Udostępnij za pośrednictwem

pulpit nawigacyjny Ochrona tożsamości Microsoft Entra

  • Artykuł

Ochrona tożsamości Microsoft Entra zapobiega naruszeniom zabezpieczeń tożsamości, wykrywając ataki na tożsamości i zgłaszając zagrożenia. Dzięki temu klienci mogą chronić swoje organizacje, monitorując zagrożenia, badając je i konfigurując zasady dostępu oparte na ryzyku, aby chronić poufny dostęp i automatycznie korygować zagrożenia.

Nasz pulpit nawigacyjny ułatwia klientom lepsze analizowanie stanu zabezpieczeń, zrozumienie, jak dobrze są chronione, identyfikowanie luk w zabezpieczeniach i wykonywanie zalecanych akcji.

Zrzut ekranu przedstawiający pulpit nawigacyjny przeglądu Ochrona tożsamości Microsoft Entra.

Ten pulpit nawigacyjny został zaprojektowany w celu umożliwienia organizacjom rozbudowanych szczegółowych informacji i rekomendacji z możliwością działania dostosowanych do dzierżawy. Te informacje zapewniają lepszy wgląd w stan zabezpieczeń organizacji i umożliwiają odpowiednie włączenie skutecznych zabezpieczeń. Masz dostęp do kluczowych metryk, grafiki ataków, mapy z wyróżnionymi ryzykownymi lokalizacjami, najważniejszymi zaleceniami w celu zwiększenia poziomu bezpieczeństwa i ostatnich działań.

Wymagania wstępne

Aby uzyskać dostęp do tego pulpitu nawigacyjnego, potrzebne są następujące elementy:

  • Microsoft Entra ID Free lub Microsoft Entra ID P1 lub Microsoft Entra ID P2 licencje dla użytkowników.
  • Aby wyświetlić kompleksową listę zaleceń i wybrać zalecane linki akcji, potrzebujesz licencji Microsoft Entra ID P2.

Uzyskiwanie dostępu do pulpitu nawigacyjnego

Dostęp do pulpitu nawigacyjnego można uzyskać, wykonując następujące czynności:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako czytelnik zabezpieczeń.
  2. Przejdź do pulpitu nawigacyjnego ochrony>>tożsamości.

Karty metryk

W miarę implementowania większej liczby środków zabezpieczeń, takich jak zasady oparte na ryzyku, ochrona dzierżawy zwiększa się. Teraz udostępniamy cztery kluczowe metryki, aby ułatwić zrozumienie skuteczności środków bezpieczeństwa, które zostały wprowadzone.

Zrzut ekranu przedstawiający wykresy metryk na pulpicie nawigacyjnym.

Metric Definicja metryki Częstotliwość odświeżania Gdzie wyświetlić szczegóły
Liczba zablokowanych ataków Liczba ataków zablokowanych dla tej dzierżawy każdego dnia.

Atak jest uznawany za zablokowany, jeśli ryzykowne logowanie zostanie przerwane przez wszelkie zasady dostępu. Kontrola dostępu wymagana przez zasady powinna zablokować osobie atakującej możliwość logowania się w związku z tym zablokowanie ataku w czasie rzeczywistym.		 Co 24 godziny. Wyświetl wykrycia ryzyka, które ustaliły ataki w raporcie Wykrywanie ryzyka, odfiltruj "Stan ryzyka" według:

- Skorygowane
- Oddalił
- Potwierdzono bezpieczeństwo
Liczba chronionych użytkowników Liczba użytkowników w tej dzierżawie, których stan ryzyka zmienił się z Ryzyko na Skorygowane lub Odrzucone każdego dnia.

Skorygowany stan ryzyka wskazuje, że użytkownik samodzielnie skorygował swoje ryzyko użytkownika przez ukończenie uwierzytelniania wieloskładnikowego lub zmianę bezpiecznego hasła, a zatem jego konto jest chronione.

Stan odrzuconego ryzyka wskazuje, że administrator odrzucił ryzyko użytkownika, ponieważ zidentyfikował konto użytkownika, aby było bezpieczne.		 Co 24 godziny. Wyświetl użytkowników chronionych w raporcie Ryzykowni użytkownicy, filtruj "Stan ryzyka" według:

- Skorygowane
- Oddalił
Średni czas podejmowania działań przez użytkowników w celu samodzielnego korygowania ryzyka Średni czas zagrożenia dla ryzykownych użytkowników w dzierżawie, aby zmienić się z Ryzykowne na Skorygowane.

Stan ryzyka użytkownika zmienia się na Skorygowane , gdy samodzielnie skorygował ryzyko użytkownika za pośrednictwem uwierzytelniania wieloskładnikowego lub bezpiecznej zmiany hasła.

