Реагирование на угрозы идентификации с помощью сводки данных о пользователях, совершающих рискованные действия
Защита идентификации Microsoft Entra применяет возможности Copilot в Microsoft Entra, чтобы суммировать уровень риска пользователя, предоставить аналитические сведения, относящиеся к инциденту, и предоставить рекомендации по быстрому устранению рисков. Исследование рисков идентификации является важным шагом для защиты организации. Copilot в Microsoft Entra помогает сократить время разрешения, предоставив ИТ-администраторам и аналитикам центра безопасности (SOC) правильный контекст для исследования и устранения рисков, связанных с идентификацией, и инцидентов, связанных с удостоверениями личности. Сводные данные о рискованных пользователях предоставляют администраторам и респондентам быстрый доступ к наиболее важной информации в контексте для помощи в их расследовании.
Быстро реагировать на угрозы идентификации:
- Сводка по рискам: объясните простыми словами, почему уровень риска пользователя был повышен.
- Рекомендации. Получение рекомендаций по устранению и реагированию на эти типы атак с краткими ссылками на справку и документацию.
В этой статье описывается, как получить доступ к функции сводки по рискованным пользователям в Microsoft Entra ID Protection и Copilot в Microsoft Entra. Для использования этой функции требуются лицензии Microsoft Entra ID P2.
Изучение поведения пользователей, совершающих рискованные действия
Чтобы просмотреть и изучить поведение пользователей, совершающих рискованные действия, выполните приведенные ниже действия:
Войдите в центр администрирования Microsoft Entra как минимум как читатель безопасности.
Перейдите к разделу "Защита идентификации">, а затем в отчет о рискованных пользователях.
Выберите пользователя из отчета о пользователях, совершающих рискованные действия.
В окне «Сведения о рискованных пользователях» информация отображается в разделе «Сводка».
Сводка о рискованных пользователях содержит три раздела:
- Сводка от Copilot: в естественном языке объясняется, почему защита идентификационной информации пометила пользователя как подверженного риску.
- Что делать: перечислены следующие шаги для расследования этого инцидента и предотвращения будущих инцидентов.
- Справка и документация: список ресурсов для справки и документации.
В этом примере рекомендуемые исправления следующие:
- Создание рисков входа и рисков пользователей на основе политик условного доступа.
Предлагаемая справка и документация:
- Что такое риск в защите идентификаторов?
- Сборники схем реагирования на инциденты
- Политики доступа на основе рисков
Следующие шаги
- Узнайте больше о рискованных пользователях.