Vad är Identity Protection?
Identity Protection är ett verktyg som gör att organisationer kan utföra tre viktiga uppgifter:
- Automatisera identifiering och reparation av identitetsbaserade risker.
- Undersöka risker med hjälp av data i portalen.
- Exportera riskidentifieringsdata till din SIEM.
Identity Protection använder de lärdomar som Microsoft har skaffat sig från sin position i organisationer med Azure AD, konsumentutrymmet med Microsoft-konton och spel med Xbox för att skydda dina användare. Microsoft analyserar 6,5 biljoner signaler per dag för att identifiera och skydda kunder mot hot.
Signalerna som genereras av och skickas till Identity Protection kan matas in ytterligare i verktyg som villkorsstyrd åtkomst för att fatta åtkomstbeslut eller skickas tillbaka till ett SIEM-verktyg (säkerhetsinformations- och händelsehantering) för vidare undersökning baserat på organisationens framtvingade principer.
Varför är automatisering viktigt?
I sitt blogginlägg i oktober 2018 förklarar Alex Weinert, som leder Microsofts Team för identitetssäkerhet och skydd, varför automatisering är så viktigt när det gäller mängden händelser:
Varje dag ger våra maskininlärningssystem och heuristiksystem riskpoäng för 18 miljarder inloggningsförsök för över 800 miljoner distinkta konton, varav 300 miljoner kan urskiljas av angripare (entiteter som: brottsspelare, hackare).
På Ignite förra året talade jag om de tre främsta attackerna mot våra identitetssystem. Här är den senaste mängden av dessa attacker
- Återuppspelning av intrång: 4.6BN-attacker upptäcktes i maj 2018
- Lösenordsattack: 350 000 i april 2018
- Nätfiske: Det här är svårt att kvantifiera exakt, men vi såg 23 miljoner riskhändelser i mars 2018, varav många är phishrelaterade
Riskidentifiering och reparation
Identity Protection identifierar risker av många typer, inklusive:
- Anonym IP-adress användning
- Ovanlig resa
- IP-adress länkad till skadlig kod
- Obekanta inloggningsegenskaper
- Läckta autentiseringsuppgifter
- Lösenordsattack
- med flera...
Mer information om dessa och andra risker, inklusive hur och när de beräknas, finns i artikeln Vad är risk.
Risksignalerna kan utlösa åtgärder som att kräva att användare: utföra Azure AD Multi-Factor Authentication, återställa sina lösenord med självbetjäning av lösenordsåterställning eller blockera tills en administratör vidtar åtgärder.
Riskundersökning
Administratörer kan granska identifieringar och vidta manuella åtgärder om det behövs. Det finns tre viktiga rapporter som administratörer använder för undersökningar i Identity Protection:
- Riskfyllda användare
- Riskfyllda inloggningar
- Riskidentifieringar
Mer information finns i artikeln How To: Investigate risk.
Risknivåer
Identity Protection kategoriserar risker i tre nivåer: låg, medel och hög.
Även om Microsoft inte ger specifik information om hur risker beräknas, kommer vi att säga att varje nivå ger högre förtroende för att användaren eller inloggningen komprometteras. Till exempel kanske något som liknar en instans av okända inloggningsegenskaper för en användare inte är lika hotande som att autentiseringsuppgifterna har läckts för en annan användare.
Exportera riskdata
Data från Identity Protection kan exporteras till andra verktyg för arkivering och ytterligare undersökning och korrelation. Microsofts Graph API:er gör att organisationer kan samla in dessa data för vidare bearbetning i ett verktyg som deras SIEM. Information om hur du kommer åt Identity Protection-API:et finns i artikeln Komma igång med Azure Active Directory Identity Protection och Microsoft Graph
Information om hur du integrerar Identity Protection-information med Microsoft Sentinel finns i artikeln Anslut data från Azure AD Identity Protection.
Dessutom kan organisationer välja att lagra data under längre perioder genom att ändra diagnostikinställningar i Azure AD för att skicka riskfyllda användare och UserRiskEvents-data till en Log Analytics-arbetsyta, arkivera data till ett lagringskonto, strömma data till en händelsehubb eller skicka data till en partnerlösning. Detaljerad information om hur du gör detta finns i artikeln How To: Export risk data (Så här gör du: Exportera riskdata).
Behörigheter
Identity Protection kräver att användarna är säkerhetsläsare, säkerhetsoperatör, säkerhetsadministratör, global läsare eller global administratör för att få åtkomst.
| Roll | Kan göra | Kan inte göra |
|---|---|---|
| Global administratör | Fullständig åtkomst till Identity Protection | |
| Säkerhetsadministratör | Fullständig åtkomst till Identity Protection | Återställa lösenord för en användare |
| Säkerhetsoperatör | Visa alla Identity Protection-rapporter och översiktsbladet Ignorera användarrisk, bekräfta säker inloggning, bekräfta kompromettering |
Konfigurera eller ändra principer Återställa lösenord för en användare Konfigurera varningar |
| Säkerhetsläsare | Visa alla Identity Protection-rapporter och översiktsbladet | Konfigurera eller ändra principer Återställa lösenord för en användare Konfigurera varningar Ge feedback om identifieringar |
Säkerhetsoperatörsrollen kan för närvarande inte komma åt rapporten för riskfyllda inloggningar.
Administratörer för villkorlig åtkomst kan också skapa principer som tar med inloggningsrisken som ett villkor. Mer information finns i artikeln Villkorsstyrd åtkomst: Villkor.
Licenskrav
Om du använder den här funktionen krävs en Azure AD Premium P2-licens. Information om rätt licens för dina krav finns i jämföra allmänt tillgängliga funktioner i kostnads fria, Office 365-appar och Premium-versioner.
| Funktion | Information | Azure AD Free/Microsoft 365-applikationer | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| Riskprinciper | Princip för användarrisk (via Identity Protection) | Inga | Inga | Ja |
| Riskprinciper | Princip för inloggningsrisk (via Identity Protection eller villkorlig åtkomst) | Inga | Inga | Ja |
| Säkerhetsrapporter | Översikt | Inga | Inga | Ja |
| Säkerhetsrapporter | Riskfyllda användare | Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. | Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. | Fullständig åtkomst |
| Säkerhetsrapporter | Riskfyllda inloggningar | Begränsad information. Ingen riskinformation eller risknivå visas. | Begränsad information. Ingen riskinformation eller risknivå visas. | Fullständig åtkomst |
| Säkerhetsrapporter | Riskidentifieringar | No | Begränsad information. Ingen informationslåda. | Fullständig åtkomst |
| Meddelanden | Identifierade aviseringar för användare i riskzonen | Inga | Inga | Ja |
| Meddelanden | Veckovis sammanfattning | Inga | Inga | Ja |
| Registreringsprincip för multifaktorautentisering | Inga | Inga | Ja |
Mer information om dessa omfattande rapporter finns i artikeln How To: Investigate risk.