什麼是 Identity Protection?
Identity Protection 是一個可讓組織完成三項主要工作的工具:
- 自動偵測及補救以身分識別為基礎的風險。
- 使用入口網站中的資料調查風險。
- 將風險偵測資料匯出到您的 SIEM。
Identity Protection 使用 Microsoft 從 Azure AD 的組織中、Microsoft 帳戶的取用者空間,以及 Xbox 的遊戲中獲得的經驗,來保護您的使用者。 Microsoft 每天會分析 6.5 兆個信號,以識別威脅並保護客戶免於遭受威脅。
由 Identity Protection 產生及送至該處的信號,可進一步送至條件式存取之類的工具以做出存取決策,或送回至安全性資訊和事件管理 (SIEM) 工具,以根據您的組織強制執行的原則進行深入調查。
自動化有何重要性?
在 2022 年 2 月 3 日的部落格文章「網路訊號:透過最新研究、見解和趨勢,防禦網路威脅」(英文) 中,我們曾分享執行緒情報的概要,並納入了下列統計資料:
- 分析 ...我們結合 24 兆個安全性訊號,與監視 40 個以上國家狀態群組和 140 個以上威脅群組的追蹤情報...
- ...從 2021 年 1 月到 2021 年 12 月,我們已封鎖超過 256 億次的 Azure AD 暴力密碼破解驗證攻擊...
要處理這種規模的訊號和攻擊,需要一定程度的自動化才能跟上。
風險偵測和補救
身分識別保護會識別許多類型的風險,包括:
- 匿名 IP 位址使用
- 非慣用登入位置
- 已連結惡意程式碼的 IP 位址
- 不熟悉的登入屬性
- 認證外洩
- 密碼噴灑
- 還有更多...
如需關於上述問題和其他風險,及風險計算方式和時機的詳細資料,請參閱什麼是風險一文。
風險信號可觸發補救工作,例如要求使用者:執行 Azure AD Multi-Factor Authentication、使用自助式密碼重設進行密碼重設,或在系統管理員採取動作之前進行封鎖。
風險調查
系統管理員可以檢閱偵測,並視需要對其採取手動動作。 在 Identity Protection 中,系統管理員主要會使用三項個報告進行調查:
- 具風險使用者
- 有風險的登入
- 風險偵測
如需詳細資訊,請參閱下列文章:如何:調查風險。
風險層級
身分識別保護將風險分級為:低、中、高。
雖然 Microsoft 並未提供如何計算風險的特定詳細資料,但我們會假設每個層級針對使用者或登入遭到入侵時都具備更高的信賴度。 例如,相較於使用者的其中一個執行個體出現不熟悉的登入屬性,將認證洩漏給其他使用者的情況比較嚴重。
匯出風險資料
Identity Protection 中的資料可匯出至其他工具進行封存,以及供進一步的調查和相互關聯使用。 以 Microsoft Graph 為基礎的 API 可讓組織收集這項資料,以便在 SIEM 之類的工具中進一步處理。 如需如何存取 Identity Protection API 的相關資訊,請參閱開始使用 Azure Active Directory Identity Protection 和 Microsoft Graph 一文
如需整合 Identity Protection 資訊與 Microsoft Sentinel 的相關資訊,請參閱從 Azure AD Identity Protection 連接資料一文。
此外,組織可以變更 Azure AD 中的診斷設定,選擇以較長時間儲存資料,來傳送 RiskyUsers 和 UserRiskEvents 資料至 Log Analytics 工作區、封存資料至儲存體帳戶、串流資料至事件中樞,或傳送資料至合作夥伴解決方案。 如需執行方式的詳細資訊,請參閱操作說明:匯出風險資料一文。
權限
Identity Protection 要求使用者必須是安全性讀取者、安全性操作員、安全性系統管理員、全域讀取者或全域管理員,才能加以存取。
| 角色 | 可以執行 | 不可執行 |
|---|---|---|
| 全域管理員 | 完整存取 Identity Protection | |
| 安全性系統管理員 | 完整存取 Identity Protection | 重設使用者的密碼 |
| 安全性操作員 | 查看所有身分識別保護報告和 [概觀] 刀鋒視窗 解除使用者風險、確認安全登入、確認洩漏 |
設定或變更原則 重設使用者的密碼 設定警示 |
| 安全性讀取者 | 查看所有身分識別保護報告和 [概觀] 刀鋒視窗 | 設定或變更原則 重設使用者的密碼 設定警示 在偵測上提供意見反應 |
目前,安全性操作員角色無法存取風險性登入報告。
條件式存取系統管理員也可以建立原則來將登入風險視為條件。 在下列文章中尋找詳細資訊:條件式存取:條件。
授權需求
使用此功能需要擁有 Azure AD Premium P2 授權。 若要尋找適合您需求的授權,請參閱比較 Azure AD 正式推出的功能。
| 功能 | 詳細資料 | Azure AD Free / Microsoft 365 應用程式 | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| 風險原則 | 使用者風險原則 (透過 Identity Protection) | 否 | 否 | 是 |
| 風險原則 | 登入風險原則 (透過 Identity Protection 或條件式存取) | 否 | 否 | 是 |
| 安全性報告 | 概觀 | 否 | 否 | 是 |
| 安全性報告 | 具風險使用者 | 有限資訊。 只會顯示具有中等和高風險的使用者。 沒有詳細資料選單,也沒有風險歷程記錄。 | 有限資訊。 只會顯示具有中等和高風險的使用者。 沒有詳細資料選單,也沒有風險歷程記錄。 | 完整存取 |
| 安全性報告 | 有風險的登入 | 有限資訊。 不會顯示任何風險詳細資料或風險層級。 | 有限資訊。 不會顯示任何風險詳細資料或風險層級。 | 完整存取 |
| 安全性報告 | 風險偵測 | 否 | 有限資訊。 沒有詳細資料選單。 | 完整存取 |
| 通知 | 偵測到具風險使用者的警示 | 否 | 否 | 是 |
| 通知 | 每週提要 | 否 | 否 | 是 |
| MFA 註冊原則 | 否 | 否 | 是 |
如需這些豐富報告的詳細資訊,請參閱下列文章:如何:調查風險。