Co je Microsoft Entra ID Protection
Microsoft Entra ID Protection pomáhá organizacím zjišťovat, zkoumat a opravovat rizika založená na identitách. Tato rizika mohou být předána do nástrojů, jako je podmíněný přístup, aby bylo možné provádět rozhodnutí o přístupu nebo odesílat nástroji pro správu událostí a informací o zabezpečení (SIEM) pro další šetření a korelaci.
Zjistit rizika
Microsoft průběžně přidává a aktualizuje detekce v našem katalogu za účelem ochrany organizací. Tyto detekce pocházejí z našich učení na základě analýzy miliard signálů každý den ze služby Active Directory, účtů Microsoft a her pomocí Xboxu. Tato široká škála signálů pomáhá službě ID Protection detekovat rizikové chování, jako je:
- Použití anonymníCH IP adres
- Útoky typu hromadného zkoušení hesel
- Uniklé přihlašovací údaje
- a další...
Během každého přihlášení spustí služba ID Protection všechny detekce přihlášení v reálném čase a vygeneruje úroveň rizika relace přihlašování, která udává, jak pravděpodobné je ohrožení zabezpečení přihlášení. Na základě této úrovně rizika se zásady použijí k ochraně uživatele a organizace.
Úplný seznam rizik a jejich zjištění najdete v článku Co je riziko.
Prošetření
Všechna rizika zjištěná u identitě se sledují pomocí zpráv. Ochrana ID poskytuje správcům tři klíčové sestavy, aby mohli zkoumat rizika a podniknout kroky:
- Detekce rizik: Každé zjištěné riziko je hlášeno jako detekce rizik.
- Riziková přihlášení: Rizikové přihlášení se ohlásí, když se pro toto přihlášení hlásí jedna nebo více detekcí rizik.
-
Rizikoví uživatelé: Rizikový uživatel se ohlásí, pokud platí jednu nebo obě z následujících možností:
- Uživatel má jedno nebo více rizikových přihlášení.
- Oznamují se jedna nebo více detekcí rizik.
Další informace o používání sestav najdete v článku Jak na to: Zkoumání rizika.
Náprava rizik
Proč je automatizace důležitá pro zabezpečení?
V blogovém příspěvku Cyber Signals: Obrana před kybernetickými hrozbami s nejnovějšími výzkumy, přehledy a trendy daty 3. února 2022, Microsoft sdílel stručnou analýzu hrozeb, včetně následujících statistik:
Analyzováno... 24 bilionů bezpečnostních signálů spolu se zpravodajskými daty, které sledujeme monitorováním více než 40 skupin národního státu a více než 140 skupin hrozeb...
... Od ledna 2021 do prosince 2021 jsme zablokovali více než 25,6 miliard útoků hrubou silou na ověřování prostřednictvím Microsoft Entra ...
Rozsah signálů a útoků vyžaduje automatizaci, aby se s tím dalo udržet krok.
Automatická náprava
Zásady podmíněného přístupu na základě rizika je možné povolit, aby vyžadovaly řízení přístupu, jako je poskytování silné metody ověřování, provádění vícefaktorového ověřování nebo bezpečné resetování hesla na základě zjištěné úrovně rizika. Pokud uživatel úspěšně dokončí řízení přístupu, riziko se automaticky opraví.
Ruční oprava
Pokud není povolené opravné opatření pro uživatele, musí je správce ručně zkontrolovat ve výkazech v rámci portálu, pomocí rozhraní API nebo v Microsoft 365 Defender. Správci mohou provádět ruční akce k zamítnutí, potvrzení bezpečnosti nebo potvrzení kompromitace rizik.
Používání dat
Data z OCHRANY ID je možné exportovat do jiných nástrojů pro archivaci, další šetření a korelaci. Rozhraní API založená na Microsoft Graphu umožňují organizacím shromažďovat tato data pro další zpracování v nástroji, jako je jejich SIEM. Informace o tom, jak získat přístup k rozhraní API ochrany ID, najdete v článku Začínáme se službou Microsoft Entra ID Protection a Microsoft Graphem.
Informace o integraci informací o ochraně ID se službou Microsoft Sentinel najdete v článku Připojení dat z Microsoft Entra ID Protection.
Organizace můžou ukládat data po delší dobu změnou nastavení diagnostiky v Microsoft Entra ID. Můžou se rozhodnout odesílat data do pracovního prostoru služby Log Analytics, archivovat data do účtu úložiště, streamovat data do služby Event Hubs nebo odesílat data do jiného řešení. Podrobné informace o tom, jak to udělat, najdete v článku Postupy : Export rizikových dat.
Požadované role
Ochrana ID vyžaduje, aby uživatelé měli přiřazenou jednu nebo více následujících rolí.
| Role | Může to udělat | Nejde to udělat |
|---|---|---|
| Správce zabezpečení | Úplný přístup k ochraně ID | Resetování hesla pro uživatele |
| Operátor zabezpečení | Zobrazení všech sestav ochrany ID a přehledu Zrušení rizika uživatele, potvrzení bezpečného přihlášení, potvrzení kompromitace |
Konfigurace nebo změna zásad Resetování hesla pro uživatele Konfigurace upozornění |
| Čtenář zabezpečení | Zobrazení všech sestav ochrany ID a přehledu | Konfigurace nebo změna zásad Resetování hesla pro uživatele Konfigurace upozornění Pošlete nám zpětnou vazbu k detekci. |
| Globální čtenář | Přístup jen pro čtení ke službě ID Protection | |
| Správce uživatelů | Resetování uživatelského hesla |
V současné době role Operátor zabezpečení nemá přístup k sestavě rizikových přihlášení.
Správci podmíněného přístupu můžou vytvářet zásady, které jako podmínku zohledňují riziko uživatele nebo přihlášení. Další informace najdete v článku Podmíněný přístup: Podmínky.
Požadavky na licenci
Použití této funkce vyžaduje licence Microsoft Entra ID P2. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.
| Schopnost | Detaily | Microsoft Entra ID Free / Aplikace Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Zásady rizik | Zásady rizik přihlašování a uživatelů (prostřednictvím ochrany ID nebo podmíněného přístupu) | Ne | Ne | Ano |
| Sestavy zabezpečení | Přehled | Ne | Ne | Ano |
| Bezpečnostní zprávy | Rizikoví uživatelé | Omezené informace. Zobrazují se jenom uživatelé se středním a vysokým rizikem. Žádný detailní panel ani historie rizik. | Omezené informace. Zobrazují se jenom uživatelé se středním a vysokým rizikem. Žádná zásuvka s podrobnostmi ani historie rizik. | Úplný přístup |
| Sestavy zabezpečení | Riziková přihlášení | Omezené informace. Nezobrazují se žádné podrobnosti o riziku ani úroveň rizika. | Omezené informace. Nezobrazují se žádné podrobnosti o riziku ani úroveň rizika. | Úplný přístup |
| Zprávy o zabezpečení | Detekce rizik | Ne | Omezené informace. Nezobrazuje detaily. | Úplný přístup |
| Oznámení | Upozornění na zjištěné ohrožené uživatele | Ne | Ne | Ano |
| Oznámení | Týdenní přehled | Ne | Ne | Ano |
| Zásady registrace MFA | Ne | Ne | Ano |
Další informace o těchto podrobných sestavách najdete v článku Jak na to: Prozkoumání rizika.
Pokud chcete používat riziko identit úloh, včetně identit rizikových úloh a detekce identit úloh na kartě detekce rizik rizik v centru pro správu, potřebujete licencování Identities úloh Premium. Další informace najdete v článku Zabezpečení identit úloh.