Microsoft Entra ID Protection 儀表板
Microsoft Entra ID Protection 透過偵測身分識別攻擊和報告風險來防止身分識別外洩。 這可讓客戶透過監視風險、調查這些風險並設定以風險為基礎的存取原則來防護敏感性存取並自動補救風險,進而保護組織。
我們的儀表板可協助客戶進一步分析其安全性態勢、了解保護程度、識別弱點,以及執行建議的動作。
此儀表板設計的目的是為組織提供專為租用戶量身打造的豐富深入解析和可採取動作的建議。 此資訊可讓您更深入了解組織的安全性態勢,並允許您據以啟用有效的保護。 您可以存取關鍵計量、攻擊圖形、醒目提示據風險位置的地圖、增強安全性態勢的最佳建議,以及最近的活動。
必要條件
若要存取此儀表板,您需要:
- 為使用者提供 Microsoft Entra ID Free、Microsoft Entra ID P1 或 Microsoft Entra ID P2 licenses 授權。
- 若要檢視建議的完整清單並選取建議的動作連結,您需要 Microsoft Entra ID P2 授權。
存取儀表板
您可以透過下列方式存取儀表板:
- 至少以安全性讀取者 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 依序瀏覽至 [保護]>[身分識別保護]>[儀表板]。
計量卡片
隨著您實作更多安全性措施 (例如以風險為基礎的原則),您的租用戶的保護便會提升。 因此,我們現在提供四個關鍵計量,協助您了解所落實安全性措施的有效性。
| 計量 | 計量定義 | 重新整理頻率 | 檢視詳細資料的位置 |
|---|---|---|---|
| 封鎖的攻擊數目 | 此租用戶每日封鎖的攻擊數目。 如果具風險的登入因存取原則中斷,則攻擊將視為已遭封鎖。 原則所需的存取控制應封鎖攻擊者登入,因此將即時封鎖攻擊。 |
每 24 小時。 | 在風險偵測報告中檢視判斷攻擊的風險偵測,根據下列篩選依據篩選「風險狀態」: - 已補救 - 已解除 - 確認安全 |
| 已保護的使用者數目 | 此租用戶中每天風險狀態從 [有風險] 變更為 [已補救] 或 [已解除] 的使用者數目。 [已補救] 風險狀態表示使用者透過完成 MFA 或安全密碼變更來自我補救其使用者風險,因此帳戶受到保護。 [已解除] 風險狀態表示系統管理員已解除使用者的風險,因為已識別使用者的帳戶為安全。 |
每 24 小時。 | 在具有風險使用者報告中檢視保護的使用者,根據下列篩選依據篩選「風險狀態」: - 已補救 - 已解除 |
| 使用者自我補救風險所需的平均時間 | 租用戶中具風險使用者風險狀態從 [有風險] 變更為 [已補救] 的平均時間。 當使用者透過 MFA 或安全密碼變更自我補救使用者風險時,其風險狀態變更為 [已補救]。 租用戶若要減少租用戶的自我補救時間,請部署以風險為基礎的條件式存取原則。 |
每 24 小時。 | 在具風險使用者報告中檢視已補救的使用者,根據下列篩選依據篩選「風險狀態」: - 已補救 |
| 偵測到的新高風險使用者數目 | 每日偵測到風險層級「高」的新具風險使用者數目。 | 每 24 小時。 | 在具風險報告中檢視高風險使用者,根據下列篩選依據篩選風險層級 -「高」 |
下列三個計量的資料彙總已自 2023 年 6 月 22 日開始,因此提供自該日期起的計量。 我們正致力於更新圖形以反映這一點。
- 封鎖的攻擊數目
- 已保護的使用者數目
- 補救使用者風險的平均時間
圖形提供滾動式 12 個月期間的資料。
攻擊圖形
為了進一步協助您了解風險暴露,我們的攻擊圖形顯示針對租用戶偵測到的常見身分識別型攻擊模式。 攻擊模式是以 MITRE ATT&CK 技術所呈現,並由我們的進階風險檢測決定。 如需詳細資訊,請參閱 MITRE 攻擊類型對應的風險偵測類型一節。
Microsoft Entra ID Protection 所視的攻擊為何?
攻擊是事件,我們將偵測惡意執行者嘗試登入您的環境。 此事件會觸發對應至相對 MITRE ATT&CK 技術的即時登入風險偵測。 請參閱下表,以了解 Microsoft Entra ID Protection 即時登入風險偵測和 MITRE ATT&CK 技術所分類攻擊之間的對應。
由於攻擊圖形僅說明即時登入風險活動,因此不包含具風險使用者活動。 若要視覺化環境中的具風險使用者活動,您可以移至具風險使用者報告。
如何解譯攻擊圖形?
