Microsoft Entra ID Protection-instrumentpanel
Microsoft Entra ID Protection förhindrar identitetsintrång genom att identifiera identitetsattacker och rapportera risker. Det gör det möjligt för kunder att skydda sina organisationer genom att övervaka risker, undersöka dem och konfigurera riskbaserade åtkomstprinciper för att skydda känslig åtkomst och åtgärda risker automatiskt.
Vår instrumentpanel hjälper kunderna att bättre analysera sin säkerhetsstatus, förstå hur väl de är skyddade, identifiera sårbarheter och utföra rekommenderade åtgärder.
Den här instrumentpanelen är utformad för att ge organisationer omfattande insikter och användbara rekommendationer som är skräddarsydda för din klientorganisation. Den här informationen ger en bättre överblick över organisationens säkerhetsstatus och gör att du kan aktivera effektivt skydd i enlighet med detta. Du har åtkomst till viktiga mått, attackgrafik, en karta som belyser riskfyllda platser, de främsta rekommendationerna för att förbättra säkerhetsstatusen och de senaste aktiviteterna.
Förutsättningar
För att få åtkomst till den här instrumentpanelen behöver du:
- Microsoft Entra ID Free, Microsoft Entra ID P1 eller Microsoft Entra ID P2-licenser för dina användare.
- Om du vill visa en omfattande lista med rekommendationer och välja de rekommenderade åtgärdslänkarna behöver du Microsoft Entra ID P2-licenser.
Få åtkomst till instrumentpanelen
Du kan komma åt instrumentpanelen genom att:
- Logga in på administrationscentret för Microsoft Entra som minst en säkerhetsläsare.
- Bläddra till instrumentpanelen för skydd>av identitetsskydd.>
Måttkort
När du implementerar fler säkerhetsåtgärder, till exempel riskbaserade principer, stärks klientorganisationens skydd. Därför tillhandahåller vi nu fyra viktiga mått som hjälper dig att förstå effektiviteten hos de säkerhetsåtgärder som du har på plats.
Metric | Måttdefinition | Uppdateringsfrekvens | Var du kan visa information |
---|---|---|---|
Antal blockerade attacker | Antal attacker som blockeras för den här klientorganisationen varje dag. En attack anses blockerad om den riskfyllda inloggningen avbryts av någon åtkomstprincip. Åtkomstkontrollen som krävs av principen bör blockera angriparen från att logga in, vilket blockerar attacken i realtid. |
Var 24:e timme. | Visa de riskidentifieringar som fastställde attackerna i rapporten Riskidentifieringar, filtrera "Risktillstånd" genom att: - Reparerad - Ogillas - Bekräftat kassaskåp |
Antal användare som skyddas | Antal användare i den här klientorganisationen vars risktillstånd ändrades från Risk till Åtgärdad eller Avvisad varje dag. Ett åtgärdat risktillstånd anger att användaren själv åtgärdade sina användarrisker genom att slutföra MFA eller skydda lösenordsändringen, och deras konto skyddas därför. Ett avfärdat risktillstånd indikerar att en administratör avfärdade användarens risk eftersom de identifierade att användarens konto var säkert. |
Var 24:e timme. | Visa användare som skyddas i rapporten Riskfyllda användare och filtrera "Risktillstånd" efter: - Reparerad - Ogillas |
Genomsnittlig tid som användarna tar för att självreparera sina risker | Genomsnittlig tid för risktillståndet för riskfyllda användare i klientorganisationen att ändras från Riskfylld till Åtgärdad. En användares risktillstånd ändras till Åtgärdad när användaren själv åtgärdade sina användarrisker via MFA eller säker lösenordsändring. Om du vill minska självreparationstiden i din klientorganisation distribuerar du riskbaserade principer för villkorsstyrd åtkomst. |
Var 24:e timme. | Visa åtgärdade användare i rapporten Riskfyllda användare och filtrera "Risktillstånd" efter: – Åtgärdat |
Antal nya högriskanvändare som har identifierats | Antal nya riskfyllda användare med hög risknivå som identifieras varje dag. | Var 24:e timme. | Visa högriskanvändare i rapporten Riskfyllda användare, filtrera risknivån efter - "Hög" |
Dataaggregering för följande tre mått startade den 22 juni 2023, så dessa mått är tillgängliga från det datumet. Vi arbetar med att uppdatera diagrammet för att återspegla det.
- Antal blockerade attacker
- Antal användare som skyddas
- Genomsnittlig tid för att åtgärda användarrisker
Graferna ger ett rullande 12-månadersfönster med data.
Attackgrafik
För att hjälpa dig att bättre förstå din riskexponering visar vår attackgrafik vanliga identitetsbaserade attackmönster som identifierats för din klientorganisation. Attackmönstren representeras av MITRE ATT&CK-tekniker och bestäms av våra avancerade riskidentifieringar. Mer information finns i avsnittet Riskidentifieringstyp till MITRE-attacktypmappning.
Vad anses vara en attack i Microsoft Entra ID Protection?
En attack är en händelse där vi identifierar en felaktig aktör som försöker logga in i din miljö. Den här händelsen utlöser en riskidentifiering i realtid som mappas till motsvarande MITRE ATT&CK-teknik. I följande tabell finns mappningen mellan Microsoft Entra ID Protections identifieringar och attacker vid inloggning i realtid enligt mitre ATT&CK-tekniker.
Eftersom attackdiagrammet endast illustrerar inloggningsriskaktivitet i realtid ingår inte riskfylld användaraktivitet . Om du vill visualisera riskfylld användaraktivitet i din miljö kan du gå till rapporten riskfyllda användare.
Hur tolkar man attackgrafiken?
