Обзор Защита идентификации Microsoft Entra
Защита идентификации Microsoft Entra помогает автоматически обнаруживать, устранять и исследовать риски на основе удостоверений для вашей организации.
Ваша организация розничной торговли заботится о своей репутации. Ранее скомпрометированные удостоверения позволили злоумышленникам мошенническим образом получить сведения о клиентах. Эти атаки негативно отразились на репутации организации и, в конечном итоге, на ее рентабельности. Ваш руководитель попросил изучить возможность применения Защиты идентификации в качестве решения. Вам было предложено представить отчет о том, что делает служба и как она используется.
В этом уроке вы узнаете, что такое защита идентификации и риски, связанные с его использованием. Вы изучите различные рабочие процессы, которые можно использовать в службе защиты идентификации для защиты удостоверений.
Что собой представляет защита идентификатора Microsoft Entra
Защита идентификации — это решение, встроенное в Microsoft Entra, предназначенное для защиты удостоверений с помощью трех частей процесса.
Специалисты вашей организации хорошо разбираются в розничной торговле, а не в защите идентификации. Организация стремится сосредоточиться на том, что умеет делать хорошо, но при этом обеспечив защиту от рисков, связанных с удостоверениями. Ваша организация может использовать Защиту идентификации для автоматизации обнаружения, исследования и устранения рисков, связанных с удостоверениями пользователей, отказавшись от найма дорогостоящих экспертов по безопасности.
Что такое риски?
Риски классифицируются двумя способами: как риски пользователей и риски входа. Мы можем описать риски пользователей как действия, которые пользователи принимают после входа, а также риски входа в качестве подозрительных действий и действий пользователей при входе.
Риск пользователя
Риск пользователей возникает при компрометации учетной записи или удостоверения пользователя. Риски пользователей могут включать следующее:
| Риск | Description |
|---|---|
| Необычное поведение | В этой учетной записи наблюдается необычная активность, либо схемы использования похожи на схемы, которые эксперты и системы Майкрософт определили как атаки. |
| Утечка учетных данных | Возможно, произошла утечка учетных данных пользователя. Например, корпорация Майкрософт могла обнаружить в темном Интернете список полученных в результате утечки учетных данных, что может затронуть ваши учетные записи пользователей. |
Риск при входе
Здесь защита идентификации проверяет каждый запрос проверки подлинности, чтобы судить о том, авторизован ли он владельцем удостоверения. Риски при входе могут включать следующее:
| Риск | Description |
|---|---|
| Необычные свойства входа | Защита идентификации запоминает и изучает журнал входа конкретного пользователя. Например, если вход выполняется из необычного для этого пользователя расположения, активируется обнаружение риска. |
| Необычное перемещение | Например, если два или более входов выполняются из удаленных друга от друга расположений за нереалистично короткий период времени, активируется обнаружение риска. |
| IP-адрес, связанный с вредоносным ПО | Например, если известно, что IP-адрес, в котором создается вход, находится в контакте с активным сервером бота, возникает обнаружение рисков. |
| Анонимный IP-адрес | Например, вход выполняется с анонимного IP-адреса. Так как злоумышленники могут использовать эти сведения для скрытия их реального IP-адреса или расположения, возникает обнаружение рисков. |
рабочий процесс Защита идентификации Microsoft Entra
Существует два разных способа обнаружения и обработки рисков, связанных с удостоверениями: рабочий процесс для самостоятельного устранения и рабочий процесс для устранения администратором.
Рабочий процесс для самостоятельного устранения
Для автоматического обнаружения угроз и реагирования на них Защита идентификации использует политики риска. Вы можете настроить политику риска, чтобы решить, как вы хотите, чтобы защита идентификации реагировала на определенный тип риска. Затем вы выберете действие, с помощью чего пользователю будет предложено завершить работу. Действие может быть принудительным применением многофакторной проверки подлинности или самостоятельным сбросом пароля. Такое использование политик придает уверенность и экономит время.
В этом рабочем процессе администратор сначала настраивает политики риска, которые затем отслеживают риски, связанные с удостоверениями. При обнаружении риска политики инициируют меры для его устранения. Например, политика может предложить пользователю сбросить пароль в ответ на обнаруженный риск. Когда пользователь сбрасывает пароль, риск устраняется.
Рабочий процесс для устранения администратором
Кроме того, администраторы могут решить, как следует устранить риск при обнаружении политик риска. Этот тип рабочего процесса устранения помогает принимать более продуманные решения. Администратор понимает контекст, в котором были обнаружены риски.
В этом рабочем процессе администратор настраивает политики рисков. Затем эти политики применяются для отслеживания рисков, связанных с удостоверениями. Уведомление администратора о рисках осуществляется в формате отчета. Администратор просматривает подробный отчет и принимает соответствующие меры для устранения рисков. Например, администратор может решить, что вход в систему является безопасным, и принять риск.