Общие сведения о защите идентификации
Защита идентификации — это средство, которое позволяет организациям выполнять три основных задачи:
- Автоматизация обнаружения и устранения рисков, связанных с идентификаторами.
- Исследование рисков с помощью данных на портале.
- Экспорт данных обнаружения рисков в SIEM.
Защита идентификации использует сведения, полученные корпорацией Майкрософт в ходе выполнения обязанностей, в организациях с Azure AD, пространстве пользователей с учетными записями Майкрософт, а также в играх с Xbox, чтобы защитить пользователей. Чтобы обнаружить угрозы и защитить клиентов от таких угроз, корпорация Майкрософт анализирует 6,5 триллионов сигналов в день.
Сигналы, созданные Защитой идентификации и передаваемые в нее, могут быть далее переданы в такие инструменты, как Условный доступ для принятия решений о доступе, или обратно в средство управления информационной безопасностью и событиями безопасности (SIEM) для дальнейшего расследования на основе принудительных политик вашей организации.
Почему автоматизация так важна?
В записи блога Cyber Signals: защита от кибер-угроз с помощью последних исследований, аналитических сведений и тенденций от 3 февраля 2022 г. мы поделились краткой аналитикой угроз, включающей приведенную ниже статистику.
- Проанализировано ...24 трлн сигналов системы безопасности в сочетании с аналитическими данными, которые мы отслеживаем путем мониторинга более чем 40 национальных групп и более 140 групп угроз...
- ...С января 2021 г. по декабрь 2021 г. мы заблокировали более 25,6 млрд атак на систему аутентификации методом подбора в Azure AD...
Этот масштаб сигналов и атак требует определенного уровня автоматизации, чтобы поддерживать работоспособность.
Обнаружение и исправление рисков
Функция защиты идентификации определяет риски многих типов, в том числе приведенных ниже.
- Использование анонимных IP-адресов
- Необычный переход
- IP-адрес, который помечен как вредоносный
- Неизвестные свойства входа
- Утечка учетных данных
- Распыление пароля
- и многое другое...
Дополнительные сведения об этих и других рисках, а также их вычислении можно найти в статье Что такое риск.
Сигналы риска могут активировать действия по исправлению, например требовать от пользователей: выполнить многофакторную идентификацию Azure AD, сбросить пароль с помощью самостоятельного сброса пароля или выполнить блокирование, пока администратор не выполнит нужные действия.
Исследование риска
Администраторы могут просматривать обнаруженные данные и при необходимости предпринимать действия вручную. Существует три ключевых отчета, которые администраторы используют для расследований в Защите идентификации:
- Пользователи, выполняющие рискованные действия
- Вход, представляющий риск
- Обнаружение рисков
Дополнительные сведения можно найти в статье How To: Investigate risk (Сведения об изучении рисков).
Уровни риска
Защита идентификации разделяет риски на следующие уровни: низкий, средний и высокий.
Хотя корпорация Майкрософт не предоставляет конкретные сведения о том, как вычисляется риск, мы будем считать, что каждый уровень обуславливает большую уверенность в том, что пользователь или вход скомпрометированы. Например, один экземпляр незнакомых свойств входа пользователя может не нести такую же угрозу, как утечка учетных данных другого пользователя.
Экспорт данных о рисках
Данные из службы защиты идентификации можно экспортировать в другие средства для архивации, дальнейшего исследования и сопоставления. Интерфейсы API на основе Microsoft Graph позволяют организациям сохранять эти данные для дальнейшей обработки в таких средствах, как SIEM. Сведения о том, как получить доступ к API защиты идентификации, можно найти в статье Get started with Azure Active Directory Identity Protection and Microsoft Graph (Начало работы с защитой идентификации Azure Active Directory и Microsoft Graph)
Сведения об интеграции сведений для защиты идентификации с помощью Microsoft Sentinel можно найти в статье Подключение данных из службы "Защита идентификации Azure AD".
Кроме того, организации могут хранить данные в течение более длительных периодов времени. Для этого необходимо изменить параметры диагностики в Azure AD таким образом, чтобы выполнялась отправка данных RiskyUsers и UserRiskEvents в рабочую область Log Analytics, архивация данных в учетную запись хранения, потоковая передача данных в концентраторы событий или отправка данных в решение партнера. Подробную информацию о том, как это сделать, можно найти в статье Практическое руководство по экспорту данных о рисках.
Разрешения
Для доступа к защите идентификации пользователям необходимо иметь роль "Читатель сведений о безопасности", "Оператор безопасности", "Администратор безопасности", "Глобальный читатель" или "Глобальный администратор".
| Роль | Может | Не удается выполнить |
|---|---|---|
| Глобальный администратор. | Полный доступ к защите идентификации | |
| администратор безопасности; | Полный доступ к защите идентификации | Сброс пароля для пользователя |
| Оператор безопасности | Просмотр всех отчетов Защиты идентификации и колонки "Обзор" Закрытие уведомления о риске для пользователя, подтверждение безопасного входа в систему, подтверждение компрометации. |
Настройка или изменение политик Сброс пароля для пользователя Настройка оповещений |
| Читатель сведений о безопасности | Просмотр всех отчетов Защиты идентификации и колонки "Обзор" | Настройка или изменение политик Сброс пароля для пользователя Настройка оповещений Отправка отзывов о обнаружении |
Сейчас роли "Оператор безопасности" не предоставляется доступ к отчету о входах, представляющих риск.
Администраторы условного доступа также могут создавать политики, учитывающие риск входа в систему в качестве условия. Дополнительные сведения см. в статье Условный доступ. Риск при входе
Требования лицензий
Для использования этой функции требуется лицензия Azure AD Premium P2. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций Azure AD.
| Функция | Сведения | Azure AD Free/Приложения Microsoft 365 | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| Политики рисков | Политика рисков пользователей (реализуется через Защиту идентификации) | Нет | Нет | Да |
| Политики рисков | Политика рисков входа (реализуется через Защиту идентификации или условный доступ) | Нет | Нет | Да |
| Отчеты о безопасности | Обзор | Нет | Нет | Да |
| Отчеты о безопасности | Пользователи, выполняющие рискованные действия | Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует панель с подробными сведениями или журнал рисков. | Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует панель с подробными сведениями или журнал рисков. | Полный доступ |
| Отчеты о безопасности | Вход, представляющий риск | Ограниченные сведения. Панель с подробными сведениями или журнал рисков не отображается. | Ограниченные сведения. Панель с подробными сведениями или журнал рисков не отображается. | Полный доступ |
| Отчеты о безопасности | Обнаружение рисков | Нет | Ограниченные сведения. Панель с подробными сведениями отсутствует. | Полный доступ |
| Уведомления | Предупреждения об обнаружении пользователей под угрозой | Нет | Нет | Да |
| Уведомления | Еженедельный дайджест | Нет | Нет | Да |
| Политика регистрации MFA | Нет | Нет | Да |
Дополнительные сведения об этих отчетах см. в статье How To: Investigate risk (Сведения об изучении рисков).
Дальнейшие действия
Identity Protection policies (Политики защиты идентификации)