分享方式:

檢視有關授權系統的關鍵統計資料和資料

  • 文章

權限管理會定期提供有關授權系統的重要統計資料和資料的摘要。 此資訊適用於 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform (GCP)。

[權限管理] 儀表板範例,醒目提示要調查的重要統計資料。

權限管理提供的資料包含與可避免風險相關的計量。 這些計量允許權限管理管理員識別可以減少與最小權限原則相關風險的領域。

您可以在 Microsoft Entra 中檢視下列資訊:

  • 權限管理 [儀表板] 上的權限蔓延索引 (PCI) 熱度圖可識別:

    • 已授與高風險權限但未使用這些權限的使用者數目。
    • 參與權限蔓延索引 (PCI) 的使用者數目以及他們在此級別內的位置。

  • Analytics 儀表板提供過去 90 天內權限計量的快照集。

權限管理儀表板的元件

權限管理 [儀表板] 會顯示下列資訊:

  • 授權系統類型:您可以存取的授權系統類型的下拉式清單:AWS、Azure 和 GCP。

  • 授權系統:顯示您可以存取的所選授權系統中的帳戶 [清單] 和 [資料夾]

    • 若要新增或移除帳戶和資料夾,請從 [名稱] 清單中選取或取消選取帳戶和資料夾,然後選取 [套用]

  • 權限蔓延索引 (PCI):此圖表會顯示參與 PCI 的身分識別數目

    PCI 圖表可能顯示一個或多個氣泡。 每個氣泡顯示予以視為高風險的身分識別數目。 高風險是指擁有超出其正常或所需使用方式權限的使用者數目。

    • 若要顯示參與 [低度 PCI]、[適中 PCI] 和 [高度 PCI] 的身分識別數目清單,請選取圖表右上方的 [清單] 圖示。
    • 若要再次顯示 PCI 圖表,請選取清單方塊右上方的 [圖表] 圖示。

  • 最高 PCI 變更:顯示您的帳戶清單,以及過去 7 天索引中 [PCI] 和 [變更] 的資訊。

    • 若要下載清單,請選取清單方塊右上方的向下鍵。

      將顯示以下訊息:我們將透過電子郵件向您傳送連結以下載此檔案。

      • 請檢查您的電子郵件,以取得權限管理客戶成功小組中的訊息。 電子郵件包含指向 Microsoft Excel 格式的 PCI 歷程記錄報告的連結。
      • 電子郵件還包含指向 [報告] 儀表板的連結,您可以在其中設定自動接收報告的方式和時間。

    • 若要檢視所有 PCI 變更,請選取 [檢視全部]

  • 身分識別:[結果] 的摘要,包括:

    • 過去 90 天內尚未存取的 [非作用中] 身分識別數目。
    • 定期存取資料的 [進階] 身分識別數目。
    • 可以 [存取祕密資訊] 的身分識別數目:可以存取敏感性或祕密資訊的角色清單。
    • [過度佈建的作用中] 身分識別具有比目前存取權更多的權限。
    • [具有權限升級] 的身分識別數目:可以增加權限的角色清單。

    若要檢視所有身分識別的清單,請選取 [所有結果]

  • 資源:[結果] 的摘要,其中包括以下資源的數目:

    • 開放安全性群組
    • Microsoft 管理的金鑰
    • 具有 S3 貯體存取權的執行個體
    • 未加密的 S3 貯體
    • SSE-S3 加密貯體
    • S3 貯體可從外部存取

PCI 熱度圖

PCI 熱度圖範例,顯示數百個需要調查的身分識別。

權限蔓延索引熱度圖顯示了具有高風險權限存取權的使用者所產生的風險,並提供以下資訊:

  • 獲授與高風險權限存取權但未主動使用這些權限的使用者。 高風險權限包含修改或刪除授權系統中資訊的能力。

  • 使用者可以存取的資源數目,也稱為資源觸達。

  • 高風險權限加上使用者可以存取的資源數目,以產生圖表上顯示的分數。

    權限分類為高度適中低度

    • 高度 (以紅色顯示) - 分數介於 68 到 100 之間。 使用者可以存取許多他們不使用的高風險權限,並且具有很高的資源觸達。
    • 適中 (以黃色顯示) - 分數介於 34 到 67 之間。 使用者可以存取他們使用的一些高風險權限,或者具有適中資源觸達。
    • 低度 (以綠色顯示) - 分數介於 0 到 33 之間。 使用者可以存取少數高風險權限。 他們使用自己的所有權限,並具有低度資源觸達。

  • 圖表上顯示的數字會顯示有多少使用者參與特定分數。 若要檢視有關使用者的詳細資料,請將滑鼠停留在數字上方。

    散發圖表會顯示參與權限蔓延的所有使用者。 其會顯示有多少使用者參與特定分數。 例如,如果 PCI 圖表中的分數為 14,則此圖表會顯示有多少使用者的分數為 14。

  • [PCI 趨勢] 圖表會顯示過去 90 天 PCI 分數的歷史趨勢。

    • 若要下載 [PCI 歷程記錄報告],請選取 [下載]

檢視熱度圖上的資訊

  1. 選取熱圖氣泡上的數字以顯示:

    • 身分識別的總數,以及其中有多少屬於高度、適中、低度類別。
    • 過去幾週的 PCI 趨勢

  2. 頁面左側熱度圖下方的 [身分識別] 區段會顯示有關身分識別的所有相關發現,包括可以存取祕密資訊的角色、非作用中角色、過度佈建的活動角色等。

    • 若要展開身分識別的完整清單,請選取 [所有結果]

  3. 頁面右側熱度圖下方的 [資源] 區段會顯示有關資源的所有相關結果。 其包括未加密的 S3 貯體、開放安全性群組等。

Analytics 摘要

您也可以在 [Analytics 儀表板] 上檢視使用者和活動區段的摘要。 此儀表板提供使用者已存取的下列高風險工作或動作的快照集,並顯示具有高風險存取權的使用者總數、非作用中或未執行工作的使用者數目以及作用中或已執行工作的使用者數目:

  • 有權存取高風險工作的使用者:顯示有權存取高風險工作的使用者總數 (總數),有權存取但尚未使用該工作的使用者數目 (非作用中)、正在主動使用該工作的使用者數目 (作用中)。

  • 有權刪除工作的使用者:高風險工作的子集,其顯示有權刪除工作的使用者數目 (總數)、擁有刪除權限但沒有使用權限的使用者數目 (非作用中),以及正在主動執行刪除功能的使用者數目 (作用中)。

  • 使用者可存取的高風險工作:顯示授權系統中所有可用的高風險工作 (已授與)、未使用的高風險工作數目 (未執行)、已使用的高風險工作數目 (已執行)。

  • 使用者可存取的刪除工作:顯示授權系統中所有可用的刪除工作 (已授與)、未使用的刪除工作數目 (未執行) 以及已使用的刪除工作數目 (已執行)。

  • 允許執行高風險工作的資源:顯示使用者可以存取的資源總數 (總數)、可用但未使用的資源數目 (非作用中) 以及已使用的資源數目 (作用中)。

  • 允許刪除工作的資源:顯示允許刪除工作的資源總數 (總數)、未使用刪除工作的資源數目 (非作用中)、已使用刪除工作的資源數目 (作用中)。

下一步