Řídicí panel Microsoft Entra ID Protection
Microsoft Entra ID Protection zabraňuje ohrožení identity tím, že detekuje útoky na identity a hlásí rizika. Umožňuje zákazníkům chránit své organizace monitorováním rizik, zkoumáním a konfigurací zásad přístupu na základě rizik, které chrání citlivý přístup a automaticky opravují rizika.
Náš řídicí panel pomáhá zákazníkům lépe analyzovat stav zabezpečení, pochopit, jak dobře jsou chráněni, identifikovat ohrožení zabezpečení a provádět doporučené akce.
Tento řídicí panel umožňuje organizacím bohaté přehledy a užitečná doporučení přizpůsobená vašemu tenantovi. Tyto informace poskytují lepší přehled o stavu zabezpečení vaší organizace a umožňují odpovídajícím způsobem povolit efektivní ochranu. Máte přístup ke klíčovým metrikám, grafikám útoku, mapě se zvýrazněným rizikovým umístěním, hlavním doporučením pro vylepšení stavu zabezpečení a nedávných aktivit.
Požadavky
Pro přístup k tomuto řídicímu panelu potřebujete:
- Licence Microsoft Entra ID Free, Microsoft Entra ID P1 nebo Microsoft Entra ID P2 pro vaše uživatele.
- Licence Microsoft Entra ID P2 k zobrazení komplexního seznamu doporučení a výběru doporučených odkazů na akce.
Přístup k řídicímu panelu
K řídicímu panelu se dostanete tak, že:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Čtenář zabezpečení.
- Přejděte na ochrana identity>Ochrana identity>řídicí panel.
Karty metrik
Při implementaci více bezpečnostních opatření, jako jsou zásady založené na riziku, vaše ochrana tenanta posiluje. Poskytujeme čtyři klíčové metriky, které vám pomůžou pochopit efektivitu zavedených bezpečnostních opatření.
| Metrika | Definice metriky | Četnost aktualizace | Kde zobrazit podrobnosti |
|---|---|---|---|
| Počet blokovaných útoků | Počet útoků zablokovaných pro tohoto nájemce každý den. Útok se považuje za blokovaný, pokud je rizikové přihlášení přerušeno jakoukoli zásadou přístupu. Řízení přístupu vyžadované zásadou by mělo útočníkovi zablokovat přihlášení, a tím by blokoval útok v reálném čase. |
Každých 24 hodin | Prohlédněte si detekce rizik, které určíly útoky ve zprávě Detekce rizik sestavy, vyfiltrujte stav rizika podle: - Náprava - Propuštěný - Potvrzeno bezpečné |
| Počet chráněných uživatelů | Počet uživatelů v tomto tenantu, jejichž stav rizika se v každém dni změnil z rizika na Usmířený nebo Odmítnuto. Stav nápravného rizika značí, že uživatel sám opravil riziko uživatele dokončením vícefaktorového ověřování nebo bezpečné změny hesla a jeho účet je proto chráněn. Zamítnutý stav rizika označuje, že správce zavřel riziko uživatele, protože zjistil, že účet uživatele má být bezpečný. |
Každých 24 hodin | Zobrazte uživatele chráněné v sestavě Rizikoví uživatelé a filtrujte podle stavu rizika: - Náprava - Propuštěný |
| Průměrná doba, kdy uživatelé napraví svá rizika sami | Průměrná doba pro změnu stavu rizika rizikových uživatelů ve vašem tenantovi z Ohroženo na Opraveno. Stav rizika uživatele se změní na Řešeno, když uživatel sám odstraní riziko prostřednictvím vícefaktorového ověřování nebo zabezpečené změny hesla. Pokud chcete zkrátit dobu samonápravy ve vašem tenantovi, zaveďte zásady podmíněného přístupu založené na riziku. |
Každých 24 hodin | Zobrazte uživatele po nápravě v sestavě Rizikoví uživatelé a vyfiltrujte podle stavu rizika: - Opraveno |
| Počet zjištěných nových vysoce rizikových uživatelů | Počet nových rizikových uživatelů s úrovní rizika Vysoká zjištěná každý den | Každých 24 hodin | Zobrazení vysoce rizikových uživatelů v sestavě rizikových uživatelů a filtrování úrovní rizika podle - "Vysoká" |
Agregace dat pro následující tři metriky začala 22. června 2023, takže tyto metriky jsou k dispozici od tohoto data. Pracujeme na aktualizaci grafu tak, aby to odráželo.
