Microsoft Entra ID Protection-instrumentpanel

  • Artikel

Microsoft Entra ID Protection förhindrar identitetsintrång genom att identifiera identitetsattacker och rapportera risker. Det gör det möjligt för kunder att skydda sina organisationer genom att övervaka risker, undersöka dem och konfigurera riskbaserade åtkomstprinciper för att skydda känslig åtkomst och åtgärda risker automatiskt.

Vår instrumentpanel hjälper kunderna att bättre analysera sin säkerhetsstatus, förstå hur väl de är skyddade, identifiera sårbarheter och utföra rekommenderade åtgärder.

Skärmbild som visar översiktsinstrumentpanelen för Microsoft Entra ID Protection.

Den här instrumentpanelen är utformad för att ge organisationer omfattande insikter och användbara rekommendationer som är skräddarsydda för din klientorganisation. Den här informationen ger en bättre överblick över organisationens säkerhetsstatus och gör att du kan aktivera effektivt skydd i enlighet med detta. Du har åtkomst till viktiga mått, attackgrafik, en karta som belyser riskfyllda platser, de främsta rekommendationerna för att förbättra säkerhetsstatusen och de senaste aktiviteterna.

Förutsättningar

För att få åtkomst till den här instrumentpanelen behöver du:

  • Microsoft Entra ID Free, Microsoft Entra ID P1 eller Microsoft Entra ID P2-licenser för dina användare.
  • Om du vill visa en omfattande lista med rekommendationer och välja de rekommenderade åtgärdslänkarna behöver du Microsoft Entra ID P2-licenser.

Få åtkomst till instrumentpanelen

Du kan komma åt instrumentpanelen genom att:

  1. Logga in på administrationscentret för Microsoft Entra som minst en säkerhetsläsare.
  2. Bläddra till instrumentpanelen för skydd>av identitetsskydd.>

Måttkort

När du implementerar fler säkerhetsåtgärder, till exempel riskbaserade principer, stärks klientorganisationens skydd. Därför tillhandahåller vi nu fyra viktiga mått som hjälper dig att förstå effektiviteten hos de säkerhetsåtgärder som du har på plats.

Skärmbild som visar måttdiagram på instrumentpanelen.

Metric Måttdefinition Uppdateringsfrekvens Var du kan visa information
Antal blockerade attacker Antal attacker som blockeras för den här klientorganisationen varje dag.

En attack anses blockerad om den riskfyllda inloggningen avbryts av någon åtkomstprincip. Åtkomstkontrollen som krävs av principen bör blockera angriparen från att logga in, vilket blockerar attacken i realtid.		 Var 24:e timme. Visa de riskidentifieringar som fastställde attackerna i rapporten Riskidentifieringar, filtrera "Risktillstånd" genom att:

- Reparerad
- Ogillas
-** Bekräftat kassaskåp**
Antal användare som skyddas Antal användare i den här klientorganisationen vars risktillstånd ändrades från Risk till Åtgärdad eller Avvisad varje dag.

Ett åtgärdat risktillstånd anger att användaren själv åtgärdade sina användarrisker genom att slutföra MFA eller skydda lösenordsändringen, och deras konto skyddas därför.

Ett avfärdat risktillstånd indikerar att en administratör avfärdade användarens risk eftersom de identifierade att användarens konto var säkert.		 Var 24:e timme. Visa användare som skyddas i rapporten Riskfyllda användare och filtrera "Risktillstånd" efter:

- Reparerad
- Ogillas
Genomsnittlig tid som användarna tar för att självreparera sina risker Genomsnittlig tid för risktillståndet för riskfyllda användare i klientorganisationen att ändras från Riskfylld till Åtgärdad.

En användares risktillstånd ändras till Åtgärdad när användaren själv åtgärdade sina användarrisker via MFA eller säker lösenordsändring.

