Skoroszyt: analiza wpływu zasad dostępu opartych na ryzyku

Zalecamy wszystkim włączenie zasad dostępu warunkowego opartego na ryzyku. Rozumiemy, że to wdrożenie wymaga czasu, zarządzania zmianami, a czasami starannej kontroli kierownictwa w celu zrozumienia wszelkich niepożądanych skutków. Dajemy administratorom możliwość zapewnienia pewnych odpowiedzi na te scenariusze w celu szybkiego przyjęcia zasad opartych na ryzyku potrzebnych do ochrony środowiska.

Zamiast tworzyć zasady dostępu warunkowego oparte na ryzyku w trybie tylko do raportowania i czekać kilka tygodni lub miesięcy na wyniki, możesz użyć skoroszytu Impact analysis of risk-based access policies (Analiza wpływu zasad dostępu opartych na ryzyku), który umożliwia natychmiastowe wyświetlenie wpływu na podstawie dzienników logowań.

opis

Skoroszyt pomaga zrozumieć środowisko przed włączeniem zasad, które mogą uniemożliwić użytkownikom logowanie, wymagać uwierzytelniania wieloskładnikowego lub przeprowadzić bezpieczną zmianę hasła. Zapewnia szczegółowy podział w oparciu o wybrany przez Ciebie zakres dat logowań, w tym:

• Podsumowanie wpływu zalecanych zasad dostępu opartych na ryzyku, w tym omówienie:
  • Scenariusze ryzyka związanego z użytkownikiem
  • Scenariusze związane z ryzykiem logowania i zaufaną siecią
• Szczegóły wpływu, w tym szczegóły dotyczące unikatowych użytkowników:
  • Scenariusze ryzyka związanego z użytkownikiem, takie jak:
    • Użytkownicy wysokiego ryzyka nie są blokowani przez zasady dostępu oparte na ryzyku.
    • Użytkownicy wysokiego ryzyka nie zostali poproszeni o zmianę hasła w ramach polityki dostępu opartej na ryzyku.
    • Użytkownicy, którzy zmienili swoje hasło ze względu na zasady dostępu oparte na ryzyku.
    • Ryzykowni użytkownicy nie mogący zalogować się pomyślnie ze względu na politykę dostępu opartą na ryzyku.
    • Użytkownicy, którzy skorygowali ryzyko za pomocą lokalnego resetowania hasła.
    • Użytkownicy, którzy zniwelowali ryzyko poprzez resetowanie hasła w chmurze.
  • Scenariusze zasad ryzyka logowania, takie jak:
    • Logowania o wysokim ryzyku nie są blokowane przez zasady dostępu oparte na ryzyku.
    • Logowania wysokiego ryzyka nie korygują się samodzielnie przy użyciu uwierzytelniania wieloskładnikowego za pomocą zasad dostępu opartych na ryzyku.
    • Ryzykowne logowania, które nie powiodły się z powodu zasad dostępu opartego na ryzyku.
    • Ryzykowne logowania skorygowane przez uwierzytelnianie wieloskładnikowe.
  • Szczegóły sieci, w tym najważniejsze adresy IP, które nie są wymienione jako zaufana sieć.

Administratorzy mogą używać tych informacji, aby sprawdzić, którzy użytkownicy mogą mieć wpływ w danym okresie, jeśli włączono zasady dostępu warunkowego opartego na ryzyku.

Jak uzyskać dostęp do skoroszytu

Ten skoroszyt nie wymaga utworzenia żadnych polityk dostępu warunkowego, nawet tych w trybie tylko raportingowym. Jedynym wymaganiem wstępnym jest to, że dzienniki logowania są wysyłane do obszaru roboczego usługi Log Analytics. Aby uzyskać więcej informacji o tym, jak włączyć to wymaganie wstępne, zobacz artykuł How to use Microsoft Entra Workbooks (Jak używać skoroszytów firmy Microsoft Entra). Możesz uzyskać dostęp do skoroszytu bezpośrednio w bloku Identity Protection lub przejść do pozycji Skoroszyty w celu uzyskania edytowalnej wersji:

W bloku Identity Protection:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
2. Przejdź do Protection>Identity Protection>Analiza wpływu polityki ryzyka.

