolle inlogpogingen door middel van geavanceerde machine learning algoritmen die verschillende aanvalspatronen identificeren. Deze omvatten wachtwoordspray-aanvallen waarbij aanvallers systematisch veelvoorkomende wachtwoorden proberen op meerdere accounts, credential stuffing waarbij gestolen gebruikersnaam-wachtwoordcombinaties worden gebruikt, inlogpogingen vanaf anonieme IP-adressen of het TOR-netwerk, onmogelijke reispatronen waarbij een gebruiker binnen korte tijd op twee geografisch ver uit elkaar liggende locaties inlogt, en inlogpogingen vanaf onbekende locaties die afwijken van het normale gebruiksgedrag. Deze patronen zijn sterke indicatoren dat inloggegevens mogelijk zijn gecompromitteerd door phishing, datalekken of andere aanvalsmethoden. Door meervoudige authenticatie af te dwingen bij dergelijke risicovolle inlogpogingen wordt een aanvaller met gestolen wachtwoorden geblokkeerd, omdat deze niet beschikt over de tweede authenticatiefactor zoals een mobiele app, SMS-code of hardware-token. Dit vormt een cruciale verdedigingslaag tegen accountovername en ongeautoriseerde toegang tot gevoelige systemen en gegevens.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Authentication, Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Authentication, Microsoft.Graph.Identity.SignIns
Implementatie
Een Conditional Access-beleid dat specifiek gericht is op risicovolle inlogpogingen configureert u door alle gebruikers te selecteren als doelgroep, de voorwaarde in te stellen dat het inlogrisico gemiddeld of hoog moet zijn, en als toekenningsactie meervoudige authenticatie verplicht te stellen. Dit beleid vereist een Entra ID P2-licentie voor de risicodetectiefunctionaliteit van Identity Protection. Wanneer het systeem een risicovolle inlogpoging detecteert, dwingt het beleid automatisch een MFA-uitdaging af voordat toegang wordt verleend. Deze aanpak blokkeert geautomatiseerde aanvallen effectief en zorgt ervoor dat alleen legitieme gebruikers met toegang tot hun tweede authenticatiefactor kunnen inloggen, zelfs wanneer hun wachtwoord is gecompromitteerd.
Vereisten
Voordat u een Conditional Access-beleid voor risicovolle inlogpogingen kunt implementeren, moet u ervoor zorgen dat aan verschillende technische en licentievereisten wordt voldaan. Deze vereisten zijn essentieel voor de werking van het risicogebaseerde authenticatiesysteem en vormen de basis voor een effectieve beveiligingsimplementatie.
De primaire licentievereiste is een Entra ID P2-licentie voor alle gebruikers die onder het beleid vallen. Entra ID P2 biedt toegang tot Identity Protection, de geavanceerde risicodetectieservice die gebruikmaakt van machine learning en wereldwijde bedreigingsinformatie om risicovolle inlogpogingen te identificeren. Zonder deze licentie is de risicodetectiefunctionaliteit niet beschikbaar en kunnen risicovolle inlogpogingen niet worden geïdentificeerd. Voor Nederlandse overheidsorganisaties is dit een kritieke investering, omdat risicogebaseerde authenticatie een fundamenteel onderdeel vormt van moderne identiteitsbeveiliging en vereist is voor naleving van BIO-normen en NIS2-richtlijnen.
Naast de licentievereiste moeten alle gebruikers meervoudige authenticatiemethoden hebben geregistreerd voordat het beleid wordt geactiveerd. Dit omvat ten minste één secundaire authenticatiefactor zoals de Microsoft Authenticator-app, SMS-verificatie, telefonische verificatie, of hardware-tokens zoals FIDO2-security keys. Het is van cruciaal belang dat gebruikers hun MFA-methoden hebben geconfigureerd en getest voordat het risicogebaseerde beleid wordt ingeschakeld, omdat gebruikers anders mogelijk worden geblokkeerd wanneer een risicovolle inlogpoging wordt gedetecteerd en zij geen toegang hebben tot hun tweede authenticatiefactor. Organisaties moeten een uitgebreide gebruikerscommunicatiecampagne uitvoeren om gebruikers te informeren over het belang van MFA-registratie en hen te begeleiden bij het configureren van hun authenticatiemethoden.
