Stian Godø

Skytjenester: Tips for norske SMB'er

Entra ID: Risky Users ☠️

En av de største risikoene for alle som forvalter digitale tjenester er at brukerkontoer blir kompromittert – eller «hacket», som det ofte kalles. Når ondsinnede aktører (ofte omtalt som «hackere») får tilgang til en brukers identitet, kan de bevege seg relativt fritt i organisasjonens systemer. Dette skaper en uhyggelig situasjon – både teknisk og menneskelig.

For organisasjoner som benytter Microsoft 365 og dermed har pålogging via Entra ID (tidligere kjent som Azure AD) finnes det en innebygd sikkerhetsfunksjon kalt Risky Users. Denne funksjonen oppdager og flagger brukere som viser tegn til mistenkelig eller risikofylt aktivitet.

Dette er en kort introduksjon til hva Risky Users i Entra ID er, og hvordan funksjonen kan brukes som et verktøy i organisasjonens kontinuerlige arbeid med å styrke sikkerheten.

🧐 Hva er Risky Users i Entra ID?

Når du logger på Microsoft 365, skjer dette som regel via Entra ID (tidligere kjent som Azure AD). Dette er plattformen der organisasjonen din administrerer brukerkontoer, grupper, gjestetilgang og en rekke sikkerhetstjenester.

Entra ID har en sikkerhetspakke kalt Entra ID Protection, som blant annet inneholder funksjonen Risky Users.

Risky Users identifiserer brukerkontoer som kan være kompromittert eller utsatt for risiko. Dette gjøres ved hjelp av avansert overvåking og maskinlæring, som analyserer påloggingsforsøk og brukeraktivitet for å avdekke minstenkelig atferd.

🧪 Eksempel på atferd som vurderes som risky

En bruker logger inn fra Norge kl. 08:00, og deretter fra Brasil kl. 08:15. Dette utløser en risikovurdering kalt Impossible Travel, og brukeren flagges som risky.

Systemet vurderer det som fysisk umulig å forflytte seg mellom disse to stedene på så kort tid, og mistenker derfor at påloggingen fra Brasil kan være et tegn på at en uautorisert aktør har fått tilgang til brukerkontoen.

Men kan ikke dette også føre til falske alarmer? Jo – la oss ta et eksempel:

Du logger inn fra Norge kl. 08:00, og kobler deg deretter til en løsning som kjører på en server et annet sted i Europa. Der autentiserer du deg på nytt mot Entra ID. Dette kan tolkes som en ny pålogging fra et annet geografisk sted, og dermed utløse en Impossible Travel. Brukeren blir da flagget som risky – selv om det i realiteten ikke er noe mistenkelig som har skjedd.

Systemer klarer ikke alltid å skille mellom legitim aktivitet og reell risiko. Derfor er det viktige å være forberedt på å gjøre manuelle vurderinger – for eksempel ved å kontakte brukeren, gjennomgå logger og analysere brukerens atferd – før man trekker en konklusjon.

☠️ Eksempel fra virkeligheten

En vanlig metode som benyttes i virkelige angrep, er såkalt phishing – der angriperen forsøker å lure brukeren til å gi fra seg innloggingsinformasjon.

Slik kan det skje:

  1. Brukeren mottar en e-post
    E-post ser troverdig ut og kan tilsynelatende komme fra en kjent kontakt. Den inneholder en lenke eller en QR kode, ofte med oppfordring om å handle raskt.
  2. Brukeren klikker på lenken eller skanner QR-koden
    Dette leder til en nettside som ser ut som en vanlig Microsoft 365-påloggingsside – men det er en forfalsket side laget av angriperen.
  3. Brukeren taster inn brukernavn og passord
    Informasjon sendes direkte til angriperen i klartekst.
  4. Angriperen logger inn på ekte Microsoft 365
    Ved å bruke de stjålne legitimasjonsopplysningene forsøker angriperen å logge inn på den ekte portalen.
  5. Dersom to-faktor ikke er aktivert
    Angriperen får full tilgang til kontoen – og kan lese e-post, laste ned filer, sende melding og utføre handlinger i brukerens navn.

Dersom brukeren benytter en svak to-faktorautentisering, som for eksempel SMS-kode, krever det ikke mye for at en angriper skal kunne omgå sikkerheten:

  1. Angriperen har fått tak i brukernavn og passord, og forsøker å logge inn via Microsoft 365-portalen.
  2. Systemet ber om SMS-kode som sendes til brukerens mobiltelefon.
  3. Samtidig sitter brukeren i en falsk (phishing) portal som etterligner Microsoft 365, og blir bedt om å oppgi den samme SMS-koden.
  4. Brukeren mottar SMS-en og taster inn koden i den falske portalen – i god tro.
  5. Angriperen fanger opp koden i sanntid og bruker den til å fullføre innloggingen i den ekte Microsoft 365-portalen.

