Mi az az Identity Protection?

Az Identity Protection azokat a tanulásokat használja, amelyekkel a Microsoft az Azure Active Directoryval rendelkező szervezetekben szerzett, a Microsoft-fiókokkal rendelkező fogyasztói teret, valamint az Xbox-játékokban szerzett ismereteket a felhasználók védelme érdekében. A Microsoft naponta több billió jelet elemez az ügyfelek azonosítása és a fenyegetések elleni védelem érdekében. Az Identity Protection három fő feladat elvégzését teszi lehetővé a szervezetek számára:

Az Identity Protection által generált és az identity Protectionbe táplált jeleket tovább lehet táplálni olyan eszközökbe, mint a feltételes hozzáférés a hozzáférési döntések meghozatalához, vagy visszatáplálható egy biztonsági információ- és eseménykezelő (SIEM) eszközhöz a további vizsgálat céljából.

Miért fontos az automatizálás?

A 2022. február 3-án kelt legújabb kutatásokkal, megállapításokkal és trendekkel a Cyber Signals: Protectioning against cyber threats (A kiberfenyegetések elleni védekezés a kiberfenyegetések ellen ) című blogbejegyzésben megosztottunk egy rövid összefoglalót a fenyegetésfelderítésről, amely az alábbi statisztikákat tartalmazza:

  • Elemezni... 24 billió biztonsági jel és az általunk követett intelligencia, több mint 40 nemzetállami csoport és több mint 140 veszélyforrás-csoport megfigyelésével...
  • ... 2021 januárjától 2021 decemberéig több mint 25,6 milliárd Azure AD találgatásos hitelesítési támadást blokkoltunk...

A jelek és a támadások egyszerű skálája bizonyos szintű automatizálást igényel ahhoz, hogy lépést tudjunk tartani.

Kockázat észlelése

Az Identity Protection számos típusú kockázatot észlel, többek között a következőket:

  • Névtelen IP-cím használata
  • Szokatlan utazás
  • Kártevőhöz társított IP-cím
  • Szokatlan bejelentkezési tulajdonságok
  • Kiszivárgott hitelesítő adatok
  • Jelszópermet
  • és még sok más...

A kockázati jelek olyan javítási erőfeszítéseket válthatnak ki, mint a következők megkövetelése: többtényezős hitelesítés végrehajtása, jelszó alaphelyzetbe állítása az önkiszolgáló jelszó-visszaállítással, vagy a hozzáférés letiltása, amíg a rendszergazda meg nem hajtja a műveletet.

Ezekről és más kockázatokról, többek között a számításuk módjáról és időpontjáról a Mi a kockázat című cikkben talál további információt.

Kockázat vizsgálata

A rendszergazdák áttekinthetik az észleléseket, és szükség esetén manuálisan beavatkozhatnak. A rendszergazdák három fő jelentést használnak az Identity Protection vizsgálatához:

  • Kockázatos felhasználók
  • Kockázatos bejelentkezések
  • Kockázatészlelések

További információt a How To: Investigate risk (Útmutató: Kockázat vizsgálata) című cikkben talál.

Kockázati szintek

Az Identity Protection a kockázatokat a következő szintekre kategorizálja: alacsony, közepes és magas.

A Microsoft nem ad meg konkrét részleteket a kockázat kiszámításának módjáról. Minden kockázati szint nagyobb megbízhatóságot biztosít a felhasználó vagy a bejelentkezés biztonsága szempontjából. Előfordulhat például, hogy egy felhasználó ismeretlen bejelentkezési tulajdonságainak egyik példánya nem olyan fenyegető, mint egy másik felhasználó kiszivárgott hitelesítő adatai.

A kockázati információk további felhasználása

Az Identity Protectionből származó adatok exportálhatók más archiválási eszközökbe, valamint további vizsgálatokhoz és korrelációkhoz. A Microsoft Graph-alapú API-k lehetővé teszik a szervezetek számára, hogy további feldolgozás céljából gyűjtsék ezeket az adatokat egy olyan eszközben, mint a SIEM. Az Identity Protection API elérésével kapcsolatos információkért tekintse meg az Azure Active Directory Identity Protection és a Microsoft Graph használatának első lépéseit ismertető cikket.

