Microsoft Entra Kimlik Koruması panosu

  • Makale

Microsoft Entra Kimlik Koruması, kimlik saldırılarını algılayarak ve riskleri bildirerek kimlik risklerini önler. Müşterilerin riskleri izleyerek, araştırarak ve hassas erişimi korumak ve riskleri otomatik olarak düzeltmek için risk tabanlı erişim ilkelerini yapılandırarak kuruluşlarını korumalarına olanak tanır.

Panomuz müşterilerin güvenlik duruşlarını daha iyi analiz etmelerine, ne kadar iyi korunduğunu anlamalarına, güvenlik açıklarını tanımlamalarına ve önerilen eylemleri gerçekleştirmelerine yardımcı olur.

Microsoft Entra Kimlik Koruması genel bakış panosunu gösteren ekran görüntüsü.

Bu pano, kiracınıza uyarlanmış zengin içgörüler ve eyleme dönüştürülebilir önerilerle kuruluşları güçlendirmek için tasarlanmıştır. Bu bilgiler, kuruluşunuzun güvenlik duruşuna daha iyi bir görünüm sağlar ve uygun şekilde etkili korumaları etkinleştirmenize olanak tanır. Önemli ölçümlere, saldırı grafiklerine, riskli konumları vurgulayan bir haritaya, güvenlik duruşunu geliştirmeye yönelik en iyi önerilere ve son etkinliklere erişebilirsiniz.

Önkoşullar

Bu panoya erişmek için şunları yapmanız gerekir:

  • Kullanıcılarınız için Microsoft Entra Id Free veya Microsoft Entra ID P1 veya Microsoft Entra ID P2 lisansları.
  • Önerilerin kapsamlı bir listesini görüntülemek ve önerilen eylem bağlantılarını seçmek için Microsoft Entra ID P2 lisanslarına ihtiyacınız vardır.

Panoya erişme

Panoya şu şekilde erişebilirsiniz:

  1. Microsoft Entra yönetim merkezinde en azından Güvenlik Okuyucusu olarak oturum açın.
  2. Koruma>Kimlik Koruması>Panosu'na göz atın.

Ölçüm kartları

Risk tabanlı ilkeler gibi daha fazla güvenlik önlemi uyguladığınızda kiracı korumanız güçlenir. Bu nedenle, sahip olduğunuz güvenlik önlemlerinin verimliliğini anlamanıza yardımcı olmak için dört temel ölçüm sunuyoruz.

Panodaki ölçüm grafiklerini gösteren ekran görüntüsü.

Metric Ölçüm tanımı Yenileme sıklığı Ayrıntıların görüntülendiği yer
Engellenen saldırı sayısı Bu kiracı için her gün engellenen saldırı sayısı.

Riskli oturum açma işlemi herhangi bir erişim ilkesi tarafından kesintiye uğrarsa bir saldırının engellendiği kabul edilir. İlkenin gerektirdiği erişim denetimi saldırganın oturum açmasını engellemeli, bu nedenle saldırıyı gerçek zamanlı olarak engellemelidir.		 24 saatte bir. Risk algılamaları raporunda saldırıları belirleyen risk algılamalarını görüntüleyin ve "Risk durumu" filtresini şu şekilde filtreleyin:

- Düzeltilmiş
- Kapatıldı
-** Onaylandı güvenli**
Korunan kullanıcı sayısı Bu kiracıda risk durumu Risk Altındaolan ve her gün Düzeltilen veya Kapatılan kullanıcı sayısı.

Düzeltilmiş risk durumu, kullanıcının MFA veya güvenli parola değişikliğini tamamlayarak kullanıcı riskini kendi kendine düzeltdiğini ve bu nedenle hesabının korunduğunu gösterir.

Kapatılan risk durumu, bir yöneticinin kullanıcının hesabını güvenli olarak tanımladığı için kullanıcının riskini kapattığını gösterir.		 24 saatte bir. Riskli kullanıcılar raporunda korunan kullanıcıları görüntüleyin, "Risk durumu"na şu şekilde filtreleyin:

- Düzeltilmiş
- Kapatıldı
Kullanıcılarınızın risklerini kendi kendine düzeltmek için aldıkları ortalama süre Kiracınızdaki riskli kullanıcıların Risk durumunun Risk Altında durumundan Düzeltildi olarak değişmesi için ortalama süre.

Bir kullanıcının risk durumu, kullanıcı riskini MFA veya güvenli parola değişikliği aracılığıyla kendi kendine düzelttiğinde Düzeltildi olarak değişir.