Bilden visar attacktyper som påverkat din klient under de senaste 30 dagarna och om de blockerades under inloggningen. Till vänster ser du volymen för varje attacktyp. Till höger visas antalet blockerade och ännu inte åtgärdade attacker. Diagrammet uppdateras var 24:e timme och räknar identifieringar av riskinloggning som sker i realtid. Därför matchar det totala antalet attacker inte det totala antalet identifieringar.
- Blockerad: En attack klassificeras som blockerad om den associerade riskfyllda inloggningen avbryts av en åtkomstprincip, som att kräva multifaktorautentisering. Den här åtgärden förhindrar angriparens inloggning och blockerar attacken.
- Inte åtgärdad: Lyckade riskfyllda inloggningar som inte avbröts och som behöver åtgärdas. Därför kräver riskidentifieringar som är associerade med dessa riskfyllda inloggningar också reparation. Du kan visa dessa inloggningar och associerade riskidentifieringar i rapporten Riskfyllda inloggningar genom att filtrera med risktillståndet "I riskzonen".
Var kan jag visa attackerna?
Om du vill visa attackinformation kan du välja antalet attacker till vänster i diagrammet. Det här diagrammet tar dig till riskidentifieringsrapporten som filtrerats på den attacktypen.
Du kan gå direkt till riskidentifieringsrapporten och filtrera på attacktyper. Antalet attacker och identifieringar är inte en en-till-en-mappning.
Riskidentifieringstyp till MITRE-attacktypmappning
Identifiering av risk för realtidsinloggning | Identifieringstyp | MITRE ATT&CK-teknikmappning | Visningsnamn för attack | Typ |
---|---|---|---|---|
Avvikande token | Realtid eller offline | T1539 | Stjäla cookie-/tokenstöld för webbsession | Premium |
Obekanta inloggningsegenskaper | Realtid | T1078 | Åtkomst med ett giltigt konto (identifieras vid inloggning) | Premium |
Ip-adress för verifierad hotskådespelare | Realtid | T1078 | Åtkomst med ett giltigt konto (identifieras vid inloggning) | Premium |
Anonym IP-adress | Realtid | T1090 | Fördunkling/åtkomst med hjälp av proxy | Nonpremium |
Microsoft Entra-hotinformation | Realtid eller offline | T1078 | Åtkomst med ett giltigt konto (identifieras vid inloggning) | Nonpremium |
Mappning
En karta tillhandahålls för att visa den geografiska platsen för riskfyllda inloggningar i din klientorganisation. Bubblans storlek återspeglar volymen för riskinloggningarna på den platsen. När du hovrar över bubblan visas en pratbubbla med landsnamnet och antalet riskfyllda inloggningar från den platsen.
Den innehåller följande element:
- Datumintervall: Välj datumintervallet och visa riskfyllda inloggningar inom det tidsintervallet på kartan. Tillgängliga värden är: de senaste 24 timmarna, de senaste sju dagarna och de senaste en månad.
- Risknivå: välj risknivån för de riskfyllda inloggningarna som ska visas. Tillgängliga värden är: Hög, Medel, Låg.
- Antal riskfyllda platser :
- Definition: Antalet platser där klientens riskfyllda inloggningar kom ifrån.
- Filtret för datumintervall och risknivå gäller för det här antalet.
- Om du väljer det här antalet kommer du till rapporten Riskfyllda inloggningar som filtrerats efter det valda datumintervallet och risknivån.
- Antal riskfyllda inloggningar :
- Definition: Antalet totala riskfyllda inloggningar med den valda risknivån i det valda datumintervallet.
- Filtret för datumintervall och risknivå gäller för det här antalet.
- Om du väljer det här antalet kommer du till rapporten Riskfyllda inloggningar som filtrerats efter det valda datumintervallet och risknivån.
Rekommendationer
Microsoft Entra ID Protection-rekommendationer hjälper kunder att konfigurera sin miljö för att öka sin säkerhetsstatus. Dessa rekommendationer baseras på de attacker som identifierats i din klientorganisation under de senaste 30 dagarna. Rekommendationerna ges för att vägleda säkerhetspersonalen med rekommenderade åtgärder att vidta.
Vanliga attacker som visas, till exempel lösenordsspray, läckta autentiseringsuppgifter i din klientorganisation och massåtkomst till känsliga filer kan informera dig om att det fanns ett potentiellt intrång. I föregående skärmbild identifierade exemplet Identity Protection minst 20 användare med läckta autentiseringsuppgifter i din klientorganisation . Den rekommenderade åtgärden i det här fallet är att skapa en princip för villkorsstyrd åtkomst som kräver säker lösenordsåterställning för riskfyllda användare.
I rekommendationskomponenten på vår instrumentpanel ser kunderna:
- Upp till tre rekommendationer om specifika attacker inträffar i klientorganisationen.
- Insikt i effekten av attacken.
- Direktlänkar för att vidta lämpliga åtgärder för reparation.
Kunder med P2-licenser kan visa en omfattande lista med rekommendationer som ger insikter om åtgärder. När "Visa alla" har valts öppnas en panel som visar fler rekommendationer som utlöstes baserat på attackerna i deras miljö.
Senaste aktiviteter
Senaste aktivitet innehåller en sammanfattning av de senaste riskrelaterade aktiviteterna i din klientorganisation. Möjliga aktivitetstyper är:
- Attackaktivitet
- Reparationsaktivitet för administratörer
- Självreparationsaktivitet
- Nya högriskanvändare
Kända problem
Beroende på klientorganisationens konfiguration kanske det inte finns rekommendationer eller senaste aktiviteter på instrumentpanelen.