Mi az a Microsoft Entra ID Protection?
Microsoft Entra ID-védelem segít a szervezeteknek az identitásalapú kockázatok észlelésében, kivizsgálásában és elhárításában. Ezeket a kockázatokat olyan eszközökbe lehet betáplálni, mint a feltételes hozzáférés, hogy hozzáférési döntéseket hozhassanak, vagy egy biztonsági információ- és eseménykezelő (SIEM) eszköznek küldhetők a további vizsgálathoz és korrelációhoz.
Kockázatok észlelése
A Microsoft folyamatosan hozzáadja és frissíti az észleléseket a katalógusban a szervezetek védelme érdekében. Ezek az észlelések az Active Directoryból, a Microsoft-fiókokból és az Xbox játékaiból származó, naponta több trillió jel elemzésén alapuló tanulásból származnak. Ez a széles jeltartomány segít az ID Protectionnek észlelni a kockázatos viselkedéseket, például:
- Névtelen IP-címhasználat
- Jelszóspray-támadások
- Kiszivárgott hitelesítő adatok
- és még sok más...
Minden bejelentkezés során az ID Protection minden valós idejű bejelentkezési észlelést futtat, és létrehoz egy bejelentkezési munkamenet-kockázati szintet, amely jelzi, hogy milyen valószínűséggel sérült a bejelentkezés. Ezen kockázati szint alapján a rendszer szabályzatokat alkalmaz a felhasználó és a szervezet védelmére.
A kockázatok teljes listáját és azok észlelésének módját a Mi a kockázat? című cikkben találja.
Vizsgálat
Az identitáson észlelt kockázatokat jelentésekkel követik nyomon. Az ID Protection három fő jelentést biztosít a rendszergazdáknak a kockázatok kivizsgálásához és a műveletek végrehajtásához:
- Kockázatészlelések: A rendszer minden észlelt kockázatot kockázatészlelésként jelent.
- Kockázatos bejelentkezések: Kockázatos bejelentkezést jelent a rendszer, ha egy vagy több kockázatészlelést jelentenek a bejelentkezéshez.
-
Kockázatos felhasználók: Kockázatos felhasználót jelent a rendszer, ha az alábbiak bármelyike igaz:
- A felhasználónak legalább egy kockázatos bejelentkezése van.
- Egy vagy több kockázatészlelésről is beszámolunk.
A jelentések használatáról további információt a Hogyan: Kockázat vizsgálata című cikkben talál.
Kockázatok kezelése
Miért kritikus fontosságú az automatizálás a biztonság szempontjából?
A 2022. február 3-i Cyber Signals című blogbejegyzésben, a legújabb kutatások, megállapítások és trendek felhasználásával, a kiberfenyegetésekkel szembeni védekezésről, a Microsoft megosztott egy fenyegetéselemző összefoglalót, amely az alábbi statisztikákat tartalmazza:
Elemeztünk 24 billió biztonsági jelet, amelyeket az általunk figyelt intelligenciával együtt 40-nél több nemzetállami csoport és több mint 140 fenyegető csoport megfigyelésével nyomon követünk.
... 2021 januárjától 2021 decemberéig több mint 25,6 milliárd Microsoft Entra találgatásos hitelesítési támadást tiltottunk le...
A jelek és támadások skálájának fenntartásához automatizálásra van szükség.
Automatikus szervizelés
A kockázatalapú feltételes hozzáférési szabályzatok olyan hozzáférés-vezérlést igényelhetnek, mint például erős hitelesítési módszer biztosítása, többtényezős hitelesítés végrehajtása vagy biztonságos jelszó-visszaállítás végrehajtása az észlelt kockázati szint alapján. Ha a felhasználó sikeresen végrehajtotta a hozzáférés-vezérlést, a kockázat automatikusan elhárítva lesz.
Manuális szervizelés
Ha a felhasználói szervizelés nincs engedélyezve, a rendszergazdának manuálisan kell áttekintenie őket a portálon, az API-on vagy a Microsoft 365 Defenderen keresztüli jelentésekben. A rendszergazdák manuális műveleteket végezhetnek a kockázatok elvetéséhez, biztonságosnak minősítéséhez vagy kompromittáltságának megerősítéséhez.
Az adatok felhasználása
Az ID Protectionből származó adatok exportálhatók más archiválási, további vizsgálati és korrelációs eszközökre. A Microsoft Graph-alapú API-k lehetővé teszik a szervezetek számára, hogy további feldolgozás céljából gyűjtsék ezeket az adatokat egy olyan eszközben, mint a SIEM. Az ID Protection API eléréséről a cikkben, a Microsoft Entra ID-védelem és a Microsoft Graph használatának első lépéseiben olvashat.
