Mi az az Identity Protection?

Az Identity Protection az Azure Active Directoryval, a felhasználói területtel Microsoft-fiókokkal rendelkező fogyasztói területen, valamint az Xbox játékaiban szerzett ismereteket használja a felhasználók védelme érdekében Microsoft. Microsoft naponta több trillió jelet elemez, hogy azonosítsa és megvédje az ügyfeleket a fenyegetésektől. Az Identity Protection három fő feladat elvégzését teszi lehetővé a szervezetek számára:

Az Identity Protection által generált és az identity Protectionbe táplált jeleket tovább lehet táplálni olyan eszközökbe, mint a feltételes hozzáférés a hozzáférési döntések meghozatalához, vagy visszatáplálható egy biztonsági információ- és eseménykezelő (SIEM) eszközhöz a további vizsgálathoz.

Miért fontos az automatizálás?

A Kiberjelek: A kiberfenyegetések elleni védelem a legújabb, 2022. február 3-án kelt kutatásokkal, megállapításokkal és trendekkel című blogbejegyzésben megosztottunk egy fenyegetésfelderítési rövid összefoglalót, amely az alábbi statisztikákat tartalmazza:

  • Elemezni... 24 billió biztonsági jelet és intelligenciát követünk nyomon több mint 40 nemzetállami csoport és több mint 140 fenyegetéscsoport megfigyelésével...
  • ... 2021 januárjától 2021 decemberéig több mint 25,6 milliárd Azure AD találgatásos hitelesítési támadást blokkoltunk...

A jelek és támadások egyszerű skálája bizonyos szintű automatizálást igényel ahhoz, hogy lépést tudjon tartani.

Kockázat észlelése

Az Identity Protection számos típusú kockázatot észlel, többek között az alábbiakat:

  • Névtelen IP-cím használata
  • Szokatlan utazás
  • Kártevőhöz társított IP-cím
  • Szokatlan bejelentkezési tulajdonságok
  • Kiszivárgott hitelesítő adatok
  • Jelszó spray
  • és még sok más...

A kockázati jelek olyan javítási erőfeszítéseket válthatnak ki, mint például a többtényezős hitelesítés végrehajtása, a jelszó önkiszolgáló jelszóátállítással történő alaphelyzetbe állítása vagy a hozzáférés letiltása, amíg a rendszergazda meg nem hajtja a szükséges lépéseket.

Ezekről és más kockázatokról, többek között a számításuk módjáról és időpontjáról a Mi a kockázat? című cikkben talál további információt.

Kockázat vizsgálata

A rendszergazdák áttekinthetik az észleléseket, és szükség esetén manuálisan beavatkozhatnak. Az Identity Protectionben a rendszergazdák három fő jelentést használnak a vizsgálatokhoz:

  • Kockázatos felhasználók
  • Kockázatos bejelentkezések
  • Kockázatészlelések

További információt a Hogyan: Kockázat vizsgálata című cikkben talál.

Kockázati szintek

Az Identity Protection a kockázatokat a következő szintekre kategorizálja: alacsony, közepes és magas.

Microsoft nem ad meg konkrét részleteket a kockázat kiszámításáról. Minden kockázati szint nagyobb megbízhatóságot biztosít a felhasználó vagy a bejelentkezés biztonsága szempontjából. Előfordulhat például, hogy egy felhasználó ismeretlen bejelentkezési tulajdonságainak egy példánya nem olyan fenyegető, mint egy másik felhasználó kiszivárgott hitelesítő adatai.

A kockázati információk további felhasználása

Az Identity Protectionből származó adatok exportálhatók más archiválási eszközökre, valamint további vizsgálatokra és korrelációkra. A Microsoft Graph-alapú API-k lehetővé teszik a szervezetek számára, hogy további feldolgozás céljából gyűjtsék ezeket az adatokat egy olyan eszközben, mint a SIEM. Az Identity Protection API elérésével kapcsolatos információk az Azure Active Directory Identity Protection és Microsoft Graph használatának első lépései című cikkben találhatók.

