Řídicí panel Microsoft Entra ID Protection
Microsoft Entra ID Protection zabraňuje ohrožení identity tím, že detekuje útoky na identity a hlásí rizika. Umožňuje zákazníkům chránit své organizace monitorováním rizik, zkoumáním a konfigurací zásad přístupu na základě rizik, které chrání citlivý přístup a automaticky opravují rizika.
Náš řídicí panel pomáhá zákazníkům lépe analyzovat stav zabezpečení, pochopit, jak dobře jsou chráněni, identifikovat ohrožení zabezpečení a provádět doporučené akce.
Tento řídicí panel je navržený tak, aby organizacím umožňuje bohaté přehledy a užitečná doporučení přizpůsobená vašemu tenantovi. Tyto informace poskytují lepší přehled o stavu zabezpečení vaší organizace a umožňují odpovídajícím způsobem povolit efektivní ochranu. Máte přístup ke klíčovým metrikám, grafikám útoku, mapě se zvýrazněným rizikovým umístěním, hlavním doporučením pro vylepšení stavu zabezpečení a nedávných aktivit.
Požadavky
Pro přístup k tomuto řídicímu panelu potřebujete:
- Licence Microsoft Entra ID Free nebo Microsoft Entra ID P1 nebo Microsoft Entra ID P2 pro vaše uživatele.
- Pokud chcete zobrazit úplný seznam doporučení a vybrat doporučené odkazy na akce, potřebujete licence Microsoft Entra ID P2.
Přístup k řídicímu panelu
K řídicímu panelu se dostanete tak, že:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář zabezpečení.
- Přejděte na řídicí panel ochrany>Identity Protection.>
Karty metrik
Při implementaci více bezpečnostních opatření, jako jsou zásady založené na riziku, vaše ochrana tenanta posiluje. Teď tedy poskytujeme čtyři klíčové metriky, které vám pomůžou pochopit efektivitu zavedených bezpečnostních opatření.
| Metrika | Definice metriky | Četnost aktualizace | Kde zobrazit podrobnosti |
|---|---|---|---|
| Počet blokovaných útoků | Početútokůch Útok se považuje za blokovaný, pokud je rizikové přihlášení přerušeno všemi zásadami přístupu. Řízení přístupu vyžadované zásadou by mělo útočníkovi zablokovat přihlášení, a tím by blokoval útok v reálném čase. |
Každých 24 hodin | Prohlédněte si detekce rizik, které určily útoky v sestavě Detekce rizik, vyfiltrujte stav rizika podle: - Náprava - Propuštěný - Potvrzeno bezpečné |
| Počet chráněných uživatelů | Počet uživatelů v tomto tenantovi, jejichž stav rizika se v každém dni změnil z rizika na Nápravu nebo Zamítnuto . Stav nápravného rizika značí, že uživatel sám opravil riziko uživatele dokončením vícefaktorového ověřování nebo bezpečné změny hesla a jeho účet je proto chráněn. Zamítnutý stav rizika označuje, že správce zavřel riziko uživatele, protože zjistil, že účet uživatele má být bezpečný. |
Každých 24 hodin | Zobrazte uživatele chráněné v sestavě Rizikových uživatelů a vyfiltrujte stav rizika podle: - Náprava - Propuštěný |
| Střední doba, kdy uživatelé napraví svá rizika sami | Average time for the Risk state of risky users in your tenant to change from At risk to Remediated. Stav rizika uživatele se změní na nápravu , když sám opraví riziko uživatele prostřednictvím vícefaktorového ověřování nebo zabezpečené změny hesla. Pokud chcete zkrátit dobu samoobslužné nápravy ve vašem tenantovi, nasaďte zásady podmíněného přístupu na základě rizik. |
Každých 24 hodin | Zobrazte nápravné uživatele v sestavě Rizikových uživatelů a vyfiltrujte stav rizika podle: - Náprava |
| Počet zjištěných nových vysoce rizikových uživatelů | Počet nových rizikových uživatelů s úrovní rizika Vysoká zjištěná každý den | Každých 24 hodin | Zobrazení vysoce rizikových uživatelů v sestavě Rizikových uživatelů a filtrování úrovně rizika podle - "Vysoká" |
Agregace dat pro následující tři metriky začala 22. června 2023, takže tyto metriky jsou k dispozici od tohoto data. Pracujeme na aktualizaci grafu tak, aby to odráželo.
