Co je ochrana identit?

Identity Protection je nástroj, který organizacím umožňuje provádět tři klíčové úlohy:

Služba Identity Protection využívá poznatky, které Microsoft získal z jejich pozice v organizacích s Azure AD, uživatelský prostor s účty Microsoft a v herním prostředí s Xboxem k ochraně uživatelů. Microsoft analyzuje 6,5 bilionů signálů za den, aby bylo možné identifikovat a chránit zákazníky před hrozbami.

Signály vygenerované službou Identity Protection a jejich prostřednictvím se dají dále generovat do nástrojů, jako je podmíněný přístup k rozhodování o přístupu, nebo se vrátit k nástroji pro správu bezpečnostních informací a událostí (SIEM) pro další šetření na základě vynucených zásad vaší organizace.

Proč je automatizace důležitá?

V blogovém příspěvku Cyber Signals: Obrana před kybernetickými hrozbami s nejnovějšími výzkumy, přehledy a trendy datovanými 3. únorem 2022 jsme sdíleli stručný přehled o vláknech, včetně následujících statistik:

  • Analyzovány... 24 bilionů bezpečnostních signálů v kombinaci s inteligencí, které sledujeme monitorováním více než 40 národních skupin a více než 140 skupin hrozeb...
  • ... Od ledna 2021 do prosince 2021 jsme zablokovali více než 25,6 miliard útoků na ověřování hrubou silou Azure AD...

Tato škála signálů a útoků vyžaduje, aby bylo možné udržet krok s určitou úrovní automatizace.

Detekce a náprava rizik

Služba Identity Protection identifikuje rizika mnoha typů, mezi které patří:

  • Použití anonymní IP adresy
  • Neobvyklá cesta
  • Propojená IP adresa malwaru
  • Neznámé vlastnosti přihlášení
  • Uniklé přihlašovací údaje
  • Rozprašovač hesel
  • a další...

Podrobnější informace o těchto a dalších rizicích, včetně toho, jak nebo kdy jsou vypočteny, najdete v článku Co je riziko.

Rizikové signály můžou aktivovat nápravné úsilí, jako je vyžadování uživatelů: provedení služby Azure AD Multi-Factor Authentication, resetování hesla pomocí samoobslužného resetování hesla nebo blokování, dokud správce neprovede akci.

Šetření rizik

Správci můžou zkontrolovat detekce a v případě potřeby na ně provést ruční akci. Existují tři klíčové sestavy, které správci používají k šetření ve službě Identity Protection:

  • Rizikoví uživatelé
  • Riziková přihlášení
  • Detekce rizik

Další informace najdete v článku Postupy: Zkoumání rizika.

Úrovně rizika

Služba Identity Protection kategorizuje riziko na úrovně: nízká, střední a vysoká.

I když Microsoft neposkytuje konkrétní podrobnosti o tom, jak se počítá riziko, řekneme, že každá úroveň přináší vyšší jistotu, že uživatel nebo přihlášení je ohrožen. Například například jedna instance neznámých vlastností přihlašování pro uživatele nemusí být tak ohrožená jako únik přihlašovacích údajů pro jiného uživatele.

Export rizikových dat

Data ze služby Identity Protection je možné exportovat do jiných nástrojů pro archivaci a další šetření a korelaci. Rozhraní API založená na Microsoft Graphu umožňují organizacím shromažďovat tato data pro další zpracování v nástroji, jako je siEM. Informace o tom, jak získat přístup k rozhraní API služby Identity Protection, najdete v článku Začínáme se službou Azure Active Directory Identity Protection a Microsoft Graphem.

Informace o integraci informací o službě Identity Protection s Microsoft Sentinelem najdete v článku Připojení dat ze služby Azure AD Identity Protection.

Organizace se navíc můžou rozhodnout ukládat data delší dobu změnou nastavení diagnostiky v Azure AD tak, aby odesílaly data RiskyUsers a UserRiskEvents do pracovního prostoru Služby Log Analytics, archivují data do účtu úložiště, streamují data do služby Event Hubs nebo odesílají data do partnerského řešení. Podrobné informace o tom, jak to udělat, najdete v článku Postupy: Export rizikových dat.

Oprávnění

Služba Identity Protection vyžaduje, aby uživatelé měli přístup jako čtenář zabezpečení, operátor zabezpečení, správce zabezpečení, globální čtenář nebo globální správce.

Role Může to udělat Nejde to udělat
Globální správce Úplný přístup ke službě Identity Protection
Správce zabezpečení Úplný přístup ke službě Identity Protection Resetování hesla pro uživatele
Operátor zabezpečení Zobrazení všech sestav služby Identity Protection a okna Přehled

Zavření rizika uživatele, potvrzení bezpečného přihlášení, potvrzení ohrožení zabezpečení
Konfigurace nebo změna zásad

Resetování hesla pro uživatele

Konfigurace upozornění
Čtenář zabezpečení Zobrazení všech sestav služby Identity Protection a okna Přehled Konfigurace nebo změna zásad

Resetování hesla pro uživatele

Konfigurace upozornění

Pošlete nám zpětnou vazbu k detekci.

Role operátora zabezpečení v současné době nemá přístup k sestavě rizikových přihlášení.

Správci podmíněného přístupu můžou také vytvářet zásady, které jako podmínku zaznamují riziko přihlašování. Další informace najdete v článku Podmíněný přístup: Podmínky.

Licenční požadavky

Použití této funkce vyžaduje licenci Azure AD Premium P2. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcí Služby Azure AD.

Schopnost Podrobnosti Bezplatné služby Azure AD / Microsoft 365 Apps Azure AD Premium P1 Azure AD Premium P2
Zásady rizik Zásady rizik uživatelů (prostřednictvím identity Protection) Ne Ne Ano
Zásady rizik Zásady rizik přihlašování (prostřednictvím služby Identity Protection nebo podmíněného přístupu) Ne Ne Ano
Sestavy zabezpečení Přehled Ne Ne Ano
Sestavy zabezpečení Rizikoví uživatelé Omezené informace. Zobrazí se pouze uživatelé se středním a vysokým rizikem. Žádné podrobnosti o šuplíku nebo historii rizik. Omezené informace. Zobrazí se pouze uživatelé se středním a vysokým rizikem. Žádné podrobnosti o šuplíku nebo historii rizik. Full access
Sestavy zabezpečení Riziková přihlášení Omezené informace. Nezobrazují se žádné podrobnosti o riziku ani úroveň rizika. Omezené informace. Nezobrazují se žádné podrobnosti o riziku ani úroveň rizika. Full access
Sestavy zabezpečení Detekce rizik Ne Omezené informace. Zásuvka bez podrobností. Full access
Oznámení Zjištěné výstrahy uživatelům Ne Ne Ano
Oznámení Týdenní digest Ne Ne Ano
Zásady registrace MFA Ne Ne Ano

Další informace o těchto bohatých sestavách najdete v článku Postupy: Zkoumání rizika.

Další kroky