Vad är Identity Protection?
Med Identity Protection kan organisationer utföra tre viktiga uppgifter:
- Automatisera identifiering och reparation av identitetsbaserade risker.
- Undersöka risker med data i portalen.
- Exportera riskidentifieringsdata till andra verktyg.
Identity Protection använder de lärdomar som Microsoft har förvärvat från sin position i organisationer med Azure Active Directory, konsumentutrymmet med Microsoft-konton och i spel med Xbox för att skydda dina användare. Microsoft analyserar biljoner signaler per dag för att identifiera och skydda kunder mot hot.
De signaler som genereras av och matas till Identity Protection kan matas in ytterligare i verktyg som villkorsstyrd åtkomst för att fatta åtkomstbeslut eller matas tillbaka till ett SIEM-verktyg (säkerhetsinformation och händelsehantering) för vidare undersökning.
Varför är automatisering viktigt?
I blogginlägget Cyber Signals: Defending against cyber threats with the latest research, insights, and trends dated February 3, 2022 we shared a threat intelligence brief including the following statistics:
- Analyseras... 24 biljoner säkerhetssignaler i kombination med underrättelser vi spårar genom att övervaka mer än 40 nationalstatsgrupper och över 140 hotgrupper...
- ... Från januari 2021 till december 2021 har vi blockerat mer än 25,6 miljarder Azure AD råstyrkeautentiseringsattacker...
Den stora skalan av signaler och attacker kräver en viss automatiseringsnivå för att kunna hänga med.
Identifiera risk
Identity Protection identifierar risker av många typer, inklusive:
- Användning av anonym IP-adress
- Ovanlig resa
- Länkad IP-adress för skadlig kod
- Obekanta inloggningsegenskaper
- Läckta autentiseringsuppgifter
- Lösenordsspray
- med flera...
Risksignalerna kan utlösa reparationsåtgärder som att kräva: utföra multifaktorautentisering, återställa sina lösenord med självbetjäning av lösenordsåterställning eller blockera åtkomst tills en administratör vidtar åtgärder.
Mer information om dessa och andra risker, inklusive hur eller när de beräknas, finns i artikeln Vad är risk.
Undersöka risk
Administratörer kan granska identifierade händelser och vidta manuella åtgärder om det behövs. Det finns tre viktiga rapporter som administratörer använder för undersökningar i Identity Protection:
- Riskfyllda användare
- Riskfyllda inloggningar
- Riskidentifieringar
Mer information finns i artikeln How To: Investigate risk (Så här gör du: Undersöka risker).
Risknivåer
Identity Protection kategoriserar risker i nivåer: låg, medel och hög.
Microsoft tillhandahåller inte specifik information om hur risken beräknas. Varje risknivå ger högre förtroende för att användaren eller inloggningen komprometteras. Till exempel kanske något som liknar en instans av okända inloggningsegenskaper för en användare kanske inte är lika hotfullt som läckta autentiseringsuppgifter för en annan användare.
Använd riskinformationen ytterligare
Data från Identity Protection kan exporteras till andra verktyg för arkivering och vidare undersökning och korrelation. Med Microsoft Graph-baserade API:er kan organisationer samla in dessa data för vidare bearbetning i ett verktyg som siem. Information om hur du kommer åt Identity Protection-API:et finns i artikeln Komma igång med Azure Active Directory Identity Protection och Microsoft Graph
Information om integrering av Identity Protection-information med Microsoft Sentinel finns i artikeln Anslut data från Azure AD Identity Protection.
Organisationer kan välja att lagra data under längre perioder genom att ändra diagnostikinställningarna i Azure AD. De kan välja att skicka data till en Log Analytics-arbetsyta, arkivera data till ett lagringskonto, strömma data till Event Hubs eller skicka data till en partnerlösning. Detaljerad information om hur du gör det finns i artikeln Så här: Exportera riskdata.
Nödvändiga roller
Identity Protection kräver att användarna är säkerhetsläsare, säkerhetsoperatör, säkerhetsadministratör, global läsare eller global administratör för att få åtkomst.
| Roll | Kan göra | Det går inte att göra |
|---|---|---|
| Global administratör | Fullständig åtkomst till Identity Protection | |
| Säkerhetsadministratör | Fullständig åtkomst till Identity Protection | Återställa lösenord för en användare |
| Säkerhetsoperatör | Visa alla Identity Protection-rapporter och översikt Stäng användarrisk, bekräfta säker inloggning, bekräfta komprometterande |
Konfigurera eller ändra principer Återställa lösenord för en användare Konfigurera varningar |
| Säkerhetsläsare | Visa alla Identity Protection-rapporter och översikt | Konfigurera eller ändra principer Återställa lösenord för en användare Konfigurera varningar Ge feedback om identifieringar |
| Global läsare | Skrivskyddad åtkomst till Identity Protection |
För närvarande kan rollen Säkerhetsoperatör inte komma åt rapporten riskfyllda inloggningar.
Administratörer för villkorsstyrd åtkomst kan skapa principer som beaktar användar- eller inloggningsrisker som ett villkor. Mer information finns i artikeln Villkorsstyrd åtkomst: Villkor.
Licenskrav
Användning av den här funktionen kräver Azure AD Premium P2 licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Azure AD.
| Funktion | Information | Azure AD Free/Microsoft 365-applikationer | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| Riskprinciper | Principer för inloggning och användarrisk (via identitetsskydd eller villkorsstyrd åtkomst) | Nej | Nej | Ja |
| Säkerhetsrapporter | Översikt | Nej | Nej | Ja |
| Säkerhetsrapporter | Riskfyllda användare | Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. | Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. | Fullständig åtkomst |
| Säkerhetsrapporter | Riskfyllda inloggningar | Begränsad information. Ingen riskinformation eller risknivå visas. | Begränsad information. Ingen riskinformation eller risknivå visas. | Fullständig åtkomst |
| Säkerhetsrapporter | Riskidentifieringar | No | Begränsad information. Ingen informationslåda. | Fullständig åtkomst |
| Meddelanden | Identifierade aviseringar för riskanvändare | Nej | Nej | Ja |
| Meddelanden | Veckosammandrag | Nej | Nej | Ja |
| Registreringsprincip för multifaktorautentisering | Nej | Nej | Ja |
Mer information om dessa omfattande rapporter finns i artikeln How To: Investigate risk (Så här gör du: Undersöka risker).