Co je ochrana identit?
Identity Protection umožňuje organizacím provádět tři klíčové úkoly:
- Automatizujte detekci a nápravu rizik založených na identitách.
- Zkoumání rizik pomocí dat na portálu
- Exportujte data detekce rizik do jiných nástrojů.
Služba Identity Protection využívá poznatky, které microsoft získal z pozice v organizacích s Azure Active Directory, spotřebitelský prostor s účty Microsoft a hraní her s Xboxem k ochraně vašich uživatelů. Microsoft denně analyzuje biliony signálů, aby identifikoval zákazníky a chránil před hrozbami.
Signály generované službou Identity Protection a poskytované službou Identity Protection se dají dále předávat do nástrojů, jako je podmíněný přístup k rozhodování o přístupu, nebo zpět do nástroje pro správu bezpečnostních informací a událostí (SIEM) pro účely dalšího šetření.
Proč je automatizace důležitá?
V blogovém příspěvku Cyber Signals: Defenseing against cyber threats with the latest research, insights, and trends dated 3. února 2022 jsme sdíleli stručný přehled hrozeb, který obsahuje následující statistiky:
- Analyzovány... 24 bilionů bezpečnostních signálů v kombinaci s inteligencemi, které sledujeme monitorováním více než 40 skupin národních států a více než 140 skupin hrozeb...
- ... Od ledna 2021 do prosince 2021 jsme zablokovali více než 25,6 miliardy Azure AD útoků na ověřování hrubou silou...
Jen škála signálů a útoků vyžaduje určitou úroveň automatizace, aby bylo možné držet krok.
Detekce rizika
Identity Protection detekuje rizika mnoha typů, mezi které patří:
- Použití anonymní IP adresy
- Neobvyklá cesta
- Propojená IP adresa pro malware
- Neznámé vlastnosti přihlášení
- Uniklé přihlašovací údaje
- Password spray
- a další...
Rizikové signály můžou aktivovat nápravu, jako je vyžadování: provedení vícefaktorového ověřování, resetování hesla pomocí samoobslužného resetování hesla nebo blokování přístupu, dokud správce neprovede akci.
Další podrobnosti o těchto a dalších rizicích, včetně toho, jak a kdy se vypočítávají, najdete v článku Co je riziko.
Šetření rizik
Správci můžou zkontrolovat detekce a v případě potřeby s nimi provádět ruční akce. Existují tři klíčové sestavy, které správci používají pro šetření ve službě Identity Protection:
- Rizikoví uživatelé
- Riziková přihlášení
- Detekce rizik
Další informace najdete v článku Postupy: Zkoumání rizika.
Úrovně rizika
Identity Protection kategorizuje rizika na úrovně: nízká, střední a vysoká.
Microsoft neposkytuje konkrétní podrobnosti o tom, jak se počítá riziko. Každá úroveň rizika přináší větší jistotu, že dojde k ohrožení zabezpečení uživatele nebo přihlášení. Například něco jako jedna instance neznámých přihlašovacích vlastností pro uživatele nemusí být tak nebezpečná jako únik přihlašovacích údajů pro jiného uživatele.
Další využití informací o riziku
Data ze služby Identity Protection je možné exportovat do jiných nástrojů za účelem archivace a dalšího zkoumání a korelace. Rozhraní API založená na Microsoft Graphu umožňují organizacím shromažďovat tato data za účelem dalšího zpracování v nástroji, jako je jejich SIEM. Informace o tom, jak získat přístup k rozhraní API služby Identity Protection, najdete v článku Začínáme se službou Azure Active Directory Identity Protection a Microsoft Graph.
Informace o integraci informací služby Identity Protection se službou Microsoft Sentinel najdete v článku Připojení dat z Azure AD Identity Protection.
Organizace se můžou rozhodnout ukládat data po delší dobu změnou nastavení diagnostiky v Azure AD. Můžou se rozhodnout odesílat data do pracovního prostoru služby Log Analytics, archivovat data do účtu úložiště, streamovat data do služby Event Hubs nebo odesílat data do partnerského řešení. Podrobné informace o tom, jak to udělat, najdete v článku Postupy: Export dat rizik.
Požadované role
Identity Protection vyžaduje, aby uživatelé měli přístup jako čtenář zabezpečení, operátor zabezpečení, správce zabezpečení, globální čtenář nebo globální správce.
| Role | Může to udělat | Nejde to udělat |
|---|---|---|
| Globální správce | Úplný přístup ke službě Identity Protection | |
| Správce zabezpečení | Úplný přístup ke službě Identity Protection | Resetování hesla uživatele |
| Operátor zabezpečení | Zobrazit všechny sestavy a přehled služby Identity Protection Zavření uživatelského rizika, potvrzení bezpečného přihlášení, potvrzení ohrožení zabezpečení |
Konfigurace nebo změna zásad Resetování hesla uživatele Konfigurace upozornění |
| Čtenář zabezpečení | Zobrazit všechny sestavy a přehled služby Identity Protection | Konfigurace nebo změna zásad Resetování hesla uživatele Konfigurace upozornění Pošlete nám zpětnou vazbu k detekci. |
| Globální čtenář | Přístup ke službě Identity Protection jen pro čtení |
Role Operátor zabezpečení v současné době nemá přístup k sestavě rizikových přihlášení.
Správci podmíněného přístupu můžou vytvářet zásady, které jako podmínku zohledňují riziko uživatele nebo přihlášení. Další informace najdete v článku Podmíněný přístup: Podmínky.
Licenční požadavky
Použití této funkce vyžaduje Azure AD Premium P2 licence. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Azure AD.
| Schopnost | Podrobnosti | Azure AD Free / Microsoft 365 Apps | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| Zásady rizik | Zásady přihlašování a rizik uživatelů (prostřednictvím služby Identity Protection nebo podmíněného přístupu) | No | No | Yes |
| Sestavy zabezpečení | Přehled | No | No | Yes |
| Sestavy zabezpečení | Rizikoví uživatelé | Omezené informace. Zobrazí se pouze uživatelé se středním a vysokým rizikem. Žádná zásuvka podrobností nebo historie rizik. | Omezené informace. Zobrazí se pouze uživatelé se středním a vysokým rizikem. Žádná zásuvka podrobností nebo historie rizik. | Full access |
| Sestavy zabezpečení | Riziková přihlášení | Omezené informace. Nezobrazují se žádné podrobnosti o riziku ani úroveň rizika. | Omezené informace. Nezobrazují se žádné podrobnosti o riziku ani úroveň rizika. | Full access |
| Sestavy zabezpečení | Detekce rizik | No | Omezené informace. Žádná zásuvka podrobností. | Full access |
| Oznámení | Upozornění zjištěných ohrožených uživatelů | No | No | Yes |
| Oznámení | Týdenní přehled | No | No | Yes |
| Zásady registrace MFA | No | No | Yes |
Další informace o těchto bohatých sestavách najdete v článku Postupy: Zkoumání rizik.