Vad är Identity Protection?

Identity Protection är ett verktyg som gör att organisationer kan utföra tre viktiga uppgifter:

Identity Protection använder de kunskaper som Microsoft har förvärvat från sin position i organisationer med Azure AD, konsumentutrymmet med Microsoft-konton och i spel med Xbox för att skydda dina användare. Microsoft analyserar 6,5 biljoner signaler per dag för att identifiera och skydda kunder mot hot.

De signaler som genereras av och matas till Identity Protection kan matas in ytterligare i verktyg som villkorsstyrd åtkomst för att fatta åtkomstbeslut eller matas tillbaka till ett SIEM-verktyg (säkerhetsinformation och händelsehantering) för vidare undersökning baserat på organisationens tvingande principer.

Varför är automatisering viktigt?

I sitt blogginlägg i oktober 2018 förklarar Alex Weinert, som leder Microsofts Identity Security and Protection-team, varför automatisering är så viktigt när det gäller händelsevolymer:

Varje dag ger våra maskininlärnings- och heuristiska system riskpoäng för 18 miljarder inloggningsförsök för över 800 miljoner distinkta konton, varav 300 miljoner görs märkbart av angripare (enheter som: kriminella aktörer, hackare).

På Ignite förra året talade jag om de 3 främsta attackerna på våra identitetssystem. Här är den senaste volymen av dessa attacker

  • Överträdelserepris: 4.6BN-attacker upptäcktes i maj 2018
  • Lösenordsspray: 350k i april 2018
  • Nätfiske: Det här är svårt att kvantifiera exakt, men vi såg 23 miljoner riskhändelser i mars 2018, varav många är nätfiskerelaterade

Riskidentifiering och åtgärder

Identity Protection identifierar risker av många typer, inklusive:

  • Användning av anonym IP-adress
  • Ovanlig resa
  • Länkad IP-adress för skadlig kod
  • Obekanta inloggningsegenskaper
  • Läckta autentiseringsuppgifter
  • Lösenordsspray
  • med flera...

Mer information om dessa och andra risker, inklusive hur eller när de beräknas, finns i artikeln Vad är risk.

Risksignalerna kan utlösa åtgärder som att kräva att användare: utför Azure AD Multi-Factor Authentication, återställer sina lösenord med självbetjäning av lösenordsåterställning eller blockerar tills en administratör vidtar åtgärder.

Riskundersökning

Administratörer kan granska identifieringar och vidta manuella åtgärder om det behövs. Det finns tre viktiga rapporter som administratörer använder för undersökningar i Identity Protection:

  • Riskfyllda användare
  • Riskfyllda inloggningar
  • Riskidentifieringar

Mer information finns i artikeln How To: Investigate risk (Så här gör du: Undersöka risker).

Risknivåer

Identity Protection kategoriserar risker i tre nivåer: låg, medel och hög.

Även om Microsoft inte tillhandahåller specifik information om hur risken beräknas, kommer vi att säga att varje nivå ger högre förtroende för att användaren eller inloggningen komprometteras. Till exempel kanske något som liknar en instans av okända inloggningsegenskaper för en användare inte är lika hotfullt som läckta autentiseringsuppgifter för en annan användare.

Exportera riskdata

Data från Identity Protection kan exporteras till andra verktyg för arkivering och vidare undersökning och korrelation. Med Microsoft Graph-baserade API:er kan organisationer samla in dessa data för vidare bearbetning i ett verktyg som siem. Information om hur du kommer åt API:et för identitetsskydd finns i artikeln Kom igång med Azure Active Directory Identity Protection och Microsoft Graph

Information om hur du integrerar Identity Protection-information med Microsoft Sentinel finns i artikeln Anslut data från Azure AD Identity Protection.

Dessutom kan organisationer välja att lagra data under längre perioder genom att ändra diagnostikinställningarna i Azure AD för att skicka RiskyUsers- och UserRiskEvents-data till en Log Analytics-arbetsyta, arkivera data till ett lagringskonto, strömma data till en händelsehubb eller skicka data till en partnerlösning. Detaljerad information om hur du gör det finns i artikeln How To: Export risk data (Så här gör du: Exportera riskdata).

Behörigheter

Identity Protection kräver att användarna är säkerhetsläsare, säkerhetsoperatör, säkerhetsadministratör, global läsare eller global administratör för att få åtkomst.

Roll Kan göra Det går inte att göra
Global administratör Fullständig åtkomst till Identity Protection
Säkerhetsadministratör Fullständig åtkomst till Identity Protection Återställa lösenord för en användare
Säkerhetsoperatör Visa alla Identity Protection-rapporter och bladet Översikt

Stäng användarrisken, bekräfta säker inloggning, bekräfta kompromiss
Konfigurera eller ändra principer

Återställa lösenord för en användare

Konfigurera varningar
Säkerhetsläsare Visa alla Identity Protection-rapporter och bladet Översikt Konfigurera eller ändra principer

Återställa lösenord för en användare

Konfigurera varningar

Ge feedback om identifieringar

Säkerhetsoperatörsrollen kan för närvarande inte komma åt rapporten riskfyllda inloggningar.

Administratörer för villkorsstyrd åtkomst kan också skapa principer som räknar in inloggningsrisk som ett villkor. Mer information finns i artikeln Villkorsstyrd åtkomst: Villkor.

Licenskrav

Användning av den här funktionen kräver en Azure AD Premium P2 licens. Information om hur du hittar rätt licens för dina krav finns i Jämför allmänt tillgängliga funktioner i Azure AD.

Funktion Information Azure AD Free/Microsoft 365-applikationer Azure AD Premium P1 Azure AD Premium P2
Riskprinciper Användarriskprincip (via Identity Protection) Inga Inga Ja
Riskprinciper Princip för inloggningsrisk (via identitetsskydd eller villkorsstyrd åtkomst) Inga Inga Ja
Säkerhetsrapporter Översikt Inga Inga Ja
Säkerhetsrapporter Riskfyllda användare Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. Fullständig åtkomst
Säkerhetsrapporter Riskfyllda inloggningar Begränsad information. Ingen riskinformation eller risknivå visas. Begränsad information. Ingen riskinformation eller risknivå visas. Fullständig åtkomst
Säkerhetsrapporter Riskidentifieringar Inga Begränsad information. Ingen informationslåda. Fullständig åtkomst
Meddelanden Identifierade aviseringar för riskanvändare Inga Inga Ja
Meddelanden Veckosammandrag Inga Inga Ja
Registreringsprincip för multifaktorautentisering Inga Inga Ja

Mer information om dessa omfattande rapporter finns i artikeln How To: Investigate risk (Så här gör du: Undersöka risker).

Nästa steg