#50 - Attic MFA Posture

Show Notes

Rik van Duijn en Erik Remmelzwaal gaan in gesprek over een nieuwe feature in Attic Security: MFA Posture Management voor Microsoft365. Prima aanleiding voor een LAB Sessions onder ons!

Meer weten over de feature, ga naar https://attc.to/mfapm

Wanna try? https://attc.to/try

Transcript

SPEAKER_00 0:03

Goeiedag dames en heren. We zijn weer van Etic met de nieuwe Etic representation. En wij zijn Erik. En ik, Erik. En wij gaan zelfs dat we dat weer wat vaker doen de laatste tijd weer een mooie nieuwe podcast opnemen. In dit geval doen we dat zonder gast, maar gewoon zelf. En dan met name omdat we het echt wel heel erg cool vinden dat we een nieuwe functie introduceren in Attex Security, speciaal voor de MSP's die met ons werken, voor onze partners. Maar ook in het kader van deze sessie en gewoon een onderwerp bespreken wat het toe doet, dachten we van dat is een mooie aanleiding om eens te hebben over MFA en hoe je dat kunt beheren. Je beeld nu even het mooie gevied code, dingen gegeminide weergave van hoe dat eruit ziet. Het is echt door Rick gebouwd, hè Rick?

SPEAKER_01 1:08

Ja, zeker.

SPEAKER_00 1:09

Ben je trots?

SPEAKER_01 1:10

Ja, wel. Ik vind de hele UI moet sowieso nog op de schot, maar ik denk dit deel binnen die UI vind ik wel netjes gebruikvriendelijk en het ziet er netjes uit. Het is ook snel gelukt, eigenlijk. Ja, een maandje. Dus daar is ook wel te danken aan AI. Je kan gewoon net even meer dit soort dingen aan elkaar hangen. Terwijl dat voorheen misschien wat meer voet in de aarde heeft of waarbij je veel vaker heen en weer moet. Heb je nu gewoon concreter alvast. Wat gaan we nou aanpassen? Oké, cool, wat hebben we dan? Je kan gewoon een vraag stellen: oké, ik wil dit gaan bouwen. Wat moet ik dan in het front allemaal toevoegen? Nou, dan ga je naar het bekend. Wat moet ik hier dan allemaal doen? Dus je kan het wat beter plannen. Terwijl we nu in het verleden wel, dan had ik iets gebouwd van deze optie kan niet. En dan moet je weer terug naar de tekentafel. Dat kan nu allemaal iets sneller.

SPEAKER_00 2:07

Ja, Iget het. Oké, en naar de aanleiding, ik denk dat het nou, misschien nog maart was of zo, dat we tegen elkaiden vané, dit moeten we gaan gaan doen, moeten we gaan bouwen. En dat leek ook redelijk haalbaar om het snel voor elkaar te kregen. Gewoon omdat we wisten dat we weten eigenlijk al alles wat we zouden willen laten zien voor een groot gedeelte. Checkten we al. Ja, precies. En dan even, waar gaat het dan om? Eigenlijk als je een MSP bent, dan wil je een bepaalde zekerheid hebben over de vraag of bij klanten MFA goed staat ingesteld. En dat wou je denk ik altijd al wel, omdat er even vanuit dat we dat we het uitgangspunt is dat iedereen wel begrijpt dat je MFA moet willen gebruiken, zeg maar, als je inlogt op je mailbox en dat soort dingen. Voor een MSP is het denk ik ook zinvol om als zij de Microsoft 365 beheren van hun klanten. Om ook te kijken, we kunnen nog meer voor jullie betekenen door ook wat nadrukkelijker te kijken naar echt het gebruik van securityfuncties die daarin aanwezig zijn. En dan komen wij natuurlijk ook graag in het spel erbij. Maar er was een directe aanleiding die best wel ook de ronde doet in een MSP-landschap. En dat was een uitspraak die is gedaan al eerder, maar die is in oktober vorig jaar gepubliceerd door de rechtbank. En dat was een uitspraak die gaat over de aansprakelijkheid van een MSP naar aanleiding van een hek bij een eindklant daarvan. Die eindklant die is gehad, heeft dus schadegeleden en toen is er een rechtszaak gekomen. En de conclusie in die rechtszaak van de rechter was dat de MSP eigenlijk onvoldoende kon aantonen. Dat de klant zelf het risico droeg voor het niet gebruiken van MFA. Oftewel MFA stond uit. Dat was ook bekend. De klant had daar ook zelf voor gekozen om het niet aan te zetten. Zelfs ook al had Microsoft min of meer MFA afgedwongen, inmiddels voor alle klanten. Is dat dus een soort van uitgeschakeld gelaten of ik weet niet precies hoe dat gaat is, maar in ieder geval het stond uit. Dus dat is op zich wel, als je het zo leest, wel duidelijk een keuze van de klant. Echter, in het kader van de zorgplicht, meent de rechter dan toch dat je als MSP echt je best moet doen. En ook om die klant echt duidelijk te overtuigen van dat dat echt risico's met zich meeneemt. En dat je dus andersom ook echt moet kunnen aantonen dat die klant dat zelf dat risico heeft geaccepteerd. Dan moet je echt denken van ja, dat moet dus ook niet jouw eerste het beste contactpersoon bij de desbetreffende klant zeggen van nee, dat doen we niet. Nee, dat moet iemand met echt die tekenbevoegd is om dit soort risico's te accepteren, moet daar dan voor andere woorden. De MSP had dat misschien wel een keertje gemaild of iets dergelijks. Maar in ieder geval dus niet aantoonbaar genoeg dat risico belegd bij de eindklant. En dus was de MSP aansprakelijk, die moet de schade betalen, eigenlijk die is ontstaan naar aanleiding van die hek. En ja, is natuurlijk een heel wrag gevoel en ook een wrag idee als je de MSP je best doet om het allemaal goed te regelen. Maar betekent ook dat er dus nog wel een aanleiding is om één stapje verder te gaan dan alleen maar het keer ter sprake te brengen. Dat de MFA wel belangrijk is, maar dat je het eigenlijk ook continu moet weten of het wel werkt voor eindkant. Dit is in oktober bekend geworden, leeft heel erg in de MSP-community. Ook best wel een wake-up call, denk ik, voor veel partijen. En is nog steeds alleen de vraag van hoe ga je dat nou doen? En dit was we hebben dit ook vaker in term besproken, maar dat is eigenlijk een beetje de toch wel ergste directe aanleiding geweest. Dat dacht van ja, we kunnen dus we hebben best wel iets waarmee we onze partners goed kunnen helpen op dit vlak. Alleen dan moeten we dat ook meer op die manier dan ook brengen. En toen zijn we op de term van MFA posture management gekomen. Oftewel één dashboard om te overzien welk van jouw klanten geen MFA gebruiken. En het is alleen niet een zwart-wit verhaal, dus er zitten allemaal gradaties in. Dus dat even als aanleiding vertrekpunt. Zou ik het partnerpoortal induiken? Rik, jij zit naar mij te kijken en je denkt van is het echt waar? Ja, ik heb dus wel een vraag ook eigenlijk.

