Реагирование на угрозы идентификации с помощью сводки данных о пользователях, совершающих рискованные действия

Защита идентификации Microsoft Entra применяет возможности Copilot в Microsoft Entra, чтобы суммировать уровень риска пользователя, предоставить аналитические сведения, относящиеся к инциденту, и предоставить рекомендации по быстрому устранению рисков. Исследование рисков идентификации является важным шагом для защиты организации. Copilot в Microsoft Entra помогает сократить время разрешения, предоставив ИТ-администраторам и аналитикам центра безопасности (SOC) правильный контекст для исследования и устранения рисков идентификации и инцидентов на основе удостоверений. Сводные данные о рискованных пользователях предоставляют администраторам и респондентам быстрый доступ к наиболее важной информации в контексте для помощи в их расследовании.

Быстро реагировать на угрозы идентификации:

• Сводка по рискам: сводка по естественному языку, почему уровень риска пользователя был повышен.
• Рекомендации. Получение рекомендаций по устранению и реагированию на эти типы атак с краткими ссылками на справку и документацию.

В этой статье описывается, как получить доступ к возможности сводки о рискованных пользователях Защита идентификации Microsoft Entra и Copilot в Microsoft Entra. Для использования этой функции требуются лицензии Microsoft Entra ID P2.

Изучение поведения пользователей, совершающих рискованные действия

Чтобы просмотреть и изучить поведение пользователей, совершающих рискованные действия, выполните приведенные ниже действия:

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения безопасности.

2. Перейдите к разделу "Защита идентификации">, а затем в отчет о рискованных пользователях.

3. Выберите пользователя из отчета о пользователях, совершающих рискованные действия.

   

4. В окне " Сведения о рискованных пользователях" отображаются сведения в сводке.

   

Сводка о рискованных пользователях содержит три раздела:

• Сводка по Copilot: сводка по естественному языку, почему защита идентификаторов помечает пользователя на риск.
• Что делать: перечислены следующие шаги для расследования этого инцидента и предотвращения будущих инцидентов.
• Справка и документация: список ресурсов для справки и документации.

В этом примере рекомендуемые исправления:

• Создайте политики условного доступа на основе риска входа и на основе рисков пользователей.

Рекомендуемая справка и документация:

• Что такое риск в защите идентификаторов?
• Сборники схем реагирования на инциденты
• Политики доступа на основе рисков

Следующие шаги

• Узнайте больше о рискованных пользователях.