Vad är Identity Protection?

Identity Protection använder de lärdomar som Microsoft har förvärvat från sin position i organisationer med Azure Active Directory, konsumentutrymmet med Microsoft-konton och i spel med Xbox för att skydda dina användare. Microsoft analyserar biljoner signaler per dag för att identifiera och skydda kunder mot hot. Med Identity Protection kan organisationer utföra tre viktiga uppgifter:

De signaler som genereras av och matas till Identity Protection kan matas in ytterligare i verktyg som villkorsstyrd åtkomst för att fatta åtkomstbeslut eller matas tillbaka till ett SIEM-verktyg (säkerhetsinformation och händelsehantering) för vidare undersökning.

Varför är automatisering viktigt?

I blogginlägget Cyber Signals: Defending against cyber threats with the latest research, insights, and trends dated February 3, 2022 we shared a threat intelligence brief including the following statistics:

  • Analyseras... 24 biljoner säkerhetssignaler i kombination med underrättelser vi spårar genom att övervaka mer än 40 nationalstatsgrupper och över 140 hotgrupper...
  • ... Från januari 2021 till december 2021 har vi blockerat mer än 25,6 miljarder Azure AD råstyrkeautentiseringsattacker...

Den stora skalan av signaler och attacker kräver en viss automatiseringsnivå för att kunna hänga med.

Identifiera risk

Identity Protection identifierar risker av många typer, inklusive:

  • Användning av anonym IP-adress
  • Ovanlig resa
  • Länkad IP-adress för skadlig kod
  • Obekanta inloggningsegenskaper
  • Läckta autentiseringsuppgifter
  • Lösenordsspray
  • med flera...

Risksignalerna kan utlösa reparationsåtgärder som att kräva: utföra multifaktorautentisering, återställa sina lösenord med självbetjäning av lösenordsåterställning eller blockera åtkomst tills en administratör vidtar åtgärder.

Mer information om dessa och andra risker, inklusive hur eller när de beräknas, finns i artikeln Vad är risk.

Undersöka risk

Administratörer kan granska identifierade händelser och vidta manuella åtgärder om det behövs. Det finns tre viktiga rapporter som administratörer använder för undersökningar i Identity Protection:

  • Riskfyllda användare
  • Riskfyllda inloggningar
  • Riskidentifieringar

Mer information finns i artikeln How To: Investigate risk (Så här gör du: Undersöka risker).

Risknivåer

Identity Protection kategoriserar risker i nivåer: låg, medel och hög.

Microsoft tillhandahåller inte specifik information om hur risken beräknas. Varje risknivå ger högre förtroende för att användaren eller inloggningen komprometteras. Till exempel kanske något som liknar en instans av okända inloggningsegenskaper för en användare kanske inte är lika hotfullt som läckta autentiseringsuppgifter för en annan användare.

Använd riskinformationen ytterligare

Data från Identity Protection kan exporteras till andra verktyg för arkivering och vidare undersökning och korrelation. Med Microsoft Graph-baserade API:er kan organisationer samla in dessa data för vidare bearbetning i ett verktyg som siem. Information om hur du kommer åt Identity Protection-API:et finns i artikeln Komma igång med Azure Active Directory Identity Protection och Microsoft Graph

Information om integrering av Identity Protection-information med Microsoft Sentinel finns i artikeln Anslut data från Azure AD Identity Protection.

Organisationer kan välja att lagra data under längre perioder genom att ändra diagnostikinställningarna i Azure AD. De kan välja att skicka data till en Log Analytics-arbetsyta, arkivera data till ett lagringskonto, strömma data till Event Hubs eller skicka data till en partnerlösning. Detaljerad information om hur du gör det finns i artikeln Så här: Exportera riskdata.

Nödvändiga roller

Identity Protection kräver att användarna är säkerhetsläsare, säkerhetsoperatör, säkerhetsadministratör, global läsare eller global administratör för att få åtkomst.

Roll Kan göra Det går inte att göra
Global administratör Fullständig åtkomst till Identity Protection
Säkerhetsadministratör Fullständig åtkomst till Identity Protection Återställa lösenord för en användare
Säkerhetsoperatör Visa alla Identity Protection-rapporter och översikt

Stäng användarrisk, bekräfta säker inloggning, bekräfta komprometterande
Konfigurera eller ändra principer

Återställa lösenord för en användare

Konfigurera varningar
Säkerhetsläsare Visa alla Identity Protection-rapporter och översikt Konfigurera eller ändra principer

Återställa lösenord för en användare

Konfigurera varningar

Ge feedback om identifieringar
Global läsare Skrivskyddad åtkomst till Identity Protection

För närvarande kan rollen Säkerhetsoperatör inte komma åt rapporten riskfyllda inloggningar.

Administratörer för villkorsstyrd åtkomst kan skapa principer som beaktar användar- eller inloggningsrisker som ett villkor. Mer information finns i artikeln Villkorsstyrd åtkomst: Villkor.

Licenskrav

Användning av den här funktionen kräver Azure AD Premium P2 licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Azure AD.

Funktion Information Azure AD Free/Microsoft 365-applikationer Azure AD Premium P1 Azure AD Premium P2
Riskprinciper Användarriskprincip (via Identity Protection) Inga Inga Ja
Riskprinciper Inloggningsriskprincip (via identitetsskydd eller villkorsstyrd åtkomst) Inga Inga Ja
Säkerhetsrapporter Översikt Inga Inga Ja
Säkerhetsrapporter Riskfyllda användare Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. Fullständig åtkomst
Säkerhetsrapporter Riskfyllda inloggningar Begränsad information. Ingen riskinformation eller risknivå visas. Begränsad information. Ingen riskinformation eller risknivå visas. Fullständig åtkomst
Säkerhetsrapporter Riskidentifieringar Inga Begränsad information. Ingen informationslåda. Fullständig åtkomst
Meddelanden Identifierade aviseringar för riskanvändare Inga Inga Ja
Meddelanden Veckosammandrag Inga Inga Ja
Registreringsprincip för multifaktorautentisering Inga Inga Ja

Mer information om dessa omfattande rapporter finns i artikeln How To: Investigate risk (Så här gör du: Undersöka risker).

Nästa steg