Dela via


Arbetsbok för riskanalys för identitetsskydd

Microsoft Entra ID Protection identifierar, åtgärdar och förhindrar komprometterade identiteter. Som IT-administratör vill du förstå risktrender i dina organisationer och möjligheter till bättre principkonfiguration. Med arbetsboken Identity Protection Risky Analysis kan du svara på vanliga frågor om implementeringen av Identity Protection.

Den här artikeln ger dig en översikt över arbetsboken Identity Protection Risk Analysis .

Förutsättningar

Om du vill använda Azure-arbetsböcker för Microsoft Entra-ID behöver du:

  • En Microsoft Entra-klientorganisation med en Premium P1-licens
  • En Log Analytics-arbetsyta och åtkomst till den arbetsytan
  • Lämpliga roller för Azure Monitor och Microsoft Entra ID

Log Analytics-arbetsyta

Du måste skapa en Log Analytics-arbetsyta innan du kan använda Microsoft Entra-arbetsböcker. flera faktorer avgör åtkomsten till Log Analytics-arbetsytor. Du behöver rätt roller för arbetsytan och de resurser som skickar data.

Mer information finns i Hantera åtkomst till Log Analytics-arbetsytor.

Azure Monitor-roller

Azure Monitor innehåller två inbyggda roller för att visa övervakningsdata och redigera övervakningsinställningar. Rollbaserad åtkomstkontroll i Azure (RBAC) innehåller också två inbyggda Log Analytics-roller som ger liknande åtkomst.

  • Vy:

    • Övervakningsläsare
    • Log Analytics Reader
  • Visa och ändra inställningar:

    • Övervakningsdeltagare
    • Log Analytics Contributor

Microsoft Entra-roller

Med skrivskyddad åtkomst kan du visa Microsoft Entra ID-loggdata i en arbetsbok, fråga efter data från Log Analytics eller läsa loggar i administrationscentret för Microsoft Entra. Uppdateringsåtkomst ger möjlighet att skapa och redigera diagnostikinställningar för att skicka Microsoft Entra-data till en Log Analytics-arbetsyta.

  • Read (läs):

    • Rapportläsare
    • Säkerhetsläsare
    • Global läsare
  • Uppdatering:

    • Säkerhetsadministratör

Mer information om inbyggda Microsoft Entra-roller finns i Inbyggda Microsoft Entra-roller.

Mer information om RBAC-rollerna för Log Analytics finns i Inbyggda Azure-roller.

beskrivning

Arbetsbokskategori

Som IT-administratör måste du förstå trender i identitetsrisker och luckor i dina principimplementeringar för att säkerställa att du skyddar dina organisationer mot identitetskompromisser på bästa sätt. Arbetsboken för riskanalys för identitetsskydd hjälper dig att analysera risktillståndet i din organisation.

Den här arbetsboken:

  • Tillhandahåller visualiseringar av var i världen risken identifieras.
  • Gör att du kan förstå trender i realtid jämfört med offlineriskidentifieringar.
  • Ger insikt i hur effektiv du är på att svara på riskfyllda användare.

Så här kommer du åt arbetsboken

  1. Logga in på administrationscentret för Microsoft Entra med lämplig kombination av roller.

  2. Bläddra till Identitetsövervakning>och hälsoarbetsböcker.>

  3. Välj arbetsboken Identity Protection Risk Analysis i avsnittet Användning.

Arbetsboksavsnitt

Den här arbetsboken har fem avsnitt:

  • Värmekarta över riskidentifieringar
  • Offline- eller realtidsriskidentifieringar
  • Trender för riskidentifiering
  • Riskfyllda användare
  • Sammanfattning

Filter

Den här arbetsboken stöder inställning av ett tidsintervallfilter.

Ange tidsintervallfilter

Det finns fler filter i avsnitten riskidentifieringstrender och riskfyllda användare.

Trender för riskidentifiering:

  • Tidstyp för identifiering (realtid eller offline)
  • Risknivå (låg, medel, hög eller ingen)

Riskfyllda användare:

  • Riskinformation (som anger vad som ändrade en användares risknivå)
  • Risknivå (låg, medel, hög eller ingen)

Bästa praxis

  • Aktivera riskfyllda inloggningsprinciper – Om du vill fråga efter multifaktorautentisering (MFA) på medelhög risk eller högre. Aktivering av principen minskar andelen aktiva realtidsriskidentifieringar genom att tillåta legitima användare att självreparera riskidentifieringarna med MFA.

  • Aktivera en riskfylld användarprincip – För att göra det möjligt för användare att på ett säkert sätt åtgärda sina konton när de anses vara högrisk. Om du aktiverar principen minskar antalet aktiva riskanvändare i din organisation genom att användarens autentiseringsuppgifter återgår till ett säkert tillstånd.

  • Mer information om identitetsskydd finns i Vad är identitetsskydd.

  • Mer information om Microsoft Entra-arbetsböcker finns i Använda Microsoft Entra-arbetsböcker.