Поделиться через


Что собой представляет защита идентификатора Microsoft Entra

Защита идентификации Microsoft Entra помогает организациям обнаруживать, исследовать и устранять риски, связанные с идентификацией. Эти риски можно передавать в такие средства, как условный доступ, чтобы принимать решения о доступе или отправляться в средство управления сведениями о безопасности и событиями (SIEM) для дальнейшего изучения и корреляции.

Схема, показывающая, как работает защита идентификаторов на высоком уровне.

Обнаружение рисков

Корпорация Майкрософт постоянно добавляет и обновляет обнаружения в нашем каталоге для защиты организаций. Эти обнаружения основаны на анализе триллионов сигналов каждый день от Active Directory, учетных записей Майкрософт и игр с Xbox. Этот широкий спектр сигналов помогает защите идентификаторов обнаруживать рискованное поведение, например:

  • Использование анонимного IP-адреса
  • Атаки с распыления паролем
  • Утечка учетных данных
  • и многое другое...

Во время каждого входа защита идентификаторов выполняет все обнаружения входа в режиме реального времени, создавая уровень риска сеанса входа, указывающий, насколько вероятно, что вход скомпрометирован. На основе этого уровня риска политики применяются для защиты пользователя и организации.

Полный список рисков и их обнаружения см. в статье "Что такое риск".

Исследовать

Все риски, обнаруженные в отношении личности, отслеживаются и документируются в отчетах. Защита идентификаторов предоставляет три ключевых отчета администраторам для изучения рисков и принятия мер.

  • Обнаружение рисков: каждый обнаруженный риск сообщается как обнаружение рисков.
  • Рискованные входы: рискованные входы регистрируются, если для этого входа сообщено об одном или нескольких обнаружениях рисков.
  • Рискованные пользователи: о рискованных пользователях сообщается, если одно или оба из следующих условий выполняются:
    • У пользователя есть один или несколько рискованных входов в систему.
    • Сообщалось об одном или нескольких случаях обнаружения рисков.

Дополнительные сведения об использовании отчетов см. в статье "Практическое руководство. Изучение риска".

Устранение рисков

Автоматизация имеет решающее значение в области безопасности, так как масштаб сигналов и атак требует автоматизации для поддержания работоспособности.

Отчет Microsoft Digital Defense 2024 предоставляет следующую статистику:

78 трлн сигналов безопасности, проанализированных в день, увеличение 13 трлн с предыдущего года

600 миллионов атак на клиентов Майкрософт в день

увеличение в 2,75 раза по сравнению с прошлым годом в атаках программ-вымогателей, управляемых человеком

Эти статистические данные продолжают расти, без признаков замедления. В этой среде автоматизация является ключом для выявления и устранения рисков, чтобы ИТ-организации могли сосредоточиться на правильных приоритетах.

Автоматическое исправление

Политики условного доступа на основе рисков можно включить, чтобы требовать контроль доступа, например предоставление надежной проверки подлинности, выполнение многофакторной проверки подлинности или выполнение безопасного сброса пароля на основе обнаруженного уровня риска. Если пользователь успешно выполняет контроль доступа, риск автоматически устраняется.

Устранение вручную

Если исправление пользователей не включено, администратор должен вручную анализировать пользователей в отчетах на портале, через API или в Microsoft Defender XDR. Администраторы могут выполнять действия вручную, чтобы отклонить, подтвердить безопасность или подтвердить компрометацию в отношении рисков.

Использование данных

Данные из защиты идентификаторов можно экспортировать в другие средства для архива, дальнейшего изучения и корреляции. Интерфейсы API на основе Microsoft Graph позволяют организациям сохранять эти данные для дальнейшей обработки в таких средствах, как SIEM. Сведения о том, как получить доступ к API защиты идентификаторов, см. в статье «Начало работы с защитой идентификации Microsoft Entra и Microsoft Graph».

Сведения о интеграции данных о защите идентификаторов с Microsoft Sentinel можно найти в статье Подключение данных из Microsoft Entra ID Protection.