SPEAKER_01 7:08

Ik weet dat dit gebeurd is. Ik weet ook dat het om een hoop geld ging. Ik wist alleen niet, ik vind zo bijzonder dat je dat je, ondanks dat je dat dan netjes meldt, dat je het dan niet voldoende meldt, of dat het niet voldoende vastgelegd is dat je het meldt, en dat je dan nog door de rechter in het ongelijk wordt gesteld.

SPEAKER_00 7:27

Ja, hier komt echt puur juridisch. Kan jij verwachten dat een netwerkbeheerder of zo die je misschien spreekt, het aanspreekpunt vanuit de IT-leverancier is meestal iemand in de operationele afdeling die ze een keer een e-mail stuurt en dan zeggen van oké, near hebben we geen zin in. Is dat juridisch degene die namens die BV, die je aan het servicen bent, mag besluiten dat zij zelf de aansprakelijkheid dragen voor zoiets. En dat is hier het is echt een puur juridische. Ja, en het makes sense. Alleen nu sta je niet direct helemaal bij stil, denk ik dat dit zo is.

SPEAKER_01 8:11

Ja, dan komt er bij dat je natuurlijk. Er zijn allerlei beslissingen die genomen moeten worden op een dag. In samenwerking met je klant. Ik kan me zo moeilijk voorstellen dat we elke keer de directie erbij trekken, niet al niet snappen.

SPEAKER_00 8:25

En laten we wel wezen. Hoogstwaarschijnlijk zijn de directeuren de eerste die een probleem eigenlijk ervan maken dat de MFA ineens ingeschakeld moet worden. Het is misschien een beetje stereotyperend. Maar kijk, als het niet een directeur is die tegen jou als IT'er zegt van rot op ermee. Dan zeg je ook misschien, je hebt dat groot te accepteren. Maar als een directeur zegt van hé, stop even met het MFA, want ik kan niet inloggen, dan ben je misschien ook wel eTer genegen om te zeggen van oké, dan niet is jouw beslissing. En wij weten natuurlijk uit praktijk dat het ook ziekem toch ook wel eens de admins zijn die MFA vervelend vinden, omdat ze er honderd keer mee geconfronteerd worden op een dag. Ook niet uitgestoten dat zo'n keuze meer op dat niveau wordt gemaakt. Anyway. Dus dat is een vertrekpunt. Goede vraag, Rick. Goeie vraag. Hou het vast. We gaan nu het partnerportal in. En take it away, zou ik zeggen.

