Mi az az Identity Protection?
Az Identity Protection azokat a tanulásokat használja, amelyekkel a Microsoft az Azure Active Directoryval rendelkező szervezetekben szerzett, a Microsoft-fiókokkal rendelkező fogyasztói teret, valamint az Xbox-játékokban szerzett ismereteket a felhasználók védelme érdekében. A Microsoft naponta több billió jelet elemez az ügyfelek azonosítása és a fenyegetések elleni védelem érdekében. Az Identity Protection három fő feladat elvégzését teszi lehetővé a szervezetek számára:
- Automatizálhatja az identitásalapú kockázatok észlelését és orvoslását.
- Kockázatok vizsgálata adatok használatával a portálon.
- Kockázatészlelési adatok exportálása más eszközökre.
Az Identity Protection által generált és az identity Protectionbe táplált jeleket tovább lehet táplálni olyan eszközökbe, mint a feltételes hozzáférés a hozzáférési döntések meghozatalához, vagy visszatáplálható egy biztonsági információ- és eseménykezelő (SIEM) eszközhöz a további vizsgálat céljából.
Miért fontos az automatizálás?
A 2022. február 3-án kelt legújabb kutatásokkal, megállapításokkal és trendekkel a Cyber Signals: Protectioning against cyber threats (A kiberfenyegetések elleni védekezés a kiberfenyegetések ellen ) című blogbejegyzésben megosztottunk egy rövid összefoglalót a fenyegetésfelderítésről, amely az alábbi statisztikákat tartalmazza:
- Elemezni... 24 billió biztonsági jel és az általunk követett intelligencia, több mint 40 nemzetállami csoport és több mint 140 veszélyforrás-csoport megfigyelésével...
- ... 2021 januárjától 2021 decemberéig több mint 25,6 milliárd Azure AD találgatásos hitelesítési támadást blokkoltunk...
A jelek és a támadások egyszerű skálája bizonyos szintű automatizálást igényel ahhoz, hogy lépést tudjunk tartani.
Kockázat észlelése
Az Identity Protection számos típusú kockázatot észlel, többek között a következőket:
- Névtelen IP-cím használata
- Szokatlan utazás
- Kártevőhöz társított IP-cím
- Szokatlan bejelentkezési tulajdonságok
- Kiszivárgott hitelesítő adatok
- Jelszópermet
- és még sok más...
A kockázati jelek olyan javítási erőfeszítéseket válthatnak ki, mint a következők megkövetelése: többtényezős hitelesítés végrehajtása, jelszó alaphelyzetbe állítása az önkiszolgáló jelszó-visszaállítással, vagy a hozzáférés letiltása, amíg a rendszergazda meg nem hajtja a műveletet.
Ezekről és más kockázatokról, többek között a számításuk módjáról és időpontjáról a Mi a kockázat című cikkben talál további információt.
Kockázat vizsgálata
A rendszergazdák áttekinthetik az észleléseket, és szükség esetén manuálisan beavatkozhatnak. A rendszergazdák három fő jelentést használnak az Identity Protection vizsgálatához:
- Kockázatos felhasználók
- Kockázatos bejelentkezések
- Kockázatészlelések
További információt a How To: Investigate risk (Útmutató: Kockázat vizsgálata) című cikkben talál.
Kockázati szintek
Az Identity Protection a kockázatokat a következő szintekre kategorizálja: alacsony, közepes és magas.
A Microsoft nem ad meg konkrét részleteket a kockázat kiszámításának módjáról. Minden kockázati szint nagyobb megbízhatóságot biztosít a felhasználó vagy a bejelentkezés biztonsága szempontjából. Előfordulhat például, hogy egy felhasználó ismeretlen bejelentkezési tulajdonságainak egyik példánya nem olyan fenyegető, mint egy másik felhasználó kiszivárgott hitelesítő adatai.
A kockázati információk további felhasználása
Az Identity Protectionből származó adatok exportálhatók más archiválási eszközökbe, valamint további vizsgálatokhoz és korrelációkhoz. A Microsoft Graph-alapú API-k lehetővé teszik a szervezetek számára, hogy további feldolgozás céljából gyűjtsék ezeket az adatokat egy olyan eszközben, mint a SIEM. Az Identity Protection API elérésével kapcsolatos információkért tekintse meg az Azure Active Directory Identity Protection és a Microsoft Graph használatának első lépéseit ismertető cikket.
