Этот браузер больше не поддерживается.
Выполните обновление до Microsoft Edge, чтобы воспользоваться новейшими функциями, обновлениями для системы безопасности и технической поддержкой.
Защита идентификации Microsoft Entra помогает организациям обнаруживать, исследовать и устранять риски, связанные с идентификацией. Эти риски можно передавать в такие средства, как условный доступ, чтобы принимать решения о доступе или отправляться в средство управления сведениями о безопасности и событиями (SIEM) для дальнейшего изучения и корреляции.
Корпорация Майкрософт постоянно добавляет и обновляет обнаружения в нашем каталоге для защиты организаций. Эти обнаружения основаны на анализе триллионов сигналов каждый день от Active Directory, учетных записей Майкрософт и игр с Xbox. Этот широкий спектр сигналов помогает защите идентификаторов обнаруживать рискованное поведение, например:
Во время каждого входа защита идентификаторов выполняет все обнаружения входа в режиме реального времени, создавая уровень риска сеанса входа, указывающий, насколько вероятно, что вход скомпрометирован. На основе этого уровня риска политики применяются для защиты пользователя и организации.
Полный список рисков и их обнаружения см. в статье "Что такое риск".
Все риски, обнаруженные в отношении идентификации, отслеживаются с помощью отчетов. Защита идентификаторов предоставляет три ключевых отчета администраторам для изучения рисков и принятия мер.
Дополнительные сведения об использовании отчетов см. в статье "Практическое руководство. Изучение риска".
Почему автоматизация важна для безопасности?
В записи блога Cyber Signals: защита от кибер-угроз с помощью последних исследований, аналитических сведений и тенденций, от 3 февраля 2022 года, Корпорация Майкрософт поделилась кратким отчетом по аналитике угроз, включая следующую статистику:
Проанализировано ...24 трлн сигналов системы безопасности в сочетании с аналитическими данными, которые мы отслеживаем путем мониторинга более чем 40 национальных групп и более 140 групп угроз...
... С января 2021 по декабрь 2021 года мы заблокировали более 25,6 млрд атак методом грубой силы Microsoft Entra...
Масштаб сигналов и атак требует автоматизации.
Политики условного доступа на основе рисков можно включить, чтобы требовать контроль доступа, например предоставление надежной проверки подлинности, выполнение многофакторной проверки подлинности или выполнение безопасного сброса пароля на основе обнаруженного уровня риска. Если пользователь успешно выполняет контроль доступа, риск автоматически устраняется.
Если исправление пользователя не включено, администратор должен вручную просмотреть их в отчетах на портале, через API или в Microsoft 365 Defender. Администраторы могут выполнять действия вручную, чтобы отклонить, подтвердить безопасность или подтвердить угрозу в отношении рисков.
Данные из защиты идентификаторов можно экспортировать в другие средства для архива, дальнейшего изучения и корреляции. Интерфейсы API на основе Microsoft Graph позволяют организациям сохранять эти данные для дальнейшей обработки в таких средствах, как SIEM. Сведения о том, как получить доступ к API защиты идентификаторов, см. в статье «Начало работы с защитой идентификации Microsoft Entra и Microsoft Graph».
Сведения о интеграции данных о защите идентификаторов с Microsoft Sentinel можно найти в статье Подключение данных из Microsoft Entra ID Protection.
Организации могут хранить данные в течение более длительных периодов, изменяя параметры диагностики в идентификаторе Microsoft Entra. Они могут отправлять данные в рабочую область Log Analytics, архивировать данные в учетную запись хранения, передавать данные в Центры событий или отправлять данные в другое решение. Подробную информацию о том, как это сделать, можно найти в статье Практическое руководство по экспорту данных о рисках.
Защита идентификаторов требует, чтобы пользователям было назначено одно или несколько следующих ролей.
| Роль | Могу сделать | Не могу сделать |
|---|---|---|
| администратор безопасности; | Полный доступ к защите идентификаторов | Сброс пароля для пользователя |
| Оператор безопасности | Просмотреть все отчеты по защите идентификаторов и полный обзор Закрытие уведомления о риске для пользователя, подтверждение безопасного входа в систему, подтверждение компрометации. |
Настройка или изменение политик Сброс пароля для пользователя Настройка оповещений |
| читатель сведений о безопасности; | Обзор всех отчетов по защите идентификаторов и общий обзор | Настройка или изменение политик Сброс пароля для пользователя Настройка оповещений Отправка отзывов о обнаружении |
| Глобальный читатель | Доступ только для чтения к защите идентификаторов | |
| Администратор пользователей | Сброс паролей пользователей |
Сейчас роли "Оператор безопасности" не предоставляется доступ к отчету о рискованных входах.
Администраторы условного доступа могут создавать политики, которые учитывают риск для пользователя или риск входа как условие. Дополнительные сведения см. в статье "Условный доступ: условия".
Для использования этой функции требуются лицензии Microsoft Entra ID P2. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.
| Возможность | Подробно | Microsoft Entra ID Free / Приложения Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Политики в отношении рисков | Политики риска входа и пользователя (с помощью защиты идентификаторов или условного доступа) | Нет | Нет | Да |
| Отчеты о безопасности | Обзор | Нет | Нет | Да |
| Отчеты о безопасности | Пользователи, выполняющие рискованные действия | Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует раздел с подробными сведениями или история рисков. | Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует панель подробностей или история рисков. | Полный доступ |
| Отчеты о безопасности | Рискованные входы | Ограниченные сведения. Подробности о рисках или уровень риска не отображаются. | Ограниченные сведения. Подробности о рисках или уровень риска не отображаются. | Полный доступ |
| Отчеты о безопасности | Обнаружения рисков | Нет | Ограниченные сведения. Панель с подробными сведениями отсутствует. | Полный доступ |
| Уведомления | Предупреждения об обнаружении пользователей, находящихся под угрозой | Нет | Нет | Да |
| Уведомления | Еженедельный дайджест | Нет | Нет | Да |
| Политика регистрации с многофакторной аутентификацией (MFA) | Нет | Нет | Да |
Дополнительные сведения об этих богатых отчетах см. в статье " Практическое руководство. Изучение риска".
Чтобы использовать риск идентификации рабочей нагрузки, включая удостоверения удостоверений и удостоверений рабочей нагрузки, на вкладке обнаружения рисков в центре администрирования, требуется лицензирование удостоверений рабочей нагрузки Premium. Дополнительные сведения см. в статье "Защита удостоверений рабочей нагрузки".
Обучение
Модуль
Examine Microsoft Entra ID Protection - Training
This module examines how Azure Identity Protection provides organizations the same protection systems used by Microsoft to secure identities. MS-102
Сертификация
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Продемонстрировать функции идентификатора Microsoft Entra для модернизации решений удостоверений, реализации гибридных решений и реализации управления удостоверениями.