Az Identity Protection-adatok Microsoft Sentinelbe való integrálásával kapcsolatos információk a Connect data from Azure AD Identity Protection (Adatok csatlakoztatása Azure AD Identity Protectionből) című cikkben találhatók.

A szervezetek dönthetnek úgy, hogy hosszabb ideig tárolják az adatokat, ha módosítják a diagnosztikai beállításokat a Azure AD. Dönthetnek úgy, hogy adatokat küldenek egy Log Analytics-munkaterületre, archiválják az adatokat egy tárfiókba, streamelik az adatokat az Event Hubsba, vagy adatokat küldenek egy partnermegoldásnak. Ennek módjáról részletes információt a How To: Export risk data (Útmutató: Kockázati adatok exportálása) című cikkben talál.

Kötelező szerepkörök

Az Identity Protection használatához a felhasználóknak biztonsági olvasónak, biztonsági operátornak, biztonsági rendszergazdának, globális olvasónak vagy globális rendszergazdának kell lenniük.

Szerepkör Megteheti Nem lehet megtenni
Globális rendszergazda Teljes hozzáférés az Identity Protectionhez
Biztonsági rendszergazda Teljes hozzáférés az Identity Protectionhez Felhasználó jelszavának alaphelyzetbe állítása
Biztonsági operátor Tekintse meg az összes Identity Protection-jelentést és áttekintést: Felhasználói kockázat elvetése, biztonságos bejelentkezés megerősítése, biztonsági rés megerősítése Szabályzatok konfigurálása vagy módosítása Felhasználó jelszavának alaphelyzetbe állítása Riasztások konfigurálása
Biztonsági olvasó Az összes Identity Protection-jelentés és áttekintés megtekintése Szabályzatok konfigurálása vagy módosítása Új jelszó kérése felhasználóhoz Riasztások konfigurálása Visszajelzés küldése az észlelésekről
Globális olvasó Írásvédett hozzáférés az Identity Protectionhez

A Biztonsági operátor szerepkör jelenleg nem fér hozzá a Kockázatos bejelentkezések jelentéshez.

A feltételes hozzáférési rendszergazdák olyan szabályzatokat hozhatnak létre, amelyek feltételként befolyásolják a felhasználót vagy a bejelentkezési kockázatot. További információt a Feltételes hozzáférés: Feltételek című cikkben talál.

Licenckövetelmények

A funkció használatához Prémium P2 szintű Azure AD licencek szükségesek. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket.

Képesség Részletek ingyenes Azure AD/ Microsoft 365-alkalmazások Prémium szintű Azure AD P1 Prémium szintű Azure AD P2
Kockázati szabályzatok Felhasználói kockázati szabályzat (az Identity Protection használatával) Nem Nem Igen
Kockázati szabályzatok Bejelentkezési kockázati szabályzat (Identity Protection vagy Feltételes hozzáférés használatával) Nem Nem Igen
Biztonsági jelentések Áttekintés Nem Nem Igen
Biztonsági jelentések Kockázatos felhasználók Korlátozott információ. Csak közepes és magas kockázattal rendelkező felhasználók jelennek meg. Nincs adatfiók vagy kockázati előzmény. Korlátozott információ. Csak közepes és magas kockázattal rendelkező felhasználók jelennek meg. Nincs adatfiók vagy kockázati előzmény. Teljes hozzáférés
Biztonsági jelentések Kockázatos bejelentkezések Korlátozott információ. Nem jelenik meg kockázati részlet vagy kockázati szint. Korlátozott információ. Nem jelenik meg kockázati részlet vagy kockázati szint. Teljes hozzáférés
Biztonsági jelentések Kockázatészlelések Nem Korlátozott információ. Nincs adatfiók. Teljes hozzáférés
Értesítések A veszélyeztetett felhasználók riasztásokat észleltek Nem Nem Igen
Értesítések Heti kivonat Nem Nem Igen
MFA-regisztrációs szabályzat Nem Nem Igen

Ezekről a részletes jelentésekről további információt a Hogyan: Kockázat vizsgálata című cikkben talál.

Következő lépések