Azure Active Directory Kimlik Koruması nedir?What is Azure Active Directory Identity Protection?

Kimlik koruması, kuruluşların üç önemli görevi yerine getirmelerine olanak tanıyan bir araçtır:Identity Protection is a tool that allows organizations to accomplish three key tasks:

  • Kimlik tabanlı risklerin algılanmasını ve düzeltmesini otomatikleştirin.Automate the detection and remediation of identity-based risks.
  • Portaldaki verileri kullanarak riskleri araştırın.Investigate risks using data in the portal.
  • Daha fazla analiz için risk algılama verilerini üçüncü taraf yardımcı programlara dışarı aktarın.Export risk detection data to third-party utilities for further analysis.

Kimlik koruması, Microsoft 'un kuruluşların konumlarından Azure AD, Microsoft hesaplarıyla tüketici alanı ve Xbox ile oyun oynarken kullanıcılarınızı koruduğu dersleri kullanır.Identity Protection uses the learnings Microsoft has acquired from their position in organizations with Azure AD, the consumer space with Microsoft Accounts, and in gaming with Xbox to protect your users. Microsoft analizler 6.500.000.000.000 sinyalleri, müşterileri tespit etmek ve tehditlere karşı korumak için günde.Microsoft analyses 6.5 trillion signals per day to identify and protect customers from threats.

Tarafından oluşturulan ve kimlik koruması ile beslenir sinyalleri, erişim kararları vermek için koşullu erişim gibi araçlara daha fazla eklenebilir veya kuruluşunuzun adına göre daha fazla araştırma için bir güvenlik bilgileri ve olay yönetimi (SıEM) aracına geri alınabilir. zorlanan ilkeler.The signals generated by and fed to Identity Protection, can be further fed into tools like Conditional Access to make access decisions, or fed back to a security information and event management (SIEM) tool for further investigation based on your organization's enforced policies.

Otomasyon ne neden önemlidir?Why is automation important?

Microsoft 'un kimlik güvenliği ve koruma ekibine bakmakta olan Ekim 2018 Alex Weinert içindeki blog gönderisine , olay hacminde çalışırken otomasyonun neden bu kadar önemli olduğunu anlatmaktadır:In his blog post in October of 2018 Alex Weinert, who leads Microsoft's Identity Security and Protection team, explains why automation is so important when dealing with the volume of events:

Her gün, makine öğrenimi ve buluşsal sistemlerimiz, 18.000.000.000 farklı 300.000.000 hesaplar 800.000.000 için oturum açma denemesi için risk puanları sağlar (örneğin: cezai aktörler, saldırganlar gibi varlıklar).Each day, our machine learning and heuristic systems provide risk scores for 18 billion login attempts for over 800 million distinct accounts, 300 million of which are discernibly done by adversaries (entities like: criminal actors, hackers).

En son yılda, kimlik sistemlerimiz üzerinde en iyi 3 saldırıları hakkında konuşdum.At Ignite last year, I spoke about the top 3 attacks on our identity systems. Bu saldırıların son hacmi aşağıda verilmiştirHere is the recent volume of these attacks

  • İhlal yeniden yürütme: Mayıs 2018 ' de 4.6 milyar TL saldırıları algılandıBreach replay: 4.6BN attacks detected in May 2018
  • Parola spreyi: 2018 Nisan 'da 350kPassword spray: 350k in April 2018
  • Sızdırma: Bu, tam olarak niceleştik, ancak her biri de ilgili olan 2018 Mart 'Ta 23m risk olaylarını gördük.Phishing: This is hard to quantify exactly, but we saw 23M risk events in March 2018, many of which are phish related

Risk algılama ve düzeltmeRisk detection and remediation

Kimlik koruması, riskleri aşağıdaki sınıflandırmalarla tanımlar:Identity Protection identifies risks in the following classifications:

Risk algılama türüRisk detection type AçıklamaDescription
Atipik seyahatAtypical travel Kullanıcının en son oturum açma işlemlerini temel alarak sıradan bir konumdan oturum açın.Sign in from an atypical location based on the user’s recent sign-ins.
Anonim IP adresiAnonymous IP address Anonim bir IP adresinden oturum açın (örneğin: Tor tarayıcısı, anonimleştirici VPN 'Ler).Sign in from an anonymous IP address (for example: Tor browser, anonymizer VPNs).
Bilmediğiniz oturum açma özellikleriUnfamiliar sign-in properties Belirtilen kullanıcı için son gördüğdiğimiz özelliklerle oturum açın.Sign in with properties we‘ve not seen recently for the given user.
Kötü amaçlı yazılım bağlı IP adresiMalware linked IP address Kötü amaçlı yazılımdan bağlantılı IP adresinden oturum açınSign in from a malware linked IP address
Sızdırılan kimlik bilgileriLeaked Credentials Bu risk algılama, kullanıcının geçerli kimlik bilgilerinin sızdırdığını belirtirThis risk detection indicates that the user's valid credentials have been leaked
Azure AD tehdit bilgileriAzure AD threat intelligence Microsoft 'un dahili ve dış tehdit bilgileri kaynakları, bilinen bir saldırı modelini tanımladıMicrosoft’s internal and external threat intelligence sources have identified a known attack pattern

Bu riskler hakkında daha fazla ayrıntı ve bunların hesaplanmaları, makalede riskaltında bulunabilir.More detail on these risks and how/when they are calculated can be found in the article, What is risk.

