Kimlik Koruması nedir?

Kimlik Koruması, kuruluşların üç önemli görevi gerçekleştirmelerini sağlayan bir araçtır:

Kimlik Koruması, Kullanıcılarınızı korumak için Microsoft'un Azure AD'ye sahip kuruluşlarda, Microsoft Hesapları ile tüketici alanı ve Xbox ile oyun oynamada edinilen bilgileri kullanır. Microsoft, müşterileri tehditlere karşı tanımlamak ve korumak için günde 6,5 trilyon sinyali analiz eder.

Tarafından oluşturulan ve Kimlik Koruması'ndan alınan sinyaller, Erişim kararları almak için Koşullu Erişim gibi araçlara daha fazla beslenir veya bir güvenlik bilgileri ve olay yönetimi (SIEM) aracına geri beslenir.

Otomasyon neden önemlidir?

Microsoft'un Kimlik Güvenliği ve Koruma ekibine liderlik eden Ekim 2018'de blog gönderisinde Alex Weinert, olay hacmiyle ilgilenmek için otomasyonun neden bu kadar önemli olduğunu açıklıyor:

Makine öğrenmesi ve ürkücü sistemlerimiz her gün 800 milyondan fazla farklı hesap için 18 milyar oturum açma denemesi için risk puanı sağlar ve bunların 300 milyonu saldırganlar (cezai aktörler, korsanlar gibi varlıklar) tarafından 300 milyondan fazladır.

Geçen yıl Ignite'ta kimlik sistemlerimize yapılan en önemli 3 saldırı hakkında konuştuk. Bu saldırıların son hacmi şu şekildedir

  • İhlal yeniden yürütme: Mayıs 2018'de algılanan 4.6BN saldırıları
  • Parola spreyi: Nisan 2018'de 350.000
  • Kimlik avı: Bu tam olarak ölçülebilir ancak Mart 2018'de 23 milyon risk olayını gördük ve bunların çoğu kimlik avıyla ilgili

Risk algılama ve düzeltme

Kimlik Koruması, şu birçok türün risklerini tanımlar:

  • Anonim IP adresi kullanma
  • Olağandışı yolculuk
  • Kötü amaçlı yazılımla ilişkilendirilmiş IP adresi
  • Bilinmeyen oturum açma özellikleri
  • Sızdırılan kimlik bilgileri
  • Parola spreyi
  • ve daha fazlası...

Bunlar ve bunların nasıl veya ne zaman hesaplanmaları da dahil olmak üzere diğer riskler hakkında daha fazla ayrıntı, Risk nedir? makalesinde bulunabilir.

Risk sinyalleri, kullanıcıların Azure AD Multi-Factor Authentication gerçekleştirmesini gerektirme, self servis parola sıfırlamayı kullanarak parolalarını sıfırlama veya yönetici eyleme geçene kadar engelleme gibi düzeltme çalışmalarını tetikler.

Risk araştırma

Yöneticiler, algılamaları gözden geçirebilecek ve gerekirse bu algılamalar üzerinde el ile eyleme geçebilecek. Yöneticilerin Kimlik Koruması'nın araştırmalarında kullanabileceği üç önemli rapor vardır:

  • Riskli kullanıcılar
  • Riskli oturum açma işlemleri
  • Risk algılamaları

Daha fazla bilgi, Nasıl 2019: Risk araştırma makalesinde bulunabilir.

Risk düzeyleri

Kimlik Koruması riski üç katmana ayırıyor: düşük, orta ve yüksek.

Microsoft, riskin nasıl hesaplanmasıyla ilgili belirli ayrıntılar sağlamasa da her düzeyin, kullanıcının veya oturum açmanın tehlikeye atılmış olması konusunda daha fazla güven düzeyine sahip olduğunu söylemek istiyoruz. Örneğin, bir kullanıcının bilinemeyen oturum açma özelliklerinin bir örneği, başka bir kullanıcı için sızdırılmış kimlik bilgileri kadar tehdit edici olabilir.

