Kimlik Koruması nedir?
Kimlik koruması, kuruluşların üç önemli görevi yerine getirmelerine olanak tanıyan bir araçtır:
- Kimlik tabanlı risklerin algılanmasını ve düzeltmesini otomatikleştirin.
- Portaldaki verileri kullanarak riskleri araştırın .
- Risk algılama verilerini SIEM 'Nize dışarı aktarın.
Kimlik koruması, Microsoft 'un kuruluşların konumlarından Azure AD, Microsoft hesaplarıyla tüketici alanı ve Xbox ile oyun oynarken kullanıcılarınızı koruduğu dersleri kullanır. Microsoft analizler 6.500.000.000.000 sinyalleri, müşterileri tespit etmek ve tehditlere karşı korumak için günde.
Tarafından oluşturulan ve kimlik koruması üzerinden yapılan sinyaller, erişim kararları vermek için koşullu erişim gibi araçlara daha fazla eklenebilir veya kuruluşunuzun zorlanan ilkelerine göre daha fazla araştırma için bir güvenlik bilgileri ve olay yönetimi (SıEM) aracına geri gönderilir.
Otomasyon ne neden önemlidir?
Microsoft 'un kimlik güvenliği ve koruma ekibine bakmakta olan Ekim 2018 Alex Weinert içindeki blog gönderisine , olay hacminde çalışırken otomasyonun neden bu kadar önemli olduğunu anlatmaktadır:
Her gün, makine öğrenimi ve buluşsal sistemlerimiz, 18.000.000.000 farklı 300.000.000 hesaplar 800.000.000 için oturum açma denemesi için risk puanları sağlar (örneğin: cezai aktörler, saldırganlar gibi varlıklar).
En son yılda, kimlik sistemlerimiz üzerinde en iyi 3 saldırıları hakkında konuşdum. Bu saldırıların son hacmi aşağıda verilmiştir
- İhlal yeniden yürütme: Mayıs 2018 ' de 4.6 milyar TL saldırıları algılandı
- Parola spreyi: 2018 Nisan 'da 350k
- Sızdırma: Bu, tam olarak niceleştik, ancak her biri de ilgili olan 2018 Mart 'Ta 23m risk olaylarını gördük.
Risk algılama ve düzeltme
Kimlik koruması, aşağıdakiler dahil olmak üzere birçok türden riskleri tanımlar:
- Anonim IP adresi kullanımı
- Olağandışı yolculuk
- Kötü amaçlı yazılım bağlı IP adresi
- Bilinmeyen oturum açma özellikleri
- Sızdırılan kimlik bilgileri
- Parola spreyi
- ve daha fazlası...
Bu ve ne zaman hesaplandıkları dahil olmak üzere bu ve diğer riskler hakkında daha fazla ayrıntı makalesinde, risk nedir?konusuna daha fazla bilgi bulabilirsiniz.
Risk sinyalleri, kullanıcıların şunları yapmasını isteme gibi düzeltme çalışmalarını tetikleyebilir: Azure AD Multi-Factor Authentication gerçekleştirme, self servis parola sıfırlama kullanarak parolalarını sıfırlama veya bir yönetici tarafından işlem yapana kadar engelleme.
Risk Araştırması
Yöneticiler algılamaları gözden geçirebilir ve gerekirse el ile eylem gerçekleştirebilir. Yöneticilerin kimlik koruması 'nda araştırmalar için kullandığı üç temel rapor vardır:
- Riskli kullanıcılar
- Riskli oturum açma işlemleri
- Risk algılamaları
Makalesinde daha fazla bilgi bulabilirsiniz : riski araştırma.
Risk düzeyleri
Kimlik koruması, riski üç katmana kategorilere ayırır: düşük, orta ve yüksek.
Microsoft, riskin nasıl hesaplandığına ilişkin belirli ayrıntıları sağlamadığında, her bir düzeyin, kullanıcının veya oturum açma güvenliğinin tehlikeye girdiği daha yüksek güvenilirliğe neden olduğunu varsayalım. Örneğin, bir kullanıcı için bilmediğiniz bir oturum açma özelliklerinin bir örneği, başka bir kullanıcı için sızdırıcı kimlik bilgileri olarak tehdit etmeyebilir.
Risk verileri dışarı aktarılıyor
Kimlik Koruması verileri, arşiv ve daha fazla araştırma ve bağıntı için diğer araçlara aktarılabilir. Microsoft Graph tabanlı apı 'ler, kuruluşların bu verileri sıem gibi bir araçla daha fazla işlenmek üzere toplamasına olanak tanır. kimlik koruma apı 'sine erişme hakkında bilgi için, Azure Active Directory kimlik koruması ve Microsoft Graph kullanmaya başlama başlıklı makaleye erişebilirsiniz.
kimlik koruması bilgilerini Microsoft Sentinel ile tümleştirme hakkında bilgi, Azure AD Kimlik Koruması Bağlanmakalesinde bulabilirsiniz.
