Mi az az Identity Protection?

Az Identity Protection azokat a tanulásokat használja, amelyekkel a Microsoft az Azure Active Directoryval rendelkező szervezetekben, a Microsoft-fiókokkal rendelkező fogyasztói térben, valamint az Xbox játékban szerzett ismereteket használja a felhasználók védelme érdekében. A Microsoft naponta több billió jelet elemez az ügyfelek azonosítása és a fenyegetések elleni védelem érdekében. Az Identity Protection három fő feladat elvégzését teszi lehetővé a szervezetek számára:

Az Identity Protection által generált és az identity Protectionbe táplált jeleket tovább lehet táplálni olyan eszközökbe, mint a feltételes hozzáférés a hozzáférési döntések meghozatalához, vagy visszatáplálható egy biztonsági információ- és eseménykezelő (SIEM) eszközhöz a további vizsgálat céljából.

Miért fontos az automatizálás?

A 2022. február 3-án kelt legújabb kutatásokkal, megállapításokkal és trendekkel a Kiberjelek: A kiberfenyegetések elleni védekezésről szóló blogbejegyzésben megosztottunk egy fenyegetésfelderítési rövid összefoglalót, amely az alábbi statisztikákat tartalmazza:

  • Elemezni... 24 billió biztonsági jelet és intelligenciát követünk nyomon több mint 40 nemzetállami csoport és több mint 140 fenyegetéscsoport megfigyelésével...
  • ... 2021 januárjától 2021 decemberéig több mint 25,6 milliárd Azure AD találgatásos hitelesítési támadást blokkoltunk...

A jelek és a támadások egyszerű skálája bizonyos szintű automatizálást igényel ahhoz, hogy lépést tudjon tartani.

Kockázat észlelése

Az Identity Protection számos típusú kockázatot észlel, többek között a következőket:

  • Névtelen IP-cím használata
  • Szokatlan utazás
  • Kártevőhöz társított IP-cím
  • Szokatlan bejelentkezési tulajdonságok
  • Kiszivárgott hitelesítő adatok
  • Jelszó spray
  • és még sok más...

A kockázati jelek olyan javítási műveleteket válthatnak ki, mint például a többtényezős hitelesítés elvégzése, a jelszó önkiszolgáló jelszóátállítással történő alaphelyzetbe állítása, vagy a hozzáférés letiltása, amíg a rendszergazda meg nem hajtja a szükséges lépéseket.

Ezekről és más kockázatokról, beleértve a számítás módját és módját, a Mi a kockázat című cikkben talál további információt.

Kockázat vizsgálata

A rendszergazdák áttekinthetik az észleléseket, és szükség esetén manuálisan beavatkozhatnak. Az Identity Protectionben a rendszergazdák három fő jelentést használnak a vizsgálatokhoz:

  • Kockázatos felhasználók
  • Kockázatos bejelentkezések
  • Kockázatészlelések

További információt a "How To: Investigate risk" (Útmutató: Kockázat kivizsgálása) című cikkben talál.

Kockázati szintek

Az Identity Protection szintekre kategorizálja a kockázatokat: alacsony, közepes és magas.

A Microsoft nem ad meg konkrét részleteket a kockázat kiszámításáról. Minden kockázati szint nagyobb megbízhatóságot eredményez a felhasználó vagy a bejelentkezés biztonsága szempontjából. Előfordulhat például, hogy egy felhasználó ismeretlen bejelentkezési tulajdonságainak egy példánya nem olyan fenyegető, mint egy másik felhasználó kiszivárgott hitelesítő adatai.

A kockázati információk további felhasználása

Az Identity Protectionből származó adatok más eszközökre is exportálhatók archiválás, további vizsgálatok és korreláció céljából. A Microsoft Graph-alapú API-k lehetővé teszik a szervezetek számára, hogy további feldolgozás céljából gyűjtsék ezeket az adatokat egy olyan eszközben, mint például a SIEM. Az Identity Protection API-hoz való hozzáféréssel kapcsolatos információk az Azure Active Directory Identity Protection és a Microsoft Graph használatának első lépéseit ismertető cikkben találhatók

Az Identity Protection-adatok Microsoft Sentinellel való integrálásával kapcsolatos információk a Azure AD Identity Protectionből származó Adatok csatlakoztatása című cikkben találhatók.

