Delen via

Microsoft Entra ID Protection Dashboard

  • Artikel

Microsoft Entra ID Protection voorkomt inbreuk op identiteiten door identiteitsaanvallen te detecteren en risico's te melden. Hiermee kunnen klanten hun organisaties beschermen door risico's te bewaken, te onderzoeken en op risico's gebaseerd toegangsbeleid te configureren om gevoelige toegang te bewaken en risico's automatisch op te lossen.

Ons dashboard helpt klanten hun beveiligingspostuur beter te analyseren, te begrijpen hoe goed ze zijn beveiligd, beveiligingsproblemen te identificeren en aanbevolen acties uit te voeren.

Schermopname van het overzichtsdashboard van Microsoft Entra ID Protection.

Dit dashboard biedt organisaties uitgebreide inzichten en bruikbare aanbevelingen die zijn afgestemd op uw tenant. Deze informatie biedt een beter inzicht in het beveiligingspostuur van uw organisatie en stelt u in staat om effectieve beveiligingen dienovereenkomstig in te schakelen. U hebt toegang tot belangrijke metrische gegevens, aanvalsafbeeldingen, een kaart die riskante locaties markeert, de belangrijkste aanbevelingen om de beveiligingspostuur en recente activiteiten te verbeteren.

Vereisten

Voor toegang tot dit dashboard hebt u het volgende nodig:

  • Microsoft Entra ID Free, Microsoft Entra ID P1 of Microsoft Entra ID P2-licenties voor uw gebruikers.
  • Microsoft Entra ID P2-licenties om een uitgebreide lijst met aanbevelingen weer te geven en de aanbevolen actiekoppelingen te selecteren.

Het dashboard openen

U hebt als volgende toegang tot het dashboard:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beveiligingslezer.
  2. Blader naar Protection>Identity Protection>Dashboard.

Metrische kaarten

Naarmate u meer beveiligingsmaatregelen implementeert, zoals beleid op basis van risico's, wordt de beveiliging van uw tenant versterkt. We bieden vier belangrijke metrische gegevens om inzicht te krijgen in de effectiviteit van de beveiligingsmaatregelen die u hebt geïmplementeerd.

Schermopname van de metrische grafieken in het dashboard.

Metrische gegevens Metrische definitie Vernieuwingsfrequentie Waar kunt u details weergeven
Aantal geblokkeerde aanvallen Het aantal aanvallen dat op elke dag voor deze tenant geblokkeerd is.

Een aanval wordt als geblokkeerd beschouwd als de riskante aanmelding wordt onderbroken door een toegangsbeleid. Het toegangsbeheer dat door het beleid is vereist, moet verhinderen dat de aanvaller zich aanmeldt, waardoor de aanval in realtime wordt geblokkeerd.		 Om de 24 uur. Bekijk de risicodetecties die de aanvallen hebben bepaald in het Rapport risicodetecties, filter 'Risicostatus' op:

- Hersteld
- Ontslagen
- Bevestigd veilig
Aantal gebruikers dat is beveiligd Aantal gebruikers in deze tenant waarvan de risicostatus is gewijzigd van Risico in Hersteld of Gesloten op elke dag.

Een herstelde risicostatus geeft aan dat de gebruiker zelf het gebruikersrisico heeft hersteld door MFA of veilige wachtwoordwijziging te voltooien en dat het account daarom wordt beveiligd.

Met de risicostatus Afgewezen wordt aangegeven dat een beheerder het risico van de gebruiker heeft afgewezen omdat het account van de gebruiker als veilig is geïdentificeerd.		 Om de 24 uur. Bekijk gebruikers die zijn beveiligd in het rapport Riskante gebruikers, filter 'Risicostatus' op:

- Hersteld
- Ontslagen
Gemiddelde tijd die uw gebruikers nemen om hun risico's zelf op te lossen Gemiddelde tijd voor de risicostatus van riskante gebruikers in uw tenant om over te schakelen van Risico in Opgelost.

De risicostatus van een gebruiker wordt gewijzigd in Hersteld wanneer hij of zij zelf het risico van de gebruiker heeft hersteld door middel van MFA of een veilige wachtwoordwijziging.

