Что такое Защита идентификации Microsoft Entra?
Защита идентификации Microsoft Entra помогает организациям обнаруживать, исследовать и устранять риски на основе удостоверений. Эти риски на основе удостоверений можно использовать в таких средствах, как условный доступ для принятия решений о доступе или обратно в средство управления данными безопасности и событиями (SIEM) для дальнейшего изучения и корреляции.
Обнаружение рисков
Корпорация Майкрософт постоянно добавляет и обновляет обнаружения в нашем каталоге для защиты организаций. Эти обнаружения основаны на анализе триллионов сигналов каждый день от Active Directory, учетных записей Майкрософт и игр с Xbox. Этот широкий спектр сигналов помогает защите идентификаторов обнаруживать рискованное поведение, например:
- Использование анонимного IP-адреса
- Атаки с распыления паролем
- Утечка учетных данных
- и многое другое...
Во время каждого входа защита идентификаторов выполняет все обнаружения входа в режиме реального времени, создающие уровень риска сеанса входа, указывающий, насколько вероятно, что вход скомпрометирован. На основе этого уровня риска политики затем применяются для защиты пользователя и организации.
Полный список рисков и их обнаружения см. в статье "Что такое риск".
Исследовать
Все риски, обнаруженные на удостоверении, отслеживаются с помощью отчетов. Защита идентификаторов предоставляет три ключевых отчета администраторам для изучения рисков и принятия мер.
- Обнаружение рисков: каждый обнаруженный риск сообщается как обнаружение рисков.
- Рискованные входы: рискованные входы передаются при наличии одного или нескольких обнаружений рисков, сообщаемых для этого входа.
- Рискованные пользователи: о рискованных пользователях сообщается, если одно или оба из следующих значений имеют значение true:
- У пользователя есть один или несколько рискованных входов.
- Сообщается о одном или нескольких обнаружениях рисков.
Дополнительные сведения об использовании отчетов см. в статье "Практическое руководство. Изучение риска".
Устранение рисков
Почему автоматизация важна для безопасности?
В записи блога Cyber Signals: Защита от кибер-угроз с помощью последних исследований, аналитических сведений и тенденций , датированные 3 февраля 2022 г., Корпорация Майкрософт поделилась кратким отчетом по аналитике угроз, включая следующую статистику:
Проанализированы... 24 трлн сигналов безопасности в сочетании с разведкой мы отслеживаем, отслеживая более 40 национальных групп и более 140 групп угроз...
... С января 2021 по декабрь 2021 года мы заблокировали более 25,6 млрд атак проверки подлинности методом подбора Microsoft Entra...
Масштабы сигналов и атак требуют некоторого уровня автоматизации только для поддержания.
Автоматическое исправление
Политики условного доступа на основе рисков можно включить, чтобы требовать контроль доступа, например предоставление надежной проверки подлинности, выполнение многофакторной проверки подлинности или выполнение безопасного сброса пароля на основе обнаруженного уровня риска. Если пользователь успешно завершает управление доступом, риск автоматически устраняется.
Исправление вручную
Если исправление пользователя не включено, администратор должен вручную просмотреть их в отчетах на портале, через API или в Microsoft 365 Defender. Администраторы могут выполнять действия вручную, чтобы закрыть, подтвердить безопасность или подтвердить компрометацию по рискам.
Использование данных
Данные из защиты идентификаторов можно экспортировать в другие средства для архива, дальнейшего изучения и корреляции. API на основе Microsoft Graph позволяют организациям собирать эти данные для дальнейшей обработки в средстве, например siEM. Сведения о том, как получить доступ к API защиты идентификаторов, см. в статье,Начало работы с Защита идентификации Microsoft Entra и Microsoft Graph
Сведения об интеграции сведений об защите идентификаторов с Microsoft Sentinel см. в статье "Подключение данных из Защита идентификации Microsoft Entra".
Организации могут хранить данные в течение более длительных периодов, изменяя параметры диагностики в идентификаторе Microsoft Entra. Они могут отправлять данные в рабочую область Log Analytics, архивировать данные в учетную запись хранения, передавать данные в Центры событий или отправлять данные в другое решение. Подробные сведения о том, как это сделать, можно найти в статье " Практическое руководство. Экспорт данных риска".
Обязательные роли
Защита идентификаторов требует, чтобы пользователи назначили одну или несколько следующих ролей для доступа.
| Роль | Может сделать | Не удается сделать |
|---|---|---|
| Администратор безопасности | Полный доступ к защите идентификаторов | Сброс пароля для пользователя |
| Оператор безопасности | Просмотр всех отчетов защиты идентификаторов и обзор Отключение риска пользователей, подтверждение безопасного входа, подтверждение компрометации |
Настройка или изменение политик Сброс пароля для пользователя Настройка оповещений |
| Средство чтения безопасности | Просмотр всех отчетов защиты идентификаторов и обзор | Настройка или изменение политик Сброс пароля для пользователя Настройка оповещений Предоставление отзывов об обнаружении |
| Глобальный читатель | Доступ только для чтения к защите идентификаторов | |
| Администратор пользователей | Сброс паролей пользователей |
В настоящее время роль оператора безопасности не может получить доступ к отчету о рискованных входах.
Администраторы условного доступа могут создавать политики, которые учитывают риск входа пользователя или входа в качестве условия. Дополнительные сведения см. в статье "Условный доступ: условия".
Требования к лицензии
Для использования этой функции требуются лицензии Microsoft Entra ID P2. Чтобы найти нужную лицензию для ваших требований, ознакомьтесь с общими доступными функциями идентификатора Microsoft Entra.
| Способность | Подробности | Бесплатный и Приложения Microsoft 365 идентификатора Microsoft Entra | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Политики рисков | Политики риска входа и пользователя (с помощью защиты идентификаторов или условного доступа) | Нет | Нет | Да |
| Отчеты по безопасности | Обзор | Нет | Нет | Да |
| Отчеты по безопасности | Рискованные пользователи | Ограниченная информация. Показаны только пользователи со средним и высоким риском. Нет сведений о ящике или журнале рисков. | Ограниченная информация. Показаны только пользователи со средним и высоким риском. Нет сведений о ящике или журнале рисков. | Полный доступ |
| Отчеты по безопасности | Рискованные входы | Ограниченная информация. Нет сведений о риске или уровне риска. | Ограниченная информация. Нет сведений о риске или уровне риска. | Полный доступ |
| Отчеты по безопасности | Обнаружение рисков | Нет | Ограниченная информация. Нет подробных сведений. | Полный доступ |
| Уведомления | Обнаруженные оповещения пользователей, подверженных риску | Нет | Нет | Да |
| Уведомления | Еженедельный дайджест | Нет | Нет | Да |
| Политика регистрации MFA | Нет | Нет | Да |
Дополнительные сведения об этих богатых отчетах см. в статье " Практическое руководство. Изучение риска".
Чтобы использовать риск идентификации рабочей нагрузки, включая удостоверения рабочей нагрузки и обнаружение удостоверений рабочей нагрузки в области обнаружения рисков в центре администрирования, необходимо иметь лицензирование удостоверений рабочей нагрузки Premium. Дополнительные сведения см. в статье "Защита удостоверений рабочей нагрузки".