# CrowdStrike's ITP instellen met Entra ID
{% hint style="info" %}
Voordat u met de integratie begint, zorg ervoor dat:
* U een betaalde Entra ID-licentie hebt ([Microsoft Entra ID](https://entra.microsoft.com) Gratis wordt niet ondersteund).
* Het gebruikte account globale beheerdersrechten heeft voor uw Entra ID-account.
{% endhint %}
## Doel van ITP
De ITP-optie (Identity Threat Protection) bewaakt continu accountgerelateerde activiteiten en Active Directory om afwijkend gedrag te detecteren.
#### Identiteitsgerichte gedragsanalyse
* Verdachte authenticaties
* Ongebruikelijke toegangspatronen
* Niet-geautoriseerde inlogpogingen
* Afwijkingen in gebruikersaccounts
Voorbeelden van gedetecteerde gebeurtenissen: verdachte werkstation-naar-serververbindingen, netwerkscans, brute-forcepogingen of het extraheren van inloggegevens. Wanneer een kritieke gebeurtenis wordt geïdentificeerd, kan de module **deze automatisch blokkeren**.
#### Beoordeling van de beveiligingsstatus van uw Active Directory
De module biedt een realtime overzicht van de beveiliging van uw Active Directory, vergelijkbaar met de Stoïk Protect AD-scan maar met geavanceerdere opties:
* Identificatie van configuratieproblemen
* Detectie van accounts met gecompromitteerde wachtwoorden
* Beheer en controle van gebruikersrechten
#### Bewaking van cloudbedreigingen (optioneel)
Wanneer geconfigureerd met uw identiteitsservice (bijv. Entra ID), kan ITP bedreigingen in uw cloudomgevingen detecteren:
* Inlogpogingen vanaf verdachte IP-adressen
* Afwijkende toegangspogingen tot gebruikersaccounts
## Integratie
De integratie vereist de volgende stappen voor **elke Azure-tenant**.
{% stepper %}
{% step %}
### Maak een toepassing aan en configureer deze in Entra ID
1. Open in de Azure-portal het menu aan de linkerkant en klik op `Microsoft Entra ID`.
2. Van het `Toevoegen` menu, selecteer `App-registraties`.
3. Op de `Een toepassing registreren` pagina:
* Onder `Naam`, voer een naam in die overeenkomt met uw interne conventies, of gebruik `stoik-connector-itp`.
* Onder `Ondersteunde accounttypen`, selecteer `Alleen accounts in deze organisatorische directory`.
* Onder `Omleidings-URI`, selecteer `Web` en voer `https://localhost`.
* Klik op `Registreren`.
4. Klik in het menu aan de linkerkant van de toepassing op `API-machtigingen`.
5. Klik op `Een machtiging toevoegen`.
6. In de `API-machtigingen aanvragen` venster, klik op `Microsoft Graph`, en selecteer vervolgens `Toepassingsmachtigingen`.
7. In `Machtigingen selecteren`:
* Type `directory`, breid `Directory`, en selecteer `Directory.Read.All`.
* Type `audit`, breid `AuditLog`, en selecteer `AuditLog.Read.All`.
8. Klik op `Machtigingen toevoegen`, en klik vervolgens op `Beheerderstoestemming verlenen` en bevestig.
{% endstep %}
{% step %}
### Haal het tenantdomein op
1. Ga in de Azure-portal naar `Microsoft Entra ID`.
2. Klik in het menu aan de linkerkant op `Overzicht`.
3. Noteer de waarde van de `Primaire domein` (bijv. `example.onmicrosoft.com`).
{% endstep %}
{% step %}
### Haal de toepassings-id en het geheim op
1. Ga in Microsoft Entra ID naar `App-registraties` en selecteer uw toepassing.
2. In `Overzicht`, noteer de `Toepassings-(client)id`.
3. In `Certificaten & geheimen`, maak een nieuw clientgeheim aan: geef een beschrijving en een vervaltermijn op.
4. Sla de gegenereerde waarde onmiddellijk op. Deze wordt niet opnieuw zichtbaar.
{% endstep %}
{% step %}
### Maak een aangepaste rol voor RBAC-toegang
Om informatie over Azure RBAC-roltoewijzingen in Identity Protection weer te geven, moet aan de toepassing toestemming worden verleend om RBAC-definities en -toewijzingen te lezen.
