Microsoft Entra ID 保护方案：安全调查中与标识风险相关的遥测数据

本系列文章中的概念证明（PoC）指南可帮助你了解、部署和测试 Microsoft Entra ID 保护，以检测、调查和修正基于标识的风险。

指南概述从Microsoft Entra ID 保护概念证明指南简介开始。

这些方案将继续提供详细的指导：

• 使用实时风险检测授予对受保护资源的访问权限
• 用于有效修正的主风险分析
• 允许用户自行修正企业托管资源的标识风险

本文可帮助安全运营中心（SOC）管理员将标识风险相关遥测数据引入安全调查。

为具有 Microsoft Entra ID 保护的标识风险相关遥测配置以下功能：

• 调查基于标识的事件
• 使用Microsoft安全警察进行调查
• 修正和响应
• 查看审核和符合性
• 在多租户环境中配置访问权限

调查基于标识的事件

使用 Microsoft Entra 管理中心或 Microsoft Graph API 检测和调查标识威胁：

1. 风险登录 ，例如 不可能的旅行、 匿名 IP 和恶意软件链接的 IP。
2. 有风险的用户 ，例如凭据 泄露 和 可疑行为的帐户。
3. 风险检测 ，例如 令牌重播 和不熟悉的登录属性。

在 Microsoft Entra 中使用Microsoft安全警察进行调查

Microsoft Entra 中的Microsoft安全性汇集了人工智能（AI）和人类专业知识的强大功能，帮助管理员和安全团队更快地应对威胁和攻击。 通过嵌入式体验，可以调查和解决标识风险、评估标识并快速访问完成复杂的任务。

在 Microsoft安全 Copilot 中使用自然语言提示：

• 总结用户风险的原因。
• 检索登录日志、审核线索和组成员身份。
• 获取修正建议和文档链接。

详细了解 Microsoft Entra 中的 Microsoft安全 Copilot 方案 。

修正和响应

确认威胁后：

1. 跟踪触发 了基于风险的条件访问 以阻止或质询访问。
2. 手动消除或确认泄露以 修正风险并解除阻止用户。
3. 启动安全密码重置或 MFA 重新注册。
4. 使用响应 playbook 来指导后续步骤。

查看审核和符合性

记录和审核 Microsoft Entra 中的所有 SOC作，以执行以下步骤：

1. 查看 Microsoft Entra 管理中心中的日志。
2. 对于关联和存储，请将日志导出到 Azure Monitor Log Analytics、 Microsoft Sentinel 或专用安全信息和事件管理（SIEM）系统。
3. 为特定作（例如策略更改、用户取消阻止）生成警报。

在多租户环境中配置访问权限

对于 多租户环境：

1. 配置 跨租户访问策略。
2. 若要限制范围，请使用 基于角色的访问控制 （如安全读取者、安全操作员）。
3. 使用 PowerShell 或 Microsoft Graph API 自动部署。

后续步骤

• Microsoft Entra ID 保护概念证明指南简介
• 使用实时风险检测授予对受保护资源的访问权限
• 用于有效修正的主风险分析
• 将标识风险相关的遥测数据引入安全调查
• 允许用户自行修正企业托管资源的标识风险