Dasbor Microsoft Entra ID Protection

  • Artikel

Microsoft Entra ID Protection mencegah penyusupan identitas dengan mendeteksi serangan identitas dan melaporkan risiko. Ini memungkinkan pelanggan untuk melindungi organisasi mereka dengan memantau risiko, menyelidikinya, dan mengonfigurasi kebijakan akses berbasis risiko untuk menjaga akses sensitif dan memulihkan risiko secara otomatis.

Dasbor kami membantu pelanggan menganalisis postur keamanan mereka dengan lebih baik, memahami seberapa baik mereka dilindungi, mengidentifikasi kerentanan, dan melakukan tindakan yang direkomendasikan.

Cuplikan layar memperlihatkan dasbor gambaran umum Microsoft Entra ID Protection.

Dasbor ini dirancang untuk memberdayakan organisasi dengan wawasan yang kaya dan rekomendasi yang dapat ditindaklanjuti yang disesuaikan dengan penyewa Anda. Informasi ini memberikan pandangan yang lebih baik tentang postur keamanan organisasi Anda dan memungkinkan Anda untuk mengaktifkan perlindungan yang efektif yang sesuai. Anda memiliki akses ke metrik utama, grafik serangan, peta yang menyoroti lokasi berisiko, rekomendasi teratas untuk meningkatkan postur keamanan, dan aktivitas terbaru.

Prasyarat

Untuk mengakses dasbor ini, Anda memerlukan:

  • Lisensi Microsoft Entra ID Free, atau Microsoft Entra ID P1, atau Microsoft Entra ID P2 untuk pengguna Anda.
  • Untuk melihat daftar rekomendasi yang komprehensif dan memilih tautan tindakan yang direkomendasikan, Anda memerlukan lisensi Microsoft Entra ID P2.

Mengakses Dasbor

Anda dapat mengakses dasbor dengan:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Pembaca Keamanan.
  2. Telusuri ke Dasbor Perlindungan>Identitas Perlindungan.>

Kartu metrik

Saat Anda menerapkan lebih banyak langkah keamanan seperti kebijakan berbasis risiko, perlindungan penyewa Anda menguat. Jadi, kami sekarang menyediakan empat metrik utama untuk membantu Anda memahami efektivitas langkah-langkah keamanan yang Anda miliki.

Cuplikan layar memperlihatkan grafik metrik di dasbor.

Metric Definisi Metrik Frekuensi refresh Tempat untuk melihat detail
Jumlah serangan yang diblokir Jumlah serangan yang diblokir untuk penyewa ini setiap hari.

Serangan dianggap diblokir jika proses masuk berisiko terganggu oleh kebijakan akses apa pun. Kontrol akses yang diperlukan oleh kebijakan harus memblokir penyerang untuk masuk, oleh karena itu memblokir serangan secara real-time.		 Setiap 24 jam. Lihat deteksi risiko yang menentukan serangan dalam laporan Deteksi risiko, filter "Status risiko" dengan:

- Diremediasi
- Diberhentikan
- ** Dikonfirmasi aman **
Jumlah pengguna yang dilindungi Jumlah pengguna dalam penyewa ini yang status risikonya berubah dari Berisiko menjadi Diremediasi atau Diberhentikan setiap hari.

Status risiko yang Diremediasi menunjukkan bahwa pengguna memulihkan risiko pengguna mereka sendiri dengan menyelesaikan MFA atau perubahan kata sandi yang aman, dan akun mereka dilindungi.

Status risiko yang ditutup menunjukkan bahwa admin menutup risiko pengguna karena mereka mengidentifikasi akun pengguna agar aman.		 Setiap 24 jam. Lihat pengguna yang dilindungi dalam laporan Pengguna berisiko, filter "Status risiko" dengan:

- Diremediasi
- Diberhentikan
Rata-rata waktu yang diambil pengguna Anda untuk memulihkan risiko mereka sendiri Waktu rata-rata untuk status Risiko pengguna berisiko di penyewa Anda berubah dari Berisiko menjadi Diperbaiki.

Status risiko pengguna berubah menjadi Diperbaiki ketika mereka memulihkan risiko pengguna mereka sendiri melalui MFA atau perubahan kata sandi yang aman.