Om de zelfhersteltijd in uw tenant te verkorten, implementeer risicogebaseerde voorwaardelijke toegangsbeleidsregels.		 Om de 24 uur. Bekijk herstelde gebruikers in het rapport Riskante gebruikers, filter 'Risicostatus' op:

- Hersteld
Aantal nieuwe gebruikers met een hoog risico gedetecteerd Aantal nieuwe riskante gebruikers met risiconiveau Hoog gedetecteerd op elke dag. Om de 24 uur. Gebruikers met een hoog risico weergeven in het rapport Riskante gebruikers, risiconiveau filteren op

- "Hoog"

Gegevensaggregatie voor de volgende drie metrische gegevens is gestart op 22 juni 2023, zodat deze metrische gegevens beschikbaar zijn vanaf die datum. We werken aan het bijwerken van de grafiek om dat weer te geven.

  • Aantal geblokkeerde aanvallen
  • Aantal gebruikers dat is beveiligd
  • Gemiddelde tijd voor het oplossen van gebruikersrisico's

De grafieken bieden een doorlopend venster van 12 maanden met gegevens.

Aanvalsafbeelding

Om meer inzicht te krijgen in uw blootstelling aan risico's, worden in onze aanvalsafbeelding veelvoorkomende aanvalspatronen op basis van identiteiten weergegeven die zijn gedetecteerd voor uw tenant. De aanvalspatronen worden vertegenwoordigd door MITRE ATT&CK-technieken en worden bepaald door onze geavanceerde risicodetecties. Zie de sectie Risicodetectietype toewijzen aan MITRE-aanvalstype voor meer informatie.

Schermopname van de afbeelding van de aanval in het dashboard.

Wat wordt beschouwd als een aanval in Microsoft Entra ID Protection?

Een aanval is een gebeurtenis waarbij we een slechte actor detecteren die zich probeert aan te melden bij uw omgeving. Met deze gebeurtenis wordt een realtime detectie van aanmeldingsrisico's geactiveerd die is toegewezen aan een bijbehorende MITRE ATT&CK-techniek. Raadpleeg de volgende tabel voor de koppeling tussen de realtime aanmeldingsrisico's en aanvallen van Microsoft Entra ID Protection, zoals gecategoriseerd in MITRE ATT&CK-technieken.

Omdat de aanvalsgrafiek alleen realtime-aanmeldingsrisicoactiviteit illustreert, is riskante gebruikersactiviteit niet opgenomen. Als u riskante gebruikersactiviteiten in uw omgeving wilt visualiseren, gaat u naar het rapport riskante gebruikers.

Hoe kan ik de aanvalsafbeelding interpreteren?

De afbeelding bevat aanvalstypen die de afgelopen 30 dagen van invloed waren op uw tenant en of ze tijdens het aanmelden zijn geblokkeerd. Aan de linkerkant ziet u het volume van elk aanvalstype. Aan de rechterkant worden de aantallen geblokkeerde en nog te herstellen aanvallen weergegeven. De grafiek wordt elke 24 uur bijgewerkt en telt detecties van risico-aanmeldingen die in realtime plaatsvinden; Daarom komt het totale aantal aanvallen niet overeen met het totale aantal detecties.

  • Geblokkeerd: een aanval wordt geclassificeerd als geblokkeerd als de bijbehorende riskante aanmelding wordt onderbroken door een toegangsbeleid, zoals het vereisen van meervoudige verificatie. Deze actie voorkomt dat de aanvaller zich aanmeldt en blokkeert de aanval.
  • Niet opgelost: geslaagde riskante aanmeldpogingen die niet zijn onderbroken en waarvoor een aanpak nodig is. Daarom moeten risicodetecties die zijn gekoppeld aan deze riskante aanmeldingen ook herstel vereisen. U kunt deze aanmeldingen en de bijbehorende risicodetecties bekijken in het rapport Riskante aanmeldingen door te filteren op de risicostatus 'Risico'.

Waar kan ik de aanvallen bekijken?

Als u details van aanvallen wilt bekijken, kunt u het aantal aanvallen aan de linkerkant van de grafiek selecteren. In deze grafiek gaat u naar het rapport over risicodetecties dat is gefilterd op dat aanvalstype.

U kunt rechtstreeks naar het rapport risicodetecties gaan en filteren op aanvalstypen. Het aantal aanvallen en detecties is niet een één-op-één-relatie.

