Co to jest ochrona tożsamości?

Usługa Identity Protection wykorzystuje wiedzę uzyskaną przez firmę Microsoft od swojej pozycji w organizacjach za pomocą usługi Azure Active Directory, przestrzeni konsumenckiej z kontami Microsoft oraz w grach z konsolą Xbox w celu ochrony użytkowników. Firma Microsoft analizuje biliony sygnałów dziennie, aby identyfikować i chronić klientów przed zagrożeniami. Usługa Identity Protection umożliwia organizacjom wykonywanie trzech kluczowych zadań:

Sygnały generowane przez usługę Identity Protection i przekazywane do usługi Identity Protection mogą być dalej przekazywane do narzędzi, takich jak dostęp warunkowy w celu podejmowania decyzji dotyczących dostępu, lub przekazywane z powrotem do narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) w celu dalszej analizy.

Dlaczego automatyzacja jest ważna?

We wpisie w blogu Cyber Signals: Defending against cyber threats with the latest research, insights, and trends dated 3 lutego 2022 r. udostępniliśmy krótki wywiad przed zagrożeniami, w tym następujące statystyki:

  • Analizowane... 24 bilionów sygnałów bezpieczeństwa w połączeniu z analizą śledzoną przez monitorowanie ponad 40 grup państwowych i ponad 140 grup zagrożeń...
  • ... Od stycznia 2021 r. do grudnia 2021 r. zablokowaliśmy ponad 25,6 miliarda Azure AD ataków siłowych...

Sama skala sygnałów i ataków wymaga pewnego poziomu automatyzacji, aby móc nadążyć.

Wykrywanie ryzyka

Usługa Identity Protection wykrywa zagrożenia wielu typów, w tym:

  • Używanie anonimowego adresu IP
  • Nietypowa podróż
  • Połączony adres IP złośliwego oprogramowania
  • Nieznane właściwości logowania
  • Ujawnione poświadczenia
  • Spray haseł
  • i nie tylko...

Sygnały ryzyka mogą wyzwalać działania korygujące, takie jak wymaganie: wykonywanie uwierzytelniania wieloskładnikowego, resetowanie hasła przy użyciu samoobsługowego resetowania hasła lub blokowanie dostępu do czasu podjęcia działań przez administratora.

Więcej szczegółowych informacji na temat tych i innych czynników ryzyka, w tym sposób lub czas ich obliczania, można znaleźć w artykule What is risk (Co to jest ryzyko).

Badanie ryzyka

Administratorzy mogą przeglądać wykrycia i w razie potrzeby ręcznie podejmować wymagane działania. Istnieją trzy kluczowe raporty, których administratorzy używają do badania w usłudze Identity Protection:

  • Ryzykowni użytkownicy
  • Ryzykowne logowania
  • Wykrycia ryzyka

Więcej informacji można znaleźć w artykule How To: Investigate risk (Instrukcje: badanie ryzyka).

Poziomy ryzyka

Usługa Identity Protection kategoryzuje ryzyko na warstwy: niskie, średnie i wysokie.

Firma Microsoft nie udostępnia szczegółowych informacji o sposobie obliczania ryzyka. Każdy poziom ryzyka zapewnia większą pewność, że bezpieczeństwo użytkownika lub logowania zostało naruszone. Na przykład coś takiego jak jedno wystąpienie nieznanych właściwości logowania dla użytkownika może nie być tak groźne, jak wyciekły poświadczenia dla innego użytkownika.

Dalsze wykorzystanie informacji o ryzyku

Dane z usługi Identity Protection można eksportować do innych narzędzi do archiwizowania i dalszego badania i korelacji. Interfejsy API oparte na programie Microsoft Graph umożliwiają organizacjom zbieranie tych danych w celu dalszego przetwarzania w narzędziu, takim jak rozwiązanie SIEM. Informacje na temat uzyskiwania dostępu do interfejsu API usługi Identity Protection można znaleźć w artykule Wprowadzenie do usługi Azure Active Directory Identity Protection i programu Microsoft Graph

Informacje o integracji usługi Identity Protection z usługą Microsoft Sentinel można znaleźć w artykule Connect data from Azure AD Identity Protection (Łączenie danych z usługi Azure AD Identity Protection).