Untuk mengurangi waktu remediasi mandiri di penyewa Anda, sebarkan kebijakan Akses Bersyarah berbasis risiko.		 Setiap 24 jam. Lihat pengguna yang diperbaiki dalam laporan Pengguna berisiko, filter "Status risiko" dengan:

- Diperbaiki
Jumlah pengguna berisiko tinggi baru yang terdeteksi Jumlah pengguna berisiko baru dengan tingkat risiko Tinggi terdeteksi setiap hari. Setiap 24 jam. Melihat pengguna berisiko tinggi dalam laporan pengguna berisiko, memfilter tingkat risiko menurut

- "Tinggi"

Agregasi data untuk tiga metrik berikut dimulai pada 22 Juni 2023, sehingga metrik ini tersedia sejak tanggal tersebut. Kami sedang berupaya memperbarui grafik untuk mencerminkannya.

  • Jumlah serangan yang diblokir
  • Jumlah pengguna yang dilindungi
  • Waktu rata-rata untuk memulihkan risiko pengguna

Grafik menyediakan jendela data 12 bulan yang bergulir.

Grafik serangan

Untuk membantu Anda lebih memahami paparan risiko Anda, kami memperkenalkan Grafik Serangan inovatif yang menampilkan pola serangan berbasis identitas umum yang terdeteksi untuk penyewa Anda. Pola serangan diwakili oleh teknik MITRE ATT&CK dan ditentukan oleh deteksi risiko lanjutan kami. Untuk informasi selengkapnya, lihat bagian Jenis deteksi risiko ke pemetaan jenis serangan MITRE.

Cuplikan layar memperlihatkan grafik serangan di dasbor.

Apa yang dianggap sebagai serangan di Microsoft Entra ID Protection?

Serangan adalah peristiwa di mana kami mendeteksi aktor jahat yang mencoba masuk ke lingkungan Anda. Kejadian ini memicu deteksi risiko masuk real time yang dipetakan ke teknik MITRE ATT&CK yang sesuai. Lihat tabel berikut untuk pemetaan antara deteksi dan serangan risiko masuk real time Microsoft Entra ID Protection seperti yang dikategorikan oleh teknik MITRE ATT&CK.

Karena grafik serangan hanya mengilustrasikan aktivitas risiko masuk real time, aktivitas pengguna berisiko tidak disertakan. Untuk memvisualisasikan aktivitas pengguna berisiko di lingkungan Anda, Anda dapat membuka laporan pengguna berisiko.

Bagaimana cara menafsirkan grafik serangan?

Grafik menyajikan jenis serangan yang memengaruhi penyewa Anda selama 30 hari terakhir, dan apakah mereka diblokir selama masuk. Di sisi kiri, Anda akan melihat volume setiap jenis serangan. Di sebelah kanan, jumlah serangan yang diblokir dan belum diremadiasi ditampilkan. Grafik diperbarui setiap 24 jam dan menghitung deteksi masuk risiko yang terjadi secara real time; oleh karena itu, jumlah total serangan tidak cocok dengan jumlah total deteksi.

  • Diblokir: Serangan diklasifikasikan sebagai diblokir jika proses masuk berisiko terkait terganggu oleh kebijakan akses, seperti memerlukan autentikasi multifaktor. Tindakan ini mencegah masuknya penyerang dan memblokir serangan.
  • Tidak diperbaiki: Proses masuk riskan yang berhasil yang tidak terganggu dan memerlukan remediasi. Oleh karena itu, deteksi risiko yang terkait dengan proses masuk berisiko ini juga memerlukan remediasi. Anda dapat melihat rincian masuk ini dan deteksi risiko terkait dalam laporan Proses masuk riskan dengan memfilter dengan status risiko "Berisiko".

Di mana saya dapat melihat serangan?

Untuk melihat detail serangan, Anda dapat memilih jumlah serangan di sisi kiri grafik. Grafik ini membawa Anda ke laporan deteksi risiko yang difilter pada jenis serangan tersebut.

Anda dapat langsung masuk ke laporan deteksi risiko dan memfilter jenis Serangan. Jumlah serangan dan deteksi bukanlah pemetaan satu ke satu.