Identity Protection moet expliciet zijn ingeschakeld in de Entra ID-tenant. Hoewel deze functionaliteit standaard beschikbaar is met Entra ID P2, moeten beheerders verifiëren dat de service actief is en correct is geconfigureerd. Dit omvat het controleren van de risicodetectie-instellingen, het configureren van risicodrempels indien nodig, en het verifiëren dat de benodigde telemetriegegevens worden verzameld voor accurate risicobeoordelingen. Beheerders moeten ook controleren of de risicodetectie correct is geïntegreerd met Conditional Access en dat risicoscoringen real-time beschikbaar zijn voor beleidsbeslissingen.
Aanvullende technische vereisten omvatten voldoende netwerkconnectiviteit voor real-time risicobeoordelingen, correct geconfigureerde DNS-instellingen voor Entra ID-services, en adequate logging en monitoring om risicovolle inlogpogingen te kunnen volgen en analyseren. Organisaties moeten ook overwegen om back-up authenticatiemethoden te configureren voor scenario's waarin primaire methoden niet beschikbaar zijn, zoals wanneer een gebruiker zijn mobiele telefoon verliest of geen netwerkverbinding heeft.
Monitoring en verificatie
Gebruik PowerShell-script ca-mfa-risky-signins.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring en verificatie van het Conditional Access-beleid voor risicovolle inlogpogingen is essentieel om te waarborgen dat de beveiligingsmaatregelen correct functioneren en dat organisaties inzicht hebben in de beveiligingsstatus van hun identiteitsomgeving. Monitoring omvat zowel technische verificatie van de beleidsconfiguratie als continue bewaking van risicovolle inlogpogingen en MFA-uitdagingen.
De primaire verificatiestap is het controleren of het Conditional Access-beleid daadwerkelijk bestaat en correct is geconfigureerd met de vereiste MFA-voorwaarde. Beheerders moeten verifiëren dat het beleid actief is, dat alle gebruikers zijn opgenomen in de doelgroep, dat de risicovoorwaarde is ingesteld op gemiddeld en hoog risico, en dat de toekenningsactie meervoudige authenticatie verplicht stelt. Dit kan worden gecontroleerd via de Azure-portal, Microsoft Graph API, of met behulp van geautomatiseerde PowerShell-scripts die de beleidsconfiguratie valideren tegen de gewenste standaard.
Naast configuratieverificatie moeten organisaties regelmatig de Identity Protection-risicologboeken monitoren om inzicht te krijgen in de frequentie en aard van risicovolle inlogpogingen. Deze logboeken bevatten gedetailleerde informatie over elke gedetecteerde risicovolle inlogpoging, inclusief het risiconiveau, de gedetecteerde risicotypen, de betrokken gebruiker, en of de MFA-uitdaging succesvol is voltooid. Door deze gegevens te analyseren kunnen beveiligingsteams trends identificeren, nieuwe aanvalspatronen herkennen, en de effectiviteit van het beleid evalueren.
Organisaties moeten ook Conditional Access-sign-inlogboeken monitoren om te zien hoe vaak het beleid wordt geactiveerd en of gebruikers succesvol kunnen authenticeren na een MFA-uitdaging. Deze logboeken bieden inzicht in gebruikerservaringen, helpen bij het identificeren van potentiële problemen met MFA-registratie of -configuratie, en maken het mogelijk om de impact van het beleid op productiviteit en beveiliging te beoordelen. Regelmatige review van deze logboeken stelt organisaties in staat om proactief te reageren op beveiligingsincidenten en om beleidsaanpassingen te maken indien nodig.
Voor Nederlandse overheidsorganisaties is het belangrijk om monitoring te integreren met bestaande security information and event management (SIEM) systemen en om auditlogboeken te behouden voor compliance-doeleinden. Dit omvat het exporteren van relevante loggegevens naar gecentraliseerde logging-oplossingen, het configureren van waarschuwingen voor kritieke beveiligingsgebeurtenissen, en het opstellen van rapportages voor management en auditors. Regelmatige security reviews en compliance-audits moeten worden uitgevoerd om te verifiëren dat het beleid voldoet aan BIO-normen, ISO 27001-vereisten en NIS2-richtlijnen.
