Microsoft Entra ID Protection-dashboard

  • Artikel

Microsoft Entra ID Protection voorkomt inbreuk op identiteiten door identiteitsaanvallen te detecteren en risico's te melden. Hiermee kunnen klanten hun organisaties beschermen door risico's te bewaken, te onderzoeken en op risico's gebaseerde toegangsbeleid te configureren om gevoelige toegang te beveiligen en risico's automatisch op te lossen.

Ons dashboard helpt klanten hun beveiligingspostuur beter te analyseren, te begrijpen hoe goed ze zijn beveiligd, beveiligingsproblemen te identificeren en aanbevolen acties uit te voeren.

Schermopname van het overzichtsdashboard van Microsoft Entra ID Protection.

Dit dashboard is ontworpen om organisaties te voorzien van uitgebreide inzichten en bruikbare aanbevelingen die zijn afgestemd op uw tenant. Deze informatie biedt een beter inzicht in het beveiligingspostuur van uw organisatie en stelt u in staat om effectieve beveiligingen dienovereenkomstig in te schakelen. U hebt toegang tot belangrijke metrische gegevens, aanvalsafbeeldingen, een kaart die riskante locaties markeert, de belangrijkste aanbevelingen om de beveiligingspostuur en recente activiteiten te verbeteren.

Vereisten

Voor toegang tot dit dashboard hebt u het volgende nodig:

  • Microsoft Entra ID Free of Microsoft Entra ID P1, of Microsoft Entra ID P2-licenties voor uw gebruikers.
  • Als u een uitgebreide lijst met aanbevelingen wilt bekijken en de aanbevolen actiekoppelingen wilt selecteren, hebt u Microsoft Entra ID P2-licenties nodig.

Het dashboard openen

U hebt als volgende toegang tot het dashboard:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beveiligingslezer.
  2. Blader naar het dashboard Protection>Identity Protection.>

Metrische kaarten

Naarmate u meer beveiligingsmaatregelen implementeert, zoals beleid op basis van risico's, wordt de beveiliging van uw tenant versterkt. We bieden nu vier belangrijke metrische gegevens om u te helpen inzicht te krijgen in de effectiviteit van de beveiligingsmaatregelen die u hebt geïmplementeerd.

Schermopname van de metrische grafieken in het dashboard.

Metric Metrische definitie Vernieuwingsfrequentie Waar kunt u details weergeven
Aantal geblokkeerde aanvallen Het aantal aanvallen dat op elke dag voor deze tenant is geblokkeerd.

Een aanval wordt als geblokkeerd beschouwd als de riskante aanmelding wordt onderbroken door een toegangsbeleid. Het toegangsbeheer dat door het beleid is vereist, moet verhinderen dat de aanvaller zich aanmeldt, waardoor de aanval in realtime wordt geblokkeerd.		 Om de 24 uur. Bekijk de risicodetecties die de aanvallen in het rapport Risicodetecties hebben bepaald, filter 'Risicostatus' op:

- Hersteld
- Ontslagen
-** Bevestigd veilig**
Aantal gebruikers dat is beveiligd Aantal gebruikers in deze tenant waarvan de risicostatus is gewijzigd van Risico in Hersteld of Gesloten op elke dag.

Een herstelde risicostatus geeft aan dat de gebruiker zelf het gebruikersrisico heeft hersteld door MFA of veilige wachtwoordwijziging te voltooien en dat het account daarom wordt beveiligd.

Met de status Gesloten risico wordt aangegeven dat een beheerder het risico van de gebruiker heeft gesloten omdat het account van de gebruiker is geïdentificeerd om veilig te zijn.		 Om de 24 uur. Bekijk gebruikers die zijn beveiligd in het rapport Riskante gebruikers, filter 'Risicostatus' op:

- Hersteld
- Ontslagen
Gemiddelde tijd die uw gebruikers nemen om hun risico's zelf op te lossen Gemiddelde tijd voor de risicostatus van riskante gebruikers in uw tenant om over te schakelen van Risico in Opgelost.

De risicostatus van een gebruiker wordt gewijzigd in Hersteld wanneer hij of zij zelf het risico van de gebruiker heeft hersteld door middel van MFA of een veilige wachtwoordwijziging.

