什么是 Microsoft Entra ID 保护?
Microsoft Entra ID 标识保护可帮助组织检测、调查和修正基于标识的风险。 这些基于标识的风险可以进一步馈送给条件访问等工具,供其制定访问决策,也可以馈送回安全信息和事件管理 (SIEM) 工具,以进行深入调查和相关性分析。
检测风险
Microsoft 会不断在我们的目录中添加和更新检测,以保护组织。 这些检测来自于我们每天对 Active Directory、Microsoft 帐户和 Xbox 游戏中的数万亿个信号进行分析所得到的经验。 这种广泛的信号可帮助 ID 保护功能检测风险行为,例如:
- 匿名 IP 地址使用
- 密码喷射攻击
- 凭据泄漏
- 等等...
每次登录期间,ID 保护会运行所有实时登录检测,生成登录会话风险级别,从而指示登录被盗用的可能性。 然后,根据此风险级别应用策略来保护用户和组织。
有关风险的完整列表及其检测方式,请参阅什么是风险一文。
调查
在标识上检测到的风险通过报告来跟踪。 ID 保护为管理员提供了三个关键报告,用于调查风险并采取措施:
- 风险检测:检测到的每个风险都报告为风险检测。
- 风险登录:如果针对登录报告了一个或多个风险检测,则会报告风险登录。
- 风险用户:当满足以下任一条件或两个条件均满足时,将报告风险用户:
- 用户具有一个或多个风险登录。
- 报告一个或多个风险检测。
有关如何使用报表的详细信息,请参阅如何:调查风险一文。
修正风险
为什么自动化在安全性中至关重要?
在博客帖子网络信号:使用截至 2022 年 2 月 3 日的最新研究、见解和趋势防御网络威胁,Microsoft 分享了一份线程智能简报,包括以下统计信息:
分析...24 万亿安全信号与我们通过监视 40 多个国家/地区组和超过 140 个威胁组获取的情报相结合...
...从 2021 年 1 月到 2021 年 12 月,我们已阻止超过 256 亿 Microsoft Entra 暴力身份验证攻击...
信号和攻击的庞大规模需要一定程度的自动化才能跟上。
自动修正
可以启用基于风险的条件访问策略来要求访问控制,例如提供强身份验证方法、执行多重身份验证或根据检测到的风险级别执行安全密码重置。 如果用户成功完成访问控制,风险则会自动修正。
手动修正
如果未启用用户修正,管理员必须在门户中、通过 API 或在 Microsoft 365 Defender 的报表中手动查看它们。 管理员可以执行手动操作来消除风险、确认安全或确认风险泄露。
利用数据
来自 ID 保护的数据可以导出到其他工具,以进行存档以及深入调查和相关性分析。 使用基于 API 的 Microsoft Graph,组织可以收集这些数据,以便在 SIEM 等工具中进一步处理。 若要了解如何访问 ID 保护 API,请参阅 Microsoft Entra ID 保护和 Microsoft Graph 入门一文
要了解如何将 ID 保护信息与 Microsoft Sentinel 集成,请参阅从 Microsoft Entra ID 保护连接数据一文。
组织可以通过更改 Microsoft Entra ID 中的诊断设置将数据存储更长的时间。 他们可以选择将数据发送到 Log Analytics 工作区、将数据存档到存储帐户、将数据流式传输到事件中心或将数据发送到另一合作伙伴解决方案。 有关如何这样做的详细信息,请参阅如何:导出风险数据一文。
必需的角色
ID 保护要求用户分配有至少一个以下角色才能访问。
角色 | 有权执行的操作 | 禁止事项 |
---|---|---|
安全管理员 | 对“ID 保护”具有完全访问权限 | 重置用户密码 |
安全操作员 | 查看所有 ID 保护报告和概述 消除用户风险,确认安全登录,确认泄露 |
配置或更改策略 重置用户密码 配置警报 |
安全信息读取者 | 查看所有 ID 保护报告和概述 | 配置或更改策略 重置用户密码 配置警报 提供有关检测的反馈 |
全局读取者 | 对“ID 保护”的只读访问 | |
用户管理员 | 重置用户密码 |
目前,安全操作员角色无法访问风险登录报告。
条件访问管理员可以创建将用户或登录风险作为条件考虑在内的策略。 有关详细信息,请参阅条件访问:条件一文。
许可要求
使用此功能需要 Microsoft Entra ID P2 许可证。 若要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
功能 | 详细信息 | Microsoft Entra ID 免费版/ Microsoft 365 应用版 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
---|---|---|---|---|
风险策略 | 登录风险策略和用户风险策略(通过 ID 保护或条件访问实现) | 否 | 否 | 是 |
安全报表 | 概述 | 否 | 否 | 是 |
安全报表 | 有风险用户 | 有限信息。 仅显示中等风险和高风险用户。 无详细信息抽屉或风险历史记录。 | 有限信息。 仅显示中等风险和高风险用户。 无详细信息抽屉或风险历史记录。 | 完全访问权限 |
安全报表 | 有风险的登录 | 有限信息。 未显示任何风险详细信息或风险级别。 | 有限信息。 未显示任何风险详细信息或风险级别。 | 完全访问权限 |
安全报表 | 风险检测 | 否 | 有限信息。 无详细信息抽屉。 | 完全访问权限 |
通知 | 检测到用户存在风险的警报 | 否 | 否 | 是 |
通知 | 每周摘要 | 否 | 否 | 是 |
MFA 注册策略 | 否 | 否 | 是 |
有关这些丰富报表的详细信息,请参阅操作说明:调查风险一文。
要利用工作负载标识风险,包括管理中心“风险检测”窗格中的“风险工作负载标识”和“工作负载标识检测”选项卡,必须具有工作负载标识高级版许可。 有关详细信息,请参阅保护工作负载标识一文。