Общие сведения о защите идентификации
Защита идентификации — это средство, которое позволяет организациям выполнять три основных задачи:
- Автоматизация обнаружения и устранения рисков на основе удостоверений.
- Исследование рисков с помощью данных, которые содержатся на портале.
- Экспорт данных обнаружения рисков в сторонние служебные программы для дальнейшего анализа.
Защита идентификации использует сведения, полученные корпорацией Майкрософт в ходе выполнения обязанностей, в организациях с Azure AD, пространстве пользователей с учетными записями Майкрософт, а также в играх с Xbox, чтобы защитить пользователей. Чтобы обнаружить угрозы и защитить клиентов от таких угроз, корпорация Майкрософт анализирует 6,5 триллионов сигналов в день.
Сигналы, созданные Защитой идентификации и передаваемые в нее, могут быть далее переданы в такие инструменты, как Условный доступ для принятия решений о доступе, или обратно в средство управления информационной безопасностью и событиями безопасности (SIEM) для дальнейшего расследования на основе принудительных политик вашей организации.
Почему автоматизация так важна?
В своей записи блога в октябре 2018 года Алекс Вайнерт (Alex Weinert), который руководит командой безопасности и защиты идентификации корпорации Майкрософт, объясняет, почему автоматизация настолько важна при работе с объемом событий.
Ежедневно наши системы машинного обучения и эвристики предоставляют множество рисков в 18 миллиардов попыток входа на более чем 800 миллионов учетных записей, 300 миллионов из которых явно выполняются злоумышленниками (такими как: преступники, хакеры).
В прошлом году на Ignite я представил 3 известнейшие атаки на наши системы идентификации. Ниже приведены последние объемы этих атак
- Повтор бреши: 4.6 млрд атак, обнаруженных в мае 2018 года.
- Распыление пароля: 350 тысяч в апреле 2018 года
- Фишинг: Точное количество подсчитать сложно, но в марте 2018 года мы наблюдали 23 миллиона событий риска, многие из которых были связаны с фишингом.
Обнаружение и исправление рисков
Защита идентификации определяет риски по следующих классификациях:
| Тип обнаружения риска | Описание |
|---|---|
| Анонимный IP-адрес | Вход с анонимного IP-адреса (например, Tor Browser, анонимайзеры VPN). |
| Необычный переход | Вход из необычного местоположения (на основе недавних входов пользователя). |
| IP-адрес, который помечен как вредоносный | Вход с вредоносного IP-адреса. |
| Неизвестные свойства входа | Вход с использованием свойств, в последнее время не наблюдавшихся у пользователя. |
| Утечка учетных данных | Означает, что произошла утечка допустимых учетных данных пользователя. |
| Распыление пароля | Означает, что несколько имен пользователей подвергаются атакам с использованием общих паролей в едином режиме принудительного подбора. |
| Аналитика угроз Azure AD | Источниками внутренней и внешней аналитики угроз Майкрософт обнаружено известный шаблон атак. |
| Новая страна | Это обнаружение выполняется брокером Microsoft Cloud App Security (MCAS). |
| Действия, выполняемые с анонимных IP-адресов | Это обнаружение выполняется брокером Microsoft Cloud App Security (MCAS). |
| Подозрительная пересылка входящих сообщений | Это обнаружение выполняется брокером Microsoft Cloud App Security (MCAS). |
Дополнительные сведения об этих рисках и их вычислении можно найти в статье Что такое риск.
Сигналы риска могут активировать действия по исправлению, например требовать от пользователей: выполнить многофакторную идентификацию Azure AD, сбросить пароль с помощью самостоятельного сброса пароля или выполнить блокирование, пока администратор не выполнит нужные действия.
Исследование риска
Администраторы могут просматривать обнаруженные данные и при необходимости предпринимать действия вручную. Существует три ключевых отчета, которые администраторы используют для расследований в Защите идентификации:
- Пользователи, выполняющие рискованные действия
- Вход, представляющий риск
- Обнаружение рисков
Дополнительные сведения можно найти в статье How To: Investigate risk (Сведения об изучении рисков).
