Kimlik Koruması nedir?
Microsoft Entra Kimlik Koruması kuruluşların kimlik tabanlı riskleri algılamasını, araştırmasını ve düzeltmesini sağlar. Bu kimlik tabanlı riskler, erişim kararları almak için Koşullu Erişim gibi araçlara aktarılabilir veya daha fazla araştırma ve bağıntı için bir güvenlik bilgileri ve olay yönetimi (SIEM) aracına geri beslenebilir.
Riskleri algıla
Microsoft, kuruluşları korumak için kataloğumuzda algılamaları sürekli olarak ekler ve güncelleştirir. Bu algılamalar, Active Directory, Microsoft Hesapları ve Xbox ile oyun oynarken her gün trilyonlarca sinyalin analizini temel alan öğrenmelerimizden gelir. Bu çok çeşitli sinyaller, Kimlik Koruması'nın aşağıdaki gibi riskli davranışları algılamasını sağlar:
- Anonim IP adresi kullanımı
- Parola spreyi saldırıları
- Sızdırılan kimlik bilgileri
- ve daha fazlası...
Kimlik Koruması, her oturum açma sırasında, oturum açma risk düzeyi oluşturarak tüm gerçek zamanlı oturum açma algılamalarını çalıştırır ve bu da oturum açma güvenliğinin ne kadar tehlikeye girildiğini gösterir. Bu risk düzeyine bağlı olarak, kullanıcıyı ve kuruluşu korumak için ilkeler uygulanır.
Risklerin tam listesi ve bunların nasıl algılandıkları için Risk nedir? makalesine bakın.
Araştır
Kimlikte algılanan riskler raporlama ile izlenir. Kimlik Koruması, yöneticilerin riskleri araştırması ve eylem gerçekleştirmesi için üç önemli rapor sağlar:
- Risk algılamaları: Algılanan her risk, risk algılama olarak bildirilir.
- Riskli oturum açma işlemleri: Bu oturum açma için bildirilen bir veya daha fazla risk algılaması olduğunda riskli bir oturum açma bildirilir.
- Riskli kullanıcılar: Aşağıdakilerden biri veya her ikisi de doğru olduğunda Riskli kullanıcı bildirilir:
- Kullanıcının bir veya daha fazla Riskli oturum açması var.
- Bir veya daha fazla risk algılaması bildirilir.
Raporları kullanma hakkında daha fazla bilgi için Nasıl Yapılır: Riski araştırma makalesine bakın.
Riskleri giderme
Otomasyon neden güvenlik açısından kritik öneme sahiptir?
Siber Sinyaller: 3 Şubat 2022 tarihli en son araştırma, içgörü ve eğilimlerle siber tehditlere karşı savunma blog gönderisinde Microsoft, aşağıdaki istatistikleri içeren bir tehdit bilgileri özeti paylaştı:
Analiz... 40'tan fazla ulus-devlet grubunu ve 140'tan fazla tehdit grubunu izleyerek izlediğimiz istihbaratla birlikte 24 trilyon güvenlik sinyali...
... Ocak 2021'den Aralık 2021'e kadar 25,6 milyardan fazla Microsoft Entra deneme yanılma kimlik doğrulaması saldırılarını engelledik...
Sinyallerin ve saldırıların büyük ölçeği, yalnızca ayak uydurmak için bir düzeyde otomasyon gerektirir.
Otomatik düzeltme
Risk tabanlı Koşullu Erişim ilkeleri , güçlü bir kimlik doğrulama yöntemi sağlama, çok faktörlü kimlik doğrulaması gerçekleştirme veya algılanan risk düzeyine göre güvenli bir parola sıfırlama gerçekleştirme gibi erişim denetimleri gerektirecek şekilde etkinleştirilebilir. Kullanıcı erişim denetimini başarıyla tamamlarsa risk otomatik olarak düzeltilir.
El ile düzeltme
Kullanıcı düzeltme etkinleştirilmediğinde, yöneticinin bunları portaldaki raporlarda, API aracılığıyla veya Microsoft 365 Defender'da el ile gözden geçirmesi gerekir. Yönetici istrator'lar risklerin güvenliğini kapatmak, onaylamak veya risklerden ödün vermek için el ile eylemler gerçekleştirebilir.
Verileri kullanma
Kimlik Koruması'ndan alınan veriler arşivleme, daha fazla araştırma ve bağıntı için diğer araçlara aktarılabilir. Microsoft Graph tabanlı API'ler, kuruluşların SIEM'leri gibi bir araçta daha fazla işlem yapmak için bu verileri toplamasına olanak sağlar. Kimlik Koruması API'sine erişme hakkındaki bilgileri Microsoft Entra Kimlik Koruması kullanmaya başlama ve Microsoft Graph makalesinde bulabilirsiniz
Kimlik Koruması bilgilerini Microsoft Sentinel ile tümleştirme hakkındaki bilgileri, Microsoft Entra Kimlik Koruması verileri Bağlan makalesinde bulabilirsiniz.
