Beskriva Microsoft Entra ID Protection

  • 7 minuter

Microsoft Entra ID Protection hjälper organisationer att identifiera, undersöka och åtgärda identitetsbaserade risker. Detta omfattar användaridentiteter och arbetsbelastningsidentiteter.

Dessa identitetsbaserade risker kan ytterligare matas in i verktyg som villkorsstyrd åtkomst för att fatta åtkomstbeslut eller matas tillbaka till ett siem-verktyg (säkerhetsinformation och händelsehantering) för ytterligare undersökning och korrelation.

Diagram som visar byggstenar i Microsoft Entra ID Protection. Signalerar användaren att identifiera risker, typer av risker och steg för att undersöka och åtgärda risker.

Identifiera risker

Microsoft analyserar biljoner signaler per dag för att identifiera potentiella hot. Dessa signaler kommer från lärdomar som Microsoft har förvärvat från flera källor, inklusive Microsoft Entra-ID, konsumentutrymmet med Microsoft-konton och spel med Xbox.

Microsoft Entra ID Protection ger organisationer information om misstänkt aktivitet i sin klientorganisation och gör det möjligt för dem att svara snabbt för att förhindra ytterligare risker. Riskidentifieringar kan omfatta misstänkt eller avvikande aktivitet som är relaterad till ett användarkonto i katalogen. ID Protection-riskidentifieringar kan länkas till en inloggningshändelse (inloggningsrisk) eller en enskild användare (användarrisk).

  • Inloggningsrisk. En inloggning representerar sannolikheten att en viss autentiseringsbegäran inte godkänns av identitetsägaren. Exempel är en inloggning från en anonym IP-adress, atypiska resor (två inloggningar från geografiskt avlägsna platser), okända inloggningsegenskaper med mera.

  • Användarrisk. En användarrisk representerar sannolikheten att en viss identitet eller ett visst konto komprometteras. Exempel är läckta autentiseringsuppgifter, användarrapporterad misstänkt aktivitet, misstänkta sändningsmönster med mera.

En detaljerad lista över inloggnings- och användarriskidentifieringar finns i Riskidentifieringar mappade till riskEventType

Identity Protection genererar bara riskidentifieringar när rätt autentiseringsuppgifter används i autentiseringsbegäran. Om en användare använder felaktiga autentiseringsuppgifter flaggas den inte av Identity Protection eftersom det inte finns någon risk för intrång i autentiseringsuppgifter om inte en dålig aktör använder rätt autentiseringsuppgifter.

Riskidentifieringar kan utlösa åtgärder som att kräva att användare tillhandahåller multifaktorautentisering, återställer sitt lösenord eller blockerar åtkomst tills en administratör vidtar åtgärder.

Undersöka risker

Eventuella risker som identifieras på en identitet spåras med rapportering. Identity Protection innehåller tre viktiga rapporter för administratörer för att undersöka risker och vidta åtgärder:

  • Riskidentifieringar: Varje identifierad risk rapporteras som en riskidentifiering.

  • Riskfyllda inloggningar: En riskfylld inloggning rapporteras när en eller flera riskidentifieringar rapporteras för den inloggningen.

  • Riskfyllda användare: En riskfylld användare rapporteras när något av eller båda av följande är sanna:

    • Användaren har en eller flera riskfyllda inloggningar.
    • En eller flera riskidentifieringar rapporteras.

    För företag som är registrerade i Microsoft Security Copilot Den riskfyllda användarrapporten bäddar in funktionerna i Microsoft Security Copilot för att sammanfatta en användares risknivå, ge insikter som är relevanta för incidenten och ge rekommendationer för snabb minskning.

Undersökning av händelser är nyckeln till att förstå och identifiera eventuella svaga punkter i din säkerhetsstrategi.

Åtgärda

När en undersökning har slutförts vill administratörer vidta åtgärder för att åtgärda risken eller avblockera användare. Organisationer kan aktivera automatiserad hantering med hjälp av riskprinciper. Till exempel kan riskbaserade principer för villkorlig åtkomst aktiveras för att kräva åtkomstkontroller, till exempel tillhandahålla en stark autentiseringsmetod, utföra multifaktorautentisering eller utföra en säker lösenordsåterställning baserat på den identifierade risknivån. Om användaren har slutfört åtkomstkontrollen åtgärdas risken automatiskt.

När automatiserad reparation inte är aktiverad måste en administratör manuellt granska de identifierade riskerna i rapporterna via portalen, via API:et eller i Microsoft Defender XDR. Administratörer kan utföra manuella åtgärder för att stänga, bekräfta säkerhetsrisken eller bekräfta att riskerna har komprometterats.

Export

Data från Identity Protection kan exporteras till andra verktyg för arkivering, ytterligare undersökning och korrelation. Med Microsoft Graph-baserade API:er kan organisationer samla in dessa data för vidare bearbetning i verktyg som siem. Data kan också skickas till en Log Analytics-arbetsyta, arkiverade data till ett lagringskonto, strömmas till Event Hubs eller lösningar.