Microsoft Entra ID Protection 儀表板
Microsoft Entra ID Protection 透過偵測身分識別攻擊和報告風險來防止身分識別外洩。 它可讓客戶藉由監視風險、調查組織,以及設定風險型存取原則來保護其組織,以保護敏感性存取,並自動補救風險。
我們的儀表板可協助客戶進一步分析其安全性態勢、了解保護程度、識別弱點,以及執行建議的動作。
此儀錶板使組織能夠獲得針對租戶量身打造的深入見解和實用建議。 這項資訊可讓您更深入地檢視組織的安全性狀態,並讓您據以啟用有效的保護。 您可以存取關鍵指標、攻擊圖表、標示高風險地點的地圖、強化安全性狀態的最佳建議以及最近的活動。
必要條件
若要存取此儀表板,您需要:
- Microsoft Entra ID Free、Microsoft Entra ID P1 或 Microsoft Entra ID P2 授權,適用於您的使用者。
- Microsoft Entra ID P2 授權,以檢視建議的完整清單,並選取建議的動作連結。
存取儀表板
您可以透過下列方式存取儀表板:
- 至少以安全性讀者的身分登入Microsoft Entra 系統管理中心。
- 依序瀏覽至 保護>身分識別保護>儀表板。
計量卡片
隨著您實作更多安全性措施 (例如以風險為基礎的原則),您的租用戶的保護便會提升。 我們提供四個主要計量,以協助您瞭解您已具備的安全性措施的有效性。
| 計量 | 計量定義 | 刷新頻率 | 檢視詳細資料的位置 |
|---|---|---|---|
| 封鎖的攻擊數目 | 此租用戶每日封鎖的攻擊數目。 如果具風險的登入因存取原則中斷,則攻擊將視為已遭封鎖。 原則所需的存取控制應封鎖攻擊者登入,因此將即時封鎖攻擊。 |
每 24 小時。 | 在風險偵測報告中檢視判斷攻擊的風險偵測,根據下列篩選依據篩選「風險狀態」: - 已補救 - 已駁回 - 確認安全 |
| 已保護的使用者數目 | 此租用戶中每天風險狀態從 [有風險] 變更為 [已補救] 或 [已解除] 的使用者數目。 [已補救] 風險狀態表示使用者透過完成多因素驗證(MFA)或修改安全密碼來自行補救其使用者風險,因此其帳戶受到保護。 [已解除] 風險狀態表示系統管理員已解除使用者的風險,因為已識別使用者的帳戶為安全。 |
每 24 小時。 | 查看在風險使用者報告中的已獲保護使用者,依據以下篩選「風險狀態」: - 已補救 - 撤銷 |
| 使用者自我補救風險所需的平均時間 | 租用戶中具風險使用者風險狀態從 [有風險] 變更為 [已補救] 的平均時間。 當使用者透過 MFA 或安全密碼變更自我補救使用者風險時,其風險狀態變更為 [已補救]。 為了減少租用戶的自我補救時間,請部署基於風險的條件式存取政策。 |
每 24 小時。 | 在具風險使用者報告中檢視已補救的使用者,根據下列篩選依據篩選「風險狀態」: - 已補救 |
| 偵測到的新高風險使用者數目 | 每日偵測到風險層級「高」的新具風險使用者數目。 | 每 24 小時。 | 在風險使用者報告中檢視高風險使用者,並篩選風險層級 -「高」 |
下列三個計量的資料彙總已自 2023 年 6 月 22 日開始,因此提供自該日期起的計量。 我們正致力於更新圖形以反映這一點。
- 封鎖的攻擊數目
- 已保護的使用者數目
- 補救使用者風險的平均時間
圖表提供連續更新的 12 個月期間的資料。
攻擊圖形
為了進一步協助您了解風險暴露,我們的攻擊圖形顯示針對租用戶偵測到的常見身分識別型攻擊模式。 攻擊模式是以 MITRE ATT&CK 技術所呈現,並由我們的進階風險檢測決定。 如需詳細資訊,請參閱 MITRE 攻擊類型對應的風險偵測類型一節。
Microsoft Entra ID Protection 所視的攻擊為何?
攻擊是一個事件,指我們偵測到惡意行為者嘗試登入您的環境。 此事件會觸發即時登入
由於攻擊圖形僅說明即時登入風險活動,因此不包含具風險使用者活動。 若要視覺化環境中的具風險使用者活動,您可以移至具風險使用者報告。
如何解譯攻擊圖形?
