Поделиться через

Панель управления Microsoft Entra ID Protection

  • Статья

Защита идентификации Microsoft Entra предотвращает недочеты идентификации путем обнаружения атак на идентификацию и предоставления сведений о рисках. Он позволяет клиентам защищать свои организации путем мониторинга рисков, изучения их и настройки политик доступа на основе рисков для защиты конфиденциального доступа и автоматического устранения рисков.

Наша панель мониторинга помогает клиентам лучше анализировать их состояние безопасности, понимать, насколько хорошо они защищены, выявляют уязвимости и выполняют рекомендуемые действия.

Снимок экрана, демонстрирующий обзорную панель мониторинга Защиты идентификации Microsoft Entra.

Эта панель мониторинга позволяет организациям использовать широкие аналитические сведения и практические рекомендации, адаптированные для вашего клиента. Эта информация обеспечивает лучшее представление о состоянии безопасности вашей организации и позволяет обеспечить эффективную защиту соответствующим образом. У вас есть доступ к ключевым метрикам, графике атак, карте с выделением рискованных расположений, главными рекомендациями по повышению уровня безопасности и недавним действиям.

Предварительные требования

Чтобы получить доступ к этой панели мониторинга, вам потребуется:

  • Лицензии Microsoft Entra ID Free, Microsoft Entra ID P1 или Microsoft Entra ID P2 для пользователей.
  • Лицензии Microsoft Entra ID P2 для просмотра комплексного списка рекомендаций и выбора рекомендуемых ссылок на действия.

Доступ к панели мониторинга

Вы можете получить доступ к панели мониторинга, выполнив следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Обозревателя безопасности.
  2. Перейдите на защиты>идентификации>панель мониторинга.

Карточки показателей

При реализации дополнительных мер безопасности, таких как политики на основе рисков, защита клиента усиливается. Мы предоставляем четыре ключевых метрика, которые помогут вам понять эффективность мер безопасности, которые вы создали.

Снимок экрана: графы метрик на панели мониторинга.

Метрика Определение метрики Периодичность обновления Где просмотреть подробные сведения
Количество заблокированных атак Количество атак, заблокированных для этого клиента в каждый день.

Атака считается заблокированной, если рискованный вход прерывается любой политикой доступа. Управление доступом, необходимое политикой, должно блокировать вход злоумышленника, поэтому блокирует атаку в режиме реального времени.		 Каждые 24 часа. Просмотрите обнаружения рисков, определяющие атаки в отчете об обнаружении рисков, отфильтруйте "Состояние риска" по следующим образом:

- Исправлено
- Уволен
- Подтверждено безопасное
Число защищенных пользователей Количество пользователей в этом клиенте, состояние риска которых изменилось с риска на исправлено или отклонено за каждый день.

Исправленное состояние риска указывает, что пользователь самостоятельно исправил свой риск, завершив MFA или безопасное изменение пароля, и поэтому их учетная запись защищена.

Состояние риска "Отклонено" указывает, что администратор пометил риск как отклонённый, так как он определил учетную запись пользователя как безопасную.		 Каждые 24 часа. Просмотрите пользователей, защищенных в отчете о рискованных пользователях, отфильтруйте "Состояние риска" по следующим:

- Исправлено
- Уволен
Среднее время, которое пользователи тратят на самостоятельное устранение своих рисков Среднее время, за которое состояние риска у рискованных пользователей в клиенте изменяется с В зоне риска на Исправлено.

Состояние риска пользователя изменяется на исправленное при самостоятельном исправлении риска пользователя с помощью MFA или безопасного изменения пароля.

Чтобы сократить время самовосстановления в вашей среде арендатора, разверните политики условного доступа на основе рисков.		 Каждые 24 часа. Просмотрите исправленных пользователей в отчете о рискованных пользователях, отфильтровав по "Состояние риска".

- Исправлено
Число новых пользователей с высоким риском, обнаруженных Число новых рискованных пользователей с высоким уровнем риска, обнаруженных каждый день. Каждые 24 часа. Просмотр пользователей с высоким риском в отчете о рискованных пользователях, фильтрация уровня риска по

- "Высокий"

Агрегирование данных для следующих трех метрик началось 22 июня 2023 г., поэтому эти метрики доступны с этой даты. Мы работаем над обновлением графа, чтобы отразить это.

  • Количество заблокированных атак
  • Число защищенных пользователей
  • Среднее время для устранения пользовательского риска

Графики предоставляют данные за скользящее 12-месячное окно.

Рисунок атаки

Чтобы лучше понять уровень вашего риска, на графике атаки отображаются распространенные шаблоны атак на основе удостоверений, обнаруженные для вашего арендатора. Шаблоны атак представлены методами MITRE ATT&CK и определяются нашими расширенными обнаружениями рисков. Дополнительные сведения см. в разделе "Тип обнаружения рисков" с сопоставлением типов атак MITRE.

Снимок экрана: рисунок атаки на панели мониторинга.

Что считается атакой в Microsoft Entra ID Protection?

Атака — это событие, в котором мы обнаруживаем плохой субъект, пытающийся войти в вашу среду. Это событие активирует обнаружение рисков входа в систему в режиме реального времени, сопоставленное с соответствующей техникой MITRE ATT&CK. Обратитесь к таблице ниже для сопоставления обнаружения рисков входа в реальном времени с помощью Защиты идентификации Microsoft Entra и атак, классифицированных по методам MITRE ATT&CK.

Так как граф атак иллюстрирует только действие риска входа в режиме реального времени, рискованные действия пользователей не включаются. Чтобы визуализировать рискованные действия пользователей в вашей среде, вы можете перейти к отчету о рискованных пользователях.