SPEAKER_01 9:29

Ja, cool. Nou ja, we hebben dus eigenlijk gewoon een overzichtspagina gemaakt. En wat hij doet, is die laat van de verschillende geomborde talent de huidige status en score in. En hij haalt op welke talent je eventueel nog niet hebt geonboord. Waar je dus geen visibility op hebt. Dus zo kan je er ook voor kiezen om andere dingen te ontborden. Eigenlijk is de bedoeling van deze pagina gewoon een overzichtspagina om je gelijk even een beeld te geven waar moet ik nou mijn aandacht aan besteden, waar niet. En het geef je alvast een soort van sneak peek van wat er daarachter zich dan weer bevindt. Puur even zodje een overzichtje hebt.

SPEAKER_00 10:12

Dus we zien een aantal kolommen hier. Die gaan we denk ik straks ook even per stuk behandelen. Om daar die waarheid tot zand en wat zijn die verschillende waardes ook en zo. Daaronder ook die unmanage tennis. Dat heb je op mijn verzoek ook nog even toegevoegd. Hoe moeten we dat lezen?

SPEAKER_01 10:30

Eigenlijk zijn deze tennis niet geomboord. In principe wordt er een filter uitgevoerd tussen wat je geomboord hebt en wat niet geomboord is en alles wat eventueel potentieel geomboord kan worden, dat wordt daar getoond.

SPEAKER_00 10:44

En hoe weet Edic dat deze tennis bestaan in de context van relatie met het portal van de partner. Ja, ik weet het natuurlijk, maar ik laat die uit. Je wou dit graag horen. Dus we hebben we leggen een relatie met het partnercentrum. En daardoor weet Edic welke tennis erom in weer zijn door deze partner. En die matcht dat eigenlijk met degenen die daadwerkelijk on board zijn in Edic. En dat geeft ook de gelegenheid. Klik je dan op onboard, dan ga je, doe ik eventjes, dan ga je gewoon eigenlijk naar de keuze voor een van de abonnementen van Edic. En dit gaan we nog wel verder vervraaien. Maar eigenlijk wat je moet doen is een van de diensten bouncer, fixer of MDR activeren.

SPEAKER_01 11:24

Postmanagement is beschikbaar vanaf bouncer.

SPEAKER_00 11:26

Vanaf bouncer. Dan komt hij dus ook in die bovenste rijder bij te samen. Oké, goed, dus dat is de overzichtspagina. Zal ik gewoon de bovenste aanklikken?

SPEAKER_01 11:39

Ja, doe maar computerkamer is het meest interessant meest te vertellen. Cool. Nou, eigenlijk wat je hier ziet, is de overzichtspagina voor de tenent, dus de tenent detail pagina. Links heb je een score die berekend wordt op een aantal eigenschappen. We doen het expres op toevallig nu 100 punten. Maar dat betekent niet 100%. Dat is het probleem wat we ook wel tegenkomen met de Secure Score van Microsoft. Dat je dus iets toevoegt, een licentie of een vinkje ergens. Waardoor Secure score nieuwe checks toevoegt, die je ook kan halen, maar nog niet hebt. Waardoor procentueel gewijs je score daalt. En dat vinden mensen niet leuk. Want lager cijfer is minder goed. Zoverig met alles, ook een beetje bankrekening. Dus ja, dat willen we eigenlijk zien te voorkomen. Dus wat we gaan doen is als we gaan checks toevoegen. Ik heb vandaag nieuwe dingen bedacht en al die zitten in de volgende release. En dan gaat ze scoren veranderen, maar dat betekent niet dat jouw score omlaag gaat. Je kan gewoon meer punten halen. Eigenlijk is dat denk ik ook een eerlijker beeld van de situatie. De categorieën zijn verschillend. Op rechts heb je dan de sign-in risk. En wat we hier proberen is eigenlijk te kijken of we Broedforces vinden. Vinden we logins die alleen met single factor plaatsvinden. Dus wat we dan ook proberen, is interactieve logins met single factor. En we proberen allerlei dingen uit te filteren. Van standaard Microsoft Spul. O als jij inlogt met je primary refresh token. Zodat je eigenlijk alleen de sign-ins hier terug kan vinden. Die ook daadwerkelijk echt single factor zijn. Dus het geeft je een soort indicatie. Hoe vaak dat gebeurt?

SPEAKER_00 13:31

Ja, zodat je er wat mee kan. Wat is eigenlijk het verschil tussen actionable en accepted single factor?

SPEAKER_01 13:37

Nou, je hebt bijvoorbeeld, er zijn Company Portal, heeft bijvoorbeeld nog een whitelist. Er zijn allerlei gaten geprikt in conditional access, die jij niet kan je niet aan kan zetten. Die zijn een soort van buiten jou om. Zijn ook logins van Microsoft waar je niks mee kan.

SPEAKER_00 13:58

Bedoel jij dat Microsoft hardcoded, min of meer heeft bepaalde resources van hun zonder multifactor benaderbaar zijn?