Организации могут хранить данные в течение более длительных периодов, изменяя параметры диагностики в идентификаторе Microsoft Entra. Они могут отправлять данные в рабочую область Log Analytics, архивировать данные в учетную запись хранения, передавать данные в Центры событий или отправлять данные в другое решение. Подробную информацию о том, как это сделать, можно найти в статье Практическое руководство по экспорту данных о рисках.

Обязательные роли

Защита идентификаторов требует, чтобы пользователям было назначено одно или несколько следующих ролей.

Роль Могу сделать Не могу сделать
Глобальный читатель Доступ только для чтения к защите идентификаторов Запись доступа к защите идентификаторов
Администратор пользователей Сброс паролей пользователей Чтение или запись в защиту идентификации
Администратор условного доступа Создайте политики, которые учитывают риск пользователя или входа как условие Чтение или запись в устаревшие политики защиты идентификаторов
читатель сведений о безопасности; Обзор всех отчетов по защите идентификаторов и общий обзор Настройка или изменение политик

Сброс пароля для пользователя

Настройка оповещений

Отправка отзывов о обнаружении
Оператор безопасности Просмотреть все отчеты по защите идентификаторов и полный обзор

Закрытие уведомления о риске для пользователя, подтверждение безопасного входа в систему, подтверждение компрометации.
Настройка или изменение политик

Сброс пароля для пользователя

Настройка оповещений
администратор безопасности; Полный доступ к защите идентификаторов Сброс пароля для пользователя

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P2. Чтобы найти подходящую лицензию для ваших требований, ознакомьтесь с планами Microsoft Entra и ценами. В следующей таблице описаны основные возможности защиты идентификаторов Microsoft Entra ID и требования к лицензированию для каждой возможности. Дополнительные сведения о ценах см. на странице планов и цен Microsoft Entra.

Возможность Подробно Microsoft Entra ID Free / Приложения Microsoft 365 Microsoft Entra ID P1 Microsoft Entra ID P2 / Microsoft Entra Suite
Политики в отношении рисков Политики риска входа и пользователя (с помощью защиты идентификаторов или условного доступа) Нет Нет Да
Отчеты о безопасности Обзор Нет Нет Да
Отчеты о безопасности Пользователи, выполняющие рискованные действия Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует раздел с подробными сведениями или история рисков. Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует раздел с подробными сведениями или история рисков. Полный доступ
Отчеты о безопасности Рискованные входы Ограниченные сведения. Подробности о рисках или уровень риска не отображаются. Ограниченные сведения. Подробности о рисках или уровень риска не отображаются. Полный доступ
Отчеты о безопасности Обнаружения рисков Нет Ограниченные сведения. Панель с подробными сведениями отсутствует. Полный доступ
Уведомления Предупреждения о выявлении пользователей, находящихся в зоне риска Нет Нет Да
Уведомления Еженедельный дайджест Нет Нет Да
Политика регистрации MFA Требовать многофакторную проверку подлинности (с помощью условного доступа) Нет Нет Да
Microsoft Graph Все отчеты о рисках Нет Нет Да

Чтобы просмотреть отчет о удостоверениях рабочей нагрузки с высоким риском и вкладку Обнаружения удостоверений рабочей нагрузки в отчете об обнаружении рисков, вам требуется лицензия Workload Identities Premium. Для получения дополнительной информации см. Защита идентификаций рабочих нагрузок.

Microsoft Defender

Защита идентификаторов Microsoft Entra получает сигналы от продуктов Microsoft Defender для нескольких обнаружений рисков, поэтому вам также нужна соответствующая лицензия для продукта Microsoft Defender, которому принадлежит интересующий вас сигнал.

Microsoft 365 E5 охватывает все следующие сигналы:

  • Microsoft Defender для облачных приложений

    • Действия, выполняемые с анонимных IP-адресов
    • Невозможное путешествие
    • Массовый доступ к конфиденциальным файлам
    • Новая страна
  • Microsoft Defender для Office 365

    • Подозрительные правила папки "Входящие"
  • Microsoft Defender для конечных устройств

    • Возможная попытка получить доступ к основному маркеру обновления

Следующие шаги