Az Identity Protection adatainak a Microsoft Sentinellel való integrálásáról a Connect data from Azure AD Identity Protection (Adatok csatlakoztatása Azure AD Identity Protectionből) című cikkben olvashat.

A szervezetek dönthetnek úgy, hogy hosszabb ideig tárolják az adatokat az Azure AD diagnosztikai beállításainak módosításával. Dönthetnek úgy, hogy adatokat küldenek egy Log Analytics-munkaterületre, archiválják az adatokat egy tárfiókba, streamelik az adatokat az Event Hubsba, vagy adatokat küldenek egy partnermegoldásnak. Ennek módjáról részletes információt a Kockázati adatok exportálása című cikkben talál.

Szükséges szerepkörök

Az Identity Protection használatához a felhasználóknak biztonsági olvasónak, biztonsági operátornak, biztonsági rendszergazdának, globális olvasónak vagy globális rendszergazdának kell lenniük.

Szerepkör Megteheti Nem lehet
Globális rendszergazda Teljes hozzáférés az Identity Protectionhez
Biztonsági rendszergazda Teljes hozzáférés az Identity Protectionhez Felhasználó jelszavának alaphelyzetbe állítása
Biztonsági operátor Az összes Identity Protection-jelentés és áttekintés megtekintése

Felhasználói kockázat elvetése, biztonságos bejelentkezés megerősítése, biztonsági sérülés megerősítése
Szabályzatok konfigurálása vagy módosítása

Felhasználó jelszavának alaphelyzetbe állítása

Riasztások konfigurálása
Biztonsági olvasó Az összes Identity Protection-jelentés és áttekintés megtekintése Szabályzatok konfigurálása vagy módosítása

Felhasználó jelszavának alaphelyzetbe állítása

Riasztások konfigurálása

Visszajelzés küldése az észlelésekről
Globális olvasó Írásvédett hozzáférés az Identity Protectionhez

A Biztonsági operátor szerepkör jelenleg nem tud hozzáférni a Kockázatos bejelentkezések jelentéshez.

A feltételes hozzáférés rendszergazdái olyan szabályzatokat hozhatnak létre, amelyek feltételként befolyásolják a felhasználói vagy bejelentkezési kockázatot. További információt a Feltételes hozzáférés: Feltételek című cikkben talál.

Licenckövetelmények

A funkció használatához Prémium P2 szintű Azure AD licencek szükségesek. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket.

Képesség Részletek ingyenes Azure AD/Microsoft 365-alkalmazások Prémium szintű Azure AD P1 Prémium szintű Azure AD P2
Kockázati szabályzatok Bejelentkezési és felhasználói kockázati szabályzatok (Identity Protection vagy feltételes hozzáférés használatával) Nem Nem Igen
Biztonsági jelentések Áttekintés Nem Nem Igen
Biztonsági jelentések Kockázatos felhasználók Korlátozott információ. Csak közepes és magas kockázattal rendelkező felhasználók jelennek meg. Nincs adatfiók vagy kockázati előzmény. Korlátozott információ. Csak közepes és magas kockázattal rendelkező felhasználók jelennek meg. Nincs adatfiók vagy kockázati előzmény. Teljes hozzáférés
Biztonsági jelentések Kockázatos bejelentkezések Korlátozott információ. Nem jelenik meg a kockázati részlet vagy a kockázati szint. Korlátozott információ. Nem jelenik meg a kockázati részlet vagy a kockázati szint. Teljes hozzáférés
Biztonsági jelentések Kockázatészlelések No Korlátozott információ. Nincs adatfiók. Teljes hozzáférés
Értesítések A veszélyeztetett felhasználók riasztásokat észleltek Nem Nem Igen
Értesítések Heti kivonat Nem Nem Igen
MFA-regisztrációs szabályzat Nem Nem Igen

Ezekről a részletes jelentésekről további információt a Hogyan: Kockázat vizsgálata című cikkben talál.

Következő lépések