圖形顯示過去 30 天內影響租用戶的攻擊類型,以及在登入期間是否遭到封鎖。 您在左側會看到每個攻擊類型的數量。 右側會顯示封鎖和尚未補救的攻擊數目。 圖形每隔 24 小時更新一次,並即時計算發生的風險登入偵測;因此,攻擊總數目不符合偵測總數目。
- 已封鎖:如果相關聯的具風險登入因存取原則而中斷 (例如需要多重要素驗證),則攻擊會分類為已封鎖。 此動作可防止攻擊者登入並封鎖攻擊。
- 未補救:未中斷但需要補救的成功具風險登入。 因此,與這些具風險登入相關的風險偵測也需要補救。 您可以使用「有風險」風險狀態篩選,在具風險登入報告中檢視這些登入和相關的風險偵測。
我可以在哪裡檢視攻擊?
若要檢視攻擊詳細資料,您可以選取圖形左側的攻擊計數。 圖形將引導您前往根據該攻擊類型篩選的風險偵測報告。
您可以直接移至風險偵測報告並篩選攻擊類型。 攻擊和偵測數目不是一對一對應。
MITRE 攻擊類型對應的風險偵測類型
| 即時登入風險偵測 | 偵測類型 | MITRE ATT&CK 技術對應 | 攻擊顯示名稱 | 類型 |
|---|---|---|---|---|
| 異常權杖 | 即時或離線 | T1539 | 竊取 Web 工作階段 Cookie/權杖竊取 | 高級 |
| 不熟悉的登入屬性 | 即時 | T1078 | 使用有效帳戶的存取 (在登入時偵測到) | 高級 |
| 已驗證的威脅行為者 IP | 即時 | T1078 | 使用有效帳戶的存取 (在登入時偵測到) | 高級 |
| 匿名 IP 位址 | 即時 | T1090 | 使用 Proxy 混淆/存取 | 非進階 |
| Microsoft Entra 威脅情報 | 即時或離線 | T1078 | 使用有效帳戶的存取 (在登入時偵測到) | 非進階 |
地圖
提供地圖以顯示租用戶中具風險登入的地理位置。 泡泡的大小反映該位置風險登入的數量。 將滑鼠停留在泡泡上方會顯示呼叫方塊,提供國家名稱和來自該位置的具風險登入數目。
其中包含下列元素:
- 日期範圍:選擇日期範圍並在地圖上檢視該時間範圍內的具風險登入。 可用的值:過去 24 小時、過去 7 天和過去一個月。
- 風險層級:選擇要檢視的具風險登入風險層級。 可用的值:高、中、低。
- 風險位置計數:
- 定義:租用戶具風險登入的來源位置數目。
- 日期範圍和風險層級篩選會套用至此計數。
- 選取此計數將引導您前往所選日期範圍和風險層級篩選的具風險登入報告。
- 具風險登入計數:
- 定義;所選日期範圍內所選風險層級的具風險登入總數目。
- 日期範圍和風險層級篩選會套用至此計數。
- 選取此計數將引導您前往所選日期範圍和風險層級篩選的具風險登入報告。
建議
Microsoft Entra ID Protection 建議可協助客戶設定環境以增加安全性態勢。 這些建議是根據過去 30 天內在租用戶中偵測到的攻擊。 系統會提供建議以引導安全性人員採取建議的動作。
常見的攻擊 (例如密碼噴灑、租用戶的認證外洩及大量存取敏感性檔案) 可以通知您有潛在的缺口。 在上一個螢幕擷取畫面中,範例身分識別保護至少在租用戶中偵測到 20 個認證外洩的使用者,在此情況下,建議的動作會是建立條件式存取原則,要求具風險使用者重設安全密碼。
在我們儀表板上的建議元件中,客戶會看到:
- 如果租用戶中發生特定攻擊,最多三個建議。
- 攻擊影響的深入解析。
- 採取適當補救動作的直接連結。
具備 P2 授權的客戶可以檢視完整的建議清單,提供深入解析及動作。 選取 [檢視全部] 時,隨即開啟面板,顯示根據環境中攻擊觸發的更多建議。
最近活動
最近活動提供租用戶中最近的風險相關活動摘要。 可能的活動類型:
- 攻擊活動
- 管理員補救活動
- 自我補救活動
- 新高風險使用者
已知問題
根據租用戶的設定,儀表板可能沒有建議或最近活動。