Mi az az Identity Protection?
Az Identity Protection egy olyan eszköz, amellyel a szervezetek három fő feladatot végezhetnek el:
- Automatizálhatja az identitásalapú kockázatok észlelését és szervizelését.
- Kockázatelemzés a portálon lévő adatok használatával.
- Kockázatészlelési adatok exportálása a SIEM-be.
Az Identity Protection a Microsoft által az Azure AD-vel rendelkező szervezetekben szerzett ismereteket, a Microsoft-fiókokkal rendelkező fogyasztói teret, valamint az Xbox-játékokat használja a felhasználók védelme érdekében. A Microsoft naponta 6,5 billió jelet elemez az ügyfelek azonosítása és a fenyegetések elleni védelem érdekében.
Az Identity Protection által generált és az identity Protectionbe táplált jeleket tovább lehet táplálni olyan eszközökbe, mint a feltételes hozzáférés a hozzáférési döntések meghozatalához, vagy visszatáplálható egy biztonsági információ- és eseménykezelő (SIEM) eszközhöz, amely a szervezet kényszerített szabályzatai alapján további vizsgálatot tesz lehetővé.
Miért fontos az automatizálás?
A 2022. február 3-án kelt legújabb kutatásokkal, megállapításokkal és trendekkel a kiberfenyegetések elleni védekezésről szóló blogbejegyzésben megosztottunk egy szálintelligencia-rövid összefoglalót, amely az alábbi statisztikákat tartalmazza:
- Elemezni... 24 billió biztonsági jelet és intelligenciát követünk nyomon több mint 40 nemzetállami csoport és több mint 140 fenyegetéscsoport megfigyelésével...
- ... 2021 januárjától 2021 decemberéig több mint 25,6 milliárd Azure AD találgatásos hitelesítési támadást blokkoltunk...
A jelek és támadások ilyen mértékű működéséhez bizonyos szintű automatizálás szükséges.
Kockázatészlelés és -szervizelés
Az Identity Protection számos típusú kockázatot azonosít, többek között a következőket:
- Névtelen IP-cím használata
- Szokatlan utazás
- Kártevőhöz társított IP-cím
- Szokatlan bejelentkezési tulajdonságok
- Kiszivárgott hitelesítő adatok
- Jelszó spray
- és még sok más...
Ezekről és más kockázatokról, beleértve a számítás módját és módját, a Mi a kockázat című cikkben talál további információt.
A kockázati jelek olyan javítási műveleteket válthatnak ki, mint például a felhasználók megkövetelése: Azure AD Multi-Factor Authentication végrehajtása, jelszó alaphelyzetbe állítása önkiszolgáló jelszóátállítással vagy blokkolás, amíg a rendszergazda meg nem hajtja a szükséges lépéseket.
Kockázatvizsgálat
A rendszergazdák áttekinthetik az észleléseket, és szükség esetén manuális műveleteket végezhetnek rajtuk. Az Identity Protectionben a rendszergazdák három fő jelentést használnak a vizsgálatokhoz:
- Kockázatos felhasználók
- Kockázatos bejelentkezések
- Kockázatészlelések
További információt a "How To: Investigate risk" (Útmutató: Kockázat kivizsgálása) című cikkben talál.
Kockázati szintek
Az Identity Protection szintekre kategorizálja a kockázatokat: alacsony, közepes és magas.
Bár a Microsoft nem ad meg konkrét részleteket a kockázat kiszámításáról, azt fogjuk mondani, hogy minden szint nagyobb megbízhatóságot biztosít a felhasználó vagy a bejelentkezés biztonsága szempontjából. Előfordulhat például, hogy egy felhasználó ismeretlen bejelentkezési tulajdonságainak egy példánya nem olyan fenyegető, mint egy másik felhasználó kiszivárgott hitelesítő adatai.
Kockázati adatok exportálása
Az Identity Protectionből származó adatok más eszközökre is exportálhatók archiválás, további vizsgálatok és korreláció céljából. A Microsoft Graph-alapú API-k lehetővé teszik a szervezetek számára, hogy további feldolgozás céljából gyűjtsék ezeket az adatokat egy olyan eszközben, mint például a SIEM. Az Identity Protection API-hoz való hozzáféréssel kapcsolatos információk az Azure Active Directory Identity Protection és a Microsoft Graph használatának első lépéseit ismertető cikkben találhatók
Az Identity Protection adatainak a Microsoft Sentinellel való integrálásáról az Azure AD Identity Protectionből származó Adatok csatlakoztatása című cikkben talál információt.
