панель мониторинга Защита идентификации Microsoft Entra

  • Статья

Защита идентификации Microsoft Entra предотвращает компрометацию удостоверений путем обнаружения атак удостоверений и создания отчетов о рисках. Он позволяет клиентам защищать свои организации путем мониторинга рисков, изучения их и настройки политик доступа на основе рисков для защиты конфиденциального доступа и автоматического исправления рисков.

Наша панель мониторинга помогает клиентам лучше анализировать их состояние безопасности, понимать, насколько хорошо они защищены, выявляют уязвимости и выполняют рекомендуемые действия.

Снимок экрана: панель мониторинга Защита идентификации Microsoft Entra обзора.

Эта панель мониторинга предназначена для расширения возможностей организаций с расширенными аналитическими сведениями и практическими рекомендациями, адаптированными для вашего клиента. Эта информация обеспечивает лучшее представление о состоянии безопасности вашей организации и позволяет обеспечить эффективную защиту соответствующим образом. У вас есть доступ к ключевым метрикам, графике атак, карте с выделением рискованных расположений, главными рекомендациями по повышению уровня безопасности и недавним действиям.

Необходимые компоненты

Чтобы получить доступ к этой панели мониторинга, вам потребуется:

  • Бесплатный идентификатор Microsoft Entra ID или Microsoft Entra ID P1 или лицензии Microsoft Entra ID P2 для пользователей.
  • Чтобы просмотреть полный список рекомендаций и выбрать рекомендуемые ссылки на действия, вам потребуется лицензия Microsoft Entra ID P2.

Доступ к панели мониторинга

Вы можете получить доступ к панели мониторинга, выполнив следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения безопасности.
  2. Перейдите на >панель мониторинга защиты>идентификации.

Метрики карта

При реализации дополнительных мер безопасности, таких как политики на основе рисков, защита клиента усиливается. Таким образом, теперь мы предоставляем четыре ключевых метрика, которые помогут вам понять эффективность мер безопасности, которые вы создали.

Снимок экрана: графы метрик на панели мониторинга.

Metric Определение метрики Периодичность обновления Где просмотреть подробные сведения
Количество заблокированных атак Количество атак, заблокированных для этого клиента в каждый день.

Атака считается заблокированной, если рискованный вход прерывается любой политикой доступа. Управление доступом, необходимое политикой, должно блокировать вход злоумышленника, поэтому блокирует атаку в режиме реального времени.		 Каждые 24 часа. Просмотрите обнаружения рисков, определяющие атаки в отчете об обнаружении рисков, отфильтруйте "Состояние риска" по следующим образом:

- Исправлено
- Уволен
-** Подтверждено безопасно**
Число защищенных пользователей Количество пользователей в этом клиенте, состояние риска которого изменилось с риска на исправление или увольнение каждый день.

Исправленное состояние риска указывает, что пользователь самостоятельно исправил свой риск, завершив MFA или безопасное изменение пароля, и поэтому их учетная запись защищена.

Состояние риска "Отклонено " указывает, что администратор отклонил риск пользователя, так как он определил учетную запись пользователя, чтобы быть безопасной.		 Каждые 24 часа. Просмотрите пользователей, защищенных в отчете о рискованных пользователях, отфильтруйте "Состояние риска" по следующим:

- Исправлено
- Уволен
Среднее время, когда пользователи принимают самостоятельное исправление своих рисков Среднее время для состояния риска рискованных пользователей в клиенте, чтобы измениться с уровня " Риск" на исправленное.

Состояние риска пользователя изменяется на исправленное при самостоятельном исправлении риска пользователя с помощью MFA или безопасного изменения пароля.

Чтобы сократить время самостоятельного исправления в клиенте, разверните политики условного доступа на основе рисков.		 Каждые 24 часа. Просмотрите исправленные пользователи в отчете о рискованных пользователях, отфильтруйте "Состояние риска" по следующим:

- Исправлено
Число новых пользователей с высоким риском, обнаруженных Число новых рискованных пользователей с высоким уровнем риска, обнаруженных каждый день. Каждые 24 часа. Просмотр пользователей с высоким риском в отчете о рискованных пользователях, фильтрация уровня риска по

- "Высокий"

Агрегирование данных для следующих трех метрик, запущенных 22 июня 2023 г., поэтому эти метрики доступны с этой даты. Мы работаем над обновлением графа, чтобы отразить это.

  • Количество заблокированных атак
  • Число защищенных пользователей
  • Среднее время для устранения риска пользователей

Графики предоставляют 12-месячное окно данных.

Рисунок атаки

Чтобы лучше понять риск, мы представляем инновационный графический элемент атаки, который отображает распространенные шаблоны атак на основе удостоверений, обнаруженные для вашего клиента. Шаблоны атак представлены методами MITRE ATT&CK и определяются нашими расширенными обнаружениями рисков. Дополнительные сведения см. в разделе "Тип обнаружения рисков" с сопоставлением типов атак MITRE.

Снимок экрана: рисунок атаки на панели мониторинга.

Что считается атакой в Защита идентификации Microsoft Entra?

Атака — это событие, в котором мы обнаруживаем плохой субъект, пытающийся войти в вашу среду. Это событие активирует обнаружение рисков в режиме реального времени, сопоставленное с соответствующим методом MITRE ATT&CK. Ознакомьтесь со следующей таблицей для сопоставления между обнаружением рисков входа в режиме реального времени Защита идентификации Microsoft Entra и атаками, классифицированными методами MITRE ATT&CK.