W skoroszytach:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
2. Przejdź do Tożsamość>Monitorowanie i kondycja>Skoroszyty.
3. Wybierz w obszarze ID Protectionskoroszyt analiza wpływu zasad dostępu opartych na ryzyku.

Nawigowanie po skoroszycie

Gdy jesteś w skoroszycie, w prawym górnym rogu znajduje się kilka parametrów. Możesz ustawić obszar roboczy, z którego jest wypełniany skoroszyt, i włączyć lub wyłączyć przewodnik.

Podobnie jak każdy skoroszyt, można wyświetlać lub edytować zapytania języka Kusto (KQL), które zasilają wizualizacje. Jeśli wprowadzisz zmiany, zawsze możesz przywrócić oryginalny szablon.

Podsumowanie

Pierwsza sekcja jest podsumowaniem i przedstawia łączne liczby użytkowników lub sesji, których dotyczy wybrany zakres czasu. Jeśli przewiniesz niżej, powiązane szczegóły będą dostępne.

Najważniejsze scenariusze omówione w podsumowaniu to scenariusze jeden i drugi dla scenariuszy ryzyka związanego z użytkownikiem i logowaniem. Pokazują one wysokich użytkowników lub logowania, które nie zostały zablokowane, monitowane o zmianę hasła lub skorygowane przez uwierzytelnianie wieloskładnikowe; oznacza to, że użytkownicy o wysokim ryzyku mogą nadal znajdować się w Twoim środowisku.

Następnie możesz przewinąć w dół i zobaczyć szczegóły dokładnie tego, kim będą ci użytkownicy. Każdy składnik podsumowania ma odpowiednie szczegóły, które następują poniżej.

Scenariusze ryzyka związanego z użytkownikiem

Scenariusze ryzyka użytkownika numer trzy i cztery pomogą Ci, jeśli masz już włączone zasady dostępu oparte na ryzyku. Pokazują użytkowników, którzy zmienili swoje hasło, lub użytkowników wysokiego ryzyka, którzy zostali zablokowani przed zalogowaniem się z powodu zasad dostępu opartych na ryzyku. Jeśli nadal masz użytkowników wysokiego ryzyka, którzy pojawiają się w scenariuszach ryzyka użytkownika, pierwszym i drugim (nie są blokowani lub nie są monitowani o zmianę hasła), gdy spodziewałeś się, że wszyscy trafią do tych kategorii, mogą być luki w Twoich zasadach.

Scenariusze ryzyka związanego z logowaniem

Następnie przyjrzyjmy się scenariuszom ryzyka związanego z logowaniem trzy i cztery. Jeśli używasz uwierzytelniania wieloskładnikowego, prawdopodobnie mogą występować tutaj pewne aktywności, nawet jeśli nie masz żadnych zasad dostępu opartych na ryzyku. Ryzyka związane z logowaniem są automatycznie korygowane po pomyślnym wykonaniu uwierzytelniania wieloskładnikowego. Scenariusz czwarty analizuje logowania o wysokim ryzyku, które nie powiodły się z powodu zasad dostępu opartych na ryzyku. Jeśli masz włączone zasady, ale nadal widzisz logowania, które oczekujesz zablokować lub złagodzić za pomocą uwierzytelniania wieloskładnikowego, mogą występować niedociągnięcia w stosowaniu zasad. W takim przypadku zalecamy przejrzenie zasad i użycie sekcji szczegółów tego skoroszytu w celu zbadania wszelkich luk.

Scenariusze 5 i 6 dla scenariuszy ryzyka związanego z użytkownikiem pokazują, że korygowanie odbywa się. Ta sekcja zawiera szczegółowe informacje o tym, ilu użytkowników zmienia swoje hasło ze środowiska lokalnego lub za pomocą samoobsługowego resetowania hasła (SSPR). Jeśli te liczby nie mają sensu w twoim środowisku, na przykład nie sądzisz, że usługa samoobsługowego resetowania hasła jest włączona, skorzystaj z podanych informacji, aby przeprowadzić dochodzenie.