Als u de zelfhersteltijd in uw tenant wilt verminderen, implementeert u beleid voor voorwaardelijke toegang op basis van risico's.		 Om de 24 uur. Bekijk herstelde gebruikers in het rapport Riskante gebruikers, filter 'Risicostatus' op:

- Hersteld
Aantal nieuwe gebruikers met een hoog risico gedetecteerd Aantal nieuwe riskante gebruikers met risiconiveau Hoog gedetecteerd op elke dag. Om de 24 uur. Gebruikers met een hoog risico weergeven in het rapport Riskante gebruikers, risiconiveau filteren op

- "Hoog"

Gegevensaggregatie voor de volgende drie metrische gegevens is gestart op 22 juni 2023, zodat deze metrische gegevens beschikbaar zijn vanaf die datum. We werken aan het bijwerken van de grafiek om dat weer te geven.

  • Aantal geblokkeerde aanvallen
  • Aantal gebruikers dat is beveiligd
  • Gemiddelde tijd voor het oplossen van gebruikersrisico's

De grafieken bieden een doorlopend venster van 12 maanden met gegevens.

Aanvalsafbeelding

Om u beter inzicht te geven in uw risicoblootstelling, introduceren we een innovatieve aanvalsafbeelding die algemene aanvalspatronen op basis van identiteiten weergeeft die zijn gedetecteerd voor uw tenant. De aanvalspatronen worden vertegenwoordigd door MITRE ATT&CK-technieken en worden bepaald door onze geavanceerde risicodetecties. Zie de sectie Risicodetectietype toewijzen aan MITRE-aanvalstype voor meer informatie.

Schermopname van de afbeelding van de aanval in het dashboard.

Wat wordt beschouwd als een aanval in Microsoft Entra ID Protection?

Een aanval is een gebeurtenis waarbij we een slechte actor detecteren die zich probeert aan te melden bij uw omgeving. Met deze gebeurtenis wordt een realtime detectie van aanmeldingsrisico's geactiveerd die is toegewezen aan een bijbehorende MITRE ATT&CK-techniek. Raadpleeg de volgende tabel voor de toewijzing tussen de realtime aanmeldingsrisicodetecties en -aanvallen van Microsoft Entra ID Protection, zoals gecategoriseerd door MITRE ATT&CK-technieken.

Omdat de aanvalsgrafiek alleen realtime-aanmeldingsrisicoactiviteit illustreert, is riskante gebruikersactiviteit niet opgenomen. Als u riskante gebruikersactiviteiten in uw omgeving wilt visualiseren, gaat u naar het rapport riskante gebruikers.

Hoe kan ik de aanvalsafbeelding interpreteren?

De afbeelding bevat aanvalstypen die de afgelopen 30 dagen van invloed waren op uw tenant en of ze tijdens het aanmelden zijn geblokkeerd. Aan de linkerkant ziet u het volume van elk aanvalstype. Aan de rechterkant worden de aantallen geblokkeerde en nog te herstellen aanvallen weergegeven. De grafiek wordt elke 24 uur bijgewerkt en telt detecties van risico-aanmeldingen die in realtime plaatsvinden; Daarom komt het totale aantal aanvallen niet overeen met het totale aantal detecties.

  • Geblokkeerd: een aanval wordt geclassificeerd als geblokkeerd als de bijbehorende riskante aanmelding wordt onderbroken door een toegangsbeleid, zoals het vereisen van meervoudige verificatie. Deze actie voorkomt dat de aanvaller zich aanmeldt en blokkeert de aanval.
  • Niet hersteld: geslaagde riskante aanmeldingen die niet zijn onderbroken en waarvoor herstel nodig is. Daarom moeten risicodetecties die zijn gekoppeld aan deze riskante aanmeldingen ook herstel vereisen. U kunt deze aanmeldingen en de bijbehorende risicodetecties bekijken in het rapport Riskante aanmeldingen door te filteren op de risicostatus 'Risico'.

Waar kan ik de aanvallen bekijken?

Als u details van aanvallen wilt bekijken, kunt u het aantal aanvallen aan de linkerkant van de grafiek selecteren. In deze grafiek gaat u naar het rapport over risicodetecties dat is gefilterd op dat aanvalstype.

U kunt rechtstreeks naar het rapport risicodetecties gaan en filteren op aanvalstypen. Het aantal aanvallen en detecties is niet een op één toewijzing.