SPEAKER_01 14:07

Nou ja, je hebt allerlei gaatjes. Je hebt zonder compliant device. Als je zegt, ja, compliant device moet altijd en overal. En dan zijn er weer een aantal resources waar je toch weer mag in loggen. Ze hebben gewoon conditional access heeft allerlei uitzonderingen. En soms zijn dat kwetsbaarheden. En soms zijn het kwetsbaarheden met een hele logische functionele reden. Dus dat is gewoon.

SPEAKER_00 14:32

Zou een normale gebruiker in normaal gebruik van Maak ze ooit een van die resources benaderen? Is dat.

SPEAKER_01 14:42

Jawel. Maar daarom maken we dat onderscheid expres. En als je de details wil zien, dan is het 1186 krijg je ook echt de inhoud van die check. En dan krijg je alle data die de check ophaalt, et cetera. Dus dan kan je ook buiten dit dashboard treden en veel meer details zien. Dan links daaronder heb je de MVA Strength Distribution. En wat we eigenlijk hier doen, is een onderscheid maken tussen wat voor verschillende users hebben we nou, wat voor authenticatiemethode gebruiken die verschillende users. Wat hebben ze dan geregistreerd? En dan proberen we ook onderscheid te maken tussen sterk, Medium Weak en geen. Sterk, denk aan pass keys, Wind is all for business. Phissing resistant. En bij Medium denk aan pushes van Authenticator. TOTP. Ik kan je nog een discussie overvoeren, maar ik vind TOTP in ieder geval sterker dan bijvoorbeeld SMS of bellen. En dan heb je Week. En dat is dus in dit geval, hier heb je SMS en bellen. En nun. Want er zijn ook users die hebben gewoon geen methode geregistreerd. En afhankelijk van de inrichting van jouw tenent, moeten ze dat wel of niet bij het inloggen. Wat wel nice is, en dat zit toevallig heb ik dat gewoon niet in de hand in deze tenent. Maar als je dus in deze op rechtsboven een Broodforce target zou hebben, die heb je nu niet, maar als je die zou hebben, dan krijg je eigenlijk tussen conditional access en en waarst een extra tabel. Martin de users die doelwit zijn van die Brood Forces. En welke authenticatiemethode ze geregistreerd hebben. Dus dan kan je ook kijken van oh wacht, hij heeft een paskeys. Ga maar raden. Maakt niet uit. Of oh wacht eens even, dat is dat een van die accounts met nan. Want als jij gewone MFA policy hebt, dus je zegt iedereen moet MFA registreren. Iedereen moet aan MFA voldoen. Dan wordt bij de eerste volgende login daar afgedwongen. Nou, nu moet je het registreren. Als een user dus geen heeft en jij weet het wachtwoord te raden, dan mag jij de authenticatiemethode registreren. Dus dat is nou typisch zo'n gebruiker die er dan bij zou kunnen.

SPEAKER_00 17:07

Ik moet ook wel zeggen dat het mij echt verbaasd heeft oprecht dat we hebben nog wel een paar Incent Respons cases gedaan, we hebben eigenlijk best wel veel scholen waar we diensten aan leveren. Dus we hebben redelijk zicht op het aantal inlogpogingen. Hoe onwijs veel Broedforce, er gewoon naar uitgevoerd wordt, en dan zeker op de student accounts. Die komen de hele tijd voorbij en zijn los. Verkeerd wachtwoord, verkeerd wachtwoord. Als je ze allemaal gaat opvolgen, dat is gewoon niet te doen. Maar dat het dus de hele tijd aan de hand is, dat is wel echt een feit. En dat zal misschien ook nog wel meer worden door lekken, zoals dat teammobile is.

SPEAKER_01 17:58

Zou zo kunnen? Ja, het is onderdeel van het internetachtergrond ruis. Ja, precies. Maar het is in principe net als dat er de hele dag gescand wordt op kwetsbare software. Routers en andere spullen, wordt ook dit soort dingen de hele dag gedaan. En Microsoft heeft natuurlijk wel wat stappen genomen door te zeggen, nou, admin accounts of als je op admin portalen inlogt, moet je altijd een MFA voldoen en dat soort dingen. Dus ze proberen er wel wat aan te doen. Maar toch, je kan in ieder geval die twee, die strength distribution, gecombineerd met die Broodforce, geef weer een soort van extra detail en extra informatie. Vandaar dat we die view hebben.

SPEAKER_00 18:43

Waar ik ook nog even stil bij wil staan, is dat het dus in theorie een situatie kan zijn dat je wel via Conditional Access MFA verplicht hebt gesteld. Maar dat er users zijn die nog geen MFA methode hebben geregistreerd. En denk ik in een real world scenario. Ja, is dat iets wat zichzelf oplost naarmate die mensen daadwerkelijk gaan werken met hun account, gaan inloggen. En dus gedwongen worden op dat moment om MFA in te stellen.

