Problemet vi löser

Microsoft 365 genererar säkerhetssignaler. Det är inte problemet. Problemet är att signalerna hamnar i portaler som de flesta aldrig öppnar. En MFA-ändring loggas i Entra ID. En phishing-klassificering syns i Defender. En ovanlig inloggning dyker upp i inloggningsloggarna. Men vem sitter och tittar?

Utan dedikerad säkerhetsavdelning hamnar dessa signaler i tomma intet. Konsekvensen är intrång som upptäcks dagar, veckor eller månader för sent. Ibland upptäcks de aldrig.

Vakt365 finns till för att den luckan inte ska behöva existera.

Hur övervakningen fungerar

Vakt365 kopplas till er Microsoft 365-miljö som en läsbehörig applikation. Vi har inte tillgång till e-post, filer eller chattar. Enbart säkerhetsloggar och varningar.

Varje timme hämtar vi händelsedata från fyra separata datakällor i er M365-miljö. Datan normaliseras och analyseras mot ett regelset som vi utvecklat specifikt för att fånga de hot som faktiskt drabbar svenska företag.

Er M365-miljöLoggar & varningar
Vakt365 analyserarVarje timme
Larm vid avvikelseMejl med åtgärdsförslag

Viktigt att förstå: vi läser data, vi ändrar aldrig något. Ingen automatisk åtgärd sker i er miljö. Ni får ett larm, ni fattar beslutet.

Vad vi tittar på

Vi hämtar inte "allt". Vi hämtar det som är relevant ur ett säkerhetsperspektiv. Fyra kategorier av data analyseras:

Inloggningsbeteende. Varifrån loggar era användare in? Från vilka länder? Dyker det upp inloggningar som inte stämmer med verkligheten, till exempel från två länder med så kort tids mellanrum att det är fysiskt omöjligt att resa sträckan?

Administrativa förändringar. Vem ändrar vad? Tilldelas det nya administratörsroller? Stängs tvåfaktorsautentisering av? Skapas vidarebefordranregler för e-post? Allt detta loggas i M365, men det är svårt att hänga med manuellt.

Hotvarningar. Microsoft Defender genererar varningar om skadlig kod, ransomware, phishing och andra hot. De flesta företag har dessa varningar aktiverade utan att veta om det, och utan att någon tittar på dem.

Riskbedömningar. Microsoft gör egna riskbedömningar av konton baserat på inloggningsbeteende. Vi fångar upp när ett konto flaggas som komprometterat.

Inte bara enskilda händelser

En enskild ovanlig inloggning kan vara en tjänsteresa. En MFA-ändring kan vara planerad. Men en ovanlig inloggning följd av en MFA-ändring följd av en ny vidarebefordranregel? Det är ett mönster som kräver omedelbar uppmärksamhet.

Vi analyserar inte bara enskilda händelser. Vi kopplar ihop flera händelser. Om flera händelser inträffar för samma användare inom ett kort tidsfönster och mönstret matchar kända attackkedjor skapas ett samlat larm. Det gör att vi fångar angrepp som sker i flera steg som ingen enskild signal hade avslöjat.

Exempel: En användare klickar på en länk som i efterhand klassificeras som skadlig. Timmar senare sker en inloggning från ett nytt land. Var för sig kan det bortförklaras. Tillsammans är det ett troligt kontoövertagande, och Vakt365 larmar.

Vilka hot fångar vi?

Vi fokuserar på de attackvektorer som faktiskt används mot Microsoft 365-miljöer. Inte teoretiska hot, utan det vi ser i verkligheten.

Kontoövertaganden

MFA-ändringar, ovanliga inloggningar och behörighetsändringar som sammantaget tyder på att ett konto tagits över.

Phishing i inkorgen

Mejl som passerat filter men som i efterhand klassificerats som phishing och nått en användares inkorg.

Skadlig kod & ransomware

Defender-larm om skadlig kod eller ransomware-beteende på enheter kopplade till er miljö.

Datautflöde

Massiv filnedladdning eller radering som avviker markant från normalt beteende.

Obehöriga behörighetsändringar

Nya administratörsroller, inklusive global admin, som tilldelas utan förklaring.

E-postmanipulering

Vidarebefordranregler som skickar kopior av all e-post till adresser utanför organisationen.

Hur ett larm ser ut

Vi har medvetet byggt larmen för att vara användbara för personer som inte sitter i säkerhetsportaler dagligen. Varje larm innehåller tre delar: vad som hände, varför det är problematiskt, och exakt vad ni bör göra. Steg för steg, med direktlänkar till rätt ställe i er M365-admin.

E-post vidarebefordras till extern adress HÖG
Vad hände

En regel för automatisk vidarebefordran har skapats för ett e-postkonto. All inkommande e-post skickas nu automatiskt vidare till en extern adress.

Varför det är allvarligt

All e-post, inklusive fakturor, kontrakt och intern kommunikation, kopieras löpande till en adress utanför organisationen. Det är ett klassiskt tecken på ett kapat konto.

Rekommenderade åtgärder
1Kontrollera med användaren om vidarebefordran var medveten
2Ta bort vidarebefordransregeln i Exchange Admin
3Byt lösenord och logga ut alla sessioner om regeln var obehörig

Ingen rådata att tolka. Inga riskpoäng att googla. Bara tydliga besked och konkreta steg.

Vem är det här till för?

Vakt365 är byggt för organisationer som kör Microsoft 365 men inte har en dedikerad person som sitter i Microsofts säkerhetsportaler. Det kan vara ett litet företag med en IT-ansvarig som har tusen andra saker att göra, eller ett medelstort bolag som vill komplettera sina befintliga rutiner med en extra larmkälla.

Vi ersätter inte er befintliga säkerhet. Vi är ett komplement som ser till att kritiska händelser inte passerar obemärkt.

Vad som inte ingår

Det är lika viktigt att vara tydliga med vad vi inte gör. Vi vidtar aldrig åtgärder i er miljö. Vi blockerar inte konton, raderar inte mejl och ändrar inte inställningar. Vi larmar, ni beslutar.

Vi garanterar heller inte att varje tänkbart hot fångas. Men vi ser till att de vanligaste och allvarligaste attackvektorerna mot M365 bevakas löpande, varje timme, dygnet runt.

Sammanfattat: Vi hämtar säkerhetsdata från er M365-miljö varje timme. Vi analyserar den mot kända attackmönster. Vid avvikelse får ni ett larm på svenska med vad som hänt och vad ni bör göra. Inga riskpoäng, ingen rådata, inga krav på att ni sitter i Microsofts portaler.

Vill ni se det i praktiken?

Kom igång på några minuter. Ingen installation, ingen bindningstid.

Aktivera övervakning →