Общие сведения о защите идентификации

Защита идентификации — это средство, которое позволяет организациям выполнять три основных задачи:

Защита идентификации использует сведения, полученные корпорацией Майкрософт в ходе выполнения обязанностей, в организациях с Azure AD, пространстве пользователей с учетными записями Майкрософт, а также в играх с Xbox, чтобы защитить пользователей. Чтобы обнаружить угрозы и защитить клиентов от таких угроз, корпорация Майкрософт анализирует 6,5 триллионов сигналов в день.

Сигналы, созданные Защитой идентификации и передаваемые в нее, могут быть далее переданы в такие инструменты, как Условный доступ для принятия решений о доступе, или обратно в средство управления информационной безопасностью и событиями безопасности (SIEM) для дальнейшего расследования на основе принудительных политик вашей организации.

Почему автоматизация так важна?

В записи блога Cyber Signals: защита от кибер-угроз с помощью последних исследований, аналитических сведений и тенденций от 3 февраля 2022 г. мы поделились краткой аналитикой угроз, включающей приведенную ниже статистику.

  • Проанализировано ...24 трлн сигналов системы безопасности в сочетании с аналитическими данными, которые мы отслеживаем путем мониторинга более чем 40 национальных групп и более 140 групп угроз...
  • ...С января 2021 г. по декабрь 2021 г. мы заблокировали более 25,6 млрд атак на систему аутентификации методом подбора в Azure AD...

Этот масштаб сигналов и атак требует определенного уровня автоматизации, чтобы поддерживать работоспособность.

Обнаружение и исправление рисков

Функция защиты идентификации определяет риски многих типов, в том числе приведенных ниже.

  • Использование анонимных IP-адресов
  • Необычный переход
  • IP-адрес, который помечен как вредоносный
  • Неизвестные свойства входа
  • Утечка учетных данных
  • Распыление пароля
  • и многое другое...

Дополнительные сведения об этих и других рисках, а также их вычислении можно найти в статье Что такое риск.

Сигналы риска могут активировать действия по исправлению, например требовать от пользователей: выполнить многофакторную идентификацию Azure AD, сбросить пароль с помощью самостоятельного сброса пароля или выполнить блокирование, пока администратор не выполнит нужные действия.

Исследование риска

Администраторы могут просматривать обнаруженные данные и при необходимости предпринимать действия вручную. Существует три ключевых отчета, которые администраторы используют для расследований в Защите идентификации:

  • Пользователи, выполняющие рискованные действия
  • Вход, представляющий риск
  • Обнаружение рисков

Дополнительные сведения можно найти в статье How To: Investigate risk (Сведения об изучении рисков).

Уровни риска

Защита идентификации разделяет риски на следующие уровни: низкий, средний и высокий.

Хотя корпорация Майкрософт не предоставляет конкретные сведения о том, как вычисляется риск, мы будем считать, что каждый уровень обуславливает большую уверенность в том, что пользователь или вход скомпрометированы. Например, один экземпляр незнакомых свойств входа пользователя может не нести такую же угрозу, как утечка учетных данных другого пользователя.

Экспорт данных о рисках

Данные из службы защиты идентификации можно экспортировать в другие средства для архивации, дальнейшего исследования и сопоставления. Интерфейсы API на основе Microsoft Graph позволяют организациям сохранять эти данные для дальнейшей обработки в таких средствах, как SIEM. Сведения о том, как получить доступ к API защиты идентификации, можно найти в статье Get started with Azure Active Directory Identity Protection and Microsoft Graph (Начало работы с защитой идентификации Azure Active Directory и Microsoft Graph)

Сведения об интеграции сведений для защиты идентификации с помощью Microsoft Sentinel можно найти в статье Подключение данных из службы "Защита идентификации Azure AD".

Кроме того, организации могут хранить данные в течение более длительных периодов времени. Для этого необходимо изменить параметры диагностики в Azure AD таким образом, чтобы выполнялась отправка данных RiskyUsers и UserRiskEvents в рабочую область Log Analytics, архивация данных в учетную запись хранения, потоковая передача данных в концентраторы событий или отправка данных в решение партнера. Подробную информацию о том, как это сделать, можно найти в статье Практическое руководство по экспорту данных о рисках.

Разрешения

Для доступа к защите идентификации пользователям необходимо иметь роль "Читатель сведений о безопасности", "Оператор безопасности", "Администратор безопасности", "Глобальный читатель" или "Глобальный администратор".

Роль Может Не удается выполнить
Глобальный администратор. Полный доступ к защите идентификации
администратор безопасности; Полный доступ к защите идентификации Сброс пароля для пользователя
Оператор безопасности Просмотр всех отчетов Защиты идентификации и колонки "Обзор"

Закрытие уведомления о риске для пользователя, подтверждение безопасного входа в систему, подтверждение компрометации.
Настройка или изменение политик

Сброс пароля для пользователя

Настройка оповещений
Читатель сведений о безопасности Просмотр всех отчетов Защиты идентификации и колонки "Обзор" Настройка или изменение политик

Сброс пароля для пользователя

Настройка оповещений

Отправка отзывов о обнаружении

Сейчас роли "Оператор безопасности" не предоставляется доступ к отчету о входах, представляющих риск.

Администраторы условного доступа также могут создавать политики, учитывающие риск входа в систему в качестве условия. Дополнительные сведения см. в статье Условный доступ. Риск при входе

Требования лицензий

Для использования этой функции требуется лицензия Azure AD Premium P2. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций Azure AD.

Функция Сведения Azure AD Free/Приложения Microsoft 365 Azure AD Premium P1 Azure AD Premium P2
Политики рисков Политика рисков пользователей (реализуется через Защиту идентификации) Нет Нет Да
Политики рисков Политика рисков входа (реализуется через Защиту идентификации или условный доступ) Нет Нет Да
Отчеты о безопасности Обзор Нет Нет Да
Отчеты о безопасности Пользователи, выполняющие рискованные действия Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует панель с подробными сведениями или журнал рисков. Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует панель с подробными сведениями или журнал рисков. Полный доступ
Отчеты о безопасности Вход, представляющий риск Ограниченные сведения. Панель с подробными сведениями или журнал рисков не отображается. Ограниченные сведения. Панель с подробными сведениями или журнал рисков не отображается. Полный доступ
Отчеты о безопасности Обнаружение рисков Нет Ограниченные сведения. Панель с подробными сведениями отсутствует. Полный доступ
Уведомления Предупреждения об обнаружении пользователей под угрозой Нет Нет Да
Уведомления Еженедельный дайджест Нет Нет Да
Политика регистрации MFA Нет Нет Да

Дополнительные сведения об этих отчетах см. в статье How To: Investigate risk (Сведения об изучении рисков).

Дальнейшие действия