Jenis deteksi risiko ke pemetaan jenis serangan MITRE

Deteksi risiko masuk real time Jenis deteksi Pemetaan teknik MITRE ATT&CK Nama tampilan serangan Jenis
Token Anomali Real-time atau Offline T1539 Mencuri Cookie Sesi Web/Pencurian Token Premium
Properti masuk yang tidak dikenal Real time T1078 Akses menggunakan akun yang valid (Terdeteksi saat Masuk) Premium
IP pelaku ancaman terverifikasi Real time T1078 Akses menggunakan akun yang valid (Terdeteksi saat Masuk) Premium
Alamat IP anonim Real time T1090 Obfuscation/Access menggunakan proksi Nonpremium
Inteligensi ancaman Microsoft Entra Real-time atau Offline T1078 Akses menggunakan akun yang valid (Terdeteksi saat Masuk) Nonpremium

Peta

Peta disediakan untuk menampilkan lokasi geografis proses masuk berisiko di penyewa Anda. Ukuran gelembung mencerminkan volume proses masuk risiko di lokasi tersebut. Mengarahkan mouse ke atas gelembung menunjukkan kotak panggilan, memberikan nama negara dan jumlah proses masuk berisiko dari tempat tersebut.

Cuplikan layar memperlihatkan grafik peta di dasbor.

Ini berisi elemen-elemen berikut:

  • Rentang tanggal: pilih rentang tanggal dan lihat rincian masuk berisiko dari dalam rentang waktu tersebut di peta. Nilai yang tersedia adalah: 24 jam terakhir, tujuh hari terakhir, dan terakhir satu bulan.
  • Tingkat risiko: pilih tingkat risiko proses masuk berisiko untuk dilihat. Nilai yang tersedia adalah: Tinggi, Sedang, Rendah.
  • Jumlah Lokasi Berisiko :
    • Definisi: Jumlah lokasi dari tempat masuk berisiko penyewa Anda berasal.
    • Rentang tanggal dan filter tingkat risiko berlaku untuk jumlah ini.
    • Memilih jumlah ini akan membawa Anda ke laporan Proses masuk riskan yang difilter berdasarkan rentang tanggal dan tingkat risiko yang dipilih.
  • Jumlah Proses Masuk Riskan :
    • Definisi: Jumlah total rincian masuk berisiko dengan tingkat risiko yang dipilih dalam rentang tanggal yang dipilih.
    • Rentang tanggal dan filter tingkat risiko berlaku untuk jumlah ini.
    • Memilih jumlah ini akan membawa Anda ke laporan Proses masuk riskan yang difilter berdasarkan rentang tanggal dan tingkat risiko yang dipilih.

Rekomendasi

Rekomendasi Microsoft Entra ID Protection membantu pelanggan mengonfigurasi lingkungan mereka untuk meningkatkan postur keamanan mereka. Rekomendasi ini didasarkan pada serangan yang terdeteksi di penyewa Anda selama 30 hari terakhir. Rekomendasi diberikan untuk memandu staf keamanan Anda dengan tindakan yang direkomendasikan untuk diambil.

Cuplikan layar memperlihatkan rekomendasi di dasbor.

Serangan umum yang terlihat, seperti semprotan kata sandi, kredensial bocor di penyewa Anda, dan akses massal ke file sensitif dapat memberi tahu Anda bahwa ada potensi pelanggaran. Pada cuplikan layar sebelumnya, contoh Perlindungan Identitas mendeteksi setidaknya 20 pengguna dengan kredensial bocor di penyewa Anda, tindakan yang direkomendasikan dalam hal ini adalah membuat kebijakan Akses Bersyarat yang memerlukan pengaturan ulang kata sandi yang aman pada pengguna berisiko.

Dalam komponen rekomendasi di dasbor kami, pelanggan melihat:

  • Hingga tiga rekomendasi jika serangan tertentu terjadi di penyewa mereka.
  • Wawasan tentang dampak serangan.
  • Tautan langsung untuk mengambil tindakan yang sesuai untuk remediasi.

Pelanggan dengan lisensi P2 dapat melihat daftar rekomendasi komprehensif yang memberikan wawasan dengan tindakan. Ketika "Lihat Semua" dipilih, panel akan membuka panel yang menampilkan lebih banyak rekomendasi yang dipicu berdasarkan serangan di lingkungan mereka.

Aktivitas akhir-akhir ini

Aktivitas Terbaru memberikan ringkasan aktivitas terkait risiko terbaru di penyewa Anda. Jenis aktivitas yang mungkin adalah:

  1. Aktivitas Serangan
  2. Aktivitas Remediasi Admin
  3. Aktivitas Remediasi Mandiri
  4. Pengguna Berisiko Tinggi Baru

Cuplikan layar memperlihatkan aktivitas terbaru di dasbor.

Masalah umum

Bergantung pada konfigurasi penyewa Anda, mungkin tidak ada rekomendasi atau aktivitas terbaru di dasbor Anda.

Konten terkait