- Počet blokovaných útoků
- Počet chráněných uživatelů
- Střední doba pro nápravu rizika uživatele
Grafy poskytují posuvné 12měsíční okno dat.
Obrázek útoku
Abychom vám pomohli lépe porozumět ohrožení rizik, naše grafika útoku zobrazuje běžné vzory útoku založené na identitě zjištěné pro vašeho tenanta. Vzory útoku jsou reprezentovány technikami MITRE ATT&CK a jsou určeny našimi pokročilými detekcemi rizik. Další informace najdete v části Typ detekce rizik na mapování typu útoku MITRE.
Co se považuje za útok ve službě Microsoft Entra ID Protection?
Útok je událost, kdy zjistíme špatného útočníka, který se pokouší přihlásit k vašemu prostředí. Tato událost aktivuje detekci rizik přihlašování v reálném čase namapovanou na odpovídající techniku MITRE ATT&CK. V následující tabulce naleznete mapování mezi detekcemi rizik přihlašování v reálném čase pomocí Microsoft Entra ID Protection a útoky, v souladu s technikami MITRE ATT&CK.
Vzhledem k tomu, že graf útoku znázorňuje pouze aktivitu rizik přihlašování v reálném čase, není zahrnuta riziková aktivita uživatelů. Pokud chcete vizualizovat rizikovou aktivitu uživatelů ve vašem prostředí, můžete přejít na sestavu rizikových uživatelů.
Jak interpretovat grafiku útoku?
Obrázek představuje typy útoků, které ovlivnily vašeho tenanta za posledních 30 dnů a jestli se během přihlašování zablokovaly. Na levé straně uvidíte objem každého typu útoku. Zobrazí se počet blokovaných a dosud neodstraněných útoků napravo. Graf se aktualizuje každých 24 hodin a počítá zjišťování rizik přihlašování, ke kterým dochází v reálném čase; celkový počet útoků proto neodpovídá celkovému počtu detekcí.
- Blokováno: Útok se klasifikuje jako blokovaný, pokud přidružené rizikové přihlašování přeruší zásady přístupu, jako je vyžadování vícefaktorového ověřování. Tato akce brání přihlášení útočníka a blokuje útok.
- Nenapravováno: Úspěšná riziková přihlášení, která nebyla přerušena a vyžadují opatření. Detekce rizik spojených s těmito rizikovými přihlášeními proto také vyžadují nápravu. Tyto přihlášení a související detekce rizik můžete zobrazit v sestavě rizikových přihlášení filtrováním podle stavu rizika "ohrožení".
Kde se dají útoky zobrazit?
Pokud chcete zobrazit podrobnosti o útoku, můžete vybrat počet útoků na levé straně grafu. Tento graf vás přenese do sestavy detekce rizik filtrované podle tohoto typu útoku.
Můžete přejít přímo na sestavu detekce rizik a filtrovat typy útoků. Počet útoků a detekcí nemá přímý vztah jedna ku jedné.