Ayrıca, kuruluşlar, Azure AD 'de bir Log Analytics çalışma alanına RiskyUsers ve UserRiskEvents verileri göndermek, verileri bir depolama hesabına arşivlemek, bir olay hub 'ına veri akışı yapmak veya bir iş ortağı çözümüne veri göndermek için tanılama ayarlarını değiştirerek verileri daha uzun süreler için depolamayı tercih edebilir. Bunun nasıl yapılacağı hakkında ayrıntılı bilgi makalesinde, nasıl yapılır: risk verilerini dışarı aktarmamakalesini bulabilirsiniz.
İzinler
Kimlik koruması, kullanıcıların erişebilmeleri için bir güvenlik okuyucusu, güvenlik operatörü, Güvenlik Yöneticisi, genel okuyucu veya küresel yönetici olmasını gerektirir.
| Rol | Yapılabilir | Yapılamıyor |
|---|---|---|
| Genel yönetici | Kimlik korumasına tam erişim | |
| Güvenlik yöneticisi | Kimlik korumasına tam erişim | Kullanıcı parolasını sıfırlama |
| Güvenlik operatörü | Tüm kimlik koruması raporlarını ve genel bakış dikey penceresini görüntüleyin Kullanıcı riskini kapatın, güvenli oturum açma 'yı onaylayın, güvenliği tehlikeye atabilir |
İlkeleri yapılandırma veya değiştirme Kullanıcı parolasını sıfırlama Uyarı yapılandırma |
| Güvenlik okuyucusu | Tüm kimlik koruması raporlarını ve genel bakış dikey penceresini görüntüleyin | İlkeleri yapılandırma veya değiştirme Kullanıcı parolasını sıfırlama Uyarı yapılandırma Algılamalar hakkında geri bildirimde bulunun |
Şu anda güvenlik operatörü rolü riskli oturum açma işlemleri raporuna erişemez.
Koşullu erişim yöneticileri, bir koşul olarak oturum açma riskini gösteren ilkeler de oluşturabilir. Koşullu erişim: koşullarmakalesinde daha fazla bilgi bulabilirsiniz.
Lisans gereksinimleri
Bu özelliğin kullanılması için bir Azure AD Premium P2 lisansı gerekir. Gereksinimlerinize uygun lisans bulmak için bkz. ücretsiz, Office 365 uygulamaları ve Premium sürümlerin genel kullanıma sunulan özelliklerini karşılaştırma.
| Özellik | Ayrıntılar | Azure AD Ücretsiz/Microsoft 365 Uygulamaları | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| Risk ilkeleri | Kullanıcı risk ilkesi (kimlik koruması aracılığıyla) | Hayır | Hayır | Yes |
| Risk ilkeleri | Oturum açma risk ilkesi (kimlik koruması veya koşullu erişim aracılığıyla) | Hayır | Hayır | Yes |
| Güvenlik raporları | Genel Bakış | Hayır | Hayır | Yes |
| Güvenlik raporları | Riskli kullanıcılar | Sınırlı bilgi. Yalnızca orta ve yüksek riskli kullanıcılar gösterilir. Ayrıntılı çekmece veya risk geçmişi yoktur. | Sınırlı bilgi. Yalnızca orta ve yüksek riskli kullanıcılar gösterilir. Ayrıntı çekmecesi veya risk geçmişi yok. | Tam erişim |
| Güvenlik raporları | Riskli oturum açma işlemleri | Sınırlı Bilgi. Hiçbir risk ayrıntısı veya risk düzeyi gösterilmez. | Sınırlı Bilgi. Hiçbir risk ayrıntısı veya risk düzeyi gösterilmez. | Tam erişim |
| Güvenlik raporları | Risk algılamaları | No | Sınırlı Bilgi. Ayrıntı çekmecesi yok. | Tam erişim |
| Bildirimler | Risk altında olan kullanıcılar uyarı algıladı | Hayır | Hayır | Yes |
| Bildirimler | Haftalık özet | Hayır | Hayır | Yes |
| Çok faktörlü kimlik doğrulaması kayıt ilkesi | Hayır | Hayır | Yes |
Bu zengin raporlar hakkında daha fazla bilgi, Nasıl 2019: Risk araştırma makalesinde bulunabilir.