Popis služby Microsoft Entra ID Protection

  • 7 min

Microsoft Entra ID Protection pomáhá organizacím zjišťovat, zkoumat a opravovat rizika založená na identitách. To zahrnuje identity uživatelů a identity úloh.

Tato rizika založená na identitách se dají dále předávat do nástrojů, jako je podmíněný přístup, aby bylo možné rozhodovat o přístupu nebo se vrátit k nástroji pro správu bezpečnostních informací a událostí (SIEM) pro další šetření a korelaci.

Diagram znázorňující stavební bloky služby Microsoft Entra ID Protection Signalizuje uživatele k detekci rizika, typů rizik a kroků k prošetření a nápravě rizik.

Zjistit rizika

Microsoft analyzuje bilióny signálů za den za účelem identifikace potenciálních hrozeb. Tyto signály pocházejí z učení, které Microsoft získal z mnoha zdrojů, včetně Microsoft Entra ID, uživatelského prostoru s účty Microsoft a při hraní pomocí Xboxu.

Microsoft Entra ID Protection poskytuje organizacím informace o podezřelé aktivitě ve svém tenantovi a umožňuje jim rychle reagovat, aby se zabránilo dalšímu riziku. Detekce rizik můžou zahrnovat jakoukoli podezřelou nebo neobvyklou aktivitu související s uživatelským účtem v adresáři. Detekce rizik ochrany ID můžou být propojeny s přihlašovací událostí (rizikem přihlašování) nebo s jednotlivými uživateli (riziko uživatele).

  • Riziko přihlášení. Přihlášení představuje pravděpodobnost, že daný požadavek na ověření není autorizován vlastníkem identity. Mezi příklady patří přihlášení z anonymní IP adresy, atypické cestování (dvě přihlášení pocházející z geograficky vzdálených míst), neznámé vlastnosti přihlašování a další.

  • Riziko uživatele. Riziko uživatele představuje pravděpodobnost ohrožení dané identity nebo účtu. Mezi příklady patří uniklé přihlašovací údaje, podezřelá aktivita hlášená uživatelem, vzory podezřelého odesílání a další.

Podrobný seznam detekcí rizik přihlašování a uživatelů najdete v tématu Detekce rizik mapovaných na riskEventType.

Služba Identity Protection generuje detekce rizik pouze v případech, kdy se v žádosti o ověření použijí správné přihlašovací údaje. Pokud uživatel používá nesprávné přihlašovací údaje, služba Identity Protection nebude označena příznakem, protože neexistuje riziko ohrožení přihlašovacích údajů, pokud chybný objekt actor nepoužívá správné přihlašovací údaje.

Detekce rizik můžou aktivovat akce, jako je vyžadování, aby uživatelé zadali vícefaktorové ověřování, resetovali heslo nebo zablokovali přístup, dokud správce neuskutečí akci.

Vyšetřování rizik

Všechna rizika zjištěná u identity se sledují pomocí generování sestav. Služba Identity Protection poskytuje správcům tři klíčové sestavy, které můžou zkoumat rizika a provádět akce:

  • Detekce rizik: Každé zjištěné riziko je hlášeno jako detekce rizik.

  • Riziková přihlášení: Rizikové přihlášení se ohlásí, když se pro toto přihlášení hlásí jedna nebo více detekcí rizik.

  • Rizikoví uživatelé: Rizikový uživatel se ohlásí, pokud platí jednu nebo obě z následujících možností:

    • Uživatel má jedno nebo více rizikových přihlášení.
    • Oznamují se jedna nebo více detekcí rizik.

    Pro firmy, které jsou nasazené do Microsoft Security Copilot Sestava rizikových uživatelů, vloží možnosti Microsoft Security Copilotu, které shrnují úroveň rizika uživatele, poskytují přehledy relevantní pro daný incident a poskytují doporučení pro rychlé zmírnění rizik.

Zkoumání událostí je klíčové pro pochopení a identifikaci slabých bodů ve vaší strategii zabezpečení.

Opravit

Po dokončení šetření budou správci chtít provést opatření k nápravě rizika nebo odblokování uživatelů. Organizace můžou povolit automatizovanou nápravu s využitím zásad rizik. Můžete například povolit zásady podmíněného přístupu na základě rizik, které vyžadují řízení přístupu, jako je poskytnutí metody silného ověřování, provádění vícefaktorového ověřování nebo provedení zabezpečeného resetování hesla na základě zjištěné úrovně rizika. Pokud uživatel úspěšně dokončí řízení přístupu, riziko se automaticky opraví.

Pokud není povolená automatizovaná náprava, musí správce ručně zkontrolovat zjištěná rizika v sestavách prostřednictvím portálu, prostřednictvím rozhraní API nebo v XDR v programu Microsoft Defender. Správci můžou s riziky zavřít, potvrdit bezpečné nebo potvrdit ohrožení zabezpečení.

Export

Data z Identity Protection je možné exportovat do jiných nástrojů pro archivaci, další šetření a korelaci. Rozhraní API založená na Microsoft Graphu umožňují organizacím shromažďovat tato data pro další zpracování v nástrojích, jako je SIEM. Data se dají také odesílat do pracovního prostoru služby Log Analytics, archivovat data do účtu úložiště, streamovat je do služby Event Hubs nebo řešení.