SPEAKER_01 19:11

Behalve wat veel bedrijven doen, is trust de location van kantoor. Vanaf vanaf kantoor hoeft MFA niet.

SPEAKER_00 19:18

Dan worden ze niet gedwongen om dat in te zetten. En nooit. En dan is dat een risico, want dan registreer je eigen authenticatiemethode. Er kan een aanvaller met single factor dus inloggen. En wordt dan dus wel gedwongen om MFA in te stellen, maar die mag dan gewoon MFA instellen. Ik zag laatst een post voorbij op LinkedIn, geloof ik dat ze nu ook bezig zijn om ook dat onboarding door conditional access heen te trekken trouwens. Oké.

SPEAKER_01 19:48

Je kan het ook nog anders oplossen hoor. Wat je kan doen is zeggen, je moet een tab of iets anders hebben als je security informatie wil registreren.

SPEAKER_00 19:57

Ja, dat hebben wij zelf natuurlijk ook zo.

SPEAKER_01 20:00

Ja, voor die pause keys dan.

SPEAKER_00 20:02

Ja, maar misschien kunnen we wel eens kijken of gewoon die implementatie als een soort van generiek. Ja, een soort van generiek kunnen maken als voorbeeld. Maar anyway, oké.

SPEAKER_01 20:14

Uh-risk admins op rechts. En dat zijn eigenlijk de beheerders. Edic weet wie de beheerders zijn in jouw tenant. En wat er eigenlijk gebeurt is, op dit moment detecteren we dan. jij hebt conditional access policies, maar hier heb je bepaalde beheerders gewitelist van die conditional access. Klopt dat wel? Nou, en eigenlijk kan helemaal fout zijn. Dan is het nu een mooi moment om wat mee te gaan doen. Of kan zeggen, nee, nee, dat klopt. Bijvoorbeeld die emergency admin. Nou, kunnen we zeggen, dat klopt. Want hij is emergency admin. Dus dan zeg je whitelist. En dan krijg je dan op je datum. Dan kan je zeggen, nou dat moest. Want het was heel nuttig. Beetje een demo. En nu wordt ook gelijk de check getriggerd om run te doen. Dus hij wordt niet helemaal meteen geüpdate. Want het duurt even voordat die data beschikbaar is. Maar zodra hij de check gedraaid heeft, dan is hij juist uitbijgewerkt. Ja, en helemaal onderin van de pagina. Kijk hoe snel dat gaat. Mina. Software staat voor niks. Als je helemaal onderin kijkt in de pagina, dan heb je ook een overzichtje met wat je gewiredlist hebt. Als je het MNV-rapport draait, overigens. Ja, dat is goed, maar daar komt het ook weer in terug. Dus ook als je elke maand bijvoorbeeld MFA-rapport zou sturen naar je klant, dan heb je in ieder geval duidelijk van nou, toen en toen hebben we dat gewiredlist met deze reden. Ja, als jij de reden spatie invult, dan kan ik je ook niet helpen.

SPEAKER_00 21:50

Ja, om dat heel even samen te vatten, het feit dat hier een at-risk-admin komt staan, wil dus zeggen dat die is uitgezonderd. Maar Edic weet niet of dat wel de bedoeling is, dat die uitgonden is. Dus je kan dan zeggen van dat moet ik oplossen. Of kan zeggen, nee, dat is inderdaad de bedoeling. Voeg het toe aan de wij is. Dan weet Edic vanaf nu van oké, jij wil dat. Dan sla je om die reden, dus ook op van ja, de klant wil dit. Dat hebben we op dit en dat moment vastgesteld met elkaar. En dat is dus gekend. En als je het over aantoonbaarheid hebt, dan zijn dat nou net de aspecten die je helpen als op een gegeven moment zoiets tot een issue zou kunnen leiden. Oké, goed. Dan komen we bij de conditional access policies.

SPEAKER_01 22:44

Wat we eigenlijk doen, is we trekken alle conditional access policies uit zo'n tenent. En dan geven we mooi een overzichtje weer. Welke zijn abled, welke zijn disabled. En we proberen daar wat nuttigs over te vertellen. Dus bijvoorbeeld, je hebt de flag 5, Open I's. Helemaal bovenin heb je gewoon wat doet de policy? In dit geval, this policy requires MMA voor all users in Accessing Specific Applications on Windows, Mac en Linux. En dat is dan ook gelijk waarom er een platform bypass warning bij staat. Want hij dwingt dus MFA af voor Windows, Mac OS en Linux. Maar als jij je user agent van je browser aanpast naar PlayStation. Ik heb bijvoorbeeld heel lang als PlayStation 5 door het leven gegaan, dan voldoe je niet in die policy wordt geen MFA gedwongen. Dus dan heb je een soort bypass risk wat je introduceert in deze in deze policy. Dat kan helemaal logisch zijn en nodig zijn. Maar ook dat kan je dus whitelisten en daar kan je ook weer een notitie van maken. Maar ja, dat hoeft natuurlijk niet. Wat verder in deze tabel plaatsvindt, is dat er eigenlijk Attic wil twee policies. Conditionac policies detecteren, maar in de context van MMA wil hij één. Hij wil zien dat er eentje is die alle admins verplicht om MFA uit te voeren. Daarom krijg je beelden erachter met Enforces Admin MFA. En hij probeert er één te detecteren die alle users verplicht om MNVA uit te voeren. En dan op basis daarvan geeft hij die pilletjes in dan krijg ik weer hogere scoren.

