Рабочая тетрадь: Анализ влияния политик доступа, основанных на риске

Мы рекомендуем всем включить политики условного доступа на основе рисков, мы понимаем, что это развертывание требует времени, управления изменениями, а иногда тщательного контроля со стороны руководства, чтобы понять любое нежелательное влияние. Мы предоставляем администраторам возможность уверенно предоставлять ответы на эти сценарии для принятия политик на основе рисков, необходимых для быстрой защиты своей среды.

Вместо создания политик условного доступа на основе рисков в режиме только для отчетов и ожидания несколько недель или месяцев для получения результатов, вы можете использовать аналитическую книгу воздействия политик доступа на основе рисков, которая позволяет немедленно просматривать их влияние на основе журналов входа.

Описание

Книга помогает понять среду перед включением политик, которые могут заблокировать вход пользователей, требовать многофакторную проверку подлинности или выполнить безопасное изменение пароля. Он предоставляет разбивку входов с указанием выбранного вами диапазона дат, включая:

• Сводка по влиянию рекомендуемых политик доступа на основе рисков, включая обзор:
  • Сценарии риска пользователей
  • Сценарии риска входа и доверенной сети
• Сведения о влиянии, включая сведения об уникальных пользователях:
  • Такие сценарии риска пользователей:
    • Пользователи с высоким уровнем риска не блокируются политикой доступа на основе рисков.
    • Пользователи с высоким уровнем риска не получают запроса на изменение пароля от политики доступа на основе рисков.
    • Пользователи, изменившие пароль из-за политики доступа на основе рисков.
    • Рискованные пользователи не могут успешно войти из-за политики доступа, основывающейся на уровне рисков.
    • Пользователи, которые устранили риск с помощью локального сброса пароля.
    • Пользователи, которые устранили риск путем сброса пароля с использованием облачного сервиса.
  • Сценарии политики риска входа, такие как:
    • Попытки входа с высоким уровнем риска не блокируются политикой доступа, основанной на управлении рисками.
    • Попытки входа с высоким риском не устраняются автоматически с использованием многофакторной аутентификации в соответствии с политикой доступа, основанной на оценке рисков.
    • Рискованные входы в систему, которые не были успешными из-за политики доступа, основанной на оценке рисков.
    • Рискованные входы, исправленные многофакторной проверкой подлинности.
  • Сведения о сети, среди которых основные IP-адреса, не указанные как доверенная сеть.

Администраторы могут использовать эти сведения, чтобы узнать, какие пользователи могут быть затронуты в течение определенного периода времени, если политики условного доступа на основе рисков включены.

Как получить доступ к книге

Эта книга не требует создания политик условного доступа, даже в режиме только для отчетов. Единственным предварительным условием является то, что у вас есть журналы входа, отправленные в рабочую область Log Analytics. Дополнительные сведения о том, как включить это предварительное условие, см. в статье Как использовать Microsoft Entra Workbooks. Вы можете получить доступ к рабочей книге непосредственно в разделе "Защита Идентификации" или перейти в раздел "Рабочие книги" для редактируемой версии.

На вкладке "Защита идентификации":

1. Войдите в Центр Администрирования Microsoft Entra как минимум с ролью Читателя отчетов.
2. Перейдите к Защита>Защита идентичности>анализ влияния политик риска.

В книгах:

1. Войдите в центр администрирования Microsoft Entra как минимум с ролью Читатель отчетов.
2. Перейдите к разделу Удостоверения>Мониторинг и работоспособность>Рабочие книги.
3. Выберите рабочую книгу "Анализ влияния политик доступа на основе рисков" в категории Защита идентификаторов.

Навигация по рабочей книге

После открытия книги в правом верхнем углу есть несколько параметров. Вы можете задать, из какой рабочей области заполняется книга, и включить или отключить руководство.

** Как и любой рабочий лист, вы можете просматривать или изменять запросы Kusto Query Language (KQL), которые используются для визуальных элементов. При внесении изменений всегда можно вернуться к исходному шаблону.

Итоги

Первый раздел — это сводка и показывает совокупное число пользователей или сеансов, затронутых в выбранном диапазоне времени. Если прокрутите страницу вниз, доступны связанные сведения.

Наиболее важными сценариями, описанными в сводке, являются сценарии один и два для рисков пользователей и входа в систему. Они показывают пользователей с высокой активностью или входов в систему, которые не были заблокированы, для которых не требовалась смена пароля, или которые не были откорректированы с помощью MFA (многофакторной аутентификации); это означает, что пользователи с высоким риском могут оставаться в вашей среде.

Затем вы можете прокрутить вниз и просмотреть сведения о том, кто именно эти пользователи будут. Каждый компонент сводки содержит соответствующие сведения, приведенные ниже.