Typ detekce rizik na mapování typu útoku MITRE
| Detekce rizik přihlašování v reálném čase | Typ detekce | Mapování techniky MITRE ATT&CK | Zobrazovaný název útoku | Typ |
|---|---|---|---|---|
| Neobvyklý token | V reálném čase nebo offline | T1539 | Krádež souboru cookie webové relace / krádež tokenu | Prémiový |
| Neznámé vlastnosti přihlášení | V reálném čase | T1078 | Přístup pomocí platného účtu (zjištěn při přihlášení) | Prémiový |
| Ověřená IP adresa subjektu hrozeb | V reálném čase | T1078 | Přístup pomocí platného účtu (zjištěn při přihlášení) | Prémiový |
| Anonymní IP adresa | V reálném čase | T1090 | Obfuskace / Přístup pomocí proxy serveru | Neprémiový |
| Microsoft Entra Threat Intelligence | V reálném čase nebo offline | T1078 | Přístup pomocí platného účtu (zjištěn při přihlášení) | Nepremiumový |
Mapa
K dispozici je mapa pro zobrazení zeměpisné polohy rizikových přihlášení ve vašem tenantovi. Velikost bubliny odráží objem rizikových přihlášení na daném místě. Když najedete myší na bublinu, zobrazí se pole pro volání a zobrazí se název země a počet rizikových přihlášení z tohoto místa.
Obsahuje následující prvky:
- Rozsah dat: Zvolte rozsah dat a zobrazte rizikové přihlášení z tohoto časového rozsahu na mapě. Dostupné hodnoty jsou: posledních 24 hodin, posledních sedm dní a poslední měsíc.
- Úroveň rizika: Zvolte úroveň rizika rizikových přihlášení, která chcete zobrazit. Dostupné jsou hodnoty: Vysoká, Střední, Nízká.
-
Počet rizikových umístění :
- Definice: Počet umístění, ze kterých pocházela riziková přihlášení vašeho tenanta.
- Pro tento počet platí filtr rozsahu dat a úrovně rizika.
- Výběrem tohoto počtu přejdete do sestavy rizikových přihlášení filtrovaných podle vybraného rozsahu dat a úrovně rizika.
-
Riziková přihlášení počet:
- Definice: Počet celkových rizikových přihlášení s vybranou úrovní rizika ve vybraném rozsahu kalendářních dat.
- Pro tento počet platí filtr rozsahu dat a úrovně rizika.
- Výběrem tohoto počtu přejdete do sestavy rizikových přihlášení filtrovaných podle vybraného rozsahu dat a úrovně rizika.
Doporučení
Doporučení microsoft Entra ID Protection pomáhají zákazníkům nakonfigurovat své prostředí, aby zvýšili stav zabezpečení. Tato doporučení vycházejí z útoků zjištěných ve vašem tenantovi za posledních 30 dnů. K dispozici jsou doporučení, která vás provedou bezpečnostními pracovníky doporučenými akcemi, které je potřeba provést.
Běžné útoky, které se zobrazují, jako je útok heslem, únik přihlašovacích údajů ve vašem tenantovi a hromadný přístup k citlivým souborům, vás můžou informovat, že došlo k potenciálnímu porušení zabezpečení. Na předchozím snímku obrazovky ukázková služba Identity Protection zjistila alespoň 20 uživatelů se zkompromitovanými přihlašovacími údaji ve vašem tenantovi, v tomto případě se doporučuje vytvořit zásadu podmíněného přístupu vyžadující bezpečné resetování hesla u rizikových uživatelů.
V komponentě doporučení na našem řídicím panelu si zákazníci prohlédnou:
- Maximálně tři doporučení, pokud v tenantovi dojde k určitým útokům.
- Přehled o dopadu útoku.
- Přímé odkazy na provedení vhodných akcí pro nápravu.
Zákazníci s licencemi P2 můžou zobrazit úplný seznam doporučení, která poskytují přehledy o akcích. Když je vybrána možnost Zobrazit vše, otevře se panel zobrazující další doporučení aktivovaná na základě útoků v jejich prostředí.
Nedávné aktivity
Nedávné aktivity poskytují souhrn nedávných aktivit souvisejících s riziky ve vašem nájemci. Možné typy aktivit:
- Aktivita útoku
- Správcovská nápravná aktivita
- Aktivita samonápravy
- Noví uživatelé s vysokým rizikem
Známé problémy
V závislosti na konfiguraci tenanta nemusí na řídicím panelu existovat doporučení ani nedávné aktivity.