Реагирование на угрозы идентификации с помощью сводные данные о рискованных пользователях
Внимание
Информация в этой статье относится к программе раннего доступа Microsoft Security Copilot, которая представляет собой платную программу предварительной версии, доступную только по приглашению. Некоторая информация в этой статье относится к предварительно выпущенному продукту, который может быть существенно изменен до его коммерческого выпуска. Microsoft не дает никаких гарантий, явных или подразумеваемых, в отношении информации, представленной в этой статье.
Защита идентификации Microsoft Entra применяет возможности Microsoft Copilot для Microsoft Entra, чтобы суммировать уровень риска пользователя, предоставить аналитические сведения, относящиеся к инциденту, и предоставить рекомендации по быстрому устранению рисков. Исследование рисков идентификации является важным шагом для защиты организации. Copilot для Microsoft Entra помогает сократить время разрешения, предоставив ИТ-администраторам и аналитикам центра безопасности (SOC) правильный контекст для исследования и устранения рисков идентификации и инцидентов на основе удостоверений. Сводные данные о рискованных пользователях предоставляют администраторам и респондентам быстрый доступ к наиболее важной информации в контексте для помощи в их расследовании.
Быстро реагировать на угрозы идентификации:
- Сводка по рискам: сводка по естественному языку, почему уровень риска пользователя был повышен.
- Рекомендации: получите рекомендации по устранению и реагированию на эти типы атак с краткими ссылками на справку и документацию.
В этой статье описывается, как получить доступ к возможности сводных данных о рискованных пользователях защиты идентификации и Copilot для Microsoft Entra. Для использования этой функции требуются лицензии Microsoft Entra ID P2.
Изучение поведения пользователей, совершающих рискованные действия
Чтобы просмотреть и исследовать рискованных пользователей, выполните приведенные ниже действия.
Войдите в Центр администрирования Microsoft Entra как минимум средство чтения безопасности.
Перейдите к разделу "Защита идентификации">, а затем в отчет о рискованных пользователях.
Выберите пользователя из отчета о рискованных пользователях.
В окне " Сведения о рискованных пользователях" отображаются сведения в сводке.
Сводка о рискованных пользователях содержит три раздела:
- Сводка по Copilot: сводка по естественному языку, почему защита идентификаторов помечает пользователя на риск.
- Что делать: перечислены следующие шаги для расследования этого инцидента и предотвращения будущих инцидентов.
- Справка и документация: список ресурсов для справки и документации.
В этом примере рекомендуемые исправления:
- Создайте политики условного доступа на основе риска входа и на основе рисков пользователей.
Рекомендуемая справка и документация:
- Что такое риск в защите идентификаторов?
- Сборники схем реагирования на инциденты
- Политики доступа на основе рисков
Следующие шаги
- Узнайте больше о рискованных пользователях.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по