Risk verilerini dışarı aktarma

Kimlik Koruması'nın verileri arşiv ve daha fazla araştırma ile bağıntı için diğer araçlara aktarabilirsiniz. Microsoft Graph API'leri, kuruluşların SIEM'leri gibi bir araçta daha fazla işlem yapmak için bu verileri toplamasına olanak sağlar. Kimlik Koruması API'sine erişme hakkında bilgiler Azure Active Directory Identity Protection ve Microsoft Kullanmaya başlayın ile ilgili makale Graph

Kimlik Koruması bilgilerini Azure Sentinel tümleştirme hakkında bilgiler, veri kaynağından Bağlan makalesinde Azure AD Kimlik Koruması.

İzinler

Kimlik Koruması, kullanıcıların erişim için Güvenlik Okuyucusu, Güvenlik Operatörü, Güvenlik Yöneticisi, Genel Okuyucu veya Genel Yönetici olması gerekir.

Rol Bunu yapabilirim Bunu yapa
Genel yönetici Kimlik Koruması'nın tam erişimi
Güvenlik yöneticisi Kimlik Koruması'nın tam erişimi Kullanıcı için parola sıfırlama
Güvenlik işleci Tümünü görüntüle Koruma raporları ve Genel Bakış dikey penceresi

Kullanıcı riskini atlayın, güvenli oturum açma işlemini onaylayın, güvenliğin tehlikeye at olduğunu onaylayın
İlkeleri yapılandırma veya değiştirme

Kullanıcı için parola sıfırlama

Uyarı yapılandırma
Güvenlik okuyucusu Tümünü görüntüle Koruma raporları ve Genel Bakış dikey penceresi İlkeleri yapılandırma veya değiştirme

Kullanıcı için parola sıfırlama

Uyarı yapılandırma

Algılamalar hakkında geri bildirim verme

Güvenlik operatörü rolü şu anda Riskli oturum açmalar raporuna erişelikmaktadır.

Koşullu Erişim yöneticileri ayrıca bir koşul olarak oturum açma riskini çarpan ilkeler oluşturabilir. Koşullu Erişim: Koşullar makalesinde daha fazla bilgi bulabilirsiniz.

Lisans gereksinimleri

Bu özelliğin kullanılması için bir Azure AD Premium P2 lisansı gerekir. Gereksinimlerinize uygun lisans bulmak için bkz. ücretsiz, Office 365 uygulamaları ve Premium sürümlerin genel kullanıma sunulan özelliklerini karşılaştırma.

Özellik Ayrıntılar Azure AD Ücretsiz / Microsoft 365 Uygulamaları Azure AD Premium P1 Azure AD Premium P2
Risk ilkeleri Kullanıcı riski ilkesi (Kimlik Koruması aracılığıyla) Hayır Hayır Yes
Risk ilkeleri Oturum açma riski ilkesi (Kimlik Koruması veya Koşullu Erişim yoluyla) Hayır Hayır Yes
Güvenlik raporları Genel Bakış Hayır Hayır Yes
Güvenlik raporları Riskli kullanıcılar Sınırlı Bilgi. Yalnızca orta ve yüksek riskli kullanıcılar gösterilir. Ayrıntı çekmecesi veya risk geçmişi yok. Sınırlı Bilgi. Yalnızca orta ve yüksek riskli kullanıcılar gösterilir. Ayrıntı çekmecesi veya risk geçmişi yok. Tam erişim
Güvenlik raporları Riskli oturum açma işlemleri Sınırlı bilgi. Risk ayrıntısı veya risk düzeyi gösterilmez. Sınırlı bilgi. Risk ayrıntısı veya risk düzeyi gösterilmez. Tam erişim
Güvenlik raporları Risk algılamaları No Sınırlı bilgi. Ayrıntı çekmecesi yok. Tam erişim
Bildirimler Risk altındaki kullanıcılar uyarılar tespit etti Hayır Hayır Yes
Bildirimler Haftalık Özet Hayır Hayır Yes
Çok faktörlü kimlik doğrulaması kayıt ilkesi Hayır Hayır Yes

Bu zengin raporlarla ilgili daha fazla bilgiyi makalesinde bulabilirsiniz : riski araştırma.

Sonraki adımlar