查看有关授权系统的关键统计信息和数据

权限管理定期提供有关授权系统的关键统计信息和数据的摘要。 此信息适用于 AWS Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform (GCP)。

An example of the Permissions Management dashboard, highlighting key statistics to investigate.

权限管理提供的数据包括与可避免的风险相关的指标。 通过这些指标,权限管理管理员能够识别可在哪些方面降低与最低权限原则相关的风险。

可在 Microsoft Entra 中查看以下信息:

  • 权限管理仪表板上的“权限蠕变指数(PCI)”热度地图标识以下内容:

    • 已被授予高风险权限但未使用这些权限的用户数。
    • 对权限蠕变指数 (PCI) 有贡献的用户数量及其规模等级。
  • “分析”仪表板提供过去 90 天内的权限指标快照。

权限管理仪表板的组件

权限管理“仪表板”会显示以下信息:

  • 授权系统类型:可以访问的授权系统类型的下拉列表:AWS、Azure 和 GCP。

  • 授权系统:显示所选授权系统中可以访问的帐户和文件夹的列表。

    • 若要添加或删除帐户和文件夹,请在“名称”列表中选择或取消选择帐户和文件夹,然后选择“应用”。
  • 权限蠕变指数 (PCI):此图显示对 PCI 有影响的标识数。

    PCI 图可能会显示一个或多个气泡。 每个气泡都显示被视为高风险的标识数。 高风险是指具有超过正常或所需使用权限的用户的数量。

    • 若要显示影响低 PCI、中 PCI 和高 PCI 的标识数列表,请选择图中右上角的“列表”图标。
    • 若要再次显示 PCI 图,请选择列表框右上角的“图形”图标。
  • 最高 PCI 更改:显示帐户列表,以及有关 PCI 和过去 7 天内指数更改的信息。

    • 若要下载列表,请选择列表框右上角的向下箭头。

      将显示以下消息:我们将通过电子邮件向你发送下载文件的链接。

      • 请在电子邮件中查看权限管理客户成功团队发送的邮件。 电子邮件包含指向 Microsoft Excel 格式的 PCI 历史记录报表的链接。
      • 电子邮件还包括指向“报表”仪表板的链接,可在该仪表板中配置自动接收报表的方式和时间。
    • 若要查看所有 PCI 更改,请选择“查看全部”。

  • 标识:结果的摘要,其中包括:

    • 90 天内未访问的非活动标识数。
    • 定期访问数据的超级标识数。
    • 可以访问机密信息的标识数:可以访问敏感信息或机密信息的角色列表。
    • 权限超过当前访问权限的过度预配活动标识。
    • 具有权限提升的标识数:可以增加权限的角色列表。

    若要查看所有标识的列表,请选择“所有结果”。

  • 资源:结果的摘要,其中包括以下资源的数量:

    • 开放安全组
    • Microsoft 托管的密钥
    • 有权访问 S3 存储桶的实例
    • 未加密的 S3 存储桶
    • SSE-S3 加密存储桶
    • 可从外部访问的 S3 存储桶

PCI 热度地图

An example of the PCI heatmap showing hundreds of identities which require investigation.

“权限蠕变指数”热度地图显示有权访问高风险权限的用户招致的风险,并提供有关以下各项的信息:

  • 有权访问高风险权限但未主动使用这些权限的用户。 高风险权限包括修改或删除授权系统中信息的能力。

  • 用户有权访问的资源数,也称为资源范围。

  • 高风险权限与用户可以访问的资源数量相结合,以生成图表上显示的分数。

    权限分类为“高”、“中”和“低”。

    • 高(以红色显示)- 分数在 68 到 100 之间。 用户可以访问许多他们没有使用的高风险权限,并且具有很大的资源范围。
    • 中(以黄色显示)- 分数介于 34 和 67 之间。 用户有权访问他们使用的一些高风险权限,或者具有中等资源范围。
    • 低(以绿色显示)- 分数介于 0 到 33 之间。 用户只能访问极少数高风险权限。 他们使用自己的所有权限并且资源范围小。
  • 图上显示的数字显示了有多少用户对特定分数产生了影响。 若要查看有关用户的详细数据,请将鼠标悬停在数字上。

    分布图显示了对权限蠕变产生影响的所有用户。 它显示有多少用户对特定分数产生了影响。 例如,如果 PCI 图表中的评分为 14,则图表将显示分数为 14 的用户数。

  • PCI 趋势图显示了过去 90 天 PCI 分数的历史趋势。

    • 若要下载 PCI 历史记录报表,请选择“下载”。

查看热度地图上的信息

  1. 选择要显示的热度地图气泡上的数字:

    • 标识总数以及高、中和低类别中的标识数。
    • 过去几周的 PCI 趋势。
  2. 页面左侧热度地图下的标识部分显示了有关标识的所有相关结果,其中包括可以访问机密信息的角色、处于非活动状态的角色、过度预配的活动角色等。

    • 若要展开标识的完整列表,请选择“所有结果”。
  3. 页面右侧热度地图下的“资源”部分显示有关资源的所有相关结果。 它包括未加密的 S3 存储桶、开放安全组等。

分析摘要

还可以在“分析”仪表板上查看用户和活动摘要部分。 此仪表板提供用户已访问的以下高风险任务或操作的快照,并显示具有高风险访问权限的用户总数、处于非活动状态或具有未执行的任务的用户数,以及处于活动状态或具有已执行的任务的用户数:

  • 有权访问高风险任务的用户数:显示有权访问高风险任务的用户总数(总数)、有权访问但尚未使用任务的用户数(非活动)以及在主动使用任务的用户数(活动)。

  • 有权删除任务的用户数:高风险任务的子集,它显示有权删除任务的用户数(总数)、具有删除权限但没有使用该权限的用户数(非活动)以及在主动执行删除功能的用户数(活动)。

  • 用户可访问的高风险任务:显示授权系统中所有可用的高风险任务(已授权)、未使用的高风险任务数(未执行)和已使用的高风险任务数(已执行)。

  • 用户可访问的删除任务:显示授权系统中所有可用的删除任务(已授权)、未使用的删除任务数(未执行)和已使用的删除任务数(已执行)。

  • 允许高风险任务的资源数:显示用户有权访问的资源总数(总数)、可用但未使用的资源数(非活动)和已使用的资源数(活动)。

  • 允许删除任务的资源数:显示允许删除任务的资源总数(总数)、未使用删除任务的资源数(非活动)和已使用删除任务的资源数(活动)。

后续步骤