Kiracınızda kendi kendini düzeltme süresini azaltmak için risk tabanlı Koşullu Erişim ilkelerini dağıtın.		 24 saatte bir. Riskli kullanıcılar raporunda düzeltilmiş kullanıcıları görüntüleyin, "Risk durumu" filtresini şu şekilde filtreleyin:

- Düzeltilmiş
Algılanan yeni yüksek riskli kullanıcı sayısı Her gün algılanan risk düzeyi Yüksek olan yeni riskli kullanıcıların sayısı. 24 saatte bir. Riskli kullanıcılar raporunda yüksek riskli kullanıcıları görüntüleyin, risk düzeyini

- "Yüksek"

Aşağıdaki üç ölçüm için veri toplama işlemi 22 Haziran 2023'te başladı, bu nedenle bu ölçümler bu tarihten itibaren kullanılabilir. Grafı bunu yansıtacak şekilde güncelleştirmeye çalışıyoruz.

  • Engellenen saldırı sayısı
  • Korunan kullanıcı sayısı
  • Kullanıcı riskini düzeltmek için ortalama süre

Grafikler, 12 aylık sıralı bir veri penceresi sağlar.

Saldırı grafiği

Risk kapsamınızı daha iyi anlamanıza yardımcı olmak için kiracınız için algılanan ortak kimlik tabanlı saldırı düzenlerini görüntüleyen yenilikçi bir Saldırı Grafiği sunuyoruz. Saldırı desenleri MITRE ATT&CK teknikleri ile temsil edilir ve gelişmiş risk algılamalarımız tarafından belirlenir. Daha fazla bilgi için MiTRE saldırı türü eşlemesine risk algılama türü bölümüne bakın.

Panodaki saldırı grafiğini gösteren ekran görüntüsü.

Microsoft Entra Kimlik Koruması'da saldırı olarak ne kabul edilir?

Saldırı, ortamınızda oturum açmaya çalışan kötü bir aktörü algıladığımız bir olaydır. Bu olay, ilgili MITRE ATT&CK tekniğine eşlenmiş gerçek zamanlı oturum açma riski algılamasını tetikler. mitre ATT&CK teknikleri tarafından kategorilere ayrılmış olarak Microsoft Entra Kimlik Koruması gerçek zamanlı oturum açma riski algılamaları ve saldırıları arasındaki eşleme için aşağıdaki tabloya bakın.

Saldırı grafiği yalnızca gerçek zamanlı oturum açma riski etkinliğini gösterdiğinden riskli kullanıcı etkinliği dahil değildir. Ortamınızdaki riskli kullanıcı etkinliğini görselleştirmek için riskli kullanıcılar raporuna gidebilirsiniz.

Saldırı grafiği nasıl yorumlur?

Grafik, son 30 gün içinde kiracınızı etkileyen saldırı türlerini ve oturum açma sırasında engellenip engellenmediğini gösterir. Sol tarafta, her saldırı türünün hacmini görürsünüz. Sağ tarafta engellenen ve henüz düzeltilmeyen saldırıların sayısı görüntülenir. Graf her 24 saatte bir güncelleştirilir ve gerçek zamanlı olarak gerçekleşen risk oturum açma algılamalarını sayıyor; bu nedenle, toplam saldırı sayısı toplam algılama sayısıyla eşleşmiyor.

  • Engellendi: Bir saldırı, çok faktörlü kimlik doğrulaması gerektiren bir erişim ilkesi tarafından ilişkili riskli oturum açma işleminin kesintiye uğraması durumunda engellenmiş olarak sınıflandırılır. Bu eylem saldırganın oturum açmasını engeller ve saldırıyı engeller.
  • Düzeltilmedi: Kesintiye uğramamış ve düzeltilmesi gereken başarılı riskli oturum açma işlemleri. Bu nedenle, bu riskli oturum açma işlemleriyle ilişkili risk algılamaları da düzeltme gerektirir. Riskli oturum açma işlemleri raporunda "Risk altında" risk durumuyla filtreleyerek bu oturum açma işlemleri ve ilişkili risk algılamalarını görüntüleyebilirsiniz.

Saldırıları nerede görüntüleyebilirim?

Saldırı ayrıntılarını görüntülemek için grafiğin sol tarafındaki saldırı sayısını seçebilirsiniz. Bu grafik sizi bu saldırı türüne göre filtrelenen risk algılama raporuna götürür.

Doğrudan risk algılama raporuna gidebilir ve Saldırı türlerine göre filtreleyebilirsiniz. Saldırı ve algılama sayısı bire bir eşleme değildir.

