Обзор основ защиты идентификации
Защита идентификации — это служба, которая позволяет организациям просматривать состояние безопасности любой учетной записи. Организации могут реализовать три ключевые задачи:
- Автоматизация обнаружения и устранения рисков, связанных с идентификаторами.
- Исследование рисков с помощью данных на портале.
- Экспорт данных обнаружения рисков в сторонние служебные программы для дальнейшего анализа.
Всегда помните, что защита удостоверений Microsoft Entra ID Premium P2 требует лицензии Microsoft Entra ID Premium P2. Более подробно лицензирование описывается в следующем уроке.
Защита идентификации использует знания, полученные корпорацией Майкрософт из своей позиции в организациях с идентификатором Microsoft Entra ID, потребительским пространством с учетными записями Майкрософт и в играх с Xbox для защиты пользователей. Чтобы обнаружить угрозы и защитить от них клиентов, корпорация Майкрософт анализирует 6,5 триллиона сигналов в день.
Сигналы, созданные Защитой идентификации и передаваемые в нее, могут быть далее переданы в такие инструменты, как Условный доступ, для принятия решений о доступе, или обратно в средство управления информационной безопасностью и событиями безопасности (SIEM) для дальнейшего расследования на основе принудительных политик вашей организации.
Обнаружение и исправление рисков
Защита идентификации определяет риски по следующих классификациях:
| Тип обнаружения рисков | Description |
|---|---|
| Анонимный IP-адрес | Войдите с анонимного IP-адреса (например, браузер Tor, виртуальные ip-адреса анонимизатора). |
| Необычное перемещение | Вход из необычного местоположения (на основе недавних входов пользователя). |
| IP-адрес, связанный с вредоносным ПО | Вход с IP-адреса, связанного с вредоносным ПО. |
| Необычные свойства входа. | Вход с использованием свойств, в последнее время не наблюдавшихся у пользователя. |
| Утечка учетных данных | Означает, что произошла утечка допустимых учетных данных пользователя. |
| Распыление пароля | Означает, что несколько имен пользователей подвергается атакам с использованием общих паролей в едином режиме принудительного подбора. |
| Аналитика угроз Microsoft Entra | Источниками внутренней и внешней аналитики угроз Майкрософт обнаружено известный шаблон атак. |
| Новая страна | Это обнаружение выполняется Microsoft Defender для облачных приложений (MDCA). |
| Действия, выполняемые с анонимных IP-адресов | Это обнаружение выполняется MDCA. |
| Подозрительная пересылка входящих писем | Это обнаружение выполняется MDCA. |
Разрешения
Для доступа к защите идентификации пользователям необходимо иметь роль "Читатель сведений о безопасности", "Оператор безопасности", "Администратор безопасности", "Глобальный читатель" или "Глобальный администратор".
| Роль | Разрешено | Не разрешено |
|---|---|---|
| Глобальный администратор | Полный доступ к защите идентификации | |
| Администратор безопасности | Полный доступ к защите идентификации | Сброс пароля для пользователя |
| Оператор безопасности | Просмотр всех отчетов защиты идентификации и экрана "Обзор", закрытие уведомления о риске для пользователя, подтверждение безопасности входа, подтверждение компрометации | Настройка или изменение политик, сброс пароля для пользователя, настройка оповещений |
| Читатель сведений о безопасности | Просмотр всех отчетов защиты идентификации и экрана "Обзор" | Настройка или изменение политик, сброс пароля для пользователя, настройка оповещений, отзыв об обнаружении |
В настоящее время роли "Оператор безопасности" не предоставляется доступ к отчету о рискованных входах. Администраторы условного доступа также могут создавать политики, учитывающие риск входа в систему в качестве условия.
Требования к лицензиям
Для использования этой функции требуется лицензия Microsoft Entra ID Premium P2.
| Возможность | Сведения | Бесплатный и Приложения Microsoft 365 идентификатора Microsoft Entra | Microsoft Entra ID Premium P1 | Microsoft Entra ID Premium P2 |
|---|---|---|---|---|
| Политики в отношении рисков | Политика рисков пользователей (реализуется через Защиту идентификации) | No | No | Да |
| Политики в отношении рисков | Политика рисков входа (реализуется через Защиту идентификации или условный доступ) | No | No | Да |
| Отчеты о безопасности | Обзор | No | No | Да |
| Отчеты о безопасности | Пользователи, выполняющие рискованные действия | Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует панель с подробными сведениями или журнал рисков. | Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует панель с подробными сведениями или журнал рисков. | Полный доступ |
| Отчеты о безопасности | Рискованные входы в систему | Ограниченные сведения. Панель с подробными сведениями или журнал рисков не отображается. | Ограниченные сведения. Панель с подробными сведениями или журнал рисков не отображается. | Полный доступ |
| Отчеты о безопасности | Обнаружения рисков | No | Ограниченные сведения. Панель с подробными сведениями отсутствует. | Полный доступ |
| Notifications | Предупреждения об обнаружении пользователей под угрозой | No | No | Да |
| Notifications | Еженедельный дайджест | No | No | Да |
| Политика регистрации с MFA | No | No | Да |