Emellett a szervezetek dönthetnek úgy, hogy hosszabb ideig tárolják az adatokat, ha módosítják a diagnosztikai beállításokat az Azure AD-ben, hogy a RiskyUsers és a UserRiskEvents adatokat küldjenek egy Log Analytics-munkaterületre, archiválják az adatokat egy tárfiókba, streamelik az adatokat az Event Hubsba, vagy adatokat küldenek egy partnermegoldásnak. Ennek módjáról részletes információt a "How To: Export risk data" (Útmutató: Kockázati adatok exportálása) című cikkben talál.
Engedélyek
Az Identity Protection használatához a felhasználóknak biztonsági olvasónak, biztonsági operátornak, biztonsági rendszergazdának, globális olvasónak vagy globális rendszergazdának kell lenniük.
| Szerepkör | Megteheti | Nem lehet |
|---|---|---|
| Globális rendszergazda | Teljes hozzáférés az Identity Protectionhez | |
| Biztonsági rendszergazda | Teljes hozzáférés az Identity Protectionhez | Felhasználó jelszavának alaphelyzetbe állítása |
| Biztonsági operátor | Az összes Identity Protection-jelentés és áttekintés panel megtekintése A felhasználói kockázat elvetése, a biztonságos bejelentkezés megerősítése, a biztonsági rés megerősítése |
Szabályzatok konfigurálása vagy módosítása Felhasználó jelszavának alaphelyzetbe állítása Riasztások konfigurálása |
| Biztonsági olvasó | Az összes Identity Protection-jelentés és áttekintés panel megtekintése | Szabályzatok konfigurálása vagy módosítása Felhasználó jelszavának alaphelyzetbe állítása Riasztások konfigurálása Visszajelzés küldése az észlelésekről |
A biztonsági operátor szerepkör jelenleg nem tud hozzáférni a Kockázatos bejelentkezések jelentéshez.
A feltételes hozzáféréssel rendelkező rendszergazdák olyan szabályzatokat is létrehozhatnak, amelyek feltételként befolyásolják a bejelentkezési kockázatot. További információt a Feltételes hozzáférés: Feltételek című cikkben talál.
Licenckövetelmények
A funkció használatához prémium szintű Azure AD P2-licenc szükséges. A követelményeknek megfelelő licenc megkereséséhez tekintse meg az Azure AD általánosan elérhető funkcióinak összehasonlítását ismertető témakört.
| Képesség | Részletek | Ingyenes Azure AD/Microsoft 365-alkalmazások | Prémium szintű Azure AD P1 | Prémium szintű Azure AD P2 |
|---|---|---|---|---|
| Kockázati szabályzatok | Felhasználói kockázati szabályzat (az Identity Protection használatával) | Nem | Nem | Igen |
| Kockázati szabályzatok | Bejelentkezési kockázati szabályzat (Identity Protection vagy feltételes hozzáférés használatával) | Nem | Nem | Igen |
| Biztonsági jelentések | Áttekintés | Nem | Nem | Igen |
| Biztonsági jelentések | Kockázatos felhasználók | Korlátozott információ. Csak közepes és magas kockázattal rendelkező felhasználók jelennek meg. Nincs adatfiók vagy kockázati előzmény. | Korlátozott információ. Csak közepes és magas kockázattal rendelkező felhasználók jelennek meg. Nincs adatfiók vagy kockázati előzmény. | Teljes hozzáférés |
| Biztonsági jelentések | Kockázatos bejelentkezések | Korlátozott információ. Nem jelenik meg a kockázat részletei vagy a kockázati szint. | Korlátozott információ. Nem jelenik meg a kockázat részletei vagy a kockázati szint. | Teljes hozzáférés |
| Biztonsági jelentések | Kockázatészlelések | No | Korlátozott információ. Nincs részletes fiók. | Teljes hozzáférés |
| Értesítések | A veszélyeztetett felhasználók riasztásokat észleltek | Nem | Nem | Igen |
| Értesítések | Heti kivonat | Nem | Nem | Igen |
| MFA-regisztrációs szabályzat | Nem | Nem | Igen |
Ezekről a részletes jelentésekről további információt az Útmutató: Kockázat vizsgálata című cikkben talál.