Risk sinyalleri, kullanıcıların şunları yapmasını isteme gibi düzeltme çabalarını tetikleyebilirler: Azure Multi-Factor Authentication gerçekleştirme, kendi kendine parola sıfırlama kullanarak parolalarını sıfırlama veya bir yönetici işlem yapana kadar engelleme.The risk signals can trigger remediation efforts such as requiring users to: perform Azure Multi-Factor Authentication, reset their password using self-service password reset, or blocking until an administrator takes action.

Risk AraştırmasıRisk investigation

Yöneticiler algılamaları gözden geçirebilir ve gerekirse el ile eylem gerçekleştirebilir.Administrators can review detections and take manual action on them if needed. Yöneticilerin kimlik koruması 'nda araştırmalar için kullandığı üç temel rapor vardır:There are three key reports that administrators use for investigations in Identity Protection:

  • Riskli kullanıcılarRisky users
  • Riskli oturum açma işlemleriRisky sign-ins
  • Risk algılamalarıRisk detections

Makalesinde daha fazla bilgi bulabilirsiniz : riski araştırma.More information can be found in the article, How To: Investigate risk.

Risk verileri dışarı aktarılıyorExporting risk data

Kimlik korumasından alınan veriler, arşiv ve daha fazla inceleme ve corelation için diğer araçlara aktarılabilir.Data from Identity Protection can be exported to other tools for archive and further investigation and corelation. Microsoft Graph tabanlı API 'Ler, kuruluşların bu verileri SıEM gibi bir araçla daha fazla işlenmek üzere toplamasına olanak tanır.The Microsoft Graph based APIs allow organizations to collect this data for further processing in a tool such as their SIEM. Kimlik koruma API 'sine erişme hakkında bilgiler, Azure Active Directory kimlik koruması ve Microsoft Graph kullanmaya başlama hakkında bilgi edinebilirsiniz.Information about how to access the Identity Protection API can be found in the article, Get started with Azure Active Directory Identity Protection and Microsoft Graph

Kimlik koruması bilgilerini Azure Sentinel ile tümleştirme hakkında bilgi için, Azure AD kimlik koruması verileri bağlamamakalesinde bulabilirsiniz.Information about integrating Identity Protection information with Azure Sentinel can be found in the article, Connect data from Azure AD Identity Protection.

İzinlerPermissions

Kimlik koruması, kullanıcıların erişebilmeleri için bir güvenlik okuyucusu, güvenlik operatörü, Güvenlik Yöneticisi, genel okuyucu veya küresel yönetici olmasını gerektirir.Identity Protection requires users be a Security Reader, Security Operator, Security Administrator, Global Reader, or Global Administrator in order to access.

Lisans gereksinimleriLicense requirements

Bu özelliğin kullanılması için bir Azure AD Premium P2 lisansı gerekir.Using this feature requires an Azure AD Premium P2 license. Gereksinimleriniz için doğru lisans bulmak için bkz. ücretsiz, temel ve Premium sürümlerin genel kullanıma sunulan özelliklerini karşılaştırma.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

ÖzellikCapability AyrıntılarDetails Azure AD Premium P2Azure AD Premium P2 Azure AD Premium P1Azure AD Premium P1 Azure AD Temel/ücretsizAzure AD Basic/Free
Risk ilkeleriRisk policies Kullanıcı risk ilkesi (kimlik koruması aracılığıyla)User risk policy (via Identity Protection) YesYes HayırNo HayırNo
Risk ilkeleriRisk policies Oturum açma risk ilkesi (kimlik koruması veya koşullu erişim aracılığıyla)Sign-in risk policy (via Identity Protection or Conditional Access) YesYes HayırNo HayırNo
Güvenlik raporlarıSecurity reports Genel BakışOverview YesYes HayırNo HayırNo
Güvenlik raporlarıSecurity reports Riskli kullanıcılarRisky users Tam erişimFull access Sınırlı bilgiLimited Information Sınırlı bilgiLimited Information
Güvenlik raporlarıSecurity reports Riskli oturum açma işlemleriRisky sign-ins Tam erişimFull access Sınırlı bilgiLimited Information Sınırlı bilgiLimited Information
Güvenlik raporlarıSecurity reports Risk algılamalarıRisk detections Tam erişimFull access Sınırlı bilgiLimited Information HayırNo
BildirimlerNotifications Risk altındaki kullanıcılar uyarılar tespit ettiUsers at risk detected alerts YesYes HayırNo HayırNo
BildirimlerNotifications Haftalık ÖzetWeekly digest YesYes HayırNo HayırNo
MFA kayıt ilkesiMFA registration policy YesYes HayırNo HayırNo

Sonraki adımlarNext steps