Om du vill minska självreparationstiden i din klientorganisation distribuerar du riskbaserade principer för villkorsstyrd åtkomst.		 Var 24:e timme. Visa åtgärdade användare i rapporten Riskfyllda användare och filtrera "Risktillstånd" efter:

– Åtgärdat
Antal nya högriskanvändare som har identifierats Antal nya riskfyllda användare med hög risknivå som identifieras varje dag. Var 24:e timme. Visa högriskanvändare i rapporten Riskfyllda användare, filtrera risknivån efter

- "Hög"

Dataaggregering för följande tre mått startade den 22 juni 2023, så dessa mått är tillgängliga från det datumet. Vi arbetar med att uppdatera diagrammet för att återspegla det.

  • Antal blockerade attacker
  • Antal användare som skyddas
  • Genomsnittlig tid för att åtgärda användarrisker

Graferna ger ett rullande 12-månadersfönster med data.

Attackgrafik

För att hjälpa dig att bättre förstå din riskexponering introducerar vi en innovativ attackgrafik som visar vanliga identitetsbaserade attackmönster som identifierats för din klientorganisation. Attackmönstren representeras av MITRE ATT&CK-tekniker och bestäms av våra avancerade riskidentifieringar. Mer information finns i avsnittet Riskidentifieringstyp till MITRE-attacktypmappning.

Skärmbild som visar attackgrafiken på instrumentpanelen.

Vad anses vara en attack i Microsoft Entra ID Protection?

En attack är en händelse där vi identifierar en felaktig aktör som försöker logga in i din miljö. Den här händelsen utlöser en riskidentifiering i realtid som mappas till motsvarande MITRE ATT&CK-teknik. I följande tabell finns mappningen mellan Microsoft Entra ID Protections identifieringar och attacker vid inloggning i realtid enligt mitre ATT&CK-tekniker.

Eftersom attackdiagrammet endast illustrerar inloggningsriskaktivitet i realtid ingår inte riskfylld användaraktivitet . Om du vill visualisera riskfylld användaraktivitet i din miljö kan du gå till rapporten riskfyllda användare.

Hur tolkar man attackgrafiken?

Bilden visar attacktyper som påverkat din klient under de senaste 30 dagarna och om de blockerades under inloggningen. Till vänster ser du volymen för varje attacktyp. Till höger visas antalet blockerade och ännu inte åtgärdade attacker. Diagrammet uppdateras var 24:e timme och räknar identifieringar av riskinloggning som sker i realtid. Därför matchar det totala antalet attacker inte det totala antalet identifieringar.

  • Blockerad: En attack klassificeras som blockerad om den associerade riskfyllda inloggningen avbryts av en åtkomstprincip, som att kräva multifaktorautentisering. Den här åtgärden förhindrar angriparens inloggning och blockerar attacken.
  • Inte åtgärdad: Lyckade riskfyllda inloggningar som inte avbröts och som behöver åtgärdas. Därför kräver riskidentifieringar som är associerade med dessa riskfyllda inloggningar också reparation. Du kan visa dessa inloggningar och associerade riskidentifieringar i rapporten Riskfyllda inloggningar genom att filtrera med risktillståndet "I riskzonen".

Var kan jag visa attackerna?

Om du vill visa attackinformation kan du välja antalet attacker till vänster i diagrammet. Det här diagrammet tar dig till riskidentifieringsrapporten som filtrerats på den attacktypen.

Du kan gå direkt till riskidentifieringsrapporten och filtrera på attacktyper. Antalet attacker och identifieringar är inte en en-till-en-mappning.

