Microsoft Entra ID Protection 儀錶板
Microsoft Entra ID Protection 藉由偵測身分識別攻擊和報告風險來防止身分識別入侵。 它可讓客戶藉由監視風險、調查組織,以及設定風險型存取原則來保護其組織,以保護敏感性存取和自動補救風險。
我們的儀錶板可協助客戶進一步分析其安全性狀態、瞭解其保護程度、識別弱點,以及執行建議的動作。
此儀錶板的設計目的是讓組織擁有專為租使用者量身打造的豐富見解和可採取動作的建議。 這項資訊可讓您更深入地檢視組織的安全性狀態,並可讓您據以啟用有效的保護。 您可以存取關鍵計量、攻擊圖形、醒目提示具風險位置的地圖、增強安全性狀態的頂級建議,以及最近的活動。
必要條件
若要存取此儀錶板,您需要:
- Microsoft Entra ID Free、Microsoft Entra ID P1 或 Microsoft Entra ID P2 licenses for your users.
- 若要檢視建議的完整清單,並選取建議的動作連結,您需要 Microsoft Entra ID P2 授權。
存取儀錶板
您可以透過下列方式存取儀錶板:
- 以至少安全性讀取者身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護>身分識別保護>儀錶板]。
計量卡片
當您實作更多安全性措施,例如風險型原則時,您的租用戶保護會加強。 因此,我們現在提供四個主要計量,以協助您瞭解您已具備的安全性措施的有效性。
| 計量 | 計量定義 | 重新整理頻率 | 檢視詳細數據的位置 |
|---|---|---|---|
| 封鎖的攻擊數目 | 此租使用者每天封鎖的攻擊數目。 如果有風險的登入因任何存取原則中斷,則會將攻擊視為遭到封鎖。 原則所需的訪問控制應該會封鎖攻擊者登入,因此會即時封鎖攻擊。 |
每 24 小時。 | 檢視風險偵測報告中判斷攻擊的風險偵測,依下列方式篩選「風險狀態」: - 已補救 - 已解除 -** 確認安全** |
| 受保護的用戶數目 | 此租用戶中風險狀態從 風險 變更為 每天補救 或 關閉 的用戶數目。 補救的風險狀態表示使用者透過完成 MFA 或安全密碼變更來自我修復其用戶風險,因此會受到保護。 [已關閉的風險] 狀態表示系統管理員已關閉使用者的風險,因為他們發現使用者帳戶是安全的。 |
每 24 小時。 | 檢視風險用戶報告中受保護的使用者,依下列方式篩選「風險狀態」: - 已補救 - 已解除 |
| 表示您的使用者需要自行補救其風險的時間 | 租用戶中風險用戶風險狀態的平均時間,從 風險 變更為 補救。 當使用者透過 MFA 或安全密碼變更自行補救用戶風險時,使用者的風險狀態會變更為 [補救 ]。 若要減少租使用者中的自我補救時間,請部署風險型條件式存取原則。 |
每 24 小時。 | 在有風險的使用者報告中檢視已補救的使用者,依下列方式篩選「風險狀態」: - 已補救 |
| 偵測到的新高風險用戶數目 | 每天偵測到風險層級 較高的 新有風險用戶數目。 | 每 24 小時。 | 在 [具風險的使用者] 報告中檢視高風險使用者,依篩選風險層級 - “High” |
下列三個計量的數據匯總從 2023 年 6 月 22 日開始,因此可從該日期取得這些計量。 我們正努力更新圖表以反映這一點。
- 封鎖的攻擊數目
- 受保護的用戶數目
- 補救用戶風險的平均時間
圖表會提供 12 個月的滾動資料視窗。
攻擊圖形
為了協助您進一步了解風險暴露,我們引進了創新的攻擊圖形,以顯示針對租用戶偵測到的常見身分識別型攻擊模式。 攻擊模式是由 MITRE ATT&CK 技術所代表,並由我們的進階風險偵測所決定。 如需詳細資訊,請參閱 MITRE 攻擊類型對應的風險偵測類型一節。
Microsoft Entra ID Protection 中被視為攻擊是什麼?
攻擊是一個事件,我們偵測到嘗試登入您環境時發生錯誤的動作專案。 此事件會觸發對應至對應MITRE ATT&CK 技術的即時登入 風險偵測 。 請參閱下表,以取得 Microsoft Entra ID Protection 的即時登入風險偵測和攻擊之間的對應,如 MITRE ATT&CK 技術分類。
由於攻擊圖表只會說明即時登入風險活動, 因此不包含具風險的用戶活動 。 若要將環境中具風險的用戶活動可視化,您可以移至 有風險的用戶報告。
如何解譯攻擊圖形?
