Przegląd podstaw ochrony tożsamości
Identity Protection to usługa, która umożliwia organizacjom wyświetlanie stanu zabezpieczeń dowolnego konta. Organizacje mogą wykonywać trzy kluczowe zadania:
- Automatyzowanie wykrywania i korygowania ryzyka opartego na tożsamościach.
- Badanie ryzyka przy użyciu danych w portalu.
- Eksportowanie danych wykrywania ryzyka do narzędzi innych firm w celu dalszej analizy.
Zawsze należy pamiętać, że usługa Microsoft Entra Identity Protection wymaga licencji Microsoft Entra ID Premium P2 do działania. Licencjonowanie zostało szczegółowo omówione w dalszej lekcji.
Usługa Identity Protection wykorzystuje wiedzę firmy Microsoft zdobytą na podstawie swojej pozycji w organizacjach z identyfikatorem Microsoft Entra ID, przestrzenią dla konsumentów z kontami Microsoft oraz w grach z konsolą Xbox w celu ochrony użytkowników. Firma Microsoft analizuje 6,5 bilionów sygnałów dziennie, aby identyfikować i chronić klientów przed zagrożeniami.
Sygnały generowane przez usługę Identity Protection i przekazywane do usługi Identity Protection mogą być dalej przekazywane do narzędzi, takich jak dostęp warunkowy, aby podejmować decyzje dotyczące dostępu lub przekazywane z powrotem do narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) w celu dalszego badania na podstawie wymuszanych zasad organizacji.
Wykrywanie ryzyka i korygowanie
Usługa Identity Protection identyfikuje zagrożenia w następujących klasyfikacjach:
| Typ wykrywania ryzyka | Opis |
|---|---|
| Anonimowy adres IP | Zaloguj się z anonimowego adresu IP (na przykład: przeglądarka Tor, sieci VPN anonimizatora). |
| Nietypowa podróż | Zaloguj się z nietypowej lokalizacji na podstawie ostatnich logów użytkownika. |
| Adres IP powiązany ze złośliwym oprogramowaniem | Zaloguj się z połączonego ze złośliwym oprogramowaniem adresu IP. |
| Nieznane właściwości logowania | Zaloguj się przy użyciu właściwości, których ostatnio nie widzieliśmy dla danego użytkownika. |
| Ujawnione poświadczenia | Wskazuje, że ujawniono prawidłowe poświadczenia użytkownika. |
| Spray haseł | Wskazuje, że wiele nazw użytkowników jest atakowanych przy użyciu typowych haseł w ujednolicony sposób siłowy. |
| Microsoft Entra threat intelligence | Wewnętrzne i zewnętrzne źródła analizy zagrożeń firmy Microsoft zidentyfikowały znany wzorzec ataku. |
| Nowy kraj | To wykrywanie jest wykrywane przez usługę Microsoft Defender dla Chmury Apps (MDCA). |
| Działanie z anonimowego adresu IP | To wykrywanie jest wykrywane przez usługę MDCA. |
| Podejrzane przekazywanie skrzynki odbiorczej | To wykrywanie jest wykrywane przez usługę MDCA. |
Uprawnienia
Usługa Identity Protection wymaga od użytkowników czytelnika zabezpieczeń, operatora zabezpieczeń, administratora zabezpieczeń, czytelnika globalnego lub administratora globalnego w celu uzyskania dostępu.
| Rola | Może to zrobić | Nie można wykonać |
|---|---|---|
| Globalny administrator usługi | Pełny dostęp do usługi Identity Protection | |
| Administrator zabezpieczeń | Pełny dostęp do usługi Identity Protection | Resetowanie hasła dla użytkownika |
| Operator zabezpieczeń | Wyświetl wszystkie raporty usługi Identity Protection i ekran Przegląd, Odrzuć ryzyko użytkownika, potwierdź bezpieczne logowanie, potwierdź naruszenie zabezpieczeń | Konfigurowanie lub zmienianie zasad, Resetowanie hasła dla użytkownika, Konfigurowanie alertów |
| Czytelnik zabezpieczeń | Wyświetlanie wszystkich raportów usługi Identity Protection i ekranu przeglądu | Konfigurowanie lub zmienianie zasad, Resetowanie hasła dla użytkownika, Konfigurowanie alertów, Przekazywanie opinii na temat wykrywania |
Obecnie rola Operator zabezpieczeń nie może uzyskać dostępu do raportu Ryzykowne logowania. Administratorzy dostępu warunkowego mogą również tworzyć zasady, które uwzględniają ryzyko logowania jako warunek.
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga licencji Microsoft Entra ID Premium P2.
| Zdolność | Szczegóły | Microsoft Entra ID Free/Aplikacje Microsoft 365 | Microsoft Entra ID Premium P1 | Microsoft Entra ID Premium P2 |
|---|---|---|---|---|
| Zasady ryzyka | Zasady ryzyka związanego z użytkownikiem (za pośrednictwem usługi Identity Protection) | Nie | Nie. | Tak |
| Zasady ryzyka | Zasady ryzyka logowania (za pośrednictwem usługi Identity Protection lub dostępu warunkowego) | Nie | Nie. | Tak |
| Raporty dotyczące zabezpieczeń | Omówienie | Nie | Nie. | Tak |
| Raporty dotyczące zabezpieczeń | Ryzykowni użytkownicy | Ograniczone informacje. Wyświetlane są tylko użytkownicy o średnim i wysokim ryzyku. Brak szuflady szczegółów ani historii ryzyka. | Ograniczone informacje. Wyświetlane są tylko użytkownicy o średnim i wysokim ryzyku. Brak szuflady szczegółów ani historii ryzyka. | Pełny dostęp |
| Raporty dotyczące zabezpieczeń | Ryzykowne logowania | Ograniczone informacje. Nie są wyświetlane żadne szczegóły ryzyka ani poziom ryzyka. | Ograniczone informacje. Nie są wyświetlane żadne szczegóły ryzyka ani poziom ryzyka. | Pełny dostęp |
| Raporty dotyczące zabezpieczeń | Wykrycia ryzyka | Nie. | Ograniczone informacje. Brak szuflady szczegółów. | Pełny dostęp |
| Notifications | Wykryte alerty dotyczące zagrożonych użytkowników | Nie | Nie. | Tak |
| Notifications | Podsumowanie tygodniowe | Nie | Nie. | Tak |
| Zasady rejestracji uwierzytelniania wieloskładnikowego | Nie | Nie. | Tak |