Microsoft Entra 标识保护通过检测身份攻击和报告风险来防止身份信息泄露。 它允许客户通过监视风险、调查和配置基于风险的访问策略来保护其组织,以保护敏感访问并自动修正风险。
我们的仪表板可帮助客户更好地分析其安全状况,了解其受保护程度,识别漏洞,并执行建议的操作。
此仪表板使组织能够获得为租户量身定制的丰富见解和可操作的建议。 此信息可更好地了解组织的安全状况,并让你相应地启用有效的保护。 在此仪表板中,可以获得关键指标、攻击图、突出显示风险位置的地图、有助于改善安全状况的首选建议以及最近的活动。
先决条件
若要访问此仪表板,你需要:
- 适用于你的用户的 Microsoft Entra ID 免费、Microsoft Entra ID P1 或 Microsoft Entra ID P2 许可证。
- Microsoft Entra ID P2 许可证允许查看建议的完整列表,并选择推荐的操作链接。
- Microsoft 365 E5 或 Microsoft 企业移动性+安全性 E5 许可证用于某些风险检测。 有关详细信息,请参阅什么是 Microsoft Entra ID 保护?。
访问仪表板
可以通过以下方式访问仪表板:
- 至少以安全读取者身份登录到 Microsoft Entra 管理中心。
- 导航至 ID 保护>仪表板。
指标卡
实施更多安全措施(例如基于风险的策略)后,租户保护会得到增强。 我们提供了四个关键指标,可帮助你了解已实施的安全措施的有效性。
| 指标 | 指标定义 | 刷新频率 | 查看详细信息的位置 |
|---|---|---|---|
| 阻止的攻击数量 | 每天为此租户阻止的攻击数量。 如果风险登录被任何访问策略中断,则视为攻击已被阻止。 策略所需的访问控制应阻止攻击者登录,从而实时阻止攻击。 |
每 24 小时一次。 | 查看“风险检测报告”中确定攻击的风险检测,按以下条件筛选“风险状态”: - 已修正 - 已消除 - 确认安全 |
| 受保护的用户数量 | 此租户中风险状态每天从“有风险”变为“已修正”或“已消除”的用户数量。 “已修正”风险状态表示用户已通过完成 MFA 或安全密码更改自行修正其用户风险,因此其帐户受保护。 “已消除”风险状态表示管理员已消除用户的风险,因为管理员已确定用户帐户是安全的。 |
每 24 小时一次。 | 查看“风险用户报告”中受保护的用户,按以下条件筛选“风险状态”: - 已修正 - 已消除 |
| 用户自行修正风险的平均时间 | 租户中风险用户的“风险状态”从“有风险”变为“已修正”的平均时间。 通过 MFA 或安全密码更改自行修正用户风险后,用户的风险状态会变为“已修正”。 若要减少租户中的自行修正时间,请部署基于风险的条件访问策略。 |
每 24 小时一次。 | 查看“风险用户报告”中已修正的用户,按以下条件筛选“风险状态”: - 已修正 |
| 检测到的新高风险用户数量 | 每天检测到的“高”风险级别的新风险用户数量。 | 每 24 小时一次。 | 在“风险用户报告”中查看高风险用户,按以下条件筛选风险级别 - “高” |
以下三个指标的数据聚合自 2023 年 6 月 22 日开始,因此这些指标从该日期起可用。 我们正努力更新图表以反映这一信息。
- 阻止的攻击数量
- 受保护的用户数量
- 用户风险平均修正时间
图表提供 12 个月的滚动数据窗口。
攻击图
为了帮助你更好地了解风险暴露情况,我们的攻击图表显示为你的租户检测到的基于身份的常见攻击模式。 攻击模式采用 MITRE ATT&CK 技术表示,并通过高级风险检测确定。 有关详细信息,请参阅 MITRE 攻击类型映射的风险检测类型部分。
Microsoft Entra 标识保护中的攻击是指什么?
攻击是指我们检测到不良行动者尝试登录你的环境的事件。 此事件会触发一个实时登录风险检测,与相应的 MITRE ATT&CK 技术相映射。 根据 MITRE ATT&CK 技术分类,请参考下表,以了解 Microsoft Entra ID 保护的实时登录风险检测与攻击之间的对应关系。
由于攻击图仅说明实时登录风险活动, 因此不包括有风险的用户活动 。 若要可视化环境中有风险的用户活动,可以转到 有风险的用户报告。
如何解释攻击图?
