Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Entra ID Protection pomáhá organizacím zjišťovat, zkoumat a opravovat rizika založená na identitách. Tato rizika mohou být předána do nástrojů, jako je podmíněný přístup, aby bylo možné provádět rozhodnutí o přístupu nebo odesílat nástroji pro správu událostí a informací o zabezpečení (SIEM) pro další šetření a korelaci.
Zjistit rizika
Microsoft průběžně přidává a aktualizuje detekce v našem katalogu za účelem ochrany organizací. Tyto detekce pocházejí z našich učení na základě analýzy miliard signálů každý den ze služby Active Directory, účtů Microsoft a her pomocí Xboxu. Tato široká škála signálů pomáhá službě ID Protection detekovat rizikové chování, jako je:
- Použití anonymníCH IP adres
- Útoky typu hromadného zkoušení hesel
- Uniklé přihlašovací údaje
- a další...
Během každého přihlášení spustí služba ID Protection všechny detekce přihlašování v reálném čase a vytvoří úroveň rizika relace přihlášení, která udává, jak pravděpodobné je, že přihlášení bylo ohroženo. Na základě této úrovně rizika se zásady použijí k ochraně uživatele a organizace.
Úplný seznam rizik a jejich zjištění najdete v článku Co je riziko.
Prošetření
Všechna rizika zjištěná u identity se sledují pomocí reportování. Ochrana ID poskytuje správcům tři klíčové sestavy pro zkoumání rizik a podniknutí kroků:
- Detekce rizik: Každé zjištěné riziko je hlášeno jako detekce rizik.
- Riziková přihlášení: Rizikové přihlášení se ohlásí, když se pro toto přihlášení hlásí jedna nebo více detekcí rizik.
-
Rizikoví uživatelé: Rizikový uživatel se ohlásí, pokud platí jednu nebo obě z následujících možností:
- Uživatel má jedno nebo více rizikových přihlášení.
- Oznamují se jedna nebo více detekcí rizik.
Další informace o používání sestav najdete v článku Návod: Zkoumání rizika.
Náprava rizik
Automatizace je důležitá v zabezpečení, protože škála signálů a útoků vyžaduje automatizaci, aby udržela krok.
Microsoft Digital Defense Report 2024 poskytuje následující statistiky:
78 miliard bezpečnostních signálů analyzovaných za den, zvýšení o 13 miliard z předchozího roku
600 milionů útoků na zákazníky Microsoftu za den
2,75x zvýšení v průběhu roku v útocích ransomwaru provozovaného člověkem
Tyto statistiky nadále rostou směrem nahoru, bez znaménka zpomalení. V tomto prostředí je automatizace klíčem k identifikaci a nápravě rizik, aby se IT organizace mohly zaměřit na správné priority.
Automatická náprava
Zásady podmíněného přístupu na základě rizika je možné povolit, aby vyžadovaly řízení přístupu, jako je poskytování silné metody ověřování, provádění vícefaktorového ověřování nebo bezpečné resetování hesla na základě zjištěné úrovně rizika. Pokud uživatel úspěšně dokončí řízení přístupu, riziko se automaticky opraví.
Ruční oprava
Pokud není povoleno řešení problému uživatelů, musí správce ručně zkontrolovat tyto problémy v reportech na portálu, prostřednictvím rozhraní API nebo v Microsoft Defender XDR. Správci mohou provádět ruční akce ke zrušení, potvrzení bezpečnosti nebo potvrzení kompromisu rizik.
Používání dat
Data z OCHRANY ID je možné exportovat do jiných nástrojů pro archivaci, další šetření a korelaci. Rozhraní API založená na Microsoft Graphu umožňují organizacím shromažďovat tato data pro další zpracování v nástroji, jako je jejich SIEM. Informace o tom, jak získat přístup k rozhraní API ochrany ID, najdete v článku Začínáme se službou Microsoft Entra ID Protection a Microsoft Graphem.
Informace o integraci informací o ochraně ID se službou Microsoft Sentinel najdete v článku Připojení dat z Microsoft Entra ID Protection.
Organizace můžou ukládat data po delší dobu změnou nastavení diagnostiky v Microsoft Entra ID. Můžou se rozhodnout odesílat data do pracovního prostoru služby Log Analytics, archivovat data do účtu úložiště, streamovat data do služby Event Hubs nebo odesílat data do jiného řešení. Podrobné informace o tom, jak to udělat, najdete v článku Postupy : Export rizikových dat.