Resultatet? Angriperen får tilgang til kontoen – til tross for at tofaktorautentisering var aktivert.

Når en angriper først har fått tilgang til kontoen din, kan vedkommende bevege seg fritt i Microsoft 365-miljøet og utføre en rekke ondsinnede handlinger.

Her er et eksempel på hvordan et slikt angrep på kan utvikle seg videre:

  1. E-postkontoen lastes ned: Angriperen eksporterer hele innboksen din sin egen enhet.
  2. Kontakter kartlegges: Alle e-postadresser du har hatt kontakt med, samles inn.
  3. Falsk e-postkonto opprettes: Angriperen lager en ny konto med samme visningsnavn som deg, men med en lignende – og falsk – e-postadresse, for eksempel:
    Ola Nordmann – ola.nordmann.i@outlook.com
    Siden den ekte adressen kan være opptatt, legges det til små variasjoner. Det er visningsnavnet sdom lurer mottakeren – ikke nødvendigvis selve adressen.
  4. Phishing-kampanje igangsettes: Den falske kontoen brukes til å sende e-post til alle dine kontakter – ofte med samme innhold sdom du selv ble lurt av.
  5. Spredningseffekt: Nå er alle dine kontakter i fare for å bli lurt på samme måte. Angrepet sprer seg videre – og vi er tilbake til start, men med hundrevis eller tusenvis av nye potensielle ofre.

Dette er en svært uheldig situasjon – både for deg, organisasjonen din og alle kontaktene dine som kan bli rammet. Alt startet med én kompromittert konto, men konsekvensene kan bli omfattende.

🚨 Hvilke andre risikodeteksjoner finnes?

Vi tok for oss Impossible Travel i forrige avsnitt, men det finnes mange flere. Her er en oversikt over vanlige risikodeteksjoner i Risky Users:

  • Leaked credentials
    Kontoens brukernavn og passord er funnet i kjente datalekkasjer.
  • Sign-in from anonymous IP address
    Pålogging skjer via en anonymiseringstjeneste, som f.eks. Tor-nettverket.
  • Sign-in from infected device
    Pålogging skjer fra en enhet som er kjent for å være infisert med skadelig programvare.
  • Sign-in from IP address with suspicious activity
    IP-adressen er assosiert med mistenkelig eller ondsinnet aktivitet.
  • Sign-in from unfamiliar location
    Pålogging skjer fra et sted brukeren vanligvis ikke logger inn fra.
  • Atypical travel
    Pålogging skjer fra et sted som er uvanlig for brukeren, men ikke nødvendigvis umulig.
  • Malicious IP address
    Pålogging skjer fra en IP-adresse som er kjent for å være brukt i angrep.
  • Password spray attack detected
    Flere brukernavn forsøkes med samme passord – en kjent angrepsmetode.
  • Suspicious inbox manipulation rules
    Det oppdages regler i e-postinnboksen som kan indikere forsøk på skjult datatyveri.
  • Unfamiliar sign-in properties
    Påloggingen avviker fra brukerens normale mønster (enhet, nettverk, tid, osv.).

🧐 Bare én risky user – eller organization(s) at risk?

Det kan være fristende å tro at en kompromittert brukerkonto begrenser seg til den ene brukeren. I realiteten er brukerkontoen en identitet som ofte benyttes til autentisering mot en rekke interne og eksterne systemer – inkludert gjestetilgang i andre organisasjonsers Entra ID-miljøer.

Eksempler på interne systemer angriperen kan få tilgang til:

  • Brukerens egen e-post, kalender, kontaktliste og private Teams-samtaler
  • Delte postbokser i organisasjonen som brukeren har fått tilgang til
  • SharePoint-område og Teams-grupper
  • Adminportaler (dersom brukeren har administrative roller)
  • HR- og økonomisystemer som benytter Entra ID-autentisering
  • Tredjepartsløsninger (SaaS) med Entra ID-integrasjon
  • Azure-abonnement med administrative rettigheter
  • Kundeløsninger som kan inneholde sensitiv informasjon
  • Lokale applikasjoner (on-prem) som bruker Entra ID for autentisering

Eksterne konsekvenser – gjestetilgang hos kunder og partnere:

Dersom du er invitert som gjest i en kundes eller partners Entra ID-miljø, kan konsekvensene bli enda større. Her er to mulige scenarioer:

Scenario 1: Azure-tilgang hos kunde

  • Du har skrivetilgang til kundens Azure-abonnement. En angriper kan da:
    • Opprette kostbare tjenester og påføre kunden økonomiske tap
    • Laste ned eller dele sensitive data
    • Slette hele miljøet

Scenario 2: Gjest i Microsoft 365 hos din kunde/partner

  • Du har tilgang til Teams, SharePoint og interne systemer. En angriper kan:
    • Tappe konfidensiell informasjon
    • Lekke data fra HR-, økonomi- eller kundesystemer

Én kompromittert konto kan dermed få konsekvenser langt utover din egen organisasjon. Risikoen sprer seg til kunder, partnere og andre tilknyttede miljøer – og det er derfor vi sier:

Én risky user kan utgjøre en risiko for mange.

🧭 Hvor finner jeg Risky Users i Entra ID?

  1. Naviger til Entra ID med en konto som har en av følgende administrative roller:
    • Security Reader, Security Operator, Security Administrator, Global Administrator, Global Reader
  2. I venstremenyen under Protection velger du Risky activities.
  3. Du vil nå få frem oversikt over risky users som viser navn, risk status og når risken ble sist oppdatert.

🧑‍🔧 Håndtere risky users

I oversikten over risky users så finner du kolonne Risk state som kan inneholde følgende statuser:

  • 🔴 At risk
    • Brukeren er vurdert som kompromittert basert på én eller flere aktive risikodeteksjoner. Tiltak bør vurderes umiddelbart.
  • ⚠️ Confirmed compromised
    • En administrator har manuelt bekreftet at kontoen er kompromittert. Dette kan utløse strengere sikkerhetstiltak.
  • ✅ Remediated
    • Risikoen er håndtert – enten automatisk (f.eks. via en policy) eller manuelt (f.eks. passordbytte). Brukeren ansees ikke lenger som en aktiv risiko.
  • 🟡 Dismissed
    • En administrator har manuelt avvist risikoen etter vurdering, og brukeren ansees som trygg.

Det som er av interesse er brukerkontoer som har status At risk – dette betyr at risikoen ikke er sjekket ut – og kan ansees som en aktiv risiko.

Det neste av interesse er kolonna Risk last updated. Entra ID oppbevarer logger i en svært tidsbegrenset periode på inntil 30 dager og dette er en av grunnene til at man bør komme raskt igang med analyse dersom en bruker blir flagget som risky. Etter 30 dager vil man ha begrenset innsikt i hva som har foregått fordi loggene (for både pålogging og endringer) ikke lenger er tilgjengelig i Entra ID.

Når du klikker på brukerkontoen så vil du få frem en vindu som gir deg verktøy og innsikt:

  1. Reset password:
    • Lar deg tilbakestille passordet for brukerkontoen.
    • Denne handlingen opphever alle aktive pålogginger for brukeren.
    • Merk: Hvis kontoen er synkronisert fra et lokalt Active Directory (on-prem), bør passordet endres der.
  2. Confirm user compromised:
    • Brukes når det er bekreftet at kontoen er kompromittert (et ekte positivt funn)
    • Brukerens risiko settes til høy, og det legges til en ny deteksjon: Admin confirmed user compromised.
    • Brukeren forblir i en risky tilstand inntil nødvendige tiltak er gjennomført.
  3. Confirm user safe:
    • Brukes ved falske positiver.
    • Fjerner risiko og tilhørende deteksjoner for brukeren.
    • Brukeren settes i learning mode, slik at systemene kan lære normal brukeratferd på nytt.
  4. Dismiss user risk:
    • Brukes ved benigne positive funn – altså reelle, men ikke skadelige hendelser (f.eks. kjent penetrasjonstest).
    • Risikoen fjernes, men lignende brukere vil fortsatt overvåkes fremover.
  5. Block user:
    • Blokkerer brukeren fra å logge inn.
    • Anbefales dersom en angriper har tilgang til passordet eller kan gjennomføre tofaktorautentisering (MFA).
    • Merk: Hvis kontoen er synkronisert fra et lokalt Active Directory (on-prem), bør blokkeringen utføres der.
  6. De tre prikkene inneholder snarveier til
    • User’s risk detections: Viser hvilke risikodeteksjoner som er registrert på brukeren.
    • User’s risky sign-ins: Oversikt over pålogginger som er vurdert som risikable.
    • User’s sign-ins: Fullstendig påloggingshistorikk.
    • Investigate with Microsoft 365 Defender: Åpner brukerens profil i Defender-portalen for videre etterforskning.
  7. Basic info: Gir et overblikk over brukerkontoen, inkludert kontaktinformasjon og risikonivå. Nyttig for rask vurdering og eventuell kontakt med brukeren for å avklare mistenkelig aktivitet.
  8. Recent risky sign-ins: Tabellvisning over nylige pålogginger som er vurdert som risikable.
  9. Risk history: Full historikk over risikovurderinger og hendelser knyttet til brukerkontoen.