SPEAKER_00 24:38

Ja, en die all users is niet aanwezig. Vandaar dat deze rode balk hier staat.

SPEAKER_01 24:44

Ja, het kan ook zijn dat gewoon die check. We hebben net geonwoord. Het kan ook zijn dat die check nog niet gelopen heeft. Is je over een uur weer draait ook twee uur. Ja, whatever. Maar die komt er dan bij, maar dat update zichzelf, zeg maar vooral. En hier zie je dan bijvoorbeeld dat een van die beheerders. Dus je kan ook zien van waar zit dan die beheerder die gewitelist is, bijvoorbeeld.

SPEAKER_00 25:09

Oké, en dan heb je deze knop nog, view raw configuration. Dat is echt voor de liefde.

SPEAKER_01 25:16

En dan heb je gewoon de rauwe JSON van de roel. Dat kan soms best nuttig zijn om even te zien wat er aan de hand is. Dit heb ik gewoon ingebouwd op het moment dat het niet helemaal duidelijk is, dat geeft ook wat debugging features, denk ik. Die data hebben we nou eenmaal, dus die moeten we ook gewoon lekker meenemen. Geef je een soort van overzichtspapia.

SPEAKER_00 25:38

Nou ja, en ook wel actionable. Dus je kan gelijk wel zeggen van oké, ik doe gelijk iets met de uitzonderingsaspecten. Dat kon eigenlijk ook altijd al, maar het was altijd best een beetje zoeken. En dan moest je dingen kopen, copy-pasten.

SPEAKER_01 25:52

We brengen nu meer bij elkaar.

SPEAKER_00 25:54

Inclusief die wijziging regenschuit, wie heeft dat dan gedaan? Dat is natuurlijk ook heel relevant.

SPEAKER_01 26:00

Ja, dat gaan we nog wel iets verbeteren. Waarbij we straks correctie. We gaan één ding sowieso doen, dat is dat je straks ook andere acties kan uitvoeren. Want je kan nu whitelisten. Maar er komen in de nieuwe UI, het uur nog eventjes. Komen actions. En dan kan je dus gewoon zeggen, deze policy was nu report only, wordt nu gewoon actief. Dus dan kan je het gewoon aan en uitzetten. En en dat is iets wat we in de config gaan bijwerken, is wie heeft deze config dan gezet?

SPEAKER_00 26:35

Ja, al dit trail eigenlijk.

SPEAKER_01 26:38

Dus gewoon Erik heeft het gezet op die indicatum, dat er ook niet. Want nu is het gewoon hij is gezet op die in die datum. Mis je net. Dat komt eraan, dat is niet voor.

SPEAKER_00 26:52

Heel even dan nog over de scoring. Want we hebben dus die verschillende factoren, die hebben nu net eigenlijk allemaal één voor één behandeld, met uitzondering dan van ITM protection. Maar ik neem even aan dat al onze partners dat wel herkennen, wat dat is. Dat is gewoon die functie met dat rode scherm eigenlijk. Of dat aan of uitstaat. Daar kennen we ook scores aan toe. Want dat is natuurlijk ook een waarde die helpt bij de scheiding tegen account misbruik. Dus het doet er toe. En je kan dus in totaal 100 punten scoren. Deze tenet heeft nu 35,5. Wat is een beetje jouw ervaring tot nu toe? Waar komen tenets op uit?

SPEAKER_01 27:35

70, 80, toch wel. Want de meeste die gewoon. Kijk, als je gewoon zegt, oh ik doe iedereen alle admins hem ervaar, alle policies over, iedereen moet even va. En je hebt niet te veel uitzonderingen, dan kom je best wel hoog uit. En tot nu toe heb ik eigenlijk een paar kleine uitzonderingen gezien, maar het viel reuze mee.

SPEAKER_00 27:59

Ja, dus als ik nou, en zo'n uitzondering, hè, dus als ik komt het nu, staat hier nu 12,5 bij Admin Protection, omdat ik één uitzondering heb die ik niet heb goedgekeurd. Dus als ik die goedkeur, dan zou die naar 15 schieten.

SPEAKER_01 28:12

Ja, als jij denkt dat dat oké is. Gewoon.

