Det senaste från Microsofts högkvarter i Redmond

Microsoft Security Airlift Redmond, Del 2.
Missade du del 1 så kan du läsa den här

Här kommer andra delen av rapporten från ett mycket uppskattat event. Jämfört med andra Microsoftdragningar så höll det en högre nivå och var inte lika teknikinriktat.

Mindre teknik och mer användarfokus

I och med att tekniken mer och mer flyttar in i molnet, behöver du inte längre planera, installera, konfa, felsöka, laga, etc. Det är redan klart. Du väljer bara vad du ska göra, Microsoft sköter resten. Detta passar inte alla kunder, men merparten av dem kommer använda dessa produkter.

Machine Learning

Är ordet för veckan. Microsoft har lagt in ”machine learning” i nästan alla deras molnprodukter. När man startar en tjänst så kommer den skapa en baseline om vad som är normalt beteende. Händer det sedan något som inte är normalt, så kommer tjänsten reagera. Vad som ska ske då är upp till administratören. Det finns dock mycket förkonfigurerat.

Exempel på Machine Learning

är kopplingen mellan Dropbox och Azure. Skulle en användare plötsligt börja dela en massa filer under kort tid larmar tjänsten. Detta är inte ett normalt beteende och troligen är kontot hackat eller så är användaren en fuling. Denna typ av machine learning dyker upp i alla produkter, högt som lågt.

(O)Säker Device?

Företag kan välja vilka filer/resurser som användare kan komma åt beroende på om användaren loggar in från en ”managed device” eller en fulmobil/dator. Känslig data får bara läsas om man loggar in på en device som är hanterad via företagets MDM-lösning.

Bot mot adminproblematik

Microsoft har också tagit tag i problemet med administratörer som slarvar. Via Priviliged Indentity Management (PIM) kan man hantera globala

administratörer på ett smart sätt. Du kan t ex tidsbegränsa adminrättigheterna. Om en administratör behöver göra något måste denne logga på med MFA (eller liknade) innan denne kan utföra arbetet. Efter en viss tid tas rättigheterna bort. Detta loggas givetvis i samma system som allt annat för machine learning.

Så får du koll på administratörerna

Du kan också skapa rapporter kring om administratörerna verkligen använder sina rättigheter. Det finns ingen anledning att en person är administratör om behovet inte finns. Dessa rapporter kan köras via ett schema. Då får du en bra överblick av dina administratörer. Vidare kan man konfigurera att Global admins inte kan dela ut adminrättigheter till andra. Detta görs av annat konto som inte är ett global adminkonto. På så sätt kan man minimera antalet personer som har möjlighet att skapa nya administratörer.

Advanced threat analytics, ATA

Mitt i all detta molnprat så dyker Advanced threat analytics (ATA) upp, en onprem lösning. ATA kollar allt som händer på det interna ”nätet”, vilket innebär att den kollar vad som händer i trafiken till och från Active Directory. Det är ju där alla konton och rättigheter ligger. Den kollar inte andra säkerhetshål, tyvärr. Även här används machine learing och allt som frångår vanligt beteende genererar larm.

Färre falsklarm

Under tiden ATA körs så kommer den lära sig mer och mer om systemet och användarnas beteende och på så sätt ge färre och färre falsklarm. Givetvis finns det en agent för OMS också, vilket gör det möjligt att skicka larm till OMS.

ATA är en del av EMS

ATA är en del av EMS vilket betyder att många av våra kunder har licens att köra den redan i dag.

Micael Åman – your man in Redmond

Missa inte del 3 av det senaste från Microsoft Partner Security Airlift som publiceras på måndag den 8 maj. Då snackar vi Intune. Håll utkik!

Vill du veta mer om säker serverdrift?