Уровни риска
Защита идентификации разделяет риски на три уровня: низкий, средний и высокий.
Хотя корпорация Майкрософт не предоставляет конкретные сведения о том, как вычисляется риск, мы будем считать, что каждый уровень обуславливает большую уверенность в том, что пользователь или вход скомпрометированы. Например, один экземпляр незнакомых свойств входа пользователя может не нести такую же угрозу, как утечка учетных данных другого пользователя.
Экспорт данных о рисках
Данные из службы защиты идентификации можно экспортировать в другие средства для архивации, дальнейшего исследования и сопоставления. Интерфейсы API на основе Microsoft Graph позволяют организациям сохранять эти данные для дальнейшей обработки в таких средствах, как SIEM. Сведения о том, как получить доступ к API защиты идентификации, можно найти в статье Get started with Azure Active Directory Identity Protection and Microsoft Graph (Начало работы с защитой идентификации Azure Active Directory и Microsoft Graph)
Сведения об интеграции сведений защиты идентификации с помощью Azure Sentinel можно найти в статье Connect data from Azure AD Identity Protection (Подключение данных из Защиты идентификации Azure Active Directory).
Разрешения
Для доступа к защите идентификации пользователям необходимо иметь роль "Читатель сведений о безопасности", "Оператор безопасности", "Администратор безопасности", "Глобальный читатель" или "Глобальный администратор".
| Роль | Может | Не удается выполнить |
|---|---|---|
| Глобальный администратор. | Полный доступ к защите идентификации | |
| администратор безопасности; | Полный доступ к защите идентификации | Сброс пароля для пользователя |
| Оператор безопасности | Просмотр всех отчетов Защиты идентификации и колонки "Обзор" Закрытие уведомления о риске для пользователя, подтверждение безопасного входа в систему, подтверждение компрометации. |
Настройка или изменение политик Сброс пароля для пользователя Настройка оповещений |
| Читатель сведений о безопасности | Просмотр всех отчетов Защиты идентификации и колонки "Обзор" | Настройка или изменение политик Сброс пароля для пользователя Настройка оповещений Отправка отзывов о обнаружении |
Сейчас роли "Оператор безопасности" не предоставляется доступ к отчету о входах, представляющих риск.
Администраторы условного доступа также могут создавать политики, учитывающие риск входа в систему в качестве условия. Дополнительные сведения см. в статье Условный доступ. Риск при входе
Требования лицензий
Для использования этой функции требуется лицензия Azure AD Premium P2. Чтобы найти подходящую лицензию, см. сравнение общедоступных функций выпусков "Бесплатный", "Приложения Office 365" и "Премиум".
| Функция | Сведения | Azure AD Free/Приложения Microsoft 365 | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| Политики рисков | Политика рисков пользователей (реализуется через Защиту идентификации) | Нет | Нет | Да |
| Политики рисков | Политика рисков входа (реализуется через Защиту идентификации или условный доступ) | Нет | Нет | Да |
| Отчеты о безопасности | Обзор | Нет | Нет | Да |
| Отчеты о безопасности | Пользователи, выполняющие рискованные действия | Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует панель с подробными сведениями или журнал рисков. | Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует панель с подробными сведениями или журнал рисков. | Полный доступ |
| Отчеты о безопасности | Вход, представляющий риск | Ограниченные сведения. Панель с подробными сведениями или журнал рисков не отображается. | Ограниченные сведения. Панель с подробными сведениями или журнал рисков не отображается. | Полный доступ |
| Отчеты о безопасности | Обнаружение рисков | Нет | Ограниченные сведения. Панель с подробными сведениями отсутствует. | Полный доступ |
| Уведомления | Предупреждения об обнаружении пользователей под угрозой | Нет | Нет | Да |
| Уведомления | Еженедельный дайджест | Нет | Нет | Да |
| Политика регистрации MFA | Нет | Нет | Да |
Дополнительные сведения об этих отчетах см. в статье How To: Investigate risk (Сведения об изучении рисков).
Дальнейшие действия
Identity Protection policies (Политики защиты идентификации)