Так как граф атак иллюстрирует только действие риска входа в режиме реального времени, рискованные действия пользователей не включаются. Чтобы визуализировать рискованные действия пользователей в вашей среде, вы можете перейти к отчету о рискованных пользователях.

Как интерпретировать рисунок атаки?

На рисунке представлены типы атак, которые повлияли на ваш клиент за последние 30 дней и были ли они заблокированы во время входа. В левой части отображается объем каждого типа атаки. Справа отображаются числа заблокированных и еще не исправленных атак. Граф обновляется каждые 24 часа и учитывает обнаружение рисков, возникающих в режиме реального времени; Таким образом, общее количество атак не соответствует общему количеству обнаружений.

  • Заблокировано: атака классифицируется как заблокированная, если связанный рискованный вход прерывается политикой доступа, например требованием многофакторной проверки подлинности. Это действие предотвращает вход злоумышленника и блокирует атаку.
  • Не устранено: успешные рискованные входы, которые не были прерваны и нуждаются в исправлении. Поэтому для обнаружения рисков, связанных с этими рискованными входами, также требуется исправление. Эти входы и связанные обнаружения рисков можно просмотреть в отчете о входе в рискованные операции, отфильтровав состояние риска "Риск".

Где можно просмотреть атаки?

Чтобы просмотреть сведения об атаках, можно выбрать количество атак в левой части графа. На этом графике вы перейдете к отчету об обнаружении рисков, отфильтрованном по этому типу атаки.

Вы можете перейти непосредственно к отчету об обнаружении рисков и фильтровать типы атак. Число атак и обнаружения не является одним и одним сопоставлением.

Тип обнаружения рисков с сопоставлением типов атак MITRE

Обнаружение рисков входа в режиме реального времени Тип обнаружения Сопоставление методов MITRE ATT&CK Отображаемое имя атаки Тип
Аномальный маркер В режиме реального времени или в автономном режиме T1539 Кража файлов cookie веб-сеанса или кражи маркеров Premium
Необычные свойства входа Реальное время T1078 Доступ с помощью допустимой учетной записи (обнаружен при входе) Premium
Проверенный IP-адрес субъекта угроз Реальное время T1078 Доступ с помощью допустимой учетной записи (обнаружен при входе) Premium
Анонимный IP-адрес Реальное время T1090 Obfuscation/Access с помощью прокси-сервера Nonpremium
Аналитика угроз Microsoft Entra В режиме реального времени или в автономном режиме T1078 Доступ с помощью допустимой учетной записи (обнаружен при входе) Nonpremium

Карта

Карта предоставляется для отображения географического расположения рискованных входов в клиенте. Размер пузырька отражает объем входов риска в этом расположении. Наведите указатель мыши на пузырьок с полем вызова, указав имя страны и количество рискованных входов из этого места.

Снимок экрана: рисунок карты на панели мониторинга.

Он содержит следующие элементы:

  • Диапазон дат: выберите диапазон дат и просмотрите рискованные входы из этого диапазона времени на карте. Доступны значения: последние 24 часа, последние семь дней и последние месяцы.
  • Уровень риска: выберите уровень риска для просмотра рискованных входов. Доступны следующие значения: высокий, средний, низкий.
  • Количество рискованных расположений :
    • Определение: количество расположений, из которых были рискованные входы клиента.
    • Диапазон дат и фильтр уровня риска применяются к этому числу.
    • При выборе этого количества вы перейдете к отчету о рискованных входах, отфильтрованном по выбранному диапазону дат и уровню риска.
  • Количество рискованных входов :
    • Определение: количество общих рискованных входов с выбранным уровнем риска в выбранном диапазоне дат.
    • Диапазон дат и фильтр уровня риска применяются к этому числу.
    • При выборе этого количества вы перейдете к отчету о рискованных входах, отфильтрованном по выбранному диапазону дат и уровню риска.

Рекомендации

Защита идентификации Microsoft Entra рекомендации помогут клиентам настроить свою среду для повышения уровня безопасности. Эти Рекомендации основаны на атаках, обнаруженных в клиенте за последние 30 дней. Рекомендации предоставляются для руководства сотрудникам по безопасности с рекомендуемыми действиями.

Снимок экрана: рекомендации на панели мониторинга.

Распространенные атаки, такие как распыление паролей, утечка учетных данных в клиенте и массовый доступ к конфиденциальным файлам, могут сообщить вам о возможном нарушении. На предыдущем снимке экрана пример защиты идентификации обнаружил не менее 20 пользователей с утечкой учетных данных в клиенте , рекомендуемое действие в этом случае — создать политику условного доступа, требующую безопасного сброса пароля для рискованных пользователей.

В компоненте рекомендаций на панели мониторинга клиенты видят следующее:

  • До трех рекомендаций, если в клиенте происходят определенные атаки.
  • Сведения о влиянии атаки.
  • Прямые ссылки для принятия соответствующих действий по исправлению.

Клиенты с лицензиями P2 могут просматривать полный список рекомендаций, которые предоставляют аналитические сведения с действиями. При выборе параметра "Просмотреть все" откроется панель с дополнительными рекомендациями, которые были активированы на основе атак в их среде.

Недавние действия

Последние действия содержат сводку недавних действий, связанных с рисками в клиенте. Возможные типы действий:

  1. Действие атаки
  2. действие исправления Администратор
  3. Самостоятельное исправление действий
  4. Новые пользователи с высоким уровнем риска

Снимок экрана: последние действия на панели мониторинга.

Известные проблемы

В зависимости от конфигурации клиента может не быть рекомендаций или недавних действий на панели мониторинга.

Связанный контент