Сценарии риска пользователей

Сценарии риска пользователей три и четыре помогут вам, если у вас уже есть некоторые политики доступа на основе рисков; они показывают, что пользователи изменили пароль или пользователей с высоким риском, которые были заблокированы для входа из-за политик доступа на основе рисков. Если у вас по-прежнему есть пользователи с высоким уровнем риска, которые появляются в сценариях риска пользователей один и два (не заблокированы или не запрашиваются на изменение пароля), когда вы думали, что все они подходят под эти категории, возможно, существуют пробелы в вашей политике.

Сценарии риска входа

Далее давайте рассмотрим сценарии риска входа в систему три и четыре. Если вы используете MFA, скорее всего, у вас будет активность здесь, даже если у вас не включены политики доступа на основе рисков. Риски входа автоматически исправляются при успешном выполнении многофакторной аутентификации. В четырех сценариях рассматриваются входы с высоким риском, которые не были успешными из-за политик доступа на основе рисков. Если вы включили политики, но по-прежнему отображаются входы, которые будут заблокированы или исправлены с помощью MFA, у вас могут быть пробелы в политиках. Если это так, мы рекомендуем пересмотреть ваши политики и использовать раздел с деталями из этой рабочей книги, чтобы выявить все пробелы.

Сценарии 5 и 6 для сценариев риска пользователей показывают, что происходит исправление. В этом разделе показано, сколько пользователей меняют пароль из локальной среды или с помощью самостоятельного сброса пароля (SSPR). Если эти цифры не имеют смысла для вашей среды, например, вы не думали, что SSPR включен, используйте детали для расследования.

Сценарий входа 5, IP-адреса, не доверенные, отображает IP-адреса из всех входов в выбранном диапазоне времени и отображает эти IP-адреса, которые не считаются доверенными.

Сценарии политики риска федеративного входа в систему

Для клиентов, использующих нескольких поставщиков удостоверений, следующий раздел поможет выяснить, перенаправляются ли какие-либо рискованные сеансы к этим внешним поставщикам для многофакторной аутентификации или других корректирующих мер. В этом разделе можно узнать, где происходит исправление, и если это происходит должным образом. Для того чтобы эти данные заполнились, необходимо задать в федеративной среде "federatedIdpMfaBehavior" для принудительного применения MFA, поступающего от федеративного поставщика удостоверений.

Устаревшие политики защиты идентификации

В следующем разделе показано, сколько устаревших политик пользователя и входа по-прежнему находятся в вашей среде и должны перенести к октября 2026 года. Важно знать эту временную шкалу и начать перенос политик на портал условного доступа как можно скорее. Вы хотите достаточно времени для тестирования новых политик, очистки любых ненужных или повторяющихся политик и проверки отсутствия пробелов в охвате. Вы можете узнать больше о переносе устаревших политик, в том числе политик риска, перейдя по этой ссылке: "Перенос политик риска".

Сведения о доверенной сети

В этом разделе представлен подробный список этих IP-адресов, которые не считаются доверенными. Откуда идут эти IP-адреса, кто владеет ими? Должны ли они считаться "доверенными"? Это может быть кросс-командная работа с администраторами сети; однако это полезно сделать, так как наличие точного списка доверенных IP-адресов помогает уменьшить обнаружение ложных положительных рисков. Если есть IP-адрес, который выглядит сомнительным для вашей среды, пришло время исследовать.

Часто задаваемые вопросы.

Что делать, если не использовать Microsoft Entra для многофакторной проверки подлинности?

Если вы не используете многофакторную проверку подлинности Microsoft Entra, в вашей среде риск входа может быть устранён, если вы используете поставщика MFA, отличного от Майкрософт. Внешние методы проверки подлинности позволяют устранить риск при использовании поставщика MFA, отличного от Майкрософт.

Что делать, если я в гибридной среде?

Риск пользователя может быть самостоятельно устранен с помощью безопасного изменения пароля, если самостоятельный сброс пароля включен с помощью обратной записи паролей. Если включена только синхронизация хэша паролей, рекомендуется разрешить локальный сброс пароля для устранения риска пользователей.

Я только что получил оповещение о высоком риске, но оно не отображается в этом отчете?

Если пользователю назначен высокий риск, но он еще не вошел в систему, вы не видите его в этом отчете. В отчете используются только журналы входа для заполнения этих данных. Если у вас есть пользователи с высоким риском, которые не вошли в систему, они не учитываются в этом отчете.

Следующие шаги

• Что такое рабочие книги Microsoft Entra?
• Руководство. Анализ риска.
• Что такое обнаружение рисков?