Implementatie
Gebruik PowerShell-script ca-mfa-risky-signins.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van een Conditional Access-beleid voor risicovolle inlogpogingen vereist een gestructureerde aanpak waarbij technische configuratie wordt gecombineerd met zorgvuldige planning en gebruikerscommunicatie. De implementatie begint met het creëren van een nieuw Conditional Access-beleid met de naam 'Require MFA voor Risky Sign-ins' of een vergelijkbare beschrijvende naam die duidelijk maakt wat het doel van het beleid is.
Bij het configureren van de gebruikersdoelgroep moet u ervoor zorgen dat alle gebruikers zijn opgenomen, tenzij er specifieke uitzonderingen nodig zijn voor serviceaccounts of break-glass accounts. Het is belangrijk om te overwegen of er bepaalde gebruikersgroepen moeten worden uitgesloten van het beleid, zoals beheerdersaccounts die mogelijk al onder een strenger beleid vallen, of testaccounts die worden gebruikt voor ontwikkelingsdoeleinden. Echter, voor de meeste productieomgevingen is het aanbevolen om alle gebruikers op te nemen om maximale beveiligingsdekking te garanderen.
De kern van het beleid ligt in de configuratie van de risicovoorwaarden. U moet de voorwaarde 'Sign-in risk' selecteren en zowel 'Medium' als 'High' risico aanvinken. Het is niet aanbevolen om 'Low' risico op te nemen, omdat dit zou leiden tot te veel MFA-uitdagingen voor legitieme gebruikers en mogelijk gebruikersfrustratie zou veroorzaken. De risicodetectie van Identity Protection is geoptimaliseerd om alleen significante risico's te identificeren, en door uitsluitend medium en high risico te selecteren, zorgt u voor een goede balans tussen beveiliging en gebruikerservaring.
Bij het configureren van de toekenningsactie moet u 'Require multifactor authentication' selecteren. Dit zorgt ervoor dat wanneer een risicovolle inlogpoging wordt gedetecteerd, de gebruiker verplicht wordt om een tweede authenticatiefactor te verifiëren voordat toegang wordt verleend. U kunt ook overwegen om aanvullende controles toe te voegen, zoals het vereisen van een compliant apparaat of het blokkeren van toegang voor bepaalde locaties, afhankelijk van de specifieke beveiligingsvereisten van uw organisatie.
Voordat u het beleid activeert, is het cruciaal om een testfase uit te voeren waarbij het beleid eerst wordt ingesteld op 'Report-only' modus. In deze modus worden risicovolle inlogpogingen gedetecteerd en gelogd, maar worden gebruikers nog niet geblokkeerd of uitgedaagd voor MFA. Dit stelt u in staat om te evalueren hoeveel gebruikers zouden worden beïnvloed door het beleid en om te verifiëren dat de risicodetectie correct werkt voordat u de volledige implementatie activeert. Na een testperiode van enkele weken kunt u het beleid activeren door de modus te wijzigen naar 'On'.
Tijdens de implementatie moet u ook zorgen voor adequate gebruikerscommunicatie en -training. Gebruikers moeten worden geïnformeerd over waarom MFA wordt gevraagd bij risicovolle inlogpogingen, hoe zij hun MFA-methoden kunnen configureren en beheren, en wat zij moeten doen als zij problemen ondervinden. Dit helpt om gebruikersacceptatie te vergroten en vermindert het aantal support-tickets na de implementatie. Organisaties moeten ook een duidelijk escalatieproces hebben voor gebruikers die legitieme toegang nodig hebben maar problemen ondervinden met MFA-verificatie.
Compliance en Auditing
Het implementeren van meervoudige authenticatie voor risicovolle inlogpogingen is een kritieke beveiligingsmaatregel die direct bijdraagt aan naleving van verschillende Nederlandse en internationale compliance-standaarden. Voor Nederlandse overheidsorganisaties is dit beleid essentieel voor het voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) normen, ISO 27001-vereisten, en de NIS2-richtlijn die is geïmplementeerd in de Nederlandse wetgeving.
