An Evaluation of the Security Measures Provided by Microsoft in Azure; with Focus on Entra ID, Entra ID Protection and Sentinel: A Practical Approach

Abstract

Angrep mot brukerekontoer har lenge vært et problem for IT-tjenester som er eksponert for internettet. I Norge er Azure den mest populære skyplattformen, og Microsoft har mange råd og anbefalinger for hvordan en organisasjon kan beskytte Azure-miljøet sitt på best mulig måte.

Målet for denne oppgaven er å utforske hvor godt rådene til Microsoft fungerer mot å beskytte en organisasjon mot angrep på brukere. Vi evaluerer hvor effektive Microsoft sine anbefalinger om Conditional Access og Sentinel er i å forsvare en organisasjon, hvor Sentinel er satt opp med regelsettene Microsoft utgir på Sentinel Content Hub for Entra ID og Entra ID Protection. Under testingen brukes det et minimalistisk Azure-oppsett og en praktisk tilnærming til simulering av angrep, som tar utgangspunkt i angrepsteknikker som har vært observert i ekte angrep tidligere. Denne tilnærmingen medfører at resultatene våre bedre reflekterer oppsettets respons på et faktisk angrep og konklusjonen vår står uavhengig av en enkelt sektor, og kan dermed benyttes av et bredere spekter av organisasjoner som et utgangspunkt for deres sikkerhetsløsning.

Våre resultater viser at denne sikkerhetsløsningen effektivt beskytter en organisasjon og gir oversikt over sikkerhetshendelser som trenger behandling i både Sentinel og Entra ID Protection sine dashbord. Likevel dekker ikke alle Sentinel-reglene alle angrepsteknikker, og vi anbefaler å jobbe aktivt med begge dashbordene dersom en organisasjon ikke sitter på kompetansen til å lage egne regler.

Attacks targeting user accounts have long been an issue regarding online IT solutions. Azure is the most prominent cloud platform among Norwegian organisations, and Microsoft provides many security solutions and recommendations for how to secure an organisation's Azure environment.

This thesis investigates how well the security measures recommended by Microsoft, regarding Conditional Access policies and Sentinel, set up with the rulesets provided for Entra ID and Entra ID Protection found in Sentinel Content Hub, manage to defend an organisation against attacks targeting users. We use a minimalist setup which is not tailored to a specific sector and adopt a practical approach for simulating the attacks, which are based on attack techniques observed in real-world attacks. This enables our results to be more closely related to attacks happening in the real world, and our conclusion can be used as a foundation for any organisation.

Our results show that this security solution does protect an organisation well, and also provides alerts for the organisation to be able to react to attacks in both the Sentinel and Entra ID Protection dashboards. However, the analytics rules for Sentinel do not cover all attack techniques and we recommend actively working with both dashboards if an organisation does not have the competence needed to create new rules.