A szervezetek dönthetnek úgy, hogy hosszabb ideig tárolják az adatokat a Azure AD diagnosztikai beállításainak módosításával. Dönthetnek úgy, hogy adatokat küldenek egy Log Analytics-munkaterületre, archiválják az adatokat egy tárfiókba, streamelik az adatokat az Event Hubsba, vagy adatokat küldenek egy partnermegoldásnak. Ennek módjáról részletes információt a "How To: Export risk data" (Útmutató: Kockázati adatok exportálása) című cikkben talál.

Kötelező szerepkörök

Az Identity Protection használatához a felhasználóknak biztonsági olvasónak, biztonsági operátornak, biztonsági rendszergazdának, globális olvasónak vagy globális rendszergazdának kell lenniük.

Szerepkör Megteheti Nem lehet
Globális rendszergazda Teljes hozzáférés az Identity Protectionhez
Biztonsági rendszergazda Teljes hozzáférés az Identity Protectionhez Felhasználó jelszavának alaphelyzetbe állítása
Biztonsági operátor Az összes Identity Protection-jelentés és áttekintés megtekintése

A felhasználói kockázat elvetése, a biztonságos bejelentkezés megerősítése, a biztonsági rés megerősítése
Szabályzatok konfigurálása vagy módosítása

Felhasználó jelszavának alaphelyzetbe állítása

Riasztások konfigurálása
Biztonsági olvasó Az összes Identity Protection-jelentés és áttekintés megtekintése Szabályzatok konfigurálása vagy módosítása

Felhasználó jelszavának alaphelyzetbe állítása

Riasztások konfigurálása

Visszajelzés küldése az észlelésekről
Globális olvasó Írásvédett hozzáférés az Identity Protectionhez

A Biztonsági operátor szerepkör jelenleg nem tud hozzáférni a Kockázatos bejelentkezések jelentéshez.

A feltételes hozzáférés rendszergazdái olyan szabályzatokat hozhatnak létre, amelyek feltételként befolyásolják a felhasználói vagy bejelentkezési kockázatot. További információt a Feltételes hozzáférés: Feltételek című cikkben talál.

Licenckövetelmények

A funkció használatához Prémium P2 szintű Azure AD licencek szükségesek. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket.

Képesség Részletek ingyenes Azure AD / Microsoft 365-alkalmazások Prémium szintű Azure AD P1 Prémium szintű Azure AD P2
Kockázati szabályzatok Felhasználói kockázati szabályzat (az Identity Protection használatával) Nem Nem Igen
Kockázati szabályzatok Bejelentkezési kockázati szabályzat (Identity Protection vagy feltételes hozzáférés használatával) Nem Nem Igen
Biztonsági jelentések Áttekintés Nem Nem Igen
Biztonsági jelentések Kockázatos felhasználók Korlátozott információ. Csak közepes és magas kockázattal rendelkező felhasználók jelennek meg. Nincs adatfiók vagy kockázatelőzmény. Korlátozott információ. Csak a közepes és magas kockázatú felhasználók jelennek meg. Nincs adatfiók vagy kockázatelőzmény. Teljes hozzáférés
Biztonsági jelentések Kockázatos bejelentkezések Korlátozott információ. Nem jelenik meg a kockázat részletei vagy a kockázati szint. Korlátozott információ. Nem jelenik meg a kockázat részletei vagy a kockázati szint. Teljes hozzáférés
Biztonsági jelentések Kockázatészlelések No Korlátozott információ. Nincs részletes fiók. Teljes hozzáférés
Értesítések A veszélyeztetett felhasználók riasztásokat észleltek Nem Nem Igen
Értesítések Heti kivonat Nem Nem Igen
MFA-regisztrációs szabályzat Nem Nem Igen

Ezekről a részletes jelentésekről további információt az Útmutató: Kockázat vizsgálata című cikkben talál.

Következő lépések