Az Identity Protection adatainak a Microsoft Sentinellel való integrálásáról a Connect data from Azure AD Identity Protection (Adatok csatlakoztatása Azure AD Identity Protectionből) című cikkben olvashat.
A szervezetek dönthetnek úgy, hogy hosszabb ideig tárolják az adatokat az Azure AD diagnosztikai beállításainak módosításával. Dönthetnek úgy, hogy adatokat küldenek egy Log Analytics-munkaterületre, archiválják az adatokat egy tárfiókba, streamelik az adatokat az Event Hubsba, vagy adatokat küldenek egy partnermegoldásnak. Ennek módjáról részletes információt a Kockázati adatok exportálása című cikkben talál.
Szükséges szerepkörök
Az Identity Protection használatához a felhasználóknak biztonsági olvasónak, biztonsági operátornak, biztonsági rendszergazdának, globális olvasónak vagy globális rendszergazdának kell lenniük.
| Szerepkör | Megteheti | Nem lehet |
|---|---|---|
| Globális rendszergazda | Teljes hozzáférés az Identity Protectionhez | |
| Biztonsági rendszergazda | Teljes hozzáférés az Identity Protectionhez | Felhasználó jelszavának alaphelyzetbe állítása |
| Biztonsági operátor | Az összes Identity Protection-jelentés és áttekintés megtekintése Felhasználói kockázat elvetése, biztonságos bejelentkezés megerősítése, biztonsági sérülés megerősítése |
Szabályzatok konfigurálása vagy módosítása Felhasználó jelszavának alaphelyzetbe állítása Riasztások konfigurálása |
| Biztonsági olvasó | Az összes Identity Protection-jelentés és áttekintés megtekintése | Szabályzatok konfigurálása vagy módosítása Felhasználó jelszavának alaphelyzetbe állítása Riasztások konfigurálása Visszajelzés küldése az észlelésekről |
| Globális olvasó | Írásvédett hozzáférés az Identity Protectionhez |
A Biztonsági operátor szerepkör jelenleg nem tud hozzáférni a Kockázatos bejelentkezések jelentéshez.
A feltételes hozzáférés rendszergazdái olyan szabályzatokat hozhatnak létre, amelyek feltételként befolyásolják a felhasználói vagy bejelentkezési kockázatot. További információt a Feltételes hozzáférés: Feltételek című cikkben talál.
Licenckövetelmények
A funkció használatához Prémium P2 szintű Azure AD licencek szükségesek. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket.
| Képesség | Részletek | ingyenes Azure AD/Microsoft 365-alkalmazások | Prémium szintű Azure AD P1 | Prémium szintű Azure AD P2 |
|---|---|---|---|---|
| Kockázati szabályzatok | Bejelentkezési és felhasználói kockázati szabályzatok (Identity Protection vagy feltételes hozzáférés használatával) | Nem | Nem | Igen |
| Biztonsági jelentések | Áttekintés | Nem | Nem | Igen |
| Biztonsági jelentések | Kockázatos felhasználók | Korlátozott információ. Csak közepes és magas kockázattal rendelkező felhasználók jelennek meg. Nincs adatfiók vagy kockázati előzmény. | Korlátozott információ. Csak közepes és magas kockázattal rendelkező felhasználók jelennek meg. Nincs adatfiók vagy kockázati előzmény. | Teljes hozzáférés |
| Biztonsági jelentések | Kockázatos bejelentkezések | Korlátozott információ. Nem jelenik meg a kockázati részlet vagy a kockázati szint. | Korlátozott információ. Nem jelenik meg a kockázati részlet vagy a kockázati szint. | Teljes hozzáférés |
| Biztonsági jelentések | Kockázatészlelések | No | Korlátozott információ. Nincs adatfiók. | Teljes hozzáférés |
| Értesítések | A veszélyeztetett felhasználók riasztásokat észleltek | Nem | Nem | Igen |
| Értesítések | Heti kivonat | Nem | Nem | Igen |
| MFA-regisztrációs szabályzat | Nem | Nem | Igen |
Ezekről a részletes jelentésekről további információt a Hogyan: Kockázat vizsgálata című cikkben talál.