De BIO-norm 09.04 vereist dat organisaties risicogebaseerde authenticatie implementeren om toegang te beveiligen op basis van de geïdentificeerde risico's. Het Conditional Access-beleid voor risicovolle inlogpogingen voldoet direct aan deze norm door automatisch meervoudige authenticatie af te dwingen wanneer Identity Protection een risicovolle inlogpoging detecteert. Dit beleid maakt deel uit van een gelaagde beveiligingsaanpak waarbij verschillende risicofactoren worden geëvalueerd, zoals de locatie van de inlogpoging, het gebruikte apparaat, en gedragspatronen die afwijken van het normale gebruik. Door deze risicogebaseerde aanpak kunnen organisaties aantonen dat zij proactief reageren op potentiële beveiligingsbedreigingen en dat zij passende maatregelen hebben genomen om ongeautoriseerde toegang te voorkomen.
ISO 27001 controle A.9.4.2 vereist dat organisaties veilige authenticatieprocedures implementeren die geschikt zijn voor het beveiligingsniveau van de informatie en systemen. Het afdwingen van meervoudige authenticatie bij risicovolle inlogpogingen is een concrete implementatie van deze controle, omdat het zorgt voor extra verificatie wanneer er indicatoren zijn dat inloggegevens mogelijk zijn gecompromitteerd. Deze aanpak gaat verder dan standaard MFA-implementaties door contextuele risicobeoordeling toe te voegen, waardoor de beveiliging wordt versterkt zonder de gebruikerservaring onnodig te belemmeren voor legitieme gebruikers. Organisaties moeten documenteren hoe dit beleid bijdraagt aan de algehele informatiebeveiligingsmanagementsysteem (ISMS) en moeten regelmatig de effectiviteit ervan evalueren als onderdeel van continue verbetering.
De NIS2-richtlijn, zoals geïmplementeerd in Nederlandse wetgeving, vereist in Artikel 21 dat organisaties passende maatregelen nemen voor risicogebaseerde toegangscontrole en authenticatie. Dit Conditional Access-beleid voldoet aan deze vereiste door gebruik te maken van geavanceerde risicodetectie om automatisch extra authenticatie-eisen te stellen wanneer er indicatoren zijn van mogelijke beveiligingsbedreigingen. De NIS2-richtlijn benadrukt het belang van proactieve beveiligingsmaatregelen die zich aanpassen aan de evoluerende bedreigingslandschap, en risicogebaseerde MFA is een perfect voorbeeld van een dergelijke adaptieve beveiligingsmaatregel. Organisaties moeten kunnen aantonen dat zij dergelijke maatregelen hebben geïmplementeerd en dat zij regelmatig de effectiviteit ervan monitoren en evalueren.
Voor auditdoeleinden moeten organisaties uitgebreide documentatie bijhouden over de configuratie van het Conditional Access-beleid, inclusief de geselecteerde risicodrempels, de gebruikersdoelgroepen, en eventuele uitzonderingen. Daarnaast moeten auditlogboeken worden bewaard die aantonen wanneer het beleid is geactiveerd, welke gebruikers zijn uitgedaagd voor MFA, en of de MFA-verificatie succesvol was. Deze logboeken moeten worden bewaard voor de vereiste bewaartermijn, typisch zeven jaar voor Nederlandse overheidsorganisaties, en moeten toegankelijk zijn voor interne en externe auditors. Organisaties moeten ook regelmatig compliance-rapportages opstellen die de status van het beleid documenteren en die aantonen dat het beleid effectief functioneert om beveiligingsrisico's te mitigeren.
Remediatie
Gebruik PowerShell-script ca-mfa-risky-signins.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring aangeeft dat het Conditional Access-beleid voor risicovolle inlogpogingen niet correct is geconfigureerd of niet actief is, moet onmiddellijk remediatie worden uitgevoerd om de beveiligingspostuur van de organisatie te herstellen. Remediatie omvat zowel het technisch herstellen van de beleidsconfiguratie als het adresseren van eventuele onderliggende problemen die hebben geleid tot de niet-conforme status.
De eerste stap in het remediatieproces is het identificeren van de exacte oorzaak van het probleem. Dit kan variëren van een ontbrekend Conditional Access-beleid, een beleid dat niet actief is, incorrect geconfigureerde risicovoorwaarden, of een beleid dat niet correct is toegepast op alle gebruikers. Beheerders moeten de huidige configuratie analyseren en vergelijken met de gewenste standaard om te bepalen welke specifieke correcties nodig zijn. Dit kan worden gedaan via de Azure-portal, Microsoft Graph API, of met behulp van geautomatiseerde PowerShell-scripts die de configuratie valideren en rapporteren.