Как интерпретировать рисунок атаки?

На графике представлены типы атак, которые повлияли на вашего арендатора за последние тридцать дней, и блокировались ли они при входе. В левой части отображается объем каждого типа атаки. Справа отображаются числа заблокированных и еще не исправленных атак. Граф обновляется каждые 24 часа и учитывает обнаружение рисков, возникающих в режиме реального времени; Таким образом, общее количество атак не соответствует общему количеству обнаружений.

  • Заблокировано: атака классифицируется как заблокированная, если связанный рискованный вход прерывается политикой доступа, например требованием многофакторной проверки подлинности. Это действие предотвращает вход злоумышленника и блокирует атаку.
  • Не устранено: успешные рискованные входы, которые не были прерваны и нуждаются в исправлении. Поэтому для обнаружения рисков, связанных с этими рискованными входами, также требуется исправление. Эти входы в систему и связанные обнаруженные риски можно просмотреть в отчете о рисковых входах, отфильтровав по состоянию риска "Под угрозой".

Где можно просмотреть атаки?

Чтобы просмотреть сведения об атаках, можно выбрать количество атак в левой части графа. На этом графике вы перейдете к отчету об обнаружении рисков, отфильтрованном по этому типу атаки.

Вы можете перейти непосредственно к отчету об обнаружении рисков и фильтровать типы атак. Число атак и обнаружений не соответствует друг другу напрямую.

Тип обнаружения рисков с сопоставлением типов атак MITRE

Обнаружение рисков входа в режиме реального времени Тип обнаружения Сопоставление методов MITRE ATT&CK Отображаемое имя атаки Тип
Аномальный жетон В режиме реального времени или в автономном режиме T1539 Кража файлов cookie или токенов веб-сеанса Премиум
Необычные свойства входа Реальное время T1078 Доступ с помощью допустимой учетной записи (обнаружен при входе) Премиум
Проверенный IP-адрес субъекта угроз Реальное время T1078 Доступ с помощью действующей учетной записи (обнаружено при входе) Премиум
Анонимный IP-адрес Реальное время T1090 Маскировка/доступ с использованием прокси-сервера непремиум
Аналитика угроз Microsoft Entra В режиме реального времени или в автономном режиме T1078 Доступ с помощью действующей учетной записи (обнаружено при входе в систему) непремиальный

Карта

Карта предоставляется для отображения географического расположения рискованных попыток входа в вашем клиенте. Размер пузырька отражает объем входов риска в этом расположении. Наведите указатель мыши на пузырёк, показывающий всплывающую подсказку, где указано имя страны и количество рискованных входов из этого места.

Снимок экрана: рисунок карты на панели мониторинга.

Он содержит следующие элементы:

  • Диапазон дат: выберите диапазон дат и просмотрите рискованные входы из этого диапазона времени на карте. Доступны значения: последние 24 часа, последние семь дней и последние месяцы.
  • Уровень риска: выберите уровень риска для просмотра рискованных входов. Доступны следующие значения: высокий, средний, низкий.
  • Количество рискованных расположений :
    • Определение: количество мест, откуда происходили рискованные входы арендатора.
    • Фильтры по диапазону дат и уровню риска применяются к этому подсчету.
    • При выборе этого количества вы перейдете к отчету о рискованных входах, отфильтрованном по выбранному диапазону дат и уровню риска.
  • Количество рискованных входов :
    • Определение: общее количество рискованных входов с выбранным уровнем риска в заданном диапазоне дат.
    • На этот подсчет распространяются диапазон дат и фильтр уровня риска.
    • При выборе этого количества вы перейдете к отчету о рискованных входах, отфильтрованном по выбранному диапазону дат и уровню риска.

Рекомендации

Рекомендации Microsoft Entra ID Protection помогают клиентам настроить свою среду для повышения уровня безопасности. Эти рекомендации основаны на атаках, обнаруженных в клиенте за последние 30 дней. Рекомендации предоставляются для руководства сотрудников безопасности и содержат рекомендуемые действия.

Снимок экрана: рекомендации на панели мониторинга.

Распространенные атаки, такие как распыление паролей, утечка учетных данных в клиенте и массовый доступ к конфиденциальным файлам, могут сообщить вам о возможном нарушении. На предыдущем снимке экрана пример защиты идентификации обнаружил не менее 20 пользователей с утечкой учетных данных в клиенте , рекомендуемое действие в этом случае — создать политику условного доступа, требующую безопасного сброса пароля для рискованных пользователей.

В компоненте рекомендаций на панели мониторинга клиенты видят следующее:

  • До трех рекомендаций, если в клиенте происходят определенные атаки.
  • Анализ влияния атаки.
  • Прямые ссылки для принятия соответствующих действий по исправлению.

Клиенты с лицензиями P2 могут просматривать полный список рекомендаций, которые предоставляют аналитические сведения с действиями. При выборе параметра "Просмотреть все" откроется панель с дополнительными рекомендациями, которые были активированы на основе атак в их среде.

Недавние действия

Недавние действия содержат сводку недавних действий, связанных с рисками в арендаторе. Возможные типы действий:

  1. Действие атаки
  2. Администраторская деятельность по исправлению
  3. Самостоятельное исправление действий
  4. Новые пользователи с высоким уровнем риска

Снимок экрана: последние действия на панели мониторинга.

Известные проблемы

В зависимости от конфигурации клиента может не быть рекомендаций или недавних действий на панели мониторинга.

Связанный контент