- Počet blokovaných útoků
- Počet chráněných uživatelů
- Střední doba pro nápravu rizika uživatelů
Grafy poskytují 12měsíční interval dat.
Obrázek útoku
Abychom vám pomohli lépe porozumět ohrožení rizik, naše grafika útoku zobrazuje běžné vzory útoku založené na identitě zjištěné pro vašeho tenanta. Vzory útoku jsou reprezentovány technikami MITRE ATT&CK a jsou určeny našimi pokročilými detekcemi rizik. Další informace najdete v části Typ detekce rizik na mapování typu útoku MITRE.
Co se považuje za útok ve službě Microsoft Entra ID Protection?
Útok je událost, kdy zjistíme chybný objekt actor, který se pokouší přihlásit k vašemu prostředí. Tato událost aktivuje detekci rizik přihlašování v reálném čase namapovanou na odpovídající techniku MITRE ATT&CK. V následující tabulce najdete mapování mezi detekcemi rizik přihlašování a útoky microsoft Entra ID Protection v reálném čase podle technik MITRE ATT&CK.
Vzhledem k tomu, že graf útoku znázorňuje pouze aktivitu rizik přihlašování v reálném čase, není zahrnuta riziková aktivita uživatelů. Pokud chcete vizualizovat rizikovou aktivitu uživatelů ve vašem prostředí, můžete přejít na sestavu rizikových uživatelů.
Jak interpretovat grafiku útoku?
Obrázek představuje typy útoků, které ovlivnily vašeho tenanta za posledních 30 dnů a jestli se během přihlašování zablokovaly. Na levé straně uvidíte objem každého typu útoku. Napravo se zobrazí počet blokovaných a dosud nápravných útoků. Graf se aktualizuje každých 24 hodin a počítá zjišťování rizik přihlašování, ke kterým dochází v reálném čase; celkový počet útoků proto neodpovídá celkovému počtu detekcí.
- Blokováno: Útok se klasifikuje jako blokovaný, pokud přidružené rizikové přihlašování přeruší zásady přístupu, jako je vyžadování vícefaktorového ověřování. Tato akce brání přihlášení útočníka a blokuje útok.
- Nenapravováno: Úspěšné rizikové přihlášení, která nebyla přerušena a potřebují nápravu. Detekce rizik spojených s těmito rizikovými přihlášeními proto také vyžadují nápravu. Tyto přihlášení a související detekce rizik můžete zobrazit v sestavě rizikových přihlášení filtrováním se stavem rizika Rizika.
Kde se dají útoky zobrazit?
Pokud chcete zobrazit podrobnosti o útoku, můžete vybrat počet útoků na levé straně grafu. Tento graf vás přenese do sestavy detekce rizik filtrované podle tohoto typu útoku.
