檢視有關授權系統的關鍵統計資料和資料

  • 發行項

許可權管理會定期提供授權系統的重要統計數據和數據摘要。 這項資訊適用於 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform (GCP)。

An example of the Permissions Management dashboard, highlighting key statistics to investigate.

許可權管理所提供的數據包含與可避免風險相關的計量。 這些計量可讓許可權管理系統管理員找出可降低與最低許可權原則相關風險的區域。

您可以在 Microsoft Entra 中檢視下列資訊:

  • 權限管理儀表板上的許可權爬行索引 (PCI) 熱度圖可識別:

    • 已授與高風險許可權但未使用這些許可權的用戶數目。
    • 參與許可權爬行索引 (PCI) 的用戶數目,以及其規模上的位置。

  • 分析儀錶板會在過去90天內提供許可權計量的快照集。

許可權管理儀錶板的元件

[許可權管理 儀錶板 ] 會顯示下列資訊:

  • 授權系統類型:您可以存取的授權系統類型的下拉式清單:AWS、Azure 和 GCP。

  • 授權系統:在您可以存取的所選授權系統中顯示帳戶和資料夾清單

    • 若要新增或移除帳戶和資料夾,請從 [ 名稱 ] 列表中選取或取消選取帳戶和資料夾,然後選取 [ 套用]。

  • 許可權爬行索引 (PCI):圖表會顯示 導致PCI的身分識別數目。

    PCI 圖形可能會顯示一或多個泡泡。 每個泡泡都會顯示被視為高風險的身分識別數目。 高風險 是指具有超過正常或必要使用許可權的用戶數目。

    • 若要顯示參與低PCI、中PCI和高PCI的身分識別數目清單,請選取圖表右上角的清單圖示。
    • 若要再次顯示PCI圖形,請選取 清單框右上方的[圖形 ] 圖示。

  • 最高PCI變更:顯示您的帳戶清單,以及過去7天內索引中PCI變更的相關信息

    • 若要下載清單,請選取清單框右上方的向下箭號。

      下列訊息隨即顯示: 我們會傳送電子郵件給您下載檔案的連結。

      • 請檢查您的電子郵件,以取得許可權管理客戶成功小組的訊息。 電子郵件包含 Microsoft Excel 格式的 PCI 歷程記錄報告連結
      • 電子郵件也包含報表儀錶板的連結,您可以在其中設定自動接收報表的方式和時機。

    • 若要檢視所有PCI變更,請選取 [ 全部檢視]。

  • 身分識別:結果摘要,包括:

    • 90 天內尚未存取的非作用中身分識別數目。
    • 定期存取數據的超級身分識別數目
    • 存取秘密資訊的身分識別數目:可存取敏感性或秘密資訊的角色清單。
    • 過度布建的作用 中身分識別具有比目前存取的許可權還多。
    • 具有許可權提升的身分識別數目:可增加許可權的角色清單。

    若要檢視所有身分識別的清單,請選取 [所有結果]。

  • 資源:結果摘要,其中包含下列資源數目:

    • 開啟安全組
    • Microsoft 受控密鑰
    • 具有 S3 貯體存取權的實例
    • 未加密的 S3 貯體
    • SSE-S3 加密貯體
    • S3 貯體可從外部存取

PCI 熱度圖

An example of the PCI heatmap showing hundreds of identities which require investigation.

許可權爬行索引熱度圖會顯示具有高風險許可權存取權之用戶產生的風險,並提供下列相關信息:

  • 獲得高風險許可權存取權但未主動使用這些許可權的使用者。 高風險許可權 包括修改或刪除授權系統中的資訊的能力。

  • 用戶可存取的資源數目,否則稱為資源觸達。

  • 與使用者有權存取的資源數目結合的高風險許可權,以產生圖表上看到的分數。

    許可權會分類為

    • (以紅色顯示) - 分數介於 68 到 100 之間。 用戶可存取他們未使用的許多高風險許可權,而且具有較高的資源觸達。
    • (以黃色顯示) - 分數介於 34 到 67 之間。 用戶有權存取他們所使用的一些高風險許可權,或具有中等資源觸達。
    • (以綠色顯示) - 分數介於 0 到 33 之間。 用戶可存取少數高風險許可權。 他們會使用其所有許可權,且資源觸達不足。

  • 圖表上顯示的數字會顯示有多少用戶參與特定分數。 若要檢視使用者的詳細數據,請將滑鼠停留在數位上方。

    散發圖會顯示參與許可權爬行的所有使用者。 它會顯示有多少用戶參與特定分數。 例如,如果PCI圖表的分數為14,圖表會顯示有多少用戶分數為14。

  • PCI 趨勢圖會顯示過去90天內PCI分數的歷史趨勢。

    • 若要下載 PCI 歷程記錄報告,請選取 [ 下載]。

檢視熱度圖上的資訊

  1. 選取熱度圖泡泡上的數字以顯示:

    • 身分識別總數,以及其中有多少個位於高、中和低類別中。
    • 過去幾周的PCI趨勢

  2. 頁面左側熱度圖下方的 [身分識別] 區段會顯示有關身分識別的所有相關結果,包括可以存取秘密資訊的角色、非使用中角色的角色、布建的作用中角色等等。

    • 若要展開身分識別的完整清單,請選取 [所有結果]。

  3. 頁面右側熱度圖下方的 [資源] 區段會顯示有關資源的所有相關結果。 其中包含未加密的 S3 貯體、開啟的安全組等等。

分析摘要

您也可以在分析儀錶板檢視用戶和活動摘要一節。 此儀錶板提供下列高風險工作或使用者已存取的動作的快照集,並顯示具有高風險存取權的用戶總數、有多少用戶處於非作用中或未執行的工作,以及有多少使用者為使用中或已執行的工作:

  • 具有高風險工作存取權的用戶:顯示具有高風險工作存取權的使用者總數(總計)、有多少使用者具有存取權但尚未使用工作(使用中),以及有多少用戶主動使用工作(作用中)。

  • 具有刪除工作存取權的使用者:高風險工作的子集,其中顯示可存取刪除工作的用戶數目(總計)、有多少使用者具有刪除許可權,但尚未使用許可權(作用中),以及有多少使用者正在主動執行刪除功能(作用中)。

  • 用戶可存取的高風險工作:在授權系統中顯示所有可用的高風險工作(已授與)、未使用多少高風險工作(未執行),以及使用多少高風險工作(已執行)。

  • 刪除使用者可存取的工作:顯示授權系統中所有可用的刪除工作(已授與)、未使用多少刪除工作(未執行),以及使用多少刪除工作(已執行)。

  • 允許高風險工作的資源:顯示使用者可存取的資源總數(總計)、有多少資源可用但無法使用(非使用中),以及使用多少資源(作用中)。

  • 允許刪除工作的資源:顯示允許刪除工作的資源總數(總計)、未使用刪除工作的資源數目(使用中),以及使用刪除工作的資源數目(作用中)。

下一步

  • 如需如何在 Permissions ManagementDashboard 上檢視授權系統和帳戶活動數據的資訊,請參閱 檢視授權系統中活動的相關數據。
  • 如需分析儀錶板的概觀,請參閱 分析儀錶板的概觀。