Kuruluşlar, Microsoft Entra Id'deki tanılama ayarlarını değiştirerek verileri daha uzun süreler boyunca depolayabilir. Log Analytics çalışma alanına veri göndermeyi, verileri depolama hesabına arşivlemeyi, Event Hubs'a veri akışı yapmayı veya başka bir çözüme veri göndermeyi seçebilir. Bunun nasıl yapılacağının ayrıntılı bilgileri Nasıl Yapılır: Risk verilerini dışarı aktarma makalesinde bulabilirsiniz.
Gerekli roller
Kimlik Koruması, erişim için kullanıcılara aşağıdaki rollerden birinin atanması gerekir.
| Role | Bunu yapabilir | Yapılamaz |
|---|---|---|
| Güvenlik Yöneticisi | Kimlik Koruması'na tam erişim | Kullanıcının parolasını sıfırlama |
| Güvenlik İşleci | Tüm Kimlik Koruması raporlarını görüntüleme ve Genel Bakış Kullanıcı riskini kapatma, güvenli oturum açmayı onaylama, güvenliğin aşılmasına onay verme |
İlkeleri yapılandırma veya değiştirme Kullanıcının parolasını sıfırlama Uyarıları yapılandırma |
| Güvenlik Okuyucusu | Tüm Kimlik Koruması raporlarını görüntüleme ve Genel Bakış | İlkeleri yapılandırma veya değiştirme Kullanıcının parolasını sıfırlama Uyarıları yapılandırma Algılamalar hakkında geri bildirimde bulunmak |
| Genel Okuyucu | Kimlik Koruması'na salt okunur erişim | |
| Genel Yönetici | Kimlik Koruması'na tam erişim |
Şu anda Güvenlik operatörü rolü Riskli oturum açma işlemleri raporuna erişemiyor.
Koşullu Erişim yöneticileri, kullanıcı veya oturum açma riskini bir koşul olarak dikkate alan ilkeler oluşturabilir. Koşullu Erişim: Koşullar makalesinde daha fazla bilgi bulabilirsiniz.
Lisans gereksinimleri
Bu özelliği kullanmak için Microsoft Entra ID P2 lisansları gerekir. Gereksinimlerinize uygun lisansı bulmak için bkz. Microsoft Entra Kimliğin genel olarak sağlanan özelliklerini karşılaştırma.
| Yetenek | Ayrıntılar | Microsoft Entra ID Ücretsiz / Microsoft 365 Uygulamaları | Microsoft Entra Kimliği P1 | Microsoft Entra Kimliği P2 |
|---|---|---|---|---|
| Risk ilkeleri | Oturum açma ve kullanıcı riski ilkeleri (Kimlik Koruması veya Koşullu Erişim aracılığıyla) | Hayır | Hayır | Evet |
| Güvenlik raporları | Genel bakış | Hayır | Hayır | Evet |
| Güvenlik raporları | Riskli kullanıcılar | Sınırlı Bilgi. Yalnızca orta ve yüksek riskli kullanıcılar gösterilir. Ayrıntı çekmecesi veya risk geçmişi yok. | Sınırlı Bilgi. Yalnızca orta ve yüksek riskli kullanıcılar gösterilir. Ayrıntı çekmecesi veya risk geçmişi yok. | Tam erişim |
| Güvenlik raporları | Riskli oturum açma işlemleri | Sınırlı Bilgi. Hiçbir risk ayrıntısı veya risk düzeyi gösterilmez. | Sınırlı Bilgi. Hiçbir risk ayrıntısı veya risk düzeyi gösterilmez. | Tam erişim |
| Güvenlik raporları | Risk algılamaları | Hayır | Sınırlı Bilgi. Ayrıntı çekmecesi yok. | Tam erişim |
| Notifications | Risk altındaki kullanıcılardan algılanan uyarılar | Hayır | Hayır | Evet |
| Notifications | Haftalık özet | Hayır | Hayır | Evet |
| Çok faktörlü kimlik doğrulaması kayıt ilkesi | Hayır | Hayır | Evet |
Bu zengin raporlar hakkında daha fazla bilgiyi Nasıl Yapılır: Riski araştırma makalesinde bulabilirsiniz.
Yönetim merkezindeki Risk algılamaları bölmelerindeki Riskli iş yükü kimlikleri ve İş yükü kimlik algılamaları sekmesi de dahil olmak üzere iş yükü kimlik risklerinden yararlanmak için İş Yükü Kimlikleri Premium lisansına sahip olmanız gerekir. Daha fazla bilgi için iş yükü kimliklerinin güvenliğini sağlama makalesine bakın.