Riskidentifieringstyp till MITRE-attacktypmappning

Identifiering av risk för realtidsinloggning Identifieringstyp MITRE ATT&CK-teknikmappning Visningsnamn för attack Typ
Avvikande token Realtid eller offline T1539 Stjäla cookie-/tokenstöld för webbsession Premium
Obekanta inloggningsegenskaper Realtid T1078 Åtkomst med ett giltigt konto (identifieras vid inloggning) Premium
Ip-adress för verifierad hotskådespelare Realtid T1078 Åtkomst med ett giltigt konto (identifieras vid inloggning) Premium
Anonym IP-adress Realtid T1090 Fördunkling/åtkomst med hjälp av proxy Nonpremium
Microsoft Entra-hotinformation Realtid eller offline T1078 Åtkomst med ett giltigt konto (identifieras vid inloggning) Nonpremium

Mappning

En karta tillhandahålls för att visa den geografiska platsen för riskfyllda inloggningar i din klientorganisation. Bubblans storlek återspeglar volymen för riskinloggningarna på den platsen. När du hovrar över bubblan visas en pratbubbla med landsnamnet och antalet riskfyllda inloggningar från den platsen.

Skärmbild som visar kartbilden på instrumentpanelen.

Den innehåller följande element:

  • Datumintervall: Välj datumintervallet och visa riskfyllda inloggningar inom det tidsintervallet på kartan. Tillgängliga värden är: de senaste 24 timmarna, de senaste sju dagarna och de senaste en månad.
  • Risknivå: välj risknivån för de riskfyllda inloggningarna som ska visas. Tillgängliga värden är: Hög, Medel, Låg.
  • Antal riskfyllda platser :
    • Definition: Antalet platser där klientens riskfyllda inloggningar kom ifrån.
    • Filtret för datumintervall och risknivå gäller för det här antalet.
    • Om du väljer det här antalet kommer du till rapporten Riskfyllda inloggningar som filtrerats efter det valda datumintervallet och risknivån.
  • Antal riskfyllda inloggningar :
    • Definition: Antalet totala riskfyllda inloggningar med den valda risknivån i det valda datumintervallet.
    • Filtret för datumintervall och risknivå gäller för det här antalet.
    • Om du väljer det här antalet kommer du till rapporten Riskfyllda inloggningar som filtrerats efter det valda datumintervallet och risknivån.

Rekommendationer

Microsoft Entra ID Protection-rekommendationer hjälper kunder att konfigurera sin miljö för att öka sin säkerhetsstatus. Dessa Rekommendationer baseras på de attacker som identifierats i din klientorganisation under de senaste 30 dagarna. Rekommendationerna ges för att vägleda säkerhetspersonalen med rekommenderade åtgärder att vidta.

Skärmbild som visar rekommendationer på instrumentpanelen.

Vanliga attacker som visas, till exempel lösenordsspray, läckta autentiseringsuppgifter i din klientorganisation och massåtkomst till känsliga filer kan informera dig om att det fanns ett potentiellt intrång. I föregående skärmbild identifierade exemplet Identity Protection minst 20 användare med läckta autentiseringsuppgifter i din klientorganisation . Den rekommenderade åtgärden i det här fallet är att skapa en princip för villkorsstyrd åtkomst som kräver säker lösenordsåterställning för riskfyllda användare.

I rekommendationskomponenten på vår instrumentpanel ser kunderna:

  • Upp till tre rekommendationer om specifika attacker inträffar i klientorganisationen.
  • Insikt i effekten av attacken.
  • Direktlänkar för att vidta lämpliga åtgärder för reparation.

Kunder med P2-licenser kan visa en omfattande lista med rekommendationer som ger insikter om åtgärder. När "Visa alla" har valts öppnas en panel som visar fler rekommendationer som utlöstes baserat på attackerna i deras miljö.

Senaste aktiviteter

Senaste aktivitet innehåller en sammanfattning av de senaste riskrelaterade aktiviteterna i din klientorganisation. Möjliga aktivitetstyper är:

  1. Attackaktivitet
  2. Reparationsaktivitet för administratörer
  3. Självreparationsaktivitet
  4. Nya högriskanvändare

Skärmbild som visar de senaste aktiviteterna på instrumentpanelen.

Kända problem

Beroende på klientorganisationens konfiguration kanske det inte finns rekommendationer eller senaste aktiviteter på instrumentpanelen.

Relaterat innehåll