此圖形呈現過去 30 天內影響您租用戶的攻擊類型,以及登入期間是否遭到封鎖。 在左側,您會看到每個攻擊類型的磁碟區。 右側會顯示封鎖和尚未補救的攻擊數目。 圖表會每隔 24 小時更新一次,並計算實時發生的風險登入偵測;因此,攻擊總數不符合偵測總數。
- 已封鎖:如果相關聯的有風險登入因存取原則而中斷,攻擊會分類為封鎖,例如需要多重要素驗證。 此動作可防止攻擊者登入並封鎖攻擊。
- 未補救:未中斷且需要補救的成功有風險登入。 因此,與這些有風險的登入相關聯的風險偵測也需要補救。 您可以使用 「風險性登入」風險狀態來篩選,以檢視這些登入和相關聯的風險偵測。
我可以在哪裡檢視攻擊?
若要檢視攻擊詳細數據,您可以選取圖表左側的攻擊計數。 此圖表會帶您前往根據該攻擊類型篩選的風險偵測報告。
您可以直接前往風險偵測報告,並篩選 攻擊類型。 攻擊和偵測數目不是一對一對應。
MITRE 攻擊類型對應的風險偵測類型
| 即時登入風險偵測 | 偵測類型 | MITRE ATT&CK 技術對應 | 攻擊顯示名稱 | 類型 |
|---|---|---|---|---|
| 異常令牌 | 即時或離線 | T1539 | 竊取 Web 工作階段 Cookie/令牌竊取 | 進階 |
| 不熟悉的登入屬性 | 即時 | T1078 | 使用有效的帳戶進行存取 (在登入時偵測到) | 進階 |
| 已驗證的威脅執行者IP | 即時 | T1078 | 使用有效的帳戶進行存取 (在登入時偵測到) | 進階 |
| 匿名 IP 位址 | 即時 | T1090 | 使用 Proxy 混淆/存取 | Nonpremium |
| Microsoft Entra 威脅情報 | 即時或離線 | T1078 | 使用有效的帳戶進行存取 (在登入時偵測到) | Nonpremium |
地圖
提供地圖以顯示租使用者中具風險登入的地理位置。 泡泡的大小會反映該位置中風險登入的磁碟區。 將滑鼠停留在泡泡上方會顯示一個圖說文本框,並提供來自該位置的有風險登入的國家/地區名稱和數目。
包含下列元素:
- 日期範圍:選擇日期範圍,並從地圖上的該時間範圍內檢視有風險的登入。 可用的值為:過去 24 小時、過去 7 天和過去一個月。
- 風險層級:選擇要檢視具風險登入的風險層級。 可用的值為:高、中、低。
- 風險位置 計數:
- 定義:租用戶有風險登入的來源位置數目。
- 日期範圍和風險層級篩選會套用至此計數。
- 選取此計數會帶您前往依所選日期範圍和風險層級篩選的風險登入報告。
- 具風險的登入 計數:
- 定義:具有所選日期範圍中所選風險層級之風險登入總數。
- 日期範圍和風險層級篩選會套用至此計數。
- 選取此計數會帶您前往依所選日期範圍和風險層級篩選的風險登入報告。
建議
Microsoft Entra ID Protection 建議可協助客戶設定其環境,以提高其安全性狀態。 這些 建議 是以過去 30 天內在您的租用戶中偵測到的攻擊為基礎。 系統會提供建議,以引導安全性人員採取建議的動作。
常見的攻擊,例如密碼噴灑、您租使用者中的認證外洩,以及敏感性檔案的大量存取可能會通知您有潛在的缺口。 在上一個螢幕快照中,Identity Protection 範例 偵測到租 使用者中至少有 20 個認證外洩的使用者,在此情況下建議的動作是建立條件式存取原則,要求在有風險的使用者上重設安全密碼。
在我們的儀錶板建議元件中,客戶會看到:
- 如果租用戶中發生特定攻擊,最多三個建議。
- 深入瞭解攻擊的影響。
- 直接鏈接以採取適當的補救動作。
具有 P2 授權的客戶可以檢視提供動作見解的完整建議清單。 選取 [全部檢視] 時,它會開啟一個面板,其中顯示根據其環境中的攻擊觸發的更多建議。
最近的活動
最近活動會提供租使用者中最近風險相關活動的摘要。 可能的活動類型包括:
- 攻擊活動
- 管理員 補救活動
- 自我補救活動
- 新的高風險使用者
已知問題
視租用戶的設定而定,儀錶板上可能不會有建議或最近的活動。