Mi az az Identity Protection?

Az Identity Protection egy olyan eszköz, amely három fő feladat elvégzését teszi lehetővé a szervezetek számára:

Az Identity Protection a Microsoft által az Azure AD-val rendelkező szervezetekben, a Microsoft-fiókokkal rendelkező fogyasztói térben, valamint az Xbox-játékokkal szerzett tudást használja a felhasználók védelme érdekében. A Microsoft naponta 6,5 billió jelet elemez az ügyfelek azonosítása és a fenyegetésekkel szembeni védelme érdekében.

A által létrehozott és az Identity Protectionbe beadható jelek továbbadhatóak olyan eszközökbe, mint a feltételes hozzáférés a hozzáférési döntések meghozatalához, vagy visszaadhatóak egy biztonsági információ- és eseménykezelési (SIEM) eszközbe, hogy további vizsgálatot folytatjon a szervezet kényszerített szabályzata alapján.

Miért fontos az automatizálás?

Alex Weinert, a Microsoft identitásbiztonsági és védelmi csapatának vezető 2018 októberi blogbejegyzésében elmagyarázza, miért olyan fontos az automatizálás az események mennyiségének kezelésekor:

Gépi tanulási és heurisztikus rendszereink naponta 18 milliárd bejelentkezési kísérlet kockázati pontszámát biztosítják több mint 800 millió különböző fiókhoz, amelyekből 300 milliót a támadók egyértelműen végeznek (ilyen entitások például: bűnügyi támadók, hackerek).

Az Ignite-on tavaly az identitásrendszereink elleni első három támadásról beszéltünk. Az alábbi a támadások legutóbbi mennyisége

  • Biztonsági incidens visszajátszása:2018 májusában 4,6BN-es támadás észlelhető
  • szórásos jelszófeltörés:2018 áprilisában 350 ezer
  • Adathalászat:Nehéz pontosan számszerűsíteni, de 2018 márciusában 23 millió kockázati eseményt láttunk, amelyek közül sok kapcsolódik a kifejezéshez

Kockázatészlelés és -szervizelés

Az Identity Protection számos típus kockázatait azonosítja, beleértve a következőket:

  • névtelen IP-cím használata
  • Szokatlan utazás
  • kártevő szoftverrel összekapcsolt IP-cím
  • Szokatlan bejelentkezési tulajdonságok
  • Kiszivárgott hitelesítő adatok
  • szórásos jelszófeltörés
  • és még sok más...

Ezekről és az egyéb kockázatokról, beleértve azok kiszámításának módját és módját, a What is risk (Mi a kockázat) cikkben talál további információt.

A kockázati jelek szervizelési műveleteket aktiválnak, például megkövetelheti a felhasználóktól a következő műveleteket: Azure AD Multi-Factor Authentication végrehajtása, jelszó visszaállítása új jelszó önkiszolgáló jelszó-visszaállítással, vagy blokkolás, amíg egy rendszergazda nem tesz lépéseket.

Kockázatelemzés

A rendszergazdák áttekinthetik az észleléseket, és szükség esetén manuálisan is el lehet hozzájuk edni. A rendszergazdák három fő jelentést használhatnak az Identity Protection vizsgálatához:

  • Kockázatos felhasználók
  • Kockázatos bejelentkezések
  • Kockázatészlelések

További információt a How To: Investigate risk (A kockázat kivizsgálása)cikkben talál.

Kockázati szintek

Az Identity Protection három szintre kategorizálja a kockázatokat: alacsony, közepes és magas.

Bár a Microsoft nem részletezi a kockázatok kiszámításának módját, azt fogjuk mondani, hogy minden szint nagyobb megbízhatóságot biztosít a felhasználó vagy a bejelentkezés biztonságának sérülése szempontjából. Előfordulhat például, hogy egy felhasználó ismeretlen bejelentkezési tulajdonságainak egy példánya nem annyira van veszélyeztetve, mint a kiszivárgott hitelesítő adatok egy másik felhasználónál.

