Co je ochrana identit?
Microsoft Entra ID Protection pomáhá organizacím zjišťovat, zkoumat a opravovat rizika založená na identitách. Tato rizika založená na identitách je možné dále předávat do nástrojů, jako je podmíněný přístup, aby bylo možné rozhodovat o přístupu, nebo zpět do nástroje pro správu událostí a informací o zabezpečení (SIEM) pro další šetření a korelaci.
Detekce rizik
Společnost Microsoft neustále přidává a aktualizuje detekce v našem katalogu, aby chránila organizace. Tyto detekce pocházejí z našich učení na základě analýzy trilionů signálů každý den z Active Directory, účtů Microsoft a při hraní her s Xboxem. Tato široká škála signálů pomáhá službě Identity Protection detekovat rizikové chování, jako jsou:
- Použití anonymníCH IP adres
- Útoky password spray
- Uniklé přihlašovací údaje
- a další...
Během každého přihlášení služba Identity Protection spouští všechny detekce přihlášení v reálném čase, které generují úroveň rizika relace přihlašování, což označuje pravděpodobnost ohrožení zabezpečení přihlášení. Na základě této úrovně rizika se pak použijí zásady k ochraně uživatele a organizace.
Úplný seznam rizik a jejich zjišťování najdete v článku Co je riziko.
Prověřování
Veškerá rizika zjištěná u identity se sledují pomocí generování sestav. Služba Identity Protection poskytuje správcům tři klíčové sestavy, které můžou prozkoumat rizika a podniknout kroky:
- Detekce rizik: Každé zjištěné riziko se hlásí jako detekce rizika.
- Riziková přihlášení: Rizikové přihlášení se nahlásí, když se pro toto přihlášení nahlásí jedna nebo více detekcí rizik.
- Rizikoví uživatelé: Rizikový uživatel se nahlásí, pokud platí jeden nebo obě následující podmínky:
- Uživatel má jedno nebo více rizikových přihlášení.
- Byla hlášena jedna nebo více detekcí rizik.
Další informace o tom, jak používat sestavy, najdete v článku Postupy: Šetření rizik.
Náprava rizik
Proč je automatizace v zabezpečení důležitá?
V blogovém příspěvku Cyber Signals: Defending against cyber threats with the latest research, insights, and trendsed dateed 3, 2022 Microsoft shared a threat intelligence brief including the following statistics:
Analyzovány... 24 bilionů bezpečnostních signálů v kombinaci s informacemi, které sledujeme monitorováním více než 40 národních skupin a více než 140 skupin hrozeb...
... Od ledna 2021 do prosince 2021 jsme zablokovali více než 25,6 miliardy Microsoft Entra ověřovacích útoků hrubou silou...
Velké měřítko signálů a útoků vyžaduje určitou úroveň automatizace, aby bylo potřeba držet krok.
Automatická náprava
Zásady podmíněného přístupu na základě rizika je možné povolit tak, aby vyžadovaly řízení přístupu, jako je poskytování metody silného ověřování, provádění vícefaktorového ověřování nebo bezpečné resetování hesla na základě zjištěné úrovně rizika. Pokud uživatel úspěšně dokončí řízení přístupu, riziko se automaticky napraví.
Ruční náprava
Pokud není povolená náprava uživatelů, musí je správce ručně zkontrolovat v sestavách na portálu, prostřednictvím rozhraní API nebo v Microsoft 365 Defender. Správci můžou provádět ruční akce, které umožní zavřít, potvrdit bezpečnost nebo potvrdit ohrožení rizik.
Využití dat
Data ze služby Identity Protection je možné exportovat do jiných nástrojů pro archivaci, další šetření a korelaci. Rozhraní API založená na Microsoft Graphu umožňují organizacím shromažďovat tato data za účelem dalšího zpracování v nástroji, jako je jejich SIEM. Informace o přístupu k rozhraní API služby Identity Protection najdete v článku Začínáme s Microsoft Entra ID Protection a Microsoft Graphem.
Informace o integraci informací služby Identity Protection se službou Microsoft Sentinel najdete v článku Připojení dat z Microsoft Entra ID Protection.
Organizace můžou ukládat data po delší dobu změnou nastavení diagnostiky v id Microsoft Entra. Můžou se rozhodnout odesílat data do pracovního prostoru služby Log Analytics, archivovat data do účtu úložiště, streamovat data do služby Event Hubs nebo odesílat data do jiného řešení. Podrobné informace o tom, jak to udělat, najdete v článku Postupy: Export dat rizik.
Požadované role
Identity Protection vyžaduje, aby uživatelé měli přístup jako čtenář zabezpečení, operátor zabezpečení, správce zabezpečení, globální čtenář nebo globální správce.
| Role | Můžete udělat | Nejde to udělat |
|---|---|---|
| Správce zabezpečení | Úplný přístup ke službě Identity Protection | Resetování hesla pro uživatele |
| Operátor zabezpečení | Zobrazení všech sestav služby Identity Protection a přehledu Zavření rizika uživatele, potvrzení bezpečného přihlášení, potvrzení ohrožení zabezpečení |
Konfigurace nebo změna zásad Resetování hesla pro uživatele Konfigurace upozornění |
| Čtenář zabezpečení | Zobrazení všech sestav služby Identity Protection a přehledu | Konfigurace nebo změna zásad Resetování hesla pro uživatele Konfigurace upozornění Poskytnutí zpětné vazby k detekci |
| Globální čtenář | Přístup ke službě Identity Protection jen pro čtení | |
| Globální správce | Úplný přístup ke službě Identity Protection |
Role Operátor zabezpečení v současné době nemá přístup k sestavě rizikových přihlášení.
Správci podmíněného přístupu můžou vytvářet zásady, které jako podmínku zohledňují riziko uživatele nebo přihlášení. Další informace najdete v článku Podmíněný přístup: Podmínky.
Licenční požadavky
Použití této funkce vyžaduje Azure AD Premium P2 licence. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Azure AD.
| Schopnost | Podrobnosti | Microsoft Entra ID zdarma / Microsoft 365 Apps | ID Microsoft Entra P1 | ID Microsoft Entra P2 |
|---|---|---|---|---|
| Zásady rizik | Zásady přihlašování a rizik uživatelů (prostřednictvím služby Identity Protection nebo podmíněného přístupu) | No | No | Yes |
| Sestavy zabezpečení | Přehled | No | No | Yes |
| Sestavy zabezpečení | Rizikoví uživatelé | Omezené informace. Zobrazí se jenom uživatelé se středním a vysokým rizikem. Žádný panel podrobností ani historie rizik. | Omezené informace. Zobrazí se jenom uživatelé se středním a vysokým rizikem. Žádný panel podrobností ani historie rizik. | Full access |
| Sestavy zabezpečení | Riziková přihlášení | Omezené informace. Nezobrazují se žádné podrobnosti o riziku ani úroveň rizika. | Omezené informace. Nezobrazují se žádné podrobnosti o riziku ani úroveň rizika. | Full access |
| Sestavy zabezpečení | Detekce rizik | No | Omezené informace. Žádná zásuvka podrobností. | Full access |
| Oznámení | Upozornění zjištěných ohrožených uživatelů | No | No | Yes |
| Oznámení | Týdenní přehled | No | No | Yes |
| Zásady registrace MFA | No | No | Yes |
Další informace o těchto bohatých sestavách najdete v článku Postupy: Zkoumání rizik.