圖形顯示過去 30 天內影響租用戶的攻擊類型,以及在登入期間是否遭到封鎖。 在左側,您會看到每種攻擊類型的數量。 右側會顯示封鎖和尚未補救的攻擊數目。 圖形每隔 24 小時更新一次,並即時計算發生的風險登入偵測;因此,攻擊總數目不符合偵測總數目。
- 已封鎖:如果相關聯的具風險登入因存取原則而中斷 (例如需要多重要素驗證),則攻擊會分類為已封鎖。 此動作可防止攻擊者登入並封鎖攻擊。
- 未補救:未中斷但需要補救的成功具風險登入。 因此,與這些具風險登入相關的風險偵測也需要補救。 您可以使用「有風險」風險狀態篩選,在具風險登入報告中檢視這些登入和相關的風險偵測。
我可以在哪裡檢視攻擊?
若要檢視攻擊詳細資料,您可以選取圖形左側的攻擊計數。 圖形將引導您前往根據該攻擊類型篩選的風險偵測報告。
您可以直接移至風險偵測報告並篩選攻擊類型。 攻擊和偵測數目不是一對一對應。
風險偵測類型到 MITRE 攻擊類型的映射
| 即時登入風險偵測 | 偵測類型 | MITRE ATT&CK 技術對應 | 攻擊顯示名稱 | 類型 |
|---|---|---|---|---|
| 異常代幣 | 即時或離線 | T1539 | 竊取 Web 工作階段 Cookie/令牌竊取 | 高級 |
| 不熟悉的登入屬性 | 即時 | T1078 | 在登入時偵測到使用有效帳戶登入 | 高級 |
| 已驗證的威脅行為者 IP | 即時 | T1078 | 使用有效帳戶進行存取(在登入時檢測) | 高級 |
| 匿名 IP 位址 | 即時 | T1090 | 使用 Proxy 混淆/存取 | 非高級 |
| Microsoft Entra 威脅情報 | 即時或離線 | T1078 | 使用有效帳戶存取(在登入時檢測到) | 非高級 |
地圖
提供地圖來顯示您租戶中具風險登入的地理位置。 泡泡的大小反映該位置風險登入的數量。 將滑鼠停留在泡泡上方會顯示呼叫方塊,提供國家名稱和來自該位置的具風險登入數目。
其中包含下列元素:
- 日期範圍:選擇日期範圍並在地圖上檢視該時間範圍內的具風險登入。 可用的值:過去 24 小時、過去 7 天和過去一個月。
- 風險層級:選擇要檢視的具風險登入風險層級。 可用的值:高、中、低。
-
風險位置 計數:
- 定義:租用戶具風險登入的來源位置數目。
- 日期範圍和風險層級篩選會套用至此計數。
- 選取此數值將引導您前往依所選日期範圍和風險層級篩選的風險登入報告。
- 具風險登入計數:
- 定義;所選日期範圍內所選風險層級的具風險登入總數目。
- 日期範圍和風險層級篩選會套用至此計數。
- 選擇此計數將引導您至已依所選日期範圍及風險層級篩選的高風險登入報告。
建議
Microsoft Entra ID Protection 建議可協助客戶設定環境以增加安全性態勢。 這些建議是基於在過去 30 天內於租戶中偵測到的攻擊。 系統會提供建議,以引導您的安全性人員採取適當的行動。
常見的攻擊 (例如密碼噴灑、租用戶的認證外洩及大量存取敏感性檔案) 可以通知您有潛在的缺口。 在上一個螢幕擷取畫面中,範例身分識別保護至少在租用戶中偵測到 20 個認證外洩的使用者,在此情況下,建議的動作會是建立條件式存取原則,要求具風險使用者重設安全密碼。
在我們儀表板上的建議元件中,客戶會看到:
- 如果租戶中發生特定攻擊,將提供最多三個建議事項。
- 對攻擊影響的深入解析。
- 提供直接連結以採取適當的補救措施。
具備 P2 授權的客戶可以查看一份詳盡的建議清單,內含行動建議和深入見解。 選取「檢視全部」時,將開啟一個面板,顯示由環境中的攻擊觸發的更多建議。
最近活動
最近活動可提供您租戶中最近風險相關活動的摘要。 可能的活動類型:
- 攻擊活動
- 管理員修正活動
- 自我補救活動
- 新高風險使用者
已知問題
依據租戶環境的不同,您的儀表板上可能不會顯示建議或最近的活動。