Aby skrócić czas samodzielnego korygowania w dzierżawie, wdróż zasady dostępu warunkowego opartego na ryzyku.		 Co 24 godziny. Wyświetl skorygowanych użytkowników w raporcie Ryzykowni użytkownicy, filtruj "Stan ryzyka" według:

- Skorygowane
Liczba nowych wykrytych użytkowników wysokiego ryzyka Liczba nowych ryzykownych użytkowników o wysokim poziomie ryzyka wykrytych każdego dnia. Co 24 godziny. Wyświetlanie użytkowników wysokiego ryzyka w raporcie Ryzykowni użytkownicy filtruj poziom ryzyka według

- "Wysoki"

Agregacja danych dla następujących trzech metryk rozpoczęła się 22 czerwca 2023 r., więc te metryki są dostępne od tej daty. Pracujemy nad aktualizowaniem grafu w celu odzwierciedlenia tego.

  • Liczba zablokowanych ataków
  • Liczba chronionych użytkowników
  • Średni czas korygowania ryzyka związanego z użytkownikiem

Wykresy zapewniają kroczące 12-miesięczne okno danych.

Grafika atakująca

Aby lepiej zrozumieć narażenie na ryzyko, nasza grafika przedstawiająca typowe wzorce ataków oparte na tożsamościach wykryte dla twojej dzierżawy. Wzorce ataków są reprezentowane przez techniki MITRE ATT&CK i są określane przez nasze zaawansowane wykrywanie ryzyka. Aby uzyskać więcej informacji, zobacz sekcję Typ wykrywania ryzyka na mapowanie typu ataku MITRE.

Zrzut ekranu przedstawiający grafikę atakującą na pulpicie nawigacyjnym.

Co jest uznawane za atak w Ochrona tożsamości Microsoft Entra?

Atak to zdarzenie, w którym wykrywamy złego aktora próbującego zalogować się do twojego środowiska. To zdarzenie wyzwala wykrywanie ryzyka logowania w czasie rzeczywistym mapowane na odpowiednią technikę MITRE ATT&CK. Zapoznaj się z poniższą tabelą, aby zapoznać się z mapowaniem między wykrywaniem ryzyka logowania w czasie rzeczywistym Ochrona tożsamości Microsoft Entra a atakami według technik MITRE ATT&CK.

Ponieważ wykres ataku ilustruje tylko aktywność ryzyka związanego z logowaniem w czasie rzeczywistym, ryzykowne działanie użytkownika nie jest uwzględniane. Aby zwizualizować ryzykowne działania użytkowników w danym środowisku, możesz przejść do raportu ryzykownych użytkowników.

Jak interpretować grafikę ataku?

Grafika przedstawia typy ataków, które miały wpływ na dzierżawę w ciągu ostatnich 30 dni i czy zostały zablokowane podczas logowania. Po lewej stronie zobaczysz wielkość każdego typu ataku. Po prawej stronie są wyświetlane liczby zablokowanych i jeszcze skorygowanych ataków. Wykres jest aktualizowany co 24 godziny i zlicza wykrycia związane z ryzykiem, które występują w czasie rzeczywistym; w związku z tym łączna liczba ataków nie jest zgodna z całkowitą liczbą wykryć.

  • Zablokowane: atak jest klasyfikowany jako zablokowany, jeśli skojarzone ryzykowne logowanie zostanie przerwane przez zasady dostępu, takie jak wymaganie uwierzytelniania wieloskładnikowego. Ta akcja uniemożliwia zalogowanie się osoby atakującej i zablokowanie ataku.
  • Nie skorygowane: pomyślne ryzykowne logowania, które nie zostały przerwane i wymagają korygowania. W związku z tym wykrycia ryzyka związane z tymi ryzykownymi logowaniem również wymagają korygowania. Te logowania i skojarzone wykrycia ryzyka można wyświetlić w raporcie Ryzykowne logowania, filtrując według stanu ryzyka "Ryzykowne" ryzykowne.

Gdzie mogę wyświetlić ataki?

Aby wyświetlić szczegóły ataku, możesz wybrać liczbę ataków po lewej stronie grafu. Ten wykres umożliwia przejście do raportu wykrywania ryzyka filtrowanego dla tego typu ataku.

Możesz przejść bezpośrednio do raportu wykrywania ryzyka i filtrować typy ataków. Liczba ataków i wykryć nie jest jednym mapowaniem.

