Microsoft publiserer kontinuerlig mye informasjon om hvordan du kan konfigurere Microsoft Entra og Intune for optimal sikkerhet. Å utføre manuelle sjekker kan imidlertid være både tidkrevende og risikabelt.
Microsoft Zero Trust Assessment (ZTA) automatiserer denne prosessen og tester hundrevis av sikkerhetskonfigurasjoner i tråd med Microsofts Secure Future Initiative (SFI) og Zero Trust-pilarene.
Zero Trust-pilarene: Identity. Endpoints. Data. Apps. Infrastructure. Network. Les mer om dette her.
Testene som ZTA benytter, er hentet fra anerkjente kilder innen cybersikkerhet:
- Bransjestandarder fra organisasjoner som NIST, CISA og CIS
- Microsoft sine egne interne «security baselines» som beskytter Microsoft infrastruktur
- Erfaring fra tusenvis av reelle kundesikkerhetsimplementeringer
Hvorfor bruke ZTA? 🤔
Når du bruker Zero Trust Assessment (ZTA) får du automatisk innsikt som hjelper deg med å kartlegge/bekrefte at du har implementert høy grad av sikkerhet i miljøet ditt. Eventuelle mangler som blir avdekt vil du få instrukser på hvordan du håndterer.
Åpen kildekode ❤️
ZTA er distribuert som åpen kildekode i GitHub. Du finner kildekoden her: https://github.com/microsoft/zerotrustassessment/tree/psnext/src/powershell
Kom i gang med ZTA! 🚀
Krav for å kjøre ZTA:
- PowerShell 7 (https://learn.microsoft.com/en-us/powershell/scripting/install/installing-powershell)
- Konto som har rollen Global Administrator (for å godkjenne ZTA tilganger til teananten).
- De neste kjøringene kan utføres av konto med rollen Global Reader
- Dersom du har prøvd ZTA før: Avinstaller tidligere versjoner av ZTA (https://learn.microsoft.com/nb-no/security/zero-trust/assessment/get-started#uninstall-previous-versions)
Start PowerShell 7 og skriv følgende kommando for å installere ZTA-modulen:
Install-Module ZeroTrustAssessment -Scope CurrentUserNår den er ferdig å kjøre så er ZTA klar til bruk. Det neste som må gjøres er å koble ZTA til tenanten din. Dette må utføres med en konto som har rollen Global Administrator.
I samme PowerShell vindu skriver du:
Connect-ZtAssessmentEt nytt nettleservindu vil åpne seg hvor du blir bedt om å logge på. Husk at kontoen du logger på med må ha rollen Global Administrator.
Etter at konto er pålogget så vil du første gang du kjører verktøyet få spørsmål om å godkjenne tilganger som ZTA trenger for å hente ut nødvendige data. Trykk Godta for å gå videre:
Når du er ferdig med pålogging og godkjenning så er neste steg å kjøre selv rapporteringa.
Du kan kjøre kommandoen uten å definere path og en lokasjon hvor rapporten skal lagres – men fordi rapporten inneholder sensitiv informasjon om din tenant så kan det være greit å slette rapporten når du er ferdig. Ved å spesifisere path så vet man nøyaktig hva som må slettes.
For å starte generering av rapporten kjører du:
Invoke-ZtAssessment -Path C:\rapport\Den vil da begynne å samle inn informasjonen om din tenant slik som skjermbildet under viser.
Basert på mengde informasjon i tenanten din så kan det ta noen minutter å utføre dette. For svært store tenanter kan det ta mer enn 24 timer.
Når den er ferdig så får vi vite hvor rapporten ble lagret, samt en påminnelse om dette med å slette dataene pga sensitivitet.
Deretter vil rapporten automatisk åpne seg i et nytt vindu i nettleseren din:
Startsiden inneholder informasjon om tenanten din, noen interessante nøkkeltall, hvor stor andel av testene fra ZTA som ble gjennomført, m.m.
Jeg kjørte ZTA i et svært lite demomiljø, dermed var ikke alle testene relevante – som vi ser på høyre side under Assessments.
Det som er av mest interesse er fanene som jeg har markert med rødt: Identity og Devices.
Vi tar en nærmere titt på Identity:
- Link til dokumentasjon fra Microsoft
- Søk i alle verdier som er i tabellen nederst (f.eks. Failed, High, Low, eller annen tekst du leter etter)
- Filtrerer anbefalingene basert på risikovurdering
- Filtrerer anbefalingene basert på status
- Vis/skjul kolonner i tabellen
- Filtrering basert på SFI-pilarene
- Selve tabellen som lister opp anbefalingene innenfor valgt Zero Trust-pilar – i dette tilfellet Identity
Nar du klikker på en anbefaling i tabellen så dukker det opp et vindu ute til høyre med detaljer om anbefalinga:
Her får man informasjon om status, hva som ble sjekka, samt informasjon under Remediate action om hvordan man bør gå frem for å følge denne anbefalinga. Følger man denne vil man gå fra Failed til Pass på testen.
Når det gjelder Zero Trust-pilaren Devices så ser vi at den har en ekstra fane Config:
Her får man innsikt i relevante konfigurasjoner, policer, etc som er definert i Intune.
Når du er ferdig med rapporten og har slettet alle tilhørende data, så kan det være greit å koble fra ZTA. Dette utføres enkelt ved å bruke følgende kommando:
Disconnect-ZtAssessment🤔 Konklusjon
ZTA er et enkelt men svært kraftig og oversiktlig hjelpemiddel som jeg tenker bør være på plass i verktøykassen for det kontinuerlige sikkerhetsarbeidet man har i en Microsoft-tenant.
ZTA videreutvikles og det vil forhåpentligvis etterhvert også dekke flere av de andre Zero Trust-pilarene.
Så da er det bare å sette igang og jobbe seg gjennom anbefalingene i de ulike Zero Trust-pilarene! 🥵😅