SPEAKER_00 28:17

Nee, maar dat is hoe het werkt. Dus een geaccepteerde uitzondering, dat is oké. Wij weten niet beter dan dat je dat wou. Het is risicomanagement. Oké, perfect. En dan hebben we de rapportaar. Ja, laat ik even binnen de interface blijven. Dan naar de reports. Dus we hebben nu. Om dat nog even te duiden. We zijn nu net vanuit het hoofdscherm van MFA Posture naar deze tenent toegeklikt. Maar je kan deze tenent natuurlijk ook openen via Applied Solutions. Het was computercamera. En dan gaat het dus om een tapje posture. En dat tapje bestaat alleen maar voor tenants met een licentie voor bouncer, fixer of MDR on boord. Dus als jij nog premium gebruikt, dan is dat tapje niet zichtbaar. En dan doen die scores het ook niet. Oké, reports. Hier had je altijd al het monthly report. Dat was eigenlijk het traditionele. Je over alle checks heen rapporteert wat de status is en de incident van de afgelopen maand, maar dit rapport is er nu bijgekomen. En dat kan je uitdraaien ook weer in het Engels of in het Nederlands. Ik weet niet of nu zal er misschien niet heel veel data in staan voor deze maand, want we hebben hem net on boord.

SPEAKER_01 29:40

Ik zou gewoon kijken. Je hebt nu de volgende maand.

SPEAKER_00 29:51

Deze zal ik even een andere window moeten openen. Nee, hier staat nog niet zoveel zinnigs in. Dus wacht even, pak ik even die andere tenant. Dan kunnen we eigenlijk gelijk nog een dingetje laten zien, want we hadden dus een andere tenent die op zich ook wel wat data heeft. Dat is deze trapkast. Het is wel interessant dat als je dus nog niet ont boord bent, dat je toch wel 30 punten kunt scoren. Dat is wel nice. Je bent wel on board. Dus dat is al 30 punten waard.

SPEAKER_01 30:26

Ja, ITM protection hebben zo'n enable. Er zijn geen admins die het risk zijn. Weer 10 puntjes bij, 5 puntjes.

SPEAKER_00 30:34

Ja, en hier, daarom wilde ik hem even laten zien. Dus dit is eigenlijk het schermpje, het blokje wat je krijgt in een tenent waar security defaults.

SPEAKER_01 30:44

En condition access disabled zijn.

SPEAKER_00 30:46

Ja, dus er helemaal geen MFA protectie wordt afgedwonden.

SPEAKER_01 30:50

Ja, je zou nog kunnen zeggen, ja, maar wij doen per user MFA, maar die supporten we niet, omdat je daar niet app-based of API-based bij kan. Het zal alleen maar user-based. Maar dus daar waarschuwen we voor, stel dat je security defaults hebt, dan krijg je eigenlijk een bepaalde maximale score. Met de melding van yo, je mist eigenlijk allerlei features, dit zijn je risico's. En ook als je het rapport uit draait, krijg je dan specifiek een security defaults rapport. Dus zo draaien we dat dan ook weer door. En afhankelijk van je licentie kunnen we bepaalde data wel of niet inzien. Denk aan. Mvaarregistratie. Als jij gewoon een free hebt of zo, dan kan je dat dus niet zien. Dus dan krijg je een melding van hey, dit kunnen we niet zien. Eigenlijk sowieso, hoe meer ik hiermee zit te spelen, hoe meer ik ook wel tot de conclusie komt entra ID P1 toch wel een soort van de bare minimum aan het worden is. Als het gaat over beheersbaarheid van die MFH, maar ook inzicht in wat je users aan het doen zijn.

SPEAKER_00 31:54

Ja, daar wil ik ook nog even bij chilen. Want we hebben op zich nog wel klanten in ons portfolio die nog draaien op Business Basic of Business Standaard. O, dat kom je niet zo heel vaak tegen, maar E1 voelde ik daar ook aan, die draaien op een intra ID free, of vroeger heet dat AD free installatie. Oftewel intra, is dan een soort van gratis database met users, maar zonder de uitgebreide functionaliteit van conditional access en dat soort zaken. En op het moment dat jij naar business premium gaat, of A3, of nog hoger, dan krijg je entra ID P1. En als je naar E5 gaat, dan krijg je P2, en dan zitten helemaal vette identity protection features in. Maar goed, daar betaal je dan dus ook voor. Als je dus niet P1 hebt, dan is de enige manier waarop je kunt afdwingen dat MFA moet worden gebruikt, is security defaults. Dat is afdwingen tot op zekere hoogte. En dus eigenlijk met alles wat wij zien gebeuren, eigenlijk niet goed genoeg.

SPEAKER_01 33:13

Nee, nou ja, kijk, admins moeten MFA doen. Dat is fijn van Security Defaults. Legacy Auth is disabled. Nog iets fijn van Security Defaults. Maar user MFA is dus alleen als Microsoft risico detecteert. En risico detecteert is een soort van. Ja, daar kan je niet transparant. Ik weet niet wat het is. En het zal vast goed werken hoor, daar niet van. Maar het maakt het niet stuurbaar. Kom nog bij dat als je dus wel een bepaalde whitelist wil, of je wil zeggen, ja, maar vanaf kantoor wil ik dit, of vanaf duidelijk dat. Je kan gewoon niks configureren. Het is aan of het is uit en dan ben je klaar. Dus ja, wij proberen in ieder geval te adviseren van joh, overwegen P1.

