描述 Microsoft Entra ID 保护
Microsoft Entra ID 标识保护可帮助组织检测、调查和修正基于标识的风险。 这包括用户标识和工作负载标识。
这些基于标识的风险可以进一步馈送给条件访问等工具,供其制定访问决策,也可以馈送回安全信息和事件管理 (SIEM) 工具,以进行深入调查和相关性分析。
检测风险
Microsoft 每天分析数万亿个信号,以识别潜在威胁。 这些信号来自于 Microsoft 从各种源中获得的经验,包括 Microsoft Entra ID、Microsoft 帐户中的用户群以及 Xbox 游戏。
Microsoft Entra ID 保护为组织提供其租户中可疑活动的信息,并让他们能够快速响应,以防止发生进一步的风险。 风险检测可以包括与目录中用户帐户相关的任何可疑或异常活动。 ID 保护风险检测可以链接到登录事件(登录风险)或单个用户(用户风险)。
登录风险。 登录表示给定身份验证请求未经标识所有者授权的概率。 例子包括来自匿名 IP 地址的登录、异常位置登录(来自地理位置较远的两个登录)、不熟悉的登录属性等。
用户风险。 用户风险表示给定标识或帐户遭入侵的概率。 例子包括凭据泄露、用户报告的可疑活动、可疑发送模式等。
有关登录和用户风险检测的详细列表,请参阅映射到 riskEventType 的风险检测
只有当身份验证请求中使用了正确的凭据时,标识保护才会生成风险检测。 如果用户使用不正确的凭据,则标识保护不会对其进行标记,因为除非恶意行动者使用了正确的凭据,否则不存在凭据泄露的风险。
风险检测可触发一些操作,例如要求用户进行多重身份验证、重置密码或阻止访问,直到管理员采取措施。
调查风险
在标识上检测到的风险通过报告来跟踪。 标识保护为管理员提供了三个关键报告,用于调查风险并采取措施:
风险检测:检测到的每个风险都报告为风险检测。
风险登录:如果针对登录报告了一个或多个风险检测,则会报告风险登录。
风险用户:当满足以下任一条件或两个条件均满足时,将报告风险用户:
- 用户具有一个或多个风险登录。
- 报告一个或多个风险检测。
对于加入 Microsoft Security Copilot 的企业,“风险用户”报告嵌入了 Microsoft Security Copilot 的功能,以汇总用户风险级别,提供与当前事件相关的见解,并提供快速缓解的建议。
事件调查是了解和找出安全策略中任何弱点的关键。
修正
完成调查后,管理员将需要采取措施来纠正风险或取消阻止用户。 组织可以使用其风险策略启用自动修正。 例如,可以启用基于风险的条件访问策略来要求访问控制,例如提供强身份验证方法、执行多重身份验证或根据检测到的风险级别执行安全密码重置。 如果用户成功完成访问控制,风险则会自动修正。
如果未启用自动修正,则管理员必须通过门户、API 或在 Microsoft Defender XDR 中手动查看报告中标识的风险。 管理员可以执行手动操作来消除风险、确认安全或确认风险泄露。
导出
来自标识保护的数据可以导出到其他工具,以进行存档以及深入调查和相关性分析。 使用基于 API 的 Microsoft Graph,组织可以收集这些数据,以便在 SIEM 等工具中完成进一步的处理。 还可以将数据发送到 Log Analytics 工作区、将数据存档到存储帐户、流式传输到事件中心或解决方案。