Tutorial: Microsoft 365 security check voor beginners!

Waarom is een Microsoft 365 security check zo belangrijk?

• Office 365 is een belangrijk platform geworden sinds bedrijven hiervan gebruik maken om cruciale informatie te delen en te bewaren.
• We denken dat Office 365 een fractie van de werkplaats bevat maar Office 365 is de fundamentele bouwsteen voor een toekomstige organisatie en vaak voor de huidige organisatie.
• Dankzij Office 365 (breder Microsoft 365) zijn er enorm veel inzichten in ook je huidige on-premise omgeving.
• E-mails: +90% van de cybersecurity breaches starten via phishing.
• Identiteitsfraude. Wist je dat je 'technische' identiteit altijd van je on-premise infrastructuur komt en gesynchroniseerd is met Office 365.
• Dit betekend concreet dat je een totaal inzicht hebt in je identiteitsbeheer. een enorm meetpunt dat je kan gebruiken om ook je huidige infrastructuur inzichtelijk te maken.
• de Microsoft 365 Security stacks is de hulp met cyberveiligheid!

Wat schrijf je best in een security assessment rapport?

Schrijf een rapport met alle gevoeligheden die je gezien hebt dankzij de activatie van onderstaande stappen. Deze topics zijn eenvoudig mee te nemen. Schrijf de belangrijkste concrete aanbevelingen uit. Bouw een prioriteitenlijst van belangrijk naar minst belangrijk.

• Identity protection: leaked credentials. Welke accounts zijn kwetsbaar? Lijst deze op in één summary.
• Asset management: Welke toestellen zitten in beheer, welke niet. Excel + grafie.
• Mobile device management. Welke type mobiele toestellen zijn er. Hoe zijn deze in beheer + het verschil tussen wat we denken en wat we meten.
• Accounts met privileges. Hoeveel accounts met privileges, welke privileges, etc..
• Is er actieve monitor.Is er een effort gedaan om monitoring in te richten?
• Data protection. Wat is de huidige stand van data-security.
• Is er een security awereness programma. Hoe zet je dit op in enkele stappen.
• Is er patch management van je je Windows maar ook je Mac systemen. Van je netwerk devices, routers, switches tot printers.
• Is er een basis security governance ingericht?
• Over welke Microsoft 365 licenties beschikt de organisatie.
• Open security.microsoft.com of securescore.microsoft.com en lijst de meest belangrijke implementaties op.
• Onderaan kan je voorbeeld rapporten vinden.

Start met een trial licentie van Microsoft 365 E5

• Activeer een gratis trial licentie via je admin portaal.
• Activeer deze licentie op je account.

1. Installeer een ATP sensor op je domein controller(s)

Azure Advanced Threat Protection (ATP) is een cloudgebaseerde beveiligingsoplossing die uw lokale Active Directory-alerts gebruikt om geavanceerde bedreigingen, gecompromitteerde identiteiten en kwaadaardige insideracties gericht op uw organisatie te identificeren, detecteren en onderzoeken.

Met Azure ATP kunnen SecOp-analisten en beveiligingsprofessionals geavanceerde aanvallen in hybride omgevingen detecteren!

• Microsoft heeft alvast uitgelegd hoe je dit kan doen in dit artikel.
• Surf naar https://portal.atp.azure.com
• Vul je credentials in en druk onderaan op add-credentials.
• Download de sensor en installeer deze op je domeincontroller(s).

• Vanaf nu worden logs over AD accounts gedeeld met de Microsoft Security Stack.

Met ATP kan je vanaf nu:

• Wachtwoorden in clear-text vinden in je omgeving.
• Lateral movement in een overzichtelijke rapport krijgen.
• Veranderingen zien in gevoelige AD groepen.
• Een overzicht inkijken van de gezondheidsstatus van je organisatie.

Zet deze bevinden in je rapport!

2. Cloud App Security

• Surf naar: https://portal.cloudappsecurity.com/
• Maak via de wizard de CloudAppSecurity tenant aan. (Kies de regio waarin je je tenant wenst aan te maken; West Europe)
• Verbind Azure ATP met Cloud App Security via https://tenantname.portal.cloudappsecurity.com/#/settings?section=azureAtp (pas je tenantnaam aan)
• Vanaf nu zit je ATP data in Microsoft Cloud App Security vervat.

Met Cloud App Security heb je nu:

• Inzichten in data lekken. (data exfiltration)
• Inzichten in gelekte accounts, accounts die gebruikt worden buiten je geolocatie waarin je vaak werkt. (identity breaches, identity theft,..)
• Suggesties & tips om je omgeving veiliger te maken.
• Documenten inzichten & data export statussen. (Data exfiltration)

Zet je bevinden uit https://portal.cloudappsecurity.com in je rapport!

3. Azure AD risky sign-ins

• Surf naar https://portal.azure.com
• Navigeer naar naar Azure AD Risky Sign-Ins.

Met Azure AD Risky sign-ins heb je inzichten in:

• De risico's op dit moment. Gebruikers die 500km van huis inloggen terwijl ze gisterenavond nog op kantoor waren. RISK!
• Concrete sugesties & aanbevelingen.

4. Microsoft Compliance

• Omdat dit meer invloed heeft op dataveiligheid nemen we de gedetailleerde setup op in een volgende blog.
• Via het compliance center kan je eenvoudig labels maken van gevoelige data, persoonsgegevens en deze weergeven in je compliance dashboard. Easy! -> https://support.office.com/en-us/article/create-and-manage-sensitivity-labels-2fb96b54-7dd2-4f0c-ac8d-170790d4b8b9
• Het compliance center kan je alvast raadplegen via: https://compliance.microsoft.com/homepage

5. Microsoft's Security Center

• Een belangrijke requirement is dat je WDATP/MDATP hebt geïntegreerd op je toestellen.
• Microsoft Intune is is niet vereist, wel sterk aanbevolen.
• Microsoft Security Center geeft je véél inzichten rond updates, security patches, spectre and meltdown en veel meer!
• Security center kan je benaderen via: https://securitycenter.windows.com/
• Meer lees je in een volgende blogs!

Samenvatting & conslusies

• De eerste 3 stappen kan je makkelijk op één uur configureren en geven enorm veel realtime-inzichten om je omgeving te verbeteren. Dit kan het best in een piloot/test traject. De andere 2 vereisen meer werk en komen aan bod in volgende blogs.
• Deze stappen zijn het begin om inzichten te krijgen in je omgeving om slimme beslissingen te maken OF de dialoog te voeren voor de investeringen in cybersecurity.
• Cross-platform. één cloud! Wist je dat je ook je on-premise infrastructuur in dit hele verhaal kan meenemen om minstens te begrijpen wie en waar inlogd en waar je document data zich bevind?
• De volgende stappen zijn uiteraard nog meer inzichten vergaren. Meer integreren, Active Diretory assessments, policy review etc..
• een tipje van de sluier is met een framwork werken om dit gestructureerd aan te pakken. Bijvoorbeeld NIST. Hierin ga je op de volgende 5 pijlers werken om een veiligere omgeving te bekomen. Zie ook: How to start with NIST.
• Andere assessments bestaan uiteraard ook zoals: IT Risk Assessment, IT Audit, Red Team Assessment, Penetration Testing, Vulnerability Assessment..

Voorbeeld rapporten

• Cyber-Health-Check-Sample-Report.pdf
• /Cyber-Security-Audit-Sample-Report-v2.1.pdf
• /illustrative-cybersercurity-risk-management-report.pdf