Vad är Identity Protection?

Identity Protection är ett verktyg som gör att organisationer kan utföra tre viktiga uppgifter:

Identity Protection använder de lärdomar som Microsoft har fått från sin position i organisationer med Azure AD, konsumentutrymmet med Microsoft-konton och spel med Xbox för att skydda dina användare. Microsoft analyserar 6,5 biljoner signaler per dag för att identifiera och skydda kunder mot hot.

Signalerna som genereras av och skickas till Identity Protection kan matas in ytterligare i verktyg som villkorsstyrd åtkomst för att fatta åtkomstbeslut eller skickas tillbaka till ett SIEM-verktyg (säkerhetsinformations- och händelsehantering) för vidare undersökning baserat på organisationens framtvingade principer.

Varför är automatisering viktigt?

I sitt blogginlägg i oktober 2018 förklarar Alex Weinert, som leder Microsofts Team för identitetssäkerhet och skydd, varför automatisering är så viktigt när det gäller mängden händelser:

Varje dag ger våra maskininlärningssystem och heuristiksystem riskpoäng för 18 miljarder inloggningsförsök för över 800 miljoner distinkta konton, varav 300 miljoner görs på ett tydligt sätt av angripare (entiteter som: brottsspelare, hackare).

På Ignite förra året talade jag om de tre främsta attackerna mot våra identitetssystem. Här är den senaste volymen av dessa attacker

  • Återuppspelning avintrång: 4,6BN-attacker upptäcktes i maj 2018
  • Lösenordsattack:350 000 i april 2018
  • Nätfiske:Det här är svårt att kvantifiera exakt, men vi såg 23 miljoner riskhändelser i mars 2018, varav många är phish-relaterade

Riskidentifiering och reparation

Identity Protection identifierar risker av många typer, inklusive:

  • Anonym IP-adress användning
  • Ovanlig resa
  • IP-adress länkad till skadlig kod
  • Obekanta inloggningsegenskaper
  • Läckta autentiseringsuppgifter
  • Lösenordsattack
  • med flera...

Mer information om dessa och andra risker, inklusive hur eller när de beräknas, finns i artikeln Vad är risk.

Risksignalerna kan utlösa reparationsåtgärder, till exempel att kräva att användare: utför Azure AD Multi-Factor Authentication, återställer sina lösenord med självbetjäning av lösenordsåterställning eller blockerar tills en administratör vidtar åtgärder.

Riskundersökning

Administratörer kan granska identifieringar och vidta manuella åtgärder om det behövs. Det finns tre viktiga rapporter som administratörer använder för undersökningar i Identity Protection:

  • Riskfyllda användare
  • Riskfyllda inloggningar
  • Riskidentifieringar

Mer information finns i artikeln How To: Investigate risk.

Risknivåer

Identity Protection kategoriserar risker i tre nivåer: låg, medel och hög.

Även om Microsoft inte ger specifik information om hur risker beräknas, kommer vi att säga att varje nivå ger högre förtroende för att användaren eller inloggningen komprometteras. Till exempel kanske något som liknar en instans av okända inloggningsegenskaper för en användare inte är lika hotande som läckta autentiseringsuppgifter för en annan användare.

Exportera riskdata

Data från Identity Protection kan exporteras till andra verktyg för arkivering och ytterligare undersökning och korrelation. Med Microsofts Graph-baserade API:er kan organisationer samla in dessa data för vidare bearbetning i ett verktyg som deras SIEM. Information om hur du kommer åt Identity Protection-API:et finns i artikeln Kom igång med Azure Active Directory Identity Protection och Microsoft Graph

Information om hur du integrerar Identity Protection-information med Microsoft Sentinel finns i artikeln, Anslut data från Azure AD Identity Protection.

Dessutom kan organisationer välja att lagra data under längre perioder genom att ändra diagnostikinställningar i Azure AD för att skicka riskfyllda användare och UserRiskEvents-data till en Log Analytics-arbetsyta, arkivera data till ett lagringskonto, strömma data till en händelsehubb eller skicka data till en partnerlösning. Detaljerad information om hur du gör det finns i artikeln How To: Export risk data (Så här gör du: Exportera riskdata).

Behörigheter

Identity Protection kräver att användarna är säkerhetsläsare, säkerhetsoperatör, säkerhetsadministratör, global läsare eller global administratör för att få åtkomst.

Roll Kan göra Det går inte
Global administratör Fullständig åtkomst till Identity Protection
Säkerhetsadministratör Fullständig åtkomst till Identity Protection Återställa lösenord för en användare
Säkerhetsoperator Visa alla Identity Protection-rapporter och översiktsblad

Ignorera användarrisk, bekräfta säker inloggning och bekräfta kompromettering
Konfigurera eller ändra principer

Återställa lösenord för en användare

Konfigurera varningar
Säkerhetsläsare Visa alla Identity Protection-rapporter och översiktsblad Konfigurera eller ändra principer

Återställa lösenord för en användare

Konfigurera varningar

Ge feedback om identifieringar

Säkerhetsoperatörsrollen kan för närvarande inte komma åt rapporten för riskfyllda inloggningar.

Administratörer för villkorlig åtkomst kan också skapa principer som tar med inloggningsrisken som ett villkor. Mer information finns i artikeln Villkorlig åtkomst: Villkor.

Licenskrav

Den här funktionen kräver en Azure AD Premium P2 licens. Information om hur du hittar rätt licens för dina krav finns i Jämför allmänt tillgängliga funktioner i Azure AD.

Funktion Information Azure AD Free/Microsoft 365-applikationer Azure AD Premium P1 Azure AD Premium P2
Riskprinciper Princip för användarrisk (via Identity Protection) Inga Inga Ja
Riskprinciper Princip för inloggningsrisk (via Identity Protection eller villkorlig åtkomst) Inga Inga Ja
Säkerhetsrapporter Översikt Inga Inga Ja
Säkerhetsrapporter Riskfyllda användare Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. Fullständig åtkomst
Säkerhetsrapporter Riskfyllda inloggningar Begränsad information. Ingen riskinformation eller risknivå visas. Begränsad information. Ingen riskinformation eller risknivå visas. Fullständig åtkomst
Säkerhetsrapporter Riskidentifieringar No Begränsad information. Ingen informationslåda. Fullständig åtkomst
Meddelanden Identifierade aviseringar för användare i riskzonen Inga Inga Ja
Meddelanden Veckovis sammanfattning Inga Inga Ja
Registreringsprincip för multifaktorautentisering Inga Inga Ja

Mer information om dessa omfattande rapporter finns i artikeln How To: Investigate risk.

Nästa steg