Organizacje mogą zdecydować się na przechowywanie danych przez dłuższy czas, zmieniając ustawienia diagnostyczne w Azure AD. Mogą oni wysyłać dane do obszaru roboczego usługi Log Analytics, archiwizować dane na koncie magazynu, przesyłać strumieniowo dane do usługi Event Hubs lub wysyłać dane do rozwiązania partnerskiego. Szczegółowe informacje o tym, jak to zrobić, można znaleźć w artykule How To: Export risk data (Instrukcje: eksportowanie danych o ryzyku).

Wymagane role

Usługa Identity Protection wymaga od użytkowników czytelnika zabezpieczeń, operatora zabezpieczeń, administratora zabezpieczeń, czytelnika globalnego lub administratora globalnego w celu uzyskania dostępu.

Rola Może to zrobić Nie można wykonać
Administrator globalny Pełny dostęp do usługi Identity Protection
Administrator zabezpieczeń Pełny dostęp do usługi Identity Protection Resetowanie hasła użytkownika
Operator zabezpieczeń Wyświetlanie wszystkich raportów i przeglądów usługi Identity Protection

Odrzucanie ryzyka związanego z użytkownikiem, potwierdzanie bezpiecznego logowania, potwierdzanie naruszenia zabezpieczeń
Konfigurowanie lub zmienianie zasad

Resetowanie hasła użytkownika

Konfigurowanie alertów
Czytelnik zabezpieczeń Wyświetlanie wszystkich raportów i przeglądów usługi Identity Protection Konfigurowanie lub zmienianie zasad

Resetowanie hasła użytkownika

Konfigurowanie alertów

Prześlij opinię na temat wykrywania
Czytelnik globalny Dostęp tylko do odczytu do usługi Identity Protection

Obecnie rola Operator zabezpieczeń nie może uzyskać dostępu do raportu Ryzykowne logowania.

Administratorzy dostępu warunkowego mogą tworzyć zasady, które są czynnikiem ryzyka związanego z użytkownikiem lub logowaniem jako warunek. Więcej informacji można znaleźć w artykule Dostęp warunkowy: warunki.

Wymagania licencyjne

Korzystanie z tej funkcji wymaga Azure AD — wersja Premium P2 licencji. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Azure Ad.

Możliwość Szczegóły Azure AD — wersja Bezpłatna/Aplikacje Microsoft 365 Usługa Azure AD — wersja Premium P1 Usługa Azure AD — wersja Premium P2
Zasady ryzyka Zasady ryzyka związanego z użytkownikiem (za pośrednictwem usługi Identity Protection) Nie Nie Tak
Zasady ryzyka Zasady ryzyka logowania (za pośrednictwem usługi Identity Protection lub dostępu warunkowego) Nie Nie Tak
Raporty dotyczące zabezpieczeń Omówienie Nie Nie Tak
Raporty dotyczące zabezpieczeń Ryzykowni użytkownicy Ograniczone informacje. Wyświetlane są tylko użytkownicy o średnim i wysokim ryzyku. Brak szuflady szczegółów ani historii ryzyka. Ograniczone informacje. Wyświetlane są tylko użytkownicy o średnim i wysokim ryzyku. Brak szuflady szczegółów ani historii ryzyka. Dostęp pełny
Raporty dotyczące zabezpieczeń Ryzykowne logowania Ograniczone informacje. Nie są wyświetlane żadne szczegóły ryzyka ani poziom ryzyka. Ograniczone informacje. Nie są wyświetlane żadne szczegóły ryzyka ani poziom ryzyka. Dostęp pełny
Raporty dotyczące zabezpieczeń Wykrycia ryzyka Nie Ograniczone informacje. Brak szuflady szczegółów. Dostęp pełny
Powiadomienia Wykryte alerty dla użytkowników Nie Nie Tak
Powiadomienia Cotygodniowy skrót Nie Nie Tak
Zasady rejestracji uwierzytelniania wieloskładnikowego Nie Nie Tak

Więcej informacji na temat tych bogatych raportów można znaleźć w artykule How To: Investigate risk (Instrukcje: badanie ryzyka).

Następne kroki