Vad är Microsoft Entra ID Protection?
Microsoft Entra ID Protection hjälper organisationer att identifiera, undersöka och åtgärda identitetsbaserade risker. Dessa identitetsbaserade risker kan ytterligare matas in i verktyg som villkorsstyrd åtkomst för att fatta åtkomstbeslut eller matas tillbaka till ett siem-verktyg (säkerhetsinformation och händelsehantering) för ytterligare undersökning och korrelation.
Identifiera risker
Microsoft lägger kontinuerligt till och uppdaterar identifieringar i vår katalog för att skydda organisationer. Dessa identifieringar kommer från våra lärdomar baserat på analys av biljoner signaler varje dag från Active Directory, Microsoft-konton och spel med Xbox. Det här breda utbudet av signaler hjälper ID Protection att identifiera riskfyllda beteenden som:
- Användning av anonym IP-adress
- Lösenordssprayattacker
- Läckta autentiseringsuppgifter
- och mer...
Under varje inloggning kör ID Protection alla identifieringar av inloggning i realtid som genererar en risknivå för inloggningssessioner, vilket anger hur sannolikt inloggningen är komprometterad. Baserat på den här risknivån tillämpas sedan principer för att skydda användaren och organisationen.
En fullständig lista över risker och hur de identifieras finns i artikeln Vad är risk.
Utreda
Eventuella risker som identifieras på en identitet spåras med rapportering. ID Protection innehåller tre viktiga rapporter för administratörer för att undersöka risker och vidta åtgärder:
- Riskidentifieringar: Varje identifierad risk rapporteras som en riskidentifiering.
- Riskfyllda inloggningar: En riskfylld inloggning rapporteras när en eller flera riskidentifieringar rapporteras för den inloggningen.
- Riskfyllda användare: En riskfylld användare rapporteras när något av eller båda av följande är sanna:
- Användaren har en eller flera riskfyllda inloggningar.
- En eller flera riskidentifieringar rapporteras.
Mer information om hur du använder rapporterna finns i artikeln Så här: Undersöka risker.
Åtgärda risker
Varför är automatisering kritiskt i säkerheten?
I blogginlägget Cyber Signals: Defending against cyber threats with the latest research, insights, and trends dated February 3, 2022 Microsoft shared a threat intelligence brief including the following statistics:
Analyserade... 24 biljoner säkerhetssignaler i kombination med underrättelser vi spårar genom att övervaka mer än 40 nationalstatsgrupper och över 140 hotgrupper...
... Från januari 2021 till december 2021 har vi blockerat mer än 25,6 miljarder Microsoft Entra brute force-autentiseringsattacker...
Den stora skalan av signaler och attacker kräver en viss automatiseringsnivå bara för att hänga med.
Automatisk reparation
Riskbaserade principer för villkorsstyrd åtkomst kan aktiveras för att kräva åtkomstkontroller, till exempel tillhandahålla en stark autentiseringsmetod, utföra multifaktorautentisering eller utföra en säker lösenordsåterställning baserat på den identifierade risknivån. Om användaren har slutfört åtkomstkontrollen åtgärdas risken automatiskt.
Manuell reparation
När användarreparation inte är aktiverat måste en administratör manuellt granska dem i rapporterna i portalen, via API:et eller i Microsoft 365 Defender. Administratörer kan utföra manuella åtgärder för att stänga, bekräfta säkerhetsrisken eller bekräfta att riskerna har komprometterats.
Använda data
Data från ID Protection kan exporteras till andra verktyg för arkivering, ytterligare undersökning och korrelation. Med Microsoft Graph-baserade API:er kan organisationer samla in dessa data för vidare bearbetning i ett verktyg som deras SIEM. Information om hur du kommer åt ID Protection-API:et finns i artikeln Kom igång med Microsoft Entra ID Protection och Microsoft Graph
Information om hur du integrerar ID Protection-information med Microsoft Sentinel finns i artikeln Anslut data från Microsoft Entra ID Protection.
Organisationer kan lagra data under längre perioder genom att ändra diagnostikinställningarna i Microsoft Entra-ID. De kan välja att skicka data till en Log Analytics-arbetsyta, arkivera data till ett lagringskonto, strömma data till Event Hubs eller skicka data till en annan lösning. Detaljerad information om hur du gör det finns i artikeln Så här: Exportera riskdata.
Nödvändiga roller
ID Protection kräver att användare tilldelas en eller flera av följande roller för att få åtkomst.
| Roll | Kan göra | Det går inte att göra |
|---|---|---|
| Säkerhetsadministratör | Fullständig åtkomst till ID Protection | Återställa lösenord för en användare |
| Säkerhetsoperator | Visa alla ID Protection-rapporter och översikt Stäng användarrisken, bekräfta säker inloggning, bekräfta kompromissen |
Konfigurera eller ändra principer Återställa lösenord för en användare Konfigurera aviseringar |
| Säkerhetsläsare | Visa alla ID Protection-rapporter och översikt | Konfigurera eller ändra principer Återställa lösenord för en användare Konfigurera aviseringar Ge feedback om identifieringar |
| Global läsare | Skrivskyddad åtkomst till ID Protection | |
| Användaradministratör | Återställa användarlösenord |
För närvarande kan rollen Säkerhetsoperatör inte komma åt rapporten Riskfyllda inloggningar.
Administratörer för villkorsstyrd åtkomst kan skapa principer som räknar in användar- eller inloggningsrisker som ett villkor. Mer information finns i artikeln Villkorsstyrd åtkomst: Villkor.
Licenskrav
För att använda den här funktionen krävs Microsoft Entra ID P2-licenser. Information om hur du hittar rätt licens för dina krav finns i Jämför allmänt tillgängliga funktioner i Microsoft Entra-ID.
| Förmåga | Detaljer | Kostnadsfritt Microsoft Entra-ID/Microsoft 365-applikationer | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Riskprinciper | Principer för inloggning och användarrisk (via ID-skydd eller villkorsstyrd åtkomst) | Nej | Nej | Ja |
| Säkerhetsrapporter | Överblick | Nej | Nej | Ja |
| Säkerhetsrapporter | Riskfyllda användare | Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. | Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. | Fullständig åtkomst |
| Säkerhetsrapporter | Riskfyllda inloggningar | Begränsad information. Ingen riskinformation eller risknivå visas. | Begränsad information. Ingen riskinformation eller risknivå visas. | Fullständig åtkomst |
| Säkerhetsrapporter | Riskidentifieringar | Nej | Begränsad information. Ingen informationslåda. | Fullständig åtkomst |
| Meddelanden | Riskfyllda användare har upptäckt aviseringar | Nej | Nej | Ja |
| Meddelanden | Veckosammandrag | Nej | Nej | Ja |
| MFA-registreringsprincip | Nej | Nej | Ja |
Mer information om dessa omfattande rapporter finns i artikeln How To: Investigate risk (Så här gör du: Undersöka risker).
Om du vill använda arbetsbelastningsidentitetsrisker, inklusive fliken Riskfyllda arbetsbelastningsidentiteter och identifieringar av arbetsbelastningsidentiteter i fönstret Riskidentifieringar i administrationscentret, måste du ha Premium-licensiering för arbetsbelastningsidentiteter. Mer information finns i artikeln Skydda arbetsbelastningsidentiteter.