Co je ochrana identit?

Služba Identity Protection využívá poznatky, které microsoft získal z pozice v organizacích s Azure Active Directory, spotřebitelský prostor s účty Microsoft a hraní her s Xboxem k ochraně vašich uživatelů. Microsoft denně analyzuje biliony signálů, aby identifikoval zákazníky a chránil před hrozbami. Identity Protection umožňuje organizacím provádět tři klíčové úkoly:

Signály generované službou Identity Protection a poskytované službou Identity Protection se dají dále předávat do nástrojů, jako je podmíněný přístup k rozhodování o přístupu, nebo zpět do nástroje pro správu bezpečnostních informací a událostí (SIEM) pro účely dalšího šetření.

Proč je automatizace důležitá?

V blogovém příspěvku Cyber Signals: Defenseing against cyber threats with the latest research, insights, and trends dated 3. února 2022 jsme sdíleli stručný přehled hrozeb, který obsahuje následující statistiky:

  • Analyzovány... 24 bilionů bezpečnostních signálů v kombinaci s inteligencemi, které sledujeme monitorováním více než 40 skupin národních států a více než 140 skupin hrozeb...
  • ... Od ledna 2021 do prosince 2021 jsme zablokovali více než 25,6 miliardy Azure AD útoků na ověřování hrubou silou...

Jen škála signálů a útoků vyžaduje určitou úroveň automatizace, aby bylo možné držet krok.

Detekce rizika

Identity Protection detekuje rizika mnoha typů, mezi které patří:

  • Použití anonymní IP adresy
  • Neobvyklá cesta
  • Propojená IP adresa pro malware
  • Neznámé vlastnosti přihlášení
  • Uniklé přihlašovací údaje
  • Password spray
  • a další...

Rizikové signály můžou aktivovat nápravu, jako je vyžadování: provedení vícefaktorového ověřování, resetování hesla pomocí samoobslužného resetování hesla nebo blokování přístupu, dokud správce neprovede akci.

Další podrobnosti o těchto a dalších rizicích, včetně toho, jak a kdy se vypočítávají, najdete v článku Co je riziko.

Šetření rizik

Správci můžou zkontrolovat detekce a v případě potřeby s nimi provádět ruční akce. Existují tři klíčové sestavy, které správci používají pro šetření ve službě Identity Protection:

  • Rizikoví uživatelé
  • Riziková přihlášení
  • Detekce rizik

Další informace najdete v článku Postupy: Zkoumání rizika.

Úrovně rizika

Identity Protection kategorizuje rizika na úrovně: nízká, střední a vysoká.

Microsoft neposkytuje konkrétní podrobnosti o tom, jak se počítá riziko. Každá úroveň rizika přináší větší jistotu, že dojde k ohrožení zabezpečení uživatele nebo přihlášení. Například něco jako jedna instance neznámých přihlašovacích vlastností pro uživatele nemusí být tak nebezpečná jako únik přihlašovacích údajů pro jiného uživatele.

Další využití informací o riziku

Data ze služby Identity Protection je možné exportovat do jiných nástrojů za účelem archivace a dalšího zkoumání a korelace. Rozhraní API založená na Microsoft Graphu umožňují organizacím shromažďovat tato data za účelem dalšího zpracování v nástroji, jako je jejich SIEM. Informace o tom, jak získat přístup k rozhraní API služby Identity Protection, najdete v článku Začínáme se službou Azure Active Directory Identity Protection a Microsoft Graph.

Informace o integraci informací služby Identity Protection se službou Microsoft Sentinel najdete v článku Připojení dat z Azure AD Identity Protection.

Organizace se můžou rozhodnout ukládat data po delší dobu změnou nastavení diagnostiky v Azure AD. Můžou se rozhodnout odesílat data do pracovního prostoru služby Log Analytics, archivovat data do účtu úložiště, streamovat data do služby Event Hubs nebo odesílat data do partnerského řešení. Podrobné informace o tom, jak to udělat, najdete v článku Postupy: Export dat rizik.

Požadované role

Identity Protection vyžaduje, aby uživatelé měli přístup jako čtenář zabezpečení, operátor zabezpečení, správce zabezpečení, globální čtenář nebo globální správce.

Role Může to udělat Nejde to udělat
Globální správce Úplný přístup ke službě Identity Protection
Správce zabezpečení Úplný přístup ke službě Identity Protection Resetování hesla uživatele
Operátor zabezpečení Zobrazit všechny sestavy a přehled služby Identity Protection

Zavření uživatelského rizika, potvrzení bezpečného přihlášení, potvrzení ohrožení zabezpečení
Konfigurace nebo změna zásad

Resetování hesla uživatele

Konfigurace upozornění
Čtenář zabezpečení Zobrazit všechny sestavy a přehled služby Identity Protection Konfigurace nebo změna zásad

Resetování hesla uživatele

Konfigurace upozornění

Pošlete nám zpětnou vazbu k detekci.
Globální čtenář Přístup ke službě Identity Protection jen pro čtení

Role Operátor zabezpečení v současné době nemá přístup k sestavě rizikových přihlášení.

Správci podmíněného přístupu můžou vytvářet zásady, které jako podmínku zohledňují riziko uživatele nebo přihlášení. Další informace najdete v článku Podmíněný přístup: Podmínky.

Licenční požadavky

Použití této funkce vyžaduje Azure AD Premium P2 licence. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Azure AD.

Schopnost Podrobnosti Azure AD Free / Microsoft 365 Apps Azure AD Premium P1 Azure AD Premium P2
Zásady rizik Zásady přihlašování a rizik uživatelů (prostřednictvím služby Identity Protection nebo podmíněného přístupu) No No Yes
Sestavy zabezpečení Přehled No No Yes
Sestavy zabezpečení Rizikoví uživatelé Omezené informace. Zobrazí se pouze uživatelé se středním a vysokým rizikem. Žádná zásuvka podrobností nebo historie rizik. Omezené informace. Zobrazí se pouze uživatelé se středním a vysokým rizikem. Žádná zásuvka podrobností nebo historie rizik. Full access
Sestavy zabezpečení Riziková přihlášení Omezené informace. Nezobrazují se žádné podrobnosti o riziku ani úroveň rizika. Omezené informace. Nezobrazují se žádné podrobnosti o riziku ani úroveň rizika. Full access
Sestavy zabezpečení Detekce rizik No Omezené informace. Bez zásuvky podrobností. Full access
Oznámení Upozornění zjištěných ohrožených uživatelů No No Yes
Oznámení Týdenní přehled No No Yes
Zásady registrace MFA No No Yes

Další informace o těchto bohatých sestavách najdete v článku Postupy: Šetření rizik.

Další kroky