Kockázati adatok exportálása

Az Identity Protection adatai más eszközökbe exportálhatók archiválás, további vizsgálat és korreláció érdekében. A Microsoft Graph API-k lehetővé teszik a szervezetek számára az adatok gyűjtését további feldolgozás céljából egy olyan eszközben, mint a SIEM. Az Identity Protection API elérésével kapcsolatos információkat az Identity Protection és a Microsoft Azure Active Directory – első lépések Graph

Az Identity Protection-információk Microsoft Sentinelbe való integrálásával kapcsolatos információk a következő cikkben találhatók: Csatlakozás adatokAzure AD Identity Protection.

Emellett a szervezetek dönthetnek úgy, hogy hosszabb ideig tárolják az adatokat az Azure AD diagnosztikai beállításainak módosításával, hogy RiskyUsers és UserRiskEvents adatokat küldjenek egy Log Analytics-munkaterületre, archiválják az adatokat egy tárfiókba, adatokat streamelnek egy eseményközpontba, vagy adatokat küldenek egy partnermegoldásnak. Az erre vonatkozó részletes információkat a következő cikkben talál: How To: Export risk data.

Engedélyek

Az Identity Protection használatához a felhasználóknak biztonsági olvasónak, biztonsági operátornak, biztonsági rendszergazdának, globális olvasónak vagy globális rendszergazdának kell lennie a hozzáféréshez.

Szerepkör A(nak) Nem használhatja
Globális rendszergazda Teljes hozzáférés az Identity Protection szolgáltatáshoz
Biztonsági rendszergazda Teljes hozzáférés az Identity Protection szolgáltatáshoz Felhasználó jelszavának visszaállítása
Biztonsági operátor Az összes megtekintése Identity Protection-jelentések és az Áttekintés panel

Felhasználói kockázat elvetését, biztonságos bejelentkezés megerősítését, biztonsági sérülés megerősítését
Szabályzatok konfigurálása vagy módosítása

Felhasználó jelszavának visszaállítása

Riasztások konfigurálása
Biztonsági olvasó Az összes megtekintése Identity Protection-jelentések és az Áttekintés panel Szabályzatok konfigurálása vagy módosítása

Felhasználó jelszavának visszaállítása

Riasztások konfigurálása

Visszajelzés küldése az észlelésekkel kapcsolatban

A biztonsági felelős szerepkör jelenleg nem fér hozzá a Kockázatos bejelentkezések jelentéshez.

A feltételes hozzáférés rendszergazdái olyan szabályzatokat is létrehozhatnak, amelyek feltételként figyelembeják a bejelentkezési kockázatokat. További információt a Feltételes hozzáférés: Feltételekcikkben talál.

Licenckövetelmények

Ennek a funkciónak a használatához Prémium P2 szintű Azure AD licenc szükséges. A követelményeknek megfelelő licenceket az Azure AD általánosan elérhető funkcióinak összehasonlítása oldalon találja.

Képesség Részletek ingyenes Azure AD / Microsoft 365-alkalmazások Prémium szintű Azure AD P1 Prémium szintű Azure AD P2
Kockázati szabályzatok Felhasználói kockázati szabályzat (az Identity Protection segítségével) Nem Nem Igen
Kockázati szabályzatok Bejelentkezési kockázati szabályzat (Identity Protection vagy feltételes hozzáférés) Nem Nem Igen
Biztonsági jelentések Áttekintés Nem Nem Igen
Biztonsági jelentések Kockázatos felhasználók Korlátozott információ. Csak a közepes és magas kockázatú felhasználók jelennek meg. Nincsenek részletek a fiókkal vagy a kockázatelőzmények. Korlátozott információ. Csak a közepes és magas kockázatú felhasználók jelennek meg. Nincsenek részletek a fiókkal vagy a kockázatelőzmények. Teljes hozzáférés
Biztonsági jelentések Kockázatos bejelentkezések Korlátozott információ. Nem jelenik meg a kockázati részletesség vagy a kockázati szint. Korlátozott információ. Nem jelenik meg a kockázati részletesség vagy a kockázati szint. Teljes hozzáférés
Biztonsági jelentések Kockázatészlelések No Korlátozott információ. Nincs részleteket tartalmazó fiók. Teljes hozzáférés
Értesítések Veszélyeztetett felhasználók által észlelt riasztások Nem Nem Igen
Értesítések Heti kivonat Nem Nem Igen
MFA-regisztrációs szabályzat Nem Nem Igen

További információt ezekről a részletes jelentésekről a Következő cikkben talál: How To: Investigate risk.

Következő lépések