Az ID-védelmi adatok Microsoft Sentinel rendszerrel való integrálásáról a Connect data from Microsoft Entra ID Protection című cikkben olvashat.
A szervezetek hosszabb ideig tárolhatják az adatokat a Microsoft Entra ID diagnosztikai beállításainak módosításával. Dönthetnek úgy, hogy adatokat küldenek egy Log Analytics-munkaterületre, archiválják az adatokat egy tárfiókba, adatokat streamelnek az Event Hubsba, vagy adatokat küldenek egy másik megoldásnak. Ennek módjáról részletes információt a How To: Export risk data ( Útmutató: Kockázati adatok exportálása) című cikkben talál.
Kötelező szerepkörök
Az ID Protection funkció megköveteli, hogy a felhasználókhoz az alábbi szerepkörök közül egy vagy több legyen rendelve.
| Szerepkör | Megteheti | Nem lehet |
|---|---|---|
| Biztonsági rendszergazda | Teljes hozzáférés az ID Protectionhez | Felhasználó jelszavának alaphelyzetbe állítása |
| Biztonsági operátor | Az összes id Protection-jelentés és áttekintés megtekintése Felhasználói kockázat megszüntetése, biztonságos bejelentkezés megerősítése, kompromittáltság megerősítése |
Szabályzatok konfigurálása vagy módosítása Felhasználó jelszavának alaphelyzetbe állítása Riasztások konfigurálása |
| Biztonsági olvasó | Az összes id Protection-jelentés és áttekintés megtekintése | Szabályzatok konfigurálása vagy módosítása Felhasználó jelszavának alaphelyzetbe állítása Riasztások konfigurálása Visszajelzés küldése az észlelésekről |
| Globális olvasó | Csak olvasásra jogosító hozzáférés az "ID Protection"-höz | |
| Felhasználói rendszergazda | Felhasználói jelszavak alaphelyzetbe állítása |
A Biztonsági operátor szerepkör jelenleg nem fér hozzá a Kockázatos bejelentkezések jelentéshez.
A feltételes hozzáférési rendszergazdák olyan szabályzatokat hozhatnak létre, amelyek feltételesen befolyásolják a felhasználói vagy bejelentkezési kockázatot. További információt a Feltételes hozzáférés: Feltételek című cikkben talál.
Licenckövetelmények
A szolgáltatás használatához Microsoft Entra ID P2-licencek szükségesek. Az Ön igényeinek megfelelő licenc megtalálásához lásd: A Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása.
| Képesség | Részletek | Microsoft Entra ID Free / Microsoft 365-alkalmazások | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Kockázati szabályzatok | Bejelentkezési és felhasználói kockázati szabályzatok (id protection vagy feltételes hozzáférés) | Nem | Nem | Igen |
| Biztonsági jelentések | Áttekintés | Nem | Nem | Igen |
| Biztonsági jelentések | Kockázatos felhasználók | Korlátozott információ. Csak közepes és magas kockázattal rendelkező felhasználók jelennek meg. Nincs adatfiók vagy kockázati előzmény. | Korlátozott információ. Csak közepes és magas kockázattal rendelkező felhasználók jelennek meg. Nincs adatfiók vagy kockázati előzmény. | Teljes hozzáférés |
| Biztonsági jelentések | Kockázatos bejelentkezések | Korlátozott információ. Nem jelenik meg a kockázati részlet vagy a kockázati szint. | Korlátozott információ. Nem jelenik meg a kockázati részlet vagy a kockázati szint. | Teljes hozzáférés |
| Biztonsági jelentések | Kockázatészlelések | Nem | Korlátozott információ. Nincs részletablak. | Teljes hozzáférés |
| Értesítések | Kockázatnak kitett felhasználók észlelt riasztásai | Nem | Nem | Igen |
| Értesítések | Heti összefoglaló | Nem | Nem | Igen |
| MFA-regisztrációs szabályzat | Nem | Nem | Igen |
Ezekről a részletes jelentésekről a "Hogyan: Kockázat kivizsgálása" című cikkben talál további információt.
A számítási feladatok identitásának kockázatának kezeléséhez, beleértve a kockázatos számítási feladatok identitásait és a számítási feladatok identitásainak észlelését tartalmazó lapot a felügyeleti központ kockázatészlelések panelen, a Számítási feladatok identitásai prémium szintű licencelésére van szükség. További információkért tekintse meg a számítási feladatok identitásainak biztonságossá tételéről szóló cikket.