Scenariusz logowania 5, adresy IP, które nie są zaufane, wyświetla adresy IP ze wszystkich logowań w wybranym zakresie czasu oraz wyświetla te adresy IP, które nie są uważane za zaufane.

Scenariusze polityki dotyczącej ryzyka logowania federacyjnego

W przypadku klientów korzystających z wielu dostawców tożsamości następna sekcja będzie przydatna, aby sprawdzić, czy istnieją ryzykowne sesje przekierowywane do tych zewnętrznych dostawców usługi MFA lub innych form korygowania. Ta sekcja umożliwia wgląd w to, gdzie odbywa się korygowanie i czy odbywa się zgodnie z oczekiwaniami. Aby te dane zostały wypełnione, należy ustawić "federatedIdpMfaBehavior" w środowisku federacyjnym, aby wymusić stosowanie uwierzytelniania wieloskładnikowego przez dostawcę tożsamości federacyjnej.

Starsze zasady usługi Identity Protection

W następnej sekcji opisano, ile przestarzałych zasad użytkowników i logowania jest nadal w twoim środowisku i musi zostać zmigrowanych do października 2026 r. Należy pamiętać o tej osi czasu i rozpocząć migrację zasad do portalu dostępu warunkowego tak szybko, jak to możliwe. Potrzebujesz wystarczająco dużo czasu, aby przetestować nowe zasady, wyczyścić wszelkie niepotrzebne lub zduplikowane zasady i sprawdzić, czy nie ma żadnych luk w zakresie. Więcej informacji na temat migrowania starszych zasad można uzyskać, korzystając z tego linku Migrowanie zasad ryzyka.

Szczegóły zaufanej sieci

Ta sekcja zawiera szczegółową listę tych adresów IP, które nie są uznawane za zaufane. Skąd pochodzą te adresy IP, kto jest ich właścicielem? Czy należy je traktować jako "zaufane"? To ćwiczenie może być wspólnym działaniem z administratorami sieci; jednakże warto je przeprowadzić, ponieważ posiadanie dokładnej listy zaufanych adresów IP pomaga zmniejszyć liczbę fałszywych alarmów dotyczących ryzyka. Jeśli istnieje adres IP, który wygląda wątpliwie dla twojego środowiska, nadszedł czas, aby zbadać.

CZĘSTO ZADAWANE PYTANIA:

Co zrobić, jeśli nie używam usługi Microsoft Entra do uwierzytelniania wieloskładnikowego?

Jeśli nie używasz uwierzytelniania wieloskładnikowego firmy Microsoft, możesz nadal zobaczyć ryzyko logowania skorygowane w środowisku, jeśli używasz dostawcy uwierzytelniania wieloskładnikowego niebędącego dostawcą Microsoft. Metody uwierzytelniania zewnętrznego umożliwiają korygowanie ryzyka w przypadku korzystania z dostawcy usługi MFA firmy innej niż Microsoft.

Co zrobić, jeśli jestem w środowisku hybrydowym?

Ryzyko użytkownika można samodzielnie skorygować przy użyciu bezpiecznej zmiany hasła, jeśli samoobsługowe resetowanie hasła jest włączone z zapisywaniem zwrotnym haseł. Jeśli włączono tylko synchronizację skrótów haseł, rozważ włączenie lokalnego resetowania hasła w celu skorygowania ryzyka związanego z użytkownikiem.

Właśnie otrzymałem alert o wysokim ryzyku, ale nie są one wyświetlane w tym raporcie?

Jeśli użytkownik ma przypisane wysokie ryzyko, ale jeszcze nie zalogował się, nie widzisz ich w tym raporcie. Raport używa tylko dzienników logowania, aby wypełnić te dane. Jeśli masz użytkowników wysokiego ryzyka, którzy nie zalogowali się, nie są one liczone w tym raporcie.

Następne kroki

• Co to są skoroszyty firmy Microsoft Entra?
• Instrukcje: Badanie ryzyka
• Co to są wykrycia ryzyka?