Apa itu Identity Protection?

Perlindungan Identitas menggunakan pembelajaran yang diperoleh Microsoft dari posisi mereka di organisasi dengan Azure Active Directory, ruang konsumen dengan Akun Microsoft, serta di dalam game dengan Xbox untuk melindungi pengguna Anda. Microsoft menganalisis triliunan sinyal per hari untuk mengidentifikasi serta melindungi pelanggan dari ancaman. Identity Protection merupakan alat yang memungkinkan organisasi menyelesaikan tiga tugas utama:

Sinyal yang dihasilkan oleh dan diumpankan ke Proteksi Identitas dapat diumpankan lebih lanjut ke alat-alat seperti Akses Bersyarat untuk membuat keputusan akses, atau diumpankan kembali ke alat informasi keamanan dan manajemen peristiwa (SIEM) bagi penyelidikan lebih lanjut berdasarkan kebijakan yang diberlakukan organisasi Anda.

Mengapa automasi penting?

Dalam posting blog Cyber Signals: Defending against cyber threats with the latest research, insights, and trends pada tanggal 3 Februari 2022, kami membagikan ringkasan intelegensi ancaman yang termasuk statistik berikut:

  • Dianalisis... Sinyal keamanan 24 triliun dikombinasikan dengan intelijen yang kami lacak dengan memantau lebih dari 40 kelompok negara bagian dan lebih dari 140 kelompok ancaman...
  • ... Dari Januari 2021 hingga Desember 2021, kami telah memblokir lebih dari 25,6 miliar Azure AD serangan autentikasi brute force...

Skala sinyal dan serangan ini membutuhkan beberapa tingkat otomatisasi untuk dapat mengikutinya.

Mendeteksi risiko

Perlindungan Identitas mengidentifikasi risiko dari banyak jenis, termasuk:

  • Penggunaan alamat IP anonim
  • Perjalanan atipikal
  • Alamat IP tertaut malware
  • Properti rincian masuk yang tidak dikenal
  • Info masuk yang bocor
  • Pembobolan kata sandi
  • dan banyak lagi...

Sinyal risiko dapat memicu upaya perbaikan seperti mengharuskan pengguna untuk: melakukan Autentikasi Multifaktor Azure Active Directory, mengatur ulang kata sandi mereka menggunakan reset kata sandi layanan mandiri, ataupun memblokir hingga administrator mengambil tindakan.

Detail selengkapnya tentang risiko ini dan risiko lainnya termasuk bagaimana atau kapan mereka dihitung dapat ditemukan dalam artikel, Tentang risiko.

Menyelidiki risiko

Administrator dapat meninjau deteksi dan mengambil tindakan manual jika diperlukan. Ada tiga laporan utama yang digunakan administrator untuk investigasi dalam Identity Protection:

  • Pengguna berisiko
  • Proses masuk riskan
  • Deteksi risiko

Untuk mengetahui informasi selengkapnya, lihat artikel Panduan: Menginvestigasi risiko.

Tingkat risiko

Identity Protection mengategorikan risiko ke dalam tingkatan: rendah, sedang, dan tinggi.

Microsoft tidak memberikan detail spesifik mengenai bagaimana risiko dihitung. Setiap tingkat risiko menghasilkan keyakinan yang lebih tinggi bahwa pengguna atau rincian masuk disusupi. Misalnya, sesuatu seperti satu instans properti masuk yang tidak dikenal untuk pengguna mungkin tidak mengancam seperti kredensial yang bocor untuk pengguna lain.

Manfaatkan informasi risiko selanjutnya

Data dari Identity Protection dapat diekspor ke alat lain untuk arsip dan penyelidikan dan korelasi lebih lanjut. API berbasis Microsoft Graph memungkinkan organisasi untuk mengumpulkan data ini untuk pemrosesan lebih lanjut dalam alat seperti SIEM mereka. Informasi tentang cara mengakses API Identity Protection dapat ditemukan di artikel, Mulai menggunakan Azure Active Directory Identity Protection dan Microsoft Graph

Informasi tentang integrasi informasi Identity Protection dengan Azure Sentinel dapat ditemukan di artikel, Menghubungkan data dari Azure Active Directory Identity Protection.

