Mi az az Identity Protection?
Az Identity Protection az Azure Active Directoryval, a felhasználói területtel Microsoft-fiókokkal rendelkező fogyasztói területen, valamint az Xbox játékaiban szerzett ismereteket használja a felhasználók védelme érdekében Microsoft. Microsoft naponta több trillió jelet elemez, hogy azonosítsa és megvédje az ügyfeleket a fenyegetésektől. Az Identity Protection három fő feladat elvégzését teszi lehetővé a szervezetek számára:
- Automatizálja az identitásalapú kockázatok észlelését és szervizelését.
- Kockázatok vizsgálata adatokkal a portálon.
- Kockázatészlelési adatok exportálása más eszközökre.
Az Identity Protection által generált és az identity Protectionbe táplált jeleket tovább lehet táplálni olyan eszközökbe, mint a feltételes hozzáférés a hozzáférési döntések meghozatalához, vagy visszatáplálható egy biztonsági információ- és eseménykezelő (SIEM) eszközhöz a további vizsgálathoz.
Miért fontos az automatizálás?
A Kiberjelek: A kiberfenyegetések elleni védelem a legújabb, 2022. február 3-án kelt kutatásokkal, megállapításokkal és trendekkel című blogbejegyzésben megosztottunk egy fenyegetésfelderítési rövid összefoglalót, amely az alábbi statisztikákat tartalmazza:
- Elemezni... 24 billió biztonsági jelet és intelligenciát követünk nyomon több mint 40 nemzetállami csoport és több mint 140 fenyegetéscsoport megfigyelésével...
- ... 2021 januárjától 2021 decemberéig több mint 25,6 milliárd Azure AD találgatásos hitelesítési támadást blokkoltunk...
A jelek és támadások egyszerű skálája bizonyos szintű automatizálást igényel ahhoz, hogy lépést tudjon tartani.
Kockázat észlelése
Az Identity Protection számos típusú kockázatot észlel, többek között az alábbiakat:
- Névtelen IP-cím használata
- Szokatlan utazás
- Kártevőhöz társított IP-cím
- Szokatlan bejelentkezési tulajdonságok
- Kiszivárgott hitelesítő adatok
- Jelszó spray
- és még sok más...
A kockázati jelek olyan javítási erőfeszítéseket válthatnak ki, mint például a többtényezős hitelesítés végrehajtása, a jelszó önkiszolgáló jelszóátállítással történő alaphelyzetbe állítása vagy a hozzáférés letiltása, amíg a rendszergazda meg nem hajtja a szükséges lépéseket.
Ezekről és más kockázatokról, többek között a számításuk módjáról és időpontjáról a Mi a kockázat? című cikkben talál további információt.
Kockázat vizsgálata
A rendszergazdák áttekinthetik az észleléseket, és szükség esetén manuálisan beavatkozhatnak. Az Identity Protectionben a rendszergazdák három fő jelentést használnak a vizsgálatokhoz:
- Kockázatos felhasználók
- Kockázatos bejelentkezések
- Kockázatészlelések
További információt a Hogyan: Kockázat vizsgálata című cikkben talál.
Kockázati szintek
Az Identity Protection a kockázatokat a következő szintekre kategorizálja: alacsony, közepes és magas.
Microsoft nem ad meg konkrét részleteket a kockázat kiszámításáról. Minden kockázati szint nagyobb megbízhatóságot biztosít a felhasználó vagy a bejelentkezés biztonsága szempontjából. Előfordulhat például, hogy egy felhasználó ismeretlen bejelentkezési tulajdonságainak egy példánya nem olyan fenyegető, mint egy másik felhasználó kiszivárgott hitelesítő adatai.
A kockázati információk további felhasználása
Az Identity Protectionből származó adatok exportálhatók más archiválási eszközökre, valamint további vizsgálatokra és korrelációkra. A Microsoft Graph-alapú API-k lehetővé teszik a szervezetek számára, hogy további feldolgozás céljából gyűjtsék ezeket az adatokat egy olyan eszközben, mint a SIEM. Az Identity Protection API elérésével kapcsolatos információk az Azure Active Directory Identity Protection és Microsoft Graph használatának első lépései című cikkben találhatók.