MITRE saldırı türü eşlemesine risk algılama türü

Gerçek zamanlı oturum açma riski algılama Algılama türü MITRE ATT&CK tekniği eşlemesi Saldırı görünen adı Tür
Anormal Belirteç Gerçek zamanlı veya Çevrimdışı T1539 Web Oturumu Tanımlama Bilgisini/Belirteç Hırsızlığını Çal Premium
Bilinmeyen oturum açma özellikleri Gerçek zamanlı T1078 Geçerli bir hesap kullanarak erişim (Oturum Açma Sırasında Algılandı) Premium
Doğrulanmış tehdit aktörü IP'si Gerçek zamanlı T1078 Geçerli bir hesap kullanarak erişim (Oturum Açma Sırasında Algılandı) Premium
Anonim IP adresi Gerçek zamanlı T1090 Proxy kullanarak gizleme/erişim Şirket dışı
Microsoft Entra tehdit bilgileri Gerçek zamanlı veya Çevrimdışı T1078 Geçerli bir hesap kullanarak erişim (Oturum Açma Sırasında Algılandı) Şirket dışı

Harita

Kiracınızdaki riskli oturum açmaların coğrafi konumunu görüntülemek için bir harita sağlanır. Kabarcığın boyutu, bu konumdaki oturum açma risklerinin hacmini yansıtır. Balonun üzerine geldiğinizde, ülke adını ve riskli oturum açma sayısını sağlayan bir arama kutusu gösterilir.

Panodaki harita grafiğini gösteren ekran görüntüsü.

Aşağıdaki öğeleri içerir:

  • Tarih aralığı: Tarih aralığını seçin ve haritada bu zaman aralığının içinden riskli oturum açmaları görüntüleyin. Kullanılabilir değerler şunlardır: son 24 saat, son yedi gün ve son bir ay.
  • Risk düzeyi: Görüntülenecek riskli oturum açma işlemleri için risk düzeyini seçin. Kullanılabilir değerler şunlardır: Yüksek, Orta, Düşük.
  • Riskli Konum sayısı :
    • Tanım: Kiracınızın riskli oturum açma işlemlerine ait konumların sayısı.
    • Tarih aralığı ve risk düzeyi filtresi bu sayıya uygulanır.
    • Bu sayıyı seçtiğinizde, seçilen tarih aralığına ve risk düzeyine göre filtrelenmiş Riskli oturum açma işlemleri raporuna yönlendirilirsiniz.
  • Riskli Oturum Açma sayısı :
    • Tanım: Seçili tarih aralığında seçili risk düzeyine sahip toplam riskli oturum açma sayısı.
    • Tarih aralığı ve risk düzeyi filtresi bu sayıya uygulanır.
    • Bu sayıyı seçtiğinizde, seçilen tarih aralığına ve risk düzeyine göre filtrelenmiş Riskli oturum açma işlemleri raporuna yönlendirilirsiniz.

Öneriler

Microsoft Entra Kimlik Koruması öneriler, müşterilerin güvenlik duruşlarını artırmak için ortamlarını yapılandırmalarına yardımcı olur. Bu Öneriler, kiracınızda son 30 gün içinde algılanan saldırıları temel alır. Güvenlik personelinize yapılması önerilen eylemler konusunda yol göstermek için öneriler sağlanır.

Panodaki önerileri gösteren ekran görüntüsü.

Parola spreyi, kiracınızda sızdırılan kimlik bilgileri ve hassas dosyalara toplu erişim gibi yaygın saldırılar olası bir ihlal olduğunu size bildirebilir. Önceki ekran görüntüsünde, Kimlik Koruması örneği kiracınızda kimlik bilgileri sızdırılmış en az 20 kullanıcı algıladı. Bu durumda önerilen eylem, riskli kullanıcılarda güvenli parola sıfırlama gerektiren bir Koşullu Erişim ilkesi oluşturmak olacaktır.

Panomuzdaki öneriler bileşeninde müşteriler şunları görür:

  • Kiracısında belirli saldırılar gerçekleşirse en fazla üç öneri.
  • Saldırının etkisi hakkında içgörü.
  • Düzeltme için uygun eylemleri gerçekleştirmeye yönelik doğrudan bağlantılar.

P2 lisansına sahip müşteriler, eylemlerle içgörü sağlayan kapsamlı bir öneri listesini görüntüleyebilir. "Tümünü Görüntüle" seçildiğinde, ortamlarındaki saldırılara göre tetiklenen daha fazla öneriyi gösteren bir panel açılır.

Son etkinlikler

Son Etkinlik, kiracınızdaki riskle ilgili son etkinliklerin özetini sağlar. Olası etkinlik türleri şunlardır:

  1. Saldırı Etkinliği
  2. Yönetici Düzeltme Etkinliği
  3. Kendi Kendine Düzeltme Etkinliği
  4. Yeni Yüksek Riskli Kullanıcılar

Panodaki son etkinlikleri gösteren ekran görüntüsü.

Bilinen sorunlar

Kiracınızın yapılandırmasına bağlı olarak, panonuzda öneriler veya son etkinlikler olmayabilir.

İlgili içerik