Type risicodetectie voor toewijzing van MITRE-aanvalstypen

Detectie van realtime aanmeldingsrisico's Detectietype Toewijzing van MITRE ATT&CK-technieken Weergavenaam van aanval Type
Afwijkend token Realtime of offline T1539 Cookie/tokendiefstal van websessies stelen Premium
Onbekende aanmeldingseigenschappen Real-time T1078 Toegang met een geldig account (gedetecteerd bij aanmelden) Premium
Ip-adres van geverifieerde bedreigingsacteur Real-time T1078 Toegang met een geldig account (gedetecteerd bij aanmelden) Premium
Anoniem IP-adres Real-time T1090 Obfuscation/Access using proxy Niet-premium
Bedreigingsinformatie van Microsoft Entra Realtime of offline T1078 Toegang met een geldig account (gedetecteerd bij aanmelden) Niet-premium

Overzicht

Er wordt een kaart opgegeven om de geografische locatie van de riskante aanmeldingen in uw tenant weer te geven. De grootte van de bel weerspiegelt het volume van de risico-aanmeldingen op die locatie. Als u de muisaanwijzer boven de bel beweegt, ziet u een bijschriftvak, waarbij u de landnaam en het aantal riskante aanmeldingen vanaf die locatie opgeeft.

Schermopname van de kaartafbeelding in het dashboard.

Het bevat de volgende elementen:

  • Datumbereik: kies het datumbereik en bekijk riskante aanmeldingen binnen dat tijdsbereik op de kaart. Beschikbare waarden zijn: afgelopen 24 uur, afgelopen zeven dagen en afgelopen één maand.
  • Risiconiveau: kies het risiconiveau van de riskante aanmeldingen om weer te geven. Beschikbare waarden zijn: Hoog, Gemiddeld, Laag.
  • Aantal riskante locaties :
    • Definitie: Het aantal locaties van waaruit de riskante aanmeldingen van uw tenant afkomstig waren.
    • Het datumbereik en het filter op risiconiveau zijn van toepassing op dit aantal.
    • Als u dit aantal selecteert, gaat u naar het rapport Riskante aanmeldingen, gefilterd op het geselecteerde datumbereik en het risiconiveau.
  • Aantal riskante aanmeldingen :
    • Definitie: Het aantal totale riskante aanmeldingen met het geselecteerde risiconiveau in het geselecteerde datumbereik.
    • Het datumbereik en het filter op risiconiveau zijn van toepassing op dit aantal.
    • Als u dit aantal selecteert, gaat u naar het rapport Riskante aanmeldingen, gefilterd op het geselecteerde datumbereik en het risiconiveau.

Aanbevelingen

Aanbevelingen voor Microsoft Entra ID Protection helpen klanten bij het configureren van hun omgeving om hun beveiligingspostuur te verhogen. Deze Aanbevelingen zijn gebaseerd op de aanvallen die in de afgelopen 30 dagen in uw tenant zijn gedetecteerd. De aanbevelingen worden gegeven om uw beveiligingspersoneel te begeleiden bij aanbevolen acties die moeten worden ondernomen.

Schermopname met aanbevelingen in het dashboard.

Veelvoorkomende aanvallen die worden gezien, zoals wachtwoordspray, gelekte referenties in uw tenant en massatoegang tot gevoelige bestanden, kunnen u informeren dat er een mogelijke inbreuk is opgetreden. In de vorige schermopname is in het voorbeeld Identity Protection ten minste 20 gebruikers gedetecteerd met gelekte referenties in uw tenant . In dit geval wordt aanbevolen om een beleid voor voorwaardelijke toegang te maken dat veilige wachtwoordherstel vereist voor riskante gebruikers.

In het onderdeel aanbevelingen op ons dashboard zien klanten:

  • Maximaal drie aanbevelingen als er specifieke aanvallen plaatsvinden in hun tenant.
  • Inzicht in de impact van de aanval.
  • Directe koppelingen om passende acties te ondernemen voor herstel.

Klanten met P2-licenties kunnen een uitgebreide lijst met aanbevelingen bekijken die inzicht bieden in acties. Wanneer Alles weergeven is geselecteerd, wordt er een deelvenster geopend met meer aanbevelingen die zijn geactiveerd op basis van de aanvallen in hun omgeving.

Recente activiteiten

Recente activiteit biedt een overzicht van recente risicogerelateerde activiteiten in uw tenant. Mogelijke activiteitstypen zijn:

  1. Aanvalsactiviteit
  2. Beheer herstelactiviteit
  3. Zelfherstelactiviteit
  4. Nieuwe gebruikers met een hoog risico

Schermopname van recente activiteiten in het dashboard.

Bekende problemen

Afhankelijk van de configuratie van uw tenant zijn er mogelijk geen aanbevelingen of recente activiteiten op uw dashboard.

Gerelateerde inhoud