🚨 Etabler varsling når en bruker blir risky!

Dersom du har Entra ID P2 lisens så tilbys to varslingsmetoder for Risky Users:

  • Users at risk detected alerts
    Varsling ved hendelser – hvor du har mulighet for å justere hva som skal varsles på.
  • Weekly Digest
    Ukentlig oppsummering av nye risikodeteksjoner.

Du kan lese mer om mulighetene her: https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-notifications

🛡️ Andre tiltak som kan begrense skade

Nå har du forhåpentligvis fått en god forståelse av hva Risky Users er – og du ser sikkert et behov for å gå fra en passiv tilnærming til en mer proaktive og skadebegrensende strategi. Å vente på varslinger kan gi angriperen tid til å gjøre skade før tiltak iverksettes.

Her er noen tips til tiltak som kan bidra til å redusere risiko og styrke sikkerheten:

  • 🔐 Phishing-resistente to-faktorautentisering
    • Bruk metoder som er robuste mot phishing, for eksempel:
      • FIDO2-sikkerhetsnøkler
      • Sertifikatbasert autentisering
      • Biometrisk autentisering
  • 🌍 Geoblokkering
    • Blokker pålogginger fra land eller regioner der du ikke har virksomhet eller brukere. Dette reduserer risikoen for angrep fra høyrisikoområder.
  • 📜 Conditional Access policyer
    • Opprett policyer som:
      • blokkerer tilgang ved høy risiko
      • krever to-faktorautentisering ved middels risiko
      • begrenser tilgang basert på enhetsstatus eller geografisk plassering
      • krever at gjestebrukere etablerer to-faktorautentisering
      • hindrer brukere i å endre MFA-metoder fra uautoriserte steder
  • 🛡️ Privileged Identity Management (PIM)
    • Bruk PIM i Entra ID for å:
      • Gi midlertidig tilgang til administrative roller
      • Kreve godkjenning før tildeling
      • Aktivere varsler og overvåking ved bruk av priviligerte rettigheter
      • Redusere risikoen for misbruk av permanente administrative roller
  • 🧹 Regelmessig gjennomgang av tilganger
    • Revider brukertilganger jevnlig – spesielt for:
      • Gjestebrukere
      • Kontoer med administrative rettigheter
  • 📬 Beskyttelse mot phishing i Exchange Online
    • Bruk funksjoner i Defender for Office 365 for å:
      • Oppdage og blokkere phishing-eposter
      • Hindre at skadelige meldinger når brukeren
  • 🔄 Automatisk risikohåndtering
    • Konfigurer Entra ID til å automatisk blokkere eller kreve passordbytte for brukere med høy risiko
  • 🧪 Simulerte angrep og tester
    • Bruk verktøy som Microsoft Attack Simulator for å
      • trene ansatte i å håndtere phishing
      • teste organisasjonens beredskap mot innloggingsangrep
  • 🔍 Integrasjon med SIEM/SOAR
    • Koble Entra ID til sikkerhetsverktøy som Microsoft Sentinel for
      • dypere innsikt
      • automatisert respons og varsling
  • 🧭 Begrens gjestetilgang
    • Bruk policyer for å kontrollere
      • hvem som kan inviteres som gjest
      • hvilke ressurser gjester får tilgang til
  • 🧠 Brukeropplæring
    • Tren ansatte i å
      • gjenkjenne phishing og sosial manipulering
      • reagere på uvanlige påloggingsforespørsler

Listen over tips til tiltak er omfattende – men ikke komplett. Din organisasjon har kanskje allerede:

  • Kjøpt og etablert sikkerhetstjenester
  • Implementert egne rutiner

Det viktigste er å finne den riktige kombinasjonen av tiltak som passer deres behov og risikobilde.

📋 Oppsummering

Risky Users hjelper deg med å oppdage og stoppe uautorisert tilgang – før det utvikler seg til et større sikkerhetsproblem.

Min klare anbefaling er å ha som mål å minimere tiden fra risikodeteksjon til avklart situasjon. Jo raskere du reagerer, desto mindre skade rekker en angriper å gjøre.

Jeg håper denne introduksjonen har gitt deg nyttig innsikt som du kan ta med deg videre – enten i det interne sikkerhetsarbeidet eller i dialogen med din IT-leverandør. 😎👍

Publisert

i

,

av

Stian Godø

Stikkord:

, ,