你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
什么是“标识保护”?
标识保护是一种使组织能够完成三项关键任务的工具:
- 自动检测和修正基于标识的风险。
- 使用门户中的数据调查风险。
- 将风险检测数据导出到你的 SIEM。
标识保护利用 Microsoft 从 Azure AD 组织、Microsoft 帐户中的用户群以及 Xbox 游戏中获得的自身经验来保护用户。 Microsoft 每天分析 6.5 万亿条信号,以识别威胁并保护客户安全。
可以将由标识保护生成并发送到标识保护的信号进一步发送给条件访问等工具,供其制定访问决策,也可以将信号发送回安全信息和事件管理 (SIEM) 工具,以根据组织的强制执行策略进行深入调查。
为什么自动化非常重要?
在博客帖子网络信号:使用截至 2022 年 2 月 3 日的最新研究、见解和趋势防御网络威胁,我们分享了一份线程智能简报,包括以下统计信息:
- 分析...24 万亿安全信号与我们通过监视 40 多个国家/地区组和超过 140 个威胁组获取的情报相结合...
- ...从 2021 年 1 月到 2021 年 12 月,我们已阻止超过 256 亿 Azure AD 暴力身份验证攻击...
这种信号和攻击规模需要一定程度的自动化才能跟上。
风险检测和修正
标识保护识别许多类型的风险,包括:
- 匿名 IP 地址使用
- 异常位置登录
- 受恶意软件感染的 IP 地址
- 不熟悉的登录属性
- 凭据泄露
- 密码喷射
- 等等...
要详细了解这些风险以及其他风险,包括如何或何时计算风险,请参阅什么是风险一文。
风险信号可能会触发修正措施,例如要求用户执行以下操作:执行 Azure AD 多重身份验证、使用自助式密码重置来重置其密码,或进行阻止直到管理员执行操作。
风险调查
管理员可以查看检测结果,并按需对其执行手动操作。 管理员可以使用以下三项主要报告在标识保护中进行调查:
- 有风险用户
- 有风险的登录
- 风险检测
有关详细信息,请参阅如何:调查风险一文。
风险级别
标识保护将风险分为三个级别:低、中和高。
虽然 Microsoft 不提供有关风险计算方式的具体详细信息,但可以说每个级别在用户或登录受到攻击时都提供了更高的置信度。 例如,与某用户的一个实例出现不熟悉的登录属性相比,将凭据泄露给另一个用户所带来的威胁性更高。
导出风险数据
来自标识保护的数据可以导出到其他工具,以进行存档以及深入调查和相关性分析。 使用基于 API 的 Microsoft Graph,组织可以收集这些数据,以便在 SIEM 等工具中进一步处理。 若要了解如何访问标识保护 API,请参阅 Azure Active Directory 标识保护和 Microsoft Graph 入门一文
要了解如何将标识保护信息与 Microsoft Sentinel 集成,请参阅从 Azure AD 标识保护连接数据一文。
此外,组织可以通过更改 Azure AD 中的诊断设置来选择将数据存储更长时间,以将 RiskyUsers 和 UserRiskEvents 数据发送到 Log Analytics 工作区、将数据存档到存储帐户、将数据流式传输到 Azure 事件中心,或将数据发送到合作伙伴解决方案。 有关如何这样做的详细信息,请参阅如何:导出风险数据一文。
权限
标识保护要求用户是安全读者、安全操作员、安全管理员、全局读者或全局管理员才可访问。
| 角色 | 有权执行的操作 | 无权执行的操作 |
|---|---|---|
| 全局管理员 | 对“标识保护”具有完全访问权限 | |
| 安全管理员 | 对“标识保护”具有完全访问权限 | 重置用户密码 |
| 安全操作员 | 查看所有标识保护报表和“概览”边栏选项卡 消除用户风险,确认安全登录,确认泄露 |
配置或更改策略 重置用户密码 配置警报 |
| 安全读取者 | 查看所有标识保护报表和“概览”边栏选项卡 | 配置或更改策略 重置用户密码 配置警报 提供有关检测的反馈 |
目前,安全操作员角色无法访问风险登录报告。
条件访问管理员还可以创建将登录风险作为条件考虑在内的策略。 有关详细信息,请参阅条件访问:条件一文。
许可要求
使用此功能需要 Azure AD Premium P2 许可证。 若要根据需要查找合适的许可证,请参阅比较 Azure AD 的正式发布功能。
| 功能 | 详细信息 | Azure AD Free/Microsoft 365 应用版 | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| 风险策略 | 用户风险策略(通过标识保护实现) | 否 | 否 | 是 |
| 风险策略 | 登录风险策略(通过标识保护或条件访问实现) | 否 | 否 | 是 |
| 安全报表 | 概述 | 否 | 否 | 是 |
| 安全报表 | 有风险用户 | 有限信息。 仅显示中等风险和高风险用户。 无详细信息抽屉或风险历史记录。 | 有限信息。 仅显示中等风险和高风险用户。 无详细信息抽屉或风险历史记录。 | 完全访问权限 |
| 安全报表 | 有风险的登录 | 有限信息。 未显示任何风险详细信息或风险级别。 | 有限信息。 未显示任何风险详细信息或风险级别。 | 完全访问权限 |
| 安全报表 | 风险检测 | 否 | 有限信息。 无详细信息抽屉。 | 完全访问权限 |
| 通知 | 检测到用户存在风险的警报 | 否 | 否 | 是 |
| 通知 | 每周摘要 | 否 | 否 | 是 |
| MFA 注册策略 | 否 | 否 | 是 |
有关这些丰富报表的详细信息,请参阅操作说明:调查风险一文。