SPEAKER_00 34:00

Ik denk ook dat onze partners dat op zich ook graag overnemen, dat advies. Maar dat we ze misschien hiermee dan ook helpen iets van data te onderbouwen. Je haalt nu maximaal 50 en je wil 100. Het is heel stom, maar zo kan het werken, zo even aan te tonen dat er een belang is om die upgrade te maken.

SPEAKER_01 34:21

Wat dat betreft, is dan het rapport de rapportput van het MFA-rapport is ook anders voor een talent met conditional access dan voor security defaults. En als er dus security defaults aanstaat. En de user heeft ook gewoon alleen dus entra ID free, de klant, dan is het rapport ook eigenlijk een uitleg van dit haal je nu, dit doe je nu. Dit zijn de goede punten. Dit is wat je allemaal mist, overweeg P1. Juist ook omdat we zelf daar erg. Nou ja, ik vind het gewoon als je iets met security wil doen, dan is het toch gewoon een soort minimale eerste stap.

SPEAKER_00 35:05

En voor de meeste kleine accounts gaat het dan over business basic naar business premium, even over het algemeen. Mag je hardop zeggen dat als je van al je gebruikers, tenminste, één er naar business premium update, dat je dan al conditional access hebt? Of mag je dat niet zeggen?

SPEAKER_01 35:23

Ja, dat mag je hardkaart zeggen, het mag alleen niet. Dus het valt gewoon buiten dingen. Dus maar technisch gezien, je kan één E5 licentie nemen, of niet eens je kan gewoon business premium nemen, maar je kan ook één P2 licentie en alle P2 features, zoals PIM, password protection, identity risk, conditional access, die zijn opeens te gebruiken. Het mag niet. En als je geaudit wordt, dan ben je dus ook niet conform blijft. Dus je kan beter gewoon wel al die licenties nemen. Voor al die users. Nee, niet doen. Maar het kan wel. Ja, maar niet doen. Ik moet wel op pad. Ja, oké.

SPEAKER_00 36:12

Echt nu? Nog twee minuten. Oké, kijk, dan draai ik nog heel even kijken. Moet je wel MF aanvinken.

SPEAKER_01 36:19

Je draait nu het gewoon een rapport.

SPEAKER_00 36:22

Ik raak helemaal nerveus in. Kijken of hier wat in staat wat danbaar is. Ja, dat is op zich wel nice. Even als voorbeeldje.

SPEAKER_01 36:37

Je kan ook een pdf'je draaien van twee testomgevingen, die je gewoon ergens beschikbaar stellen.

SPEAKER_00 36:43

Ja, dat kan misschien in het ondervisie al erbij. Even kijken hoor. Hoe doe ik dit? Even kijken. Even een rapportje. En het haaraport.

SPEAKER_01 37:18

Je ziet dat het postuur nog heel laag is. En de gemiddelde authenticatiemethode ook. Die zijn gelukkig een stuk anders dan je hebt voor die registratietrend, we houden tegenwoordig trenddata bij. Dat wordt voor veel meer dingen. Dus dat gaan we in die nieuwe ARI ook veel gebruiken. Ja, het begint eigenlijk geen security. Ja, het leek me gewoon best om moet gewoon heel erg groot rood te doen. Je hebt geen MFA, doe er wat aan.

SPEAKER_00 37:46

Dat is goed. En dan komt hier meer de details daaronder.

SPEAKER_01 37:50

Ja, of er aanmeldingen zijn, nou is deze testomgeving, trapkast, worden niet echt interactief ingelogd. Dit geeft een soort van.

SPEAKER_00 38:02

Echt een mooi. Dan kan je als consultant naar je klant toe en zeggen van kom, we gaan dit even oppakken samen. Ja, nice. En tot slot wilde ik nog heel even alleen benoemen dat de verschillende waarden is waarop we controleren en ook de beschrijving van hoe werkt dit nou, staat in het knowledgebase van Edic. Kan je ook zien van hoe werkt die score, waarom controleren we op dergelijke? Dus er staat ook goede uitleg bij. En dit gaan we natuurlijk langzaam elkaar uitbreiden. En we hopen natuurlijk dat alle partners alle klanten gaan aansluiten op Bouncer. En daarmee ook deze situatie goed onder controle gaan krijgen. Dat zou natuurlijk het allerleukst zijn. Rick, jij moet er vandoor. Zat hij al voor de deur? De taxi staat er. Dan bedankt voor jouw medewerking. Voor uw aandacht en jijw aandacht. En dan hopelijk tot weer de volgende Etic Lab sessions. Laater.