Type risicodetectie voor toewijzing van MITRE-aanvalstypen

Detectie van aanmeldingsrisico's in realtime Detectietype Koppeling van MITRE ATT&CK-technieken Aanval weergavenaam Type
Afwijkend token Realtime of offline T1539 Diefstal van websessiecookies/tokens Hoogwaardig
Onbekende aanmeldingseigenschappen In werkelijke tijd T1078 Toegang met een geldig account (gedetecteerd bij aanmelden) Premium
Ip-adres van geverifieerde bedreigingsacteur Realtijd T1078 Toegang met een geldig account (gedetecteerd bij aanmelden) Premium
Anoniem IP-adres Realtime T1090 Obfuscatie/Toegang via proxy Geen premium
Bedreigingsinformatie van Microsoft Entra Realtime of offline T1078 Toegang met een geldig account (gedetecteerd bij aanmelden) Niet-premium

Kaart

Er wordt een kaart verstrekt om de geografische locatie van de riskante aanmeldingen in uw tenant weer te geven. De grootte van de bubbel weerspiegelt het volume van de risico-aanmeldingen op die locatie. Als u de muisaanwijzer boven de ballon houdt, wordt een informatielabel weergegeven dat de landsnaam en het aantal riskante aanmeldingen vanaf die locatie toont.

Schermopname van de kaartafbeelding in het dashboard.

Het bevat de volgende elementen:

  • Datumbereik: kies het datumbereik en bekijk riskante aanmeldingen binnen dat tijdsbereik op de kaart. Beschikbare waarden zijn: afgelopen 24 uur, afgelopen zeven dagen en afgelopen één maand.
  • Risiconiveau: kies het risiconiveau van de riskante aanmeldingen om weer te geven. Beschikbare waarden zijn: Hoog, Gemiddeld, Laag.
  • Aantal riskante locaties :
    • Definitie: Het aantal locaties van waaruit de riskante aanmeldingen van uw tenant afkomstig waren.
    • Het datumbereik en het filter op risiconiveau zijn van toepassing op dit aantal.
    • Als u dit aantal selecteert, gaat u naar het rapport Riskante aanmeldingen, gefilterd op het geselecteerde datumbereik en het risiconiveau.
  • Aantal riskante aanmeldingen :
    • Definitie: Het aantal totale riskante aanmeldingen met het geselecteerde risiconiveau in het geselecteerde datumbereik.
    • Het datumbereik en het filter op risiconiveau zijn van toepassing op dit aantal.
    • Als u dit aantal selecteert, gaat u naar het rapport Riskante aanmeldingen, gefilterd op het geselecteerde datumbereik en het risiconiveau.

Aanbevelingen

Aanbevelingen voor Microsoft Entra ID Protection helpen klanten bij het configureren van hun omgeving om hun beveiligingspostuur te verhogen. Deze aanbevelingen zijn gebaseerd op de aanvallen die in de afgelopen 30 dagen in uw tenant zijn gedetecteerd. De aanbevelingen worden gegeven om uw beveiligingspersoneel te begeleiden bij aanbevolen acties die moeten worden ondernomen.

Schermopname met aanbevelingen in het dashboard.

Veelvoorkomende aanvallen die vaak worden waargenomen, zoals wachtwoordsproei-aanvallen, gelekte inloggegevens in uw tenant en massale toegang tot gevoelige bestanden, kunnen erop wijzen dat er een mogelijke inbreuk is opgetreden. In de vorige schermopname heeft Identity Protection ten minste 20 gebruikers met gelekte referenties in uw tenant gedetecteerd, en in dit geval wordt aanbevolen om een beleid voor voorwaardelijke toegang te maken dat zorgt voor een veilige reset van het wachtwoord van riskante gebruikers.

In het onderdeel aanbevelingen op ons dashboard zien klanten:

  • Maximaal drie aanbevelingen als er specifieke aanvallen plaatsvinden in hun tenant.
  • Inzicht in de impact van de aanval.
  • Directe koppelingen om passende acties te ondernemen voor herstel.

Klanten met P2-licenties kunnen een uitgebreide lijst met aanbevelingen bekijken die inzicht bieden in acties. Wanneer Alles weergeven is geselecteerd, wordt er een deelvenster geopend met meer aanbevelingen die zijn geactiveerd op basis van de aanvallen in hun omgeving.

Recente activiteiten

Recente activiteit biedt een overzicht van recente risicogerelateerde activiteiten in uw tenant. Mogelijke activiteitstypen zijn:

  1. Aanvalsactiviteit
  2. Activiteit voor Beheerremediëring
  3. Zelfherstelactiviteit
  4. Nieuwe gebruikers met een hoog risico

Schermopname van recente activiteiten in het dashboard.

Bekende problemen

Afhankelijk van de configuratie van uw tenant zijn er mogelijk geen aanbevelingen of recente activiteiten op uw dashboard.

Gerelateerde inhoud