Az Identity Protection-adatok Microsoft Sentinelbe való integrálásával kapcsolatos információk a Connect data from Azure AD Identity Protection (Adatok csatlakoztatása Azure AD Identity Protectionből) című cikkben találhatók.
A szervezetek dönthetnek úgy, hogy hosszabb ideig tárolják az adatokat, ha módosítják a diagnosztikai beállításokat a Azure AD. Dönthetnek úgy, hogy adatokat küldenek egy Log Analytics-munkaterületre, archiválják az adatokat egy tárfiókba, streamelik az adatokat az Event Hubsba, vagy adatokat küldenek egy partnermegoldásnak. Ennek módjáról részletes információt a How To: Export risk data (Útmutató: Kockázati adatok exportálása) című cikkben talál.
Kötelező szerepkörök
Az Identity Protection használatához a felhasználóknak biztonsági olvasónak, biztonsági operátornak, biztonsági rendszergazdának, globális olvasónak vagy globális rendszergazdának kell lenniük.
| Szerepkör | Megteheti | Nem lehet megtenni |
|---|---|---|
| Globális rendszergazda | Teljes hozzáférés az Identity Protectionhez | |
| Biztonsági rendszergazda | Teljes hozzáférés az Identity Protectionhez | Felhasználó jelszavának alaphelyzetbe állítása |
| Biztonsági operátor | Tekintse meg az összes Identity Protection-jelentést és áttekintést: Felhasználói kockázat elvetése, biztonságos bejelentkezés megerősítése, biztonsági rés megerősítése | Szabályzatok konfigurálása vagy módosítása Felhasználó jelszavának alaphelyzetbe állítása Riasztások konfigurálása |
| Biztonsági olvasó | Az összes Identity Protection-jelentés és áttekintés megtekintése | Szabályzatok konfigurálása vagy módosítása Új jelszó kérése felhasználóhoz Riasztások konfigurálása Visszajelzés küldése az észlelésekről |
| Globális olvasó | Írásvédett hozzáférés az Identity Protectionhez |
A Biztonsági operátor szerepkör jelenleg nem fér hozzá a Kockázatos bejelentkezések jelentéshez.
A feltételes hozzáférési rendszergazdák olyan szabályzatokat hozhatnak létre, amelyek feltételként befolyásolják a felhasználót vagy a bejelentkezési kockázatot. További információt a Feltételes hozzáférés: Feltételek című cikkben talál.
Licenckövetelmények
A funkció használatához Prémium P2 szintű Azure AD licencek szükségesek. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket.
| Képesség | Részletek | ingyenes Azure AD/ Microsoft 365-alkalmazások | Prémium szintű Azure AD P1 | Prémium szintű Azure AD P2 |
|---|---|---|---|---|
| Kockázati szabályzatok | Felhasználói kockázati szabályzat (az Identity Protection használatával) | Nem | Nem | Igen |
| Kockázati szabályzatok | Bejelentkezési kockázati szabályzat (Identity Protection vagy Feltételes hozzáférés használatával) | Nem | Nem | Igen |
| Biztonsági jelentések | Áttekintés | Nem | Nem | Igen |
| Biztonsági jelentések | Kockázatos felhasználók | Korlátozott információ. Csak közepes és magas kockázattal rendelkező felhasználók jelennek meg. Nincs adatfiók vagy kockázati előzmény. | Korlátozott információ. Csak közepes és magas kockázattal rendelkező felhasználók jelennek meg. Nincs adatfiók vagy kockázati előzmény. | Teljes hozzáférés |
| Biztonsági jelentések | Kockázatos bejelentkezések | Korlátozott információ. Nem jelenik meg kockázati részlet vagy kockázati szint. | Korlátozott információ. Nem jelenik meg kockázati részlet vagy kockázati szint. | Teljes hozzáférés |
| Biztonsági jelentések | Kockázatészlelések | Nem | Korlátozott információ. Nincs adatfiók. | Teljes hozzáférés |
| Értesítések | A veszélyeztetett felhasználók riasztásokat észleltek | Nem | Nem | Igen |
| Értesítések | Heti kivonat | Nem | Nem | Igen |
| MFA-regisztrációs szabályzat | Nem | Nem | Igen |
Ezekről a részletes jelentésekről további információt a Hogyan: Kockázat vizsgálata című cikkben talál.