#### Maak de aangepaste rol aan
1. Ga in de Azure-portal naar `Beheergroepen`.
2. Klik op `Tenant-hoofdgroep`.
3. Selecteren `Toegangsbeheer (IAM)`, en klik vervolgens op `Rollen`.
4. Klik op `Toevoegen`, en selecteer vervolgens `Aangepaste rol toevoegen`.
5. In de `Basis` tabblad, voer een duidelijke naam in (bijv. `Identity Protection RBAC-lezer`).
6. In de `Machtigingen` tabblad, voeg de volgende machtigingen toe:
```
Microsoft.Authorization/roleDefinitions/read
```
```
Microsoft.Authorization/roleAssignments/read
```
7. Klik op `Controleren + maken`, vervolgens `Maken`.
#### Wijs de aangepaste rol toe
1. Ga in de Azure-portal naar `Beheergroepen`.
2. Klik op `Tenant-hoofdgroep`.
3. Selecteren `Toegangsbeheer (IAM)`, en klik vervolgens op `Roltoewijzingen`.
4. Klik op `Toevoegen`, en selecteer vervolgens `Roltoewijzing toevoegen`.
5. In de `Rol` tabblad, selecteer de aangepaste rol die u zojuist hebt gemaakt.
6. In de `Leden` tabblad, klik op `Selecteer leden`, zoek naar de eerder gemaakte toepassing (bijv. `stoik-connector-itp`), selecteer deze en klik op `Selecteren`.
7. Klik op `Controleren + toewijzen`, vervolgens `Controleren + toewijzen` opnieuw om te bevestigen.
{% endstep %}
{% step %}
### Geef informatie door aan Stoïk
{% hint style="info" %}
Als u directe toegang hebt tot uw Falcon ITP-platform, sla deze stap dan over en ga door naar de volgende.
{% endhint %}
Stuur de volgende informatie naar :
* Primaire domeinnaam van de tenant (eindigt op `onmicrosoft.com`)
* Toepassings-id
* Toepassingsgeheim
{% endstep %}
{% step %}
### Configureer de connector in Identity Protection
1. Ga in de Falcon-console naar `Identity Protection` > `Configureren` > `Connectoren`.
2. Selecteren `Entra` onder de `IDAAS` categorie.
3. Configureer de connector met de primaire domeinnaam van de tenant, de toepassings-id en het toepassingsgeheim.
4. Schakel de optie voor het verzamelen van inloggegevens in.
5. Sla de configuratie op.
De statusindicator wordt binnen een minuut groen, wat bevestigt dat de verbinding succesvol is tot stand gebracht.
{% hint style="info" %}
De primaire domeinnaam van de tenant die u moet gebruiken, is degene die Microsoft heeft gegenereerd tijdens het aanmaken van uw Azure-tenant. Deze eindigt altijd op `onmicrosoft.com`.
{% endhint %}
{% endstep %}
{% step %}
### Verleen Stoïk remediatietoegang
In het geval van een accountcompromittering tijdens nachten of weekenden, is uw team mogelijk niet beschikbaar om remediatie uit te voeren. We raden aan toegang te verlenen zodat getroffen accounts kunnen worden uitgeschakeld bij een bevestigd compromis.
Klik op de [meegeleverde link](https://login.microsoftonline.com/organizations/adminconsent?client_id=72f25200-dfe6-4c66-959d-103731ae6215\&redirect_uri=https://login.microsoftonline.com/common/oauth2/nativeclient), bekijk de gevraagde machtigingen en klik op `Accepteren`. U wordt doorgestuurd naar een lege pagina, die u mag sluiten.
De toepassing heeft alleen de machtigingen die nodig zijn om bestaande accounts in of uit te schakelen, zonder de mogelijkheid om accounts aan te maken of andere attributen te wijzigen. Elke actie wordt geauthenticeerd via MFA, gelogd en van een tijdstempel voorzien. Op verzoek kan een volledig auditlogboek worden verstrekt.
{% endstep %}
{% endstepper %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.stoik.io/help/help-nl/stoik-mdr/edr-setup-crowdstrike/edr-options/setup-crowdstrikes-itp-with-entra-id.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