Typ wykrywania ryzyka do mapowania typu ataku MITRE

Wykrywanie ryzyka logowania w czasie rzeczywistym Typ wykrywania Mapowanie technik MITRE ATT&CK Nazwa wyświetlana ataku Typ
Nietypowy token W czasie rzeczywistym lub w trybie offline T1539 Kradzież pliku cookie sesji sieci Web/kradzieży tokenu Premium
Nieznane właściwości logowania W czasie rzeczywistym T1078 Dostęp przy użyciu prawidłowego konta (wykryto podczas logowania) Premium
Zweryfikowany adres IP aktora zagrożeń W czasie rzeczywistym T1078 Dostęp przy użyciu prawidłowego konta (wykryto podczas logowania) Premium
Anonimowy adres IP W czasie rzeczywistym T1090 Zaciemnianie/dostęp przy użyciu serwera proxy Niepremium
Microsoft Entra threat intelligence W czasie rzeczywistym lub w trybie offline T1078 Dostęp przy użyciu prawidłowego konta (wykryto podczas logowania) Niepremium

Mapowanie

Mapa jest udostępniana w celu wyświetlenia lokalizacji geograficznej ryzykownych logów w dzierżawie. Rozmiar bąbelka odzwierciedla ilość logów o podwyższonym ryzyku w tej lokalizacji. Umieszczenie wskaźnika myszy na bąbelku spowoduje wyświetlenie pola objaśnienia, podając nazwę kraju i liczbę ryzykownych logów z tego miejsca.

Zrzut ekranu przedstawiający grafikę mapy na pulpicie nawigacyjnym.

Zawiera on następujące elementy:

  • Zakres dat: wybierz zakres dat i wyświetl ryzykowne logowania z tego zakresu czasu na mapie. Dostępne wartości to: ostatnie 24 godziny, ostatnie siedem dni i ostatniego miesiąca.
  • Poziom ryzyka: wybierz poziom ryzyka ryzykownych logów do wyświetlenia. Dostępne wartości to: Wysoka, Średnia, Niska.
  • Liczba ryzykownych lokalizacji:
    • Definicja: liczba lokalizacji, z których pochodzą ryzykowne logowania dzierżawy.
    • Zakres dat i filtr na poziomie ryzyka mają zastosowanie do tej liczby.
    • Wybranie tej liczby spowoduje przejście do raportu Ryzykowne logowania filtrowane według wybranego zakresu dat i poziomu ryzyka.
  • Liczba ryzykownych logów :
    • Definicja: liczba całkowitych ryzykownych logów z wybranym poziomem ryzyka w wybranym zakresie dat.
    • Zakres dat i filtr na poziomie ryzyka mają zastosowanie do tej liczby.
    • Wybranie tej liczby spowoduje przejście do raportu Ryzykowne logowania filtrowane według wybranego zakresu dat i poziomu ryzyka.

Zalecenia

Ochrona tożsamości Microsoft Entra rekomendacje pomagają klientom skonfigurować swoje środowisko w celu zwiększenia poziomu zabezpieczeń. Te zalecenia są oparte na atakach wykrytych w dzierżawie w ciągu ostatnich 30 dni. Zalecenia są udostępniane w celu kierowania personelem ds. zabezpieczeń zalecanymi działaniami do podjęcia.

Zrzut ekranu przedstawiający zalecenia na pulpicie nawigacyjnym.

Typowe ataki, które są widoczne, takie jak spray haseł, wyciekły poświadczenia w dzierżawie i masowy dostęp do poufnych plików, mogą poinformować Cię, że doszło do potencjalnego naruszenia. Na poprzednim zrzucie ekranu przykład usługi Identity Protection wykrył co najmniej 20 użytkowników z wyciekiem poświadczeń w dzierżawie zalecaną akcją w tym przypadku byłoby utworzenie zasad dostępu warunkowego wymagających bezpiecznego resetowania hasła dla ryzykownych użytkowników.

W składniku rekomendacji na naszym pulpicie nawigacyjnym klienci zobaczą:

  • Maksymalnie trzy zalecenia, jeśli w dzierżawie wystąpią określone ataki.
  • Wgląd w wpływ ataku.
  • Bezpośrednie linki do podejmowania odpowiednich działań w celu korygowania.

Klienci z licencjami P2 mogą wyświetlić kompleksową listę zaleceń, które udostępniają szczegółowe informacje o akcjach. Po wybraniu opcji "Wyświetl wszystko" zostanie otwarty panel przedstawiający więcej zaleceń, które zostały wyzwolone na podstawie ataków w ich środowisku.

Ostatnie działania

Ostatnie działanie zawiera podsumowanie ostatnich działań związanych z ryzykiem w dzierżawie. Możliwe typy działań to:

  1. Działanie ataku
  2. Działanie korygowania przez administratora
  3. Działanie samodzielnego korygowania
  4. Nowi użytkownicy wysokiego ryzyka

Zrzut ekranu przedstawiający ostatnie działania na pulpicie nawigacyjnym.

Znane problemy

W zależności od konfiguracji dzierżawy na pulpicie nawigacyjnym mogą nie być rekomendacje ani ostatnie działania.

Powiązana zawartość