Můžete přejít přímo na sestavu detekce rizik a filtrovat typy útoků. Početútokůch
Typ detekce rizik na mapování typu útoku MITRE
| Detekce rizik přihlašování v reálném čase | Typ detekce | Mapování techniky MITRE ATT&CK | Zobrazovaný název útoku | Typ |
|---|---|---|---|---|
| Neobvyklý token | V reálném čase nebo offline | T1539 | Krádež souboru cookie webové relace / krádež tokenu | Premium |
| Neznámé vlastnosti přihlášení | V reálném čase | T1078 | Přístup pomocí platného účtu (zjištěn při přihlášení) | Premium |
| Ip adresa ověřeného objektu actor hrozeb | V reálném čase | T1078 | Přístup pomocí platného účtu (zjištěn při přihlášení) | Premium |
| Anonymní IP adresa | V reálném čase | T1090 | Obfuskace / Přístup pomocí proxy serveru | Nonpremium |
| Microsoft Entra Threat Intelligence | V reálném čase nebo offline | T1078 | Přístup pomocí platného účtu (zjištěn při přihlášení) | Nonpremium |
Mapovat
K dispozici je mapa pro zobrazení zeměpisné polohy rizikových přihlášení ve vašem tenantovi. Velikost bubliny odráží objem rizikových přihlášení v daném umístění. Když najedete myší na bublinu, zobrazí se pole pro volání a zobrazí se název země a počet rizikových přihlášení z tohoto místa.
Obsahuje následující prvky:
- Rozsah dat: Zvolte rozsah dat a zobrazte rizikové přihlášení z tohoto časového rozsahu na mapě. Dostupné hodnoty jsou: posledních 24 hodin, posledních sedm dní a poslední měsíc.
- Úroveň rizika: Zvolte úroveň rizika rizikových přihlášení, která chcete zobrazit. Dostupné jsou hodnoty: Vysoká, Střední, Nízká.
- Počet rizikových umístění :
- Definice: Počet umístění, ze kterých pochází rizikové přihlášení vašeho tenanta.
- Pro tento počet platí filtr rozsahu dat a úrovně rizika.
- Výběrem tohoto počtu přejdete do sestavy rizikových přihlášení filtrovaných podle vybraného rozsahu dat a úrovně rizika.
- Rizikový počet přihlášení :
- Definice: Počet celkových rizikových přihlášení s vybranou úrovní rizika ve vybraném rozsahu kalendářních dat.
- Pro tento počet platí filtr rozsahu dat a úrovně rizika.
- Výběrem tohoto počtu přejdete do sestavy rizikových přihlášení filtrovaných podle vybraného rozsahu dat a úrovně rizika.
Doporučení
Doporučení microsoft Entra ID Protection pomáhají zákazníkům nakonfigurovat své prostředí, aby zvýšili stav zabezpečení. Tato doporučení vycházejí z útoků zjištěných ve vašem tenantovi za posledních 30 dnů. K dispozici jsou doporučení, která vás provedou bezpečnostními pracovníky doporučenými akcemi, které je potřeba provést.
Běžné útoky, které se zobrazují, jako je útok heslem, únik přihlašovacích údajů ve vašem tenantovi a hromadný přístup k citlivým souborům, vás můžou informovat, že došlo k potenciálnímu porušení zabezpečení. Na předchozím snímku obrazovky ukázková služba Identity Protection zjistila alespoň 20 uživatelů s nevrácenými přihlašovacími údaji ve vašem tenantovi , v tomto případě by se doporučuje vytvořit zásadu podmíněného přístupu vyžadující bezpečné resetování hesla u rizikových uživatelů.
V komponentě doporučení na našem řídicím panelu si zákazníci prohlédnou:
- Až tři doporučení, pokud v tenantovi dojde k určitým útokům.
- Přehled o dopadu útoku.
- Přímé odkazy na provedení vhodných akcí pro nápravu.
Zákazníci s licencemi P2 můžou zobrazit úplný seznam doporučení, která poskytují přehledy o akcích. Když je vybrána možnost Zobrazit vše, otevře se panel zobrazující další doporučení aktivovaná na základě útoků v jejich prostředí.
Nedávné aktivity
Nedávná aktivita poskytuje souhrn nedávných aktivit souvisejících s riziky ve vašem tenantovi. Možné typy aktivit:
- Aktivita útoku
- Aktivita nápravy správce
- Aktivita samoobslužné nápravy
- Noví uživatelé s vysokým rizikem
Známé problémy
V závislosti na konfiguraci tenanta nemusí na řídicím panelu existovat doporučení ani nedávné aktivity.