Co je ochrana identit?
Identity Protection je nástroj, který organizacím umožňuje provádět tři klíčové úlohy:
- Automatizace detekce a nápravyrizik založených na identitách
- Prošetřování rizik pomocí dat na portálu
- Exportujte data detekce rizik do siem .
Služba Identity Protection využívá informace, které Microsoft získal od své pozice v organizacích s Azure AD, prostoru pro spotřebitele s účty Microsoft a při hraní her s Xboxem k ochraně uživatelů. Microsoft analyzuje 6,5 bilionu signálů za den, aby identifikoval zákazníky a chránil před hrozbami.
Signály vygenerované a předávkované do Identity Protection je možné dále nasahat do nástrojů, jako je podmíněný přístup, aby bylo možné rozhodovat o přístupu, nebo vrátit nástroji pro správu akcí a informací o zabezpečení (SIEM) k dalšímu prošetření na základě vynucovaných zásad vaší organizace.
Proč je automatizace důležitá?
Ve svém blogovém příspěvku v říjnu 2018 Alex Weinert, který vede tým Microsoftu pro zabezpečení a ochranu identit, vysvětluje, proč je automatizace při řešení objemu událostí tak důležitá:
Každý den naše strojové učení a heuristické systémy poskytují skóre rizika pro 18 miliard pokusů o přihlášení pro více než 800 milionů jedinečných účtů, z nichž 300 milionů jsou nezávisle prováděny nežádoucími osobami (entity, jako jsou: podvodní aktéři, hackeři).
V Ignite v minulém roce jsem mluvil o 3 nejlepších útocích na naše systémy identit. Tady je aktuální objem těchto útoků.
- Opakování porušení zabezpečení: 4,6BN útoků zjištěných v květnu 2018
- Útok password spray: 350 tisíc v dubnu 2018
- Phishing: Je obtížné přesně kvantifikovat, ale v březnu 2018 jsme viděli 23 milionů rizikových událostí, z nichž mnohé souvisejí s phishem.
Detekce a náprava rizik
Identity Protection identifikuje rizika mnoha typů, včetně:
- Anonymní IP adresa použití
- Neobvyklá cesta
- IP adresa související s malwarem
- Neznámé vlastnosti přihlášení
- Uniklé přihlašovací údaje
- Útok password spray
- a další...
Další podrobnosti o těchto a dalších rizicích, včetně toho, jak a kdy se počítají, najdete v článku Co je riziko.
Signály rizik mohou aktivovat nápravu, například vyžadovat od uživatelů: provedení vícefaktorového ověřování Azure AD, resetování hesla pomocí samoobslužné resetování hesla nebo blokování, dokud správce neprovede akci.
Šetření rizik
Správci můžou zkontrolovat detekce a v případě potřeby s nimi ručně jednat. Existují tři klíčové sestavy, které správci používají k vyšetřování v Identity Protection:
- Rizikoví uživatelé
- Riziková přihlášení
- Detekce rizik
Další informace najdete v článku Postup: Prošetření rizika.
Úrovně rizika
Identity Protection kategorizuje rizika do tří úrovní: nízké, střední a vysoké.
I když Microsoft neposkytuje konkrétní podrobnosti o tom, jak se počítají rizika, říkáme, že každá úroveň přináší vyšší jistotu, že je uživatel nebo přihlášení ohroženo. Například něco jako jedna instance neznámých vlastností přihlášení pro uživatele nemusí být tak ohrožené jako vyzrazené přihlašovací údaje pro jiného uživatele.
Export rizikových dat
Data ze služby Identity Protection je možné exportovat do jiných nástrojů pro archivaci a další šetření a korelaci. Rozhraní API Graph Microsoftu umožňují organizacím tato data shromažďovat pro další zpracování v nástroji, jako je jejich SIEM. Informace o přístupu k rozhraní API služby Identity Protection najdete v článku Začínáme s Azure Active Directory Identity Protection a Microsoft Graph
Informace o integraci informací služby Identity Protection se službou Microsoft Sentinel najdete v článku o Připojení dat z Azure AD Identity Protection.
Organizace se navíc mohou rozhodnout ukládat data po delší dobu změnou nastavení diagnostiky v Azure AD tak, aby se data RiskyUsers a UserRiskEvents odesílala do pracovního prostoru služby Log Analytics, archivovat data do účtu úložiště, streamovat data do centra událostí nebo odesílat data do partnerského řešení. Podrobné informace o tom, jak to provést, najdete v článku Postupy: Export rizikových dat.
Oprávnění
Aby uživatelé mohli získat přístup, musí mít oprávnění čtenáře zabezpečení, operátora zabezpečení, správce zabezpečení, globálního čtenáře nebo globálního správce.
| Role | Může to udělat | Nelze provést |
|---|---|---|
| Globální správce | Úplný přístup k Identity Protection | |
| Správce zabezpečení | Úplný přístup k Identity Protection | Resetování hesla pro uživatele |
| Operátor zabezpečení | Zobrazit vše sestav Identity Protection a okno Přehled Zavřít riziko uživatele, potvrdit bezpečné přihlášení, potvrdit ohrožení zabezpečení |
Konfigurace nebo změna zásad Resetování hesla pro uživatele Konfigurace upozornění |
| Čtenář zabezpečení | Zobrazit vše sestav Identity Protection a okno Přehled | Konfigurace nebo změna zásad Resetování hesla pro uživatele Konfigurace upozornění Váš názor na detekce |
V současné době role operátora zabezpečení nemůže získat přístup k sestavě rizikových přihlášení.
Správci podmíněného přístupu můžou také vytvořit zásady, které jako podmínku zomení riziko přihlášení. Další informace najdete v článku Podmíněný přístup: Podmínky.
Licenční požadavky
Použití této funkce vyžaduje licenci Azure AD Premium P2. Správnou licenci pro vaše požadavky najdete v tématu porovnání všeobecně dostupných funkcí v edicích Free, Office 365 a Premium.
| Schopnost | Podrobnosti | Azure AD Free / Microsoft 365 Apps | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| Zásady rizik | Zásady rizik uživatelů (prostřednictvím služby Identity Protection) | No | No | Yes |
| Zásady rizik | Zásady rizik přihlašování (prostřednictvím Identity Protection nebo podmíněného přístupu) | No | No | Yes |
| Sestavy zabezpečení | Přehled | No | No | Yes |
| Sestavy zabezpečení | Rizikoví uživatelé | Omezené informace. Zobrazí se jenom uživatelé se středním a vysokým rizikem. Žádná zásuvka podrobností ani historie rizik. | Omezené informace. Zobrazí se jenom uživatelé se středním a vysokým rizikem. Žádná zásuvka podrobností ani historie rizik. | Full access |
| Sestavy zabezpečení | Riziková přihlášení | Omezené informace. Nezobrazí se žádné podrobnosti o riziku ani úroveň rizika. | Omezené informace. Nezobrazí se žádné podrobnosti o riziku ani úroveň rizika. | Full access |
| Sestavy zabezpečení | Detekce rizik | No | Omezené informace. Žádná zásuvka podrobností. | Full access |
| Oznámení | Ohrožení uživatelé zjistili výstrahy | No | No | Yes |
| Oznámení | Týdenní přehled | No | No | Yes |
| Zásady registrace MFA | No | No | Yes |
Další informace o těchto bohatých sestavách najdete v článku Postupy: Šetření rizik.