Общие сведения о защите идентификации

Защита идентификации позволяет организациям выполнять три основных задачи:

Схема, показывающая концептуальную работу защиты идентификации.

Защита идентификации использует сведения, полученные корпорацией Майкрософт в ходе выполнения обязанностей, в организациях с Azure Active Directory, пространстве пользователей с учетными записями Майкрософт, а также в играх с Xbox, чтобы защитить пользователей. Чтобы обнаружить угрозы и защитить клиентов от таких угроз, корпорация Майкрософт анализирует триллионы сигналов в день.

Сигналы, созданные Защитой идентификации и передаваемые в нее, могут быть далее переданы в такие инструменты, как Условный доступ для принятия решений о доступе, или обратно в средство управления информационной безопасностью и событиями безопасности (SIEM) для дальнейшего расследования.

Почему автоматизация так важна?

В записи блога Cyber Signals: защита от киберугроз с помощью последних исследований, аналитических сведений и тенденций от 3 февраля 2022 г. мы поделились краткой аналитикой угроз, включающей приведенную ниже статистику.

  • Проанализировано ...24 трлн сигналов системы безопасности в сочетании с аналитическими данными, которые мы отслеживаем путем мониторинга более чем 40 национальных групп и более 140 групп угроз...
  • ...С января 2021 г. по декабрь 2021 г. мы заблокировали более 25,6 млрд атак на систему аутентификации методом подбора в Azure AD...

Такой большой масштаб сигналов и атак требует определенного уровня автоматизации, чтобы поддерживать работоспособность.

Обнаружение риска

Защита идентификации выявляет риски многих типов, в том числе указанных ниже.

  • Использование анонимных IP-адресов
  • Необычный переход
  • IP-адрес, который помечен как вредоносный
  • Неизвестные свойства входа
  • Утечка учетных данных
  • Распыление пароля
  • и многое другое...

Сигналы риска могут активировать действия по исправлению, например требовать следующего: выполнить многофакторную проверку подлинности, сбросить пароль с помощью самостоятельного сброса пароля или заблокировать доступ, пока администратор не выполнит нужные действия.

Дополнительные сведения об этих и других рисках, а также их вычислении можно найти в статье Что такое риск.

Анализ риска

Администраторы могут просматривать обнаруженные данные и при необходимости предпринимать действия вручную. Существует три ключевых отчета, которые администраторы используют для расследований в Защите идентификации:

  • Пользователи, выполняющие рискованные действия
  • Вход, представляющий риск
  • Обнаружение рисков

Дополнительные сведения можно найти в статье How To: Investigate risk (Сведения об изучении рисков).

Уровни риска

Защита идентификации разделяет риски на следующие уровни: низкий, средний и высокий.

Корпорация Майкрософт не предоставляет конкретные сведения о том, как вычисляется риск. Каждый уровень риска свидетельствует о более высокой вероятности компрометации пользователя или входа. Например, один экземпляр незнакомых свойств входа пользователя может не нести такую же угрозу, как утечка учетных данных другого пользователя.

Дальнейшее использование сведений о рисках

Данные из службы защиты идентификации можно экспортировать в другие средства для архивации, дальнейшего исследования и сопоставления. Интерфейсы API на основе Microsoft Graph позволяют организациям сохранять эти данные для дальнейшей обработки в таких средствах, как SIEM. Сведения о том, как получить доступ к API защиты идентификации, можно найти в статье Get started with Azure Active Directory Identity Protection and Microsoft Graph (Начало работы с защитой идентификации Azure Active Directory и Microsoft Graph)

Сведения об интеграции сведений для защиты идентификации с помощью Microsoft Sentinel можно найти в статье Подключение данных из службы "Защита идентификации Azure AD".

Организации могут выбрать хранение данных в течение более длительного периода, изменив параметры диагностики в Azure AD. Организации могут отправлять данные в рабочую область Log Analytics, архивировать их в учетной записи хранения, передавать в Центры событий или отправлять в решение партнера. Подробную информацию о том, как это сделать, можно найти в статье Практическое руководство по экспорту данных о рисках.

Требуемые роли

Для доступа к защите идентификации пользователям необходимо иметь роль "Читатель сведений о безопасности", "Оператор безопасности", "Администратор безопасности", "Глобальный читатель" или "Глобальный администратор".

Роль Может Не удается выполнить
глобальный администратор Полный доступ к защите идентификации
Администратор безопасности Полный доступ к защите идентификации Сброс пароля для пользователя
Оператор безопасности Просмотр всех отчетов Защиты идентификации и страницы обзора

Закрытие уведомления о риске для пользователя, подтверждение безопасного входа в систему, подтверждение компрометации.
Настройка или изменение политик

Сброс пароля для пользователя

Настройка оповещений
Читатель сведений о безопасности Просмотр всех отчетов Защиты идентификации и страницы обзора Настройка или изменение политик

Сброс пароля для пользователя

Настройка оповещений

Отправка отзывов о обнаружении
Глобальный читатель Доступ только для чтения к службе защиты идентификации

Сейчас роли "Оператор безопасности" не предоставляется доступ к отчету о рискованных входах.

Администраторы условного доступа могут создавать политики, учитывающие риск пользователя или входа в систему в качестве условия. Дополнительные сведения см. в статье Условный доступ. Риск при входе

Требования лицензий

Для использования этой функции требуются лицензии Azure AD Premium P2. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций Azure AD.

Функция Сведения Azure AD Free/Приложения Microsoft 365 Azure AD Premium P1 Azure AD Premium P2
Политики рисков Политики рисков для входа и пользователей (с помощью защиты идентификации или условного доступа) Нет Нет Да
Отчеты о безопасности Обзор Нет Нет Да
Отчеты о безопасности Пользователи, выполняющие рискованные действия Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует панель с подробными сведениями или журнал рисков. Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует панель с подробными сведениями или журнал рисков. Полный доступ
Отчеты о безопасности Вход, представляющий риск Ограниченные сведения. Панель с подробными сведениями или журнал рисков не отображается. Ограниченные сведения. Панель с подробными сведениями или журнал рисков не отображается. Полный доступ
Отчеты о безопасности Обнаружение рисков Нет Ограниченные сведения. Панель с подробными сведениями отсутствует. Полный доступ
Уведомления Предупреждения об обнаружении пользователей под угрозой Нет Нет Да
Уведомления Еженедельный дайджест Нет Нет Да
Политика регистрации MFA Нет Нет Да

Дополнительные сведения об этих отчетах см. в статье How To: Investigate risk (Сведения об изучении рисков).

Дальнейшие действия