Als het beleid volledig ontbreekt, moet een nieuw Conditional Access-beleid worden gecreëerd met de juiste configuratie. Dit omvat het instellen van een beschrijvende naam, het selecteren van alle gebruikers als doelgroep, het configureren van de risicovoorwaarde voor medium en high risico, en het instellen van meervoudige authenticatie als toekenningsactie. Het is belangrijk om het beleid eerst in 'Report-only' modus te plaatsen om te verifiëren dat de configuratie correct is voordat het volledig wordt geactiveerd.
Als het beleid bestaat maar niet actief is, moet de status worden gewijzigd van 'Off' of 'Report-only' naar 'On'. Echter, voordat dit wordt gedaan, moeten beheerders verifiëren dat alle gebruikers MFA-methoden hebben geregistreerd en dat Identity Protection correct functioneert. Het activeren van het beleid zonder deze verificaties kan leiden tot onverwachte gebruikersblokkades en operationele problemen.
Wanneer de risicovoorwaarden incorrect zijn geconfigureerd, moeten deze worden bijgewerkt om zowel medium als high risico te omvatten. Als alleen low risico is geselecteerd, moet dit worden verwijderd en moeten medium en high risico worden toegevoegd. Als de risicovoorwaarden volledig ontbreken, moeten deze worden toegevoegd aan het beleid. Het is belangrijk om te verifiëren dat de risicodetectie correct werkt voordat het beleid wordt geactiveerd.
Na technische remediatie moeten organisaties ook procesmatige verbeteringen doorvoeren om te voorkomen dat het probleem opnieuw optreedt. Dit omvat het opstellen van duidelijke configuratie- en wijzigingsbeheerprocessen, het implementeren van regelmatige compliance-controles, en het trainen van beheerders in de juiste configuratie van Conditional Access-beleid. Organisaties moeten ook overwegen om geautomatiseerde monitoring en alerting te implementeren die onmiddellijk waarschuwt wanneer het beleid niet-conform raakt, zodat snelle remediatie mogelijk is voordat er beveiligingsincidenten optreden.
Compliance & Frameworks
- BIO: 09.04 - Risicogebaseerde authenticatie
- ISO 27001:2022: A.9.4.2 - Veilige authenticatieprocedures
- NIS2: Artikel - Risicogebaseerde toegangscontrole en authenticatie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
CA MFA Risky Sign-ins
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.13
Controleert MFA policy voor risky sign-ins.
.NOTES
Filename: ca-mfa-risky-signins.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.13
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "CA MFA Risky Sign-ins"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - Sign-in risk policy configured" -ForegroundColor Gray
Write-Host " - Conditions: Sign-in risk = Medium and above" -ForegroundColor Gray
Write-Host " - Grant: Require MFA" -ForegroundColor Gray
Write-Host " - Identity Protection vereist Azure AD P2" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: MFA for risky sign-ins" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - Sign-in risk policy configured" -ForegroundColor Gray
Write-Host " - Conditions: Sign-in risk = Medium and above" -ForegroundColor Gray
Write-Host " - Grant: Require MFA" -ForegroundColor Gray
Write-Host " - Identity Protection vereist Azure AD P2" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: MFA for risky sign-ins" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Gecompromitteerde inloggegevens via risicovolle inlogpogingen zoals onbekende locaties, TOR-netwerkgebruik, of onmogelijke reispatronen blijven ongemitigeerd wanneer dit beleid niet is geïmplementeerd. Een aanvaller met gestolen wachtwoorden krijgt toegang zonder extra MFA-uitdaging, wat leidt tot ongeautoriseerde toegang tot gevoelige systemen en gegevens. Dit vormt een kritiek beveiligingsrisico dat niet voldoet aan compliance-vereisten van CIS, BIO en NIS2. Het risico is hoog en kan leiden tot datalekken, accountovername en potentiële schending van privacywetgeving.
Management Samenvatting
Verplicht meervoudige authenticatie bij risicovolle inlogpogingen met gemiddeld of hoog risico. Vereist Entra ID P2-licentie voor risicodetectie. Voldoet aan BIO-norm 09.04, ISO 27001 A.9.4.2 en NIS2 Artikel 21. Implementatietijd: 1-3 uur.
- Implementatietijd: 3 uur
- FTE required: 0.02 FTE