Požadované role
Ochrana ID vyžaduje, aby uživatelé měli přiřazenou jednu nebo více následujících rolí.
| Role | Může to udělat | Nejde to udělat |
|---|---|---|
| Globální čtenář | Přístup jen pro čtení ke službě ID Protection | Přístup pro zápis do ochrany ID |
| Správce uživatelů | Resetování uživatelského hesla | Čtení nebo zápis s ochranou ID |
| Správce podmíněného přístupu | Vytvoření zásad, které jako podmínku zohlední riziko uživatele nebo přihlašování | Čtení nebo zápis do původních zásad ochrany ID |
| Čtenář zabezpečení | Zobrazit všechny sestavy ochrany ID a přehled | Konfigurace nebo změna zásad Resetování hesla pro uživatele Konfigurace upozornění Pošlete nám zpětnou vazbu k detekci. |
| Operátor zabezpečení | Zobrazit všechny sestavy ochrany ID a přehled Zrušení rizika uživatele, potvrzení bezpečného přihlášení, potvrzení kompromitace |
Konfigurace nebo změna zásad Resetování hesla pro uživatele Konfigurace upozornění |
| Správce zabezpečení | Úplný přístup k ochraně ID | Resetování hesla pro uživatele |
Požadavky na licenci
Použití této funkce vyžaduje licence Microsoft Entra ID P2. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si plány a ceny Microsoft Entra. Následující tabulka popisuje klíčové funkce služby Microsoft Entra ID Protection a licenční požadavky pro jednotlivé funkce. Podrobnosti o cenách najdete na stránce s plány Microsoft Entra a cenami.
| Schopnost | Podrobnosti | Microsoft Entra ID Free / Aplikace Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 / Microsoft Entra Suite |
|---|---|---|---|---|
| Zásady rizik | Zásady rizik přihlašování a uživatelů (prostřednictvím ochrany ID nebo podmíněného přístupu) | Ne | Ne | Ano |
| Zprávy o zabezpečení | Přehled | Ne | Ne | Ano |
| Zprávy o zabezpečení | Rizikoví uživatelé | Omezené informace. Zobrazují se jenom uživatelé se středním a vysokým rizikem. Žádný panel s podrobnostmi ani historie rizik. | Omezené informace. Zobrazují se jenom uživatelé se středním a vysokým rizikem. Žádný panel s podrobnostmi ani historie rizik. | Úplný přístup |
| Zprávy o zabezpečení | Riziková přihlášení | Omezené informace. Nezobrazují se žádné podrobnosti o riziku ani úroveň rizika. | Omezené informace. Nezobrazují se žádné podrobnosti o riziku ani úroveň rizika. | Úplný přístup |
| Zprávy o zabezpečení | Detekce rizik | Ne | Omezené informace. Nezobrazuje detaily. | Úplný přístup |
| Oznámení | Upozornění pro uživatele s detekovaným rizikem | Ne | Ne | Ano |
| Oznámení | Týdenní přehled | Ne | Ne | Ano |
| Zásady registrace MFA | Vyžadování vícefaktorového ověřování (prostřednictvím podmíněného přístupu) | Ne | Ne | Ano |
| Microsoft Graph | Všechny zprávy o rizicích | Ne | Ne | Ano |
Pokud chcete zobrazit sestavu identit úloh s rizikem a kartu Detekce identit úloh v sestavě Detekce rizik, potřebujete Premium licencování pro identity úloh. Další informace najdete v tématu Zabezpečení identit úloh.
Microsoft Defender
Microsoft Entra ID Protection přijímá signály z produktů Microsoft Defender pro několik detekcí rizik, takže potřebujete také příslušnou licenci pro produkt Microsoft Defender, který vlastní signál, který vás zajímá.
Microsoft 365 E5 pokrývá všechny následující signály:
Microsoft Defender pro cloudové aplikace
- Aktivita z anonymní IP adresy
- Nemožné cestování
- Hromadný přístup k citlivým souborům
- Nová země
Microsoft Defender pro Office 365
- Podezřelá pravidla doručené pošty
Microsoft Defender for Endpoint
- Možný pokus o přístup k primárnímu obnovovacímu tokenu