Organisasi dapat menyimpan data untuk waktu yang lebih lama dengan cara mengubah pengaturan diagnostik di Microsoft Azure AD. Mereka dapat memilih untuk mengirim data ke ruang kerja Analitik Log, mengarsipkan data ke akun penyimpanan, mengalirkan data pada Azure Event Hubs, atau mengirim data ke solusi mitra. Informasi terperinci tentang cara melakukannya dapat ditemukan dalam artikel, Cara: Data risiko ekspor.

Peran yang Diperlukan

Identity Protection mengharuskan pengguna menjadi Pembaca Keamanan, Operator Keamanan, Administrator Keamanan, Pembaca Global, atau Administrator Global untuk mengakses.

Peran Dapat melakukan Tidak dapat melakukan
Administrator Global Akses penuh ke Identity Protection
Administrator Keamanan Akses penuh ke Identity Protection Mengatur ulang kata sandi untuk pengguna
Operator Keamanan Lihat semua laporan Perlindungan Identitas dan Gambaran Umum Menghilangkan risiko pengguna, mengonfirmasi rincian masuk yang aman, mengonfirmasi penyusupan Mengonfigurasi atau mengubah kebijakan Reset kata sandi untuk pengguna Mengonfigurasi pemberitahuan
Pembaca Keamanan Lihat seluruh laporan Identity Protection serta bilah Gambaran Umum Mengonfigurasi atau mengubah kebijakan Reset kata sandi untuk pengguna Mengonfigurasi pemberitahuan Berikan umpan balik tentang deteksi
Pembaca Global Akses penuh menuju Identity Protection

Saat ini, peran Operator Keamanan tidak dapat mengakses laporan proses masuk riskan.

Administrator Akses Bersyarat juga bisa membuat kebijakan yang memperhitungkan risiko masuk sebagai sebuah ketentuan. Temukan informasi selengkapnya dalam artikel Akses Bersyarat: Ketentuan.

Persyaratan lisensi

Menggunakan fitur ini memerlukan lisensi Azure AD Premium P2. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur Azure AD yang tersedia secara umum.

Kemampuan Detail Aplikasi Azure Active Directory Gratis / Microsoft 365 Azure Active Directory Premium P1 Azure AD Premium P2
Kebijakan risiko Kebijakan risiko pengguna (melalui Perlindungan Identitas) Tidak Tidak Ya
Kebijakan risiko Kebijakan risiko proses masuk (melalui Perlindungan Identitas atau Akses Bersyarat) Tidak Tidak Ya
Laporan keamanan Gambaran Umum Tidak Tidak Ya
Laporan keamanan Pengguna berisiko Informasi Terbatas. Hanya pengguna dengan risiko sedang dan tinggi yang ditampilkan. Tidak ada detail laci atau riwayat risiko. Informasi Terbatas. Hanya pengguna dengan risiko sedang dan tinggi yang ditampilkan. Tidak ada detail laci atau riwayat risiko. Akses penuh
Laporan keamanan Proses masuk riskan Informasi Terbatas. Tidak ada detail risiko atau tingkat risiko yang ditampilkan. Informasi Terbatas. Tidak ada detail risiko atau tingkat risiko yang ditampilkan. Akses penuh
Laporan keamanan Deteksi risiko Tidak Informasi Terbatas. Tidak ada laci detail. Akses penuh
Pemberitahuan Pengguna yang berisiko mendeteksi peringatan Tidak Tidak Ya
Pemberitahuan Ringkasan mingguan Tidak Tidak Ya
Kebijakan pendaftaran MFA Tidak Tidak Ya

Informasi lebih lanjut tentang laporan kaya ini dapat ditemukan di artikel, Cara: Menginvestigasi risiko.

Langkah berikutnya