该图显示了过去 30 天内影响租户的攻击类型,以及这些攻击是否在登录期间被阻止。 左侧显示每种攻击类型的数量。 右侧显示已阻止和尚未修正的攻击数量。 该图每 24 小时更新一次,同时它会统计实时发生的风险登录检测,因此攻击总数与检测总数不匹配。
- 已阻止:如果相关的风险登录被访问策略中断(例如要求多重身份验证),则攻击会被归类为已阻止。 此操作可阻止攻击者登录并阻止攻击。
- 未修正:未中断且需要修正的成功风险登录。 因此,与这些风险登录关联的风险检测也需要修正。 可以通过筛选“有风险”风险状态,在风险登录报告中查看上述登录和相关的风险检测。
在哪里可以查看攻击?
若要查看攻击详细信息,可以选择图左侧的攻击计数。 此图会将你转到针对该攻击类型筛选的风险检测报告。
可以直接转到风险检测报告并筛选 攻击类型。 攻击次数与检测次数之间不是一一对应的关系。
风险检测类型到 MITRE 攻击类型映射
| 实时登录风险检测 | 检测类型 | MITRE ATT&CK 技术映射 | 攻击显示名称 | 类型 |
|---|---|---|---|---|
| 异常令牌 | 实时或脱机 | T1539 | 窃取 Web 会话 Cookie/令牌被盗 | 高级版 |
| 不熟悉的登录属性 | 实时 | T1078 | 使用有效帐户访问(登录检测) | 高级版 |
| 经过验证的威胁参与者 IP | 实时 | T1078 | 使用有效帐户访问(登录检测) | 高级版 |
| 匿名 IP 地址 | 实时 | T1090 | 使用代理进行模糊处理/访问 | 非高档 |
| Microsoft Entra 威胁情报 | 实时或脱机 | T1078 | 使用有效帐户访问(登录检测) | 非高档 |
映射
仪表板提供了一个地图来显示租户中风险登录的地理位置。 气泡的大小反映该位置的风险登录量。 将鼠标悬停在气泡上方会显示一个标注框,其中显示了国家/地区名称和来自该位置的风险登录数量。
它包含以下元素:
- 日期范围:选择日期范围,并在地图上查看该时间范围内的高风险登录。 可选择的值为:过去 24 小时、过去 7 天和过去一个月。
- 风险级别:选择要查看的风险登录的风险级别。 可选择的值为:高、中、低。
-
风险位置计数:
- 定义:租户风险登录的位置数量。
- 日期范围和风险级别筛选器适用于此计数。
- 选择此计数会转到按所选日期范围和风险级别筛选的风险登录报告。
-
风险登录计数:
- 定义:所选日期范围内具有所选风险级别的风险登录总数。
- 日期范围和风险级别筛选器适用于此计数。
- 选择此计数会转到按所选日期范围和风险级别筛选的风险登录报告。
建议
Microsoft Entra ID 保护的建议可帮助客户配置其环境以增强安全态势。 这些建议基于过去 30 天内在租户中检测到的攻击。 提供这些建议是为了指导你的安全人员采取建议的操作。
常见的攻击(如密码喷射、租户中的凭据泄露和对敏感文件的大规模访问)可能会通知存在潜在的违规行为。 对于上一张屏幕截图的“身份保护检测到租户中至少有 20 个用户发生凭据泄露”示例,建议的操作是创建条件访问策略,要求对风险用户进行安全密码重置。
在我们的仪表板的建议组件中,客户会看到:
- 如果租户中发生特定攻击,最多提供三个建议。
- 深入了解攻击的影响。
- 为采取适当的整改措施提供直接链接。
拥有 P2 许可证的客户可以查看提供见解和操作建议的综合列表。 选择“查看全部”后,会打开一个面板,其中显示基于其环境中的攻击触发的更多建议。
最近活动
“最近活动”提供租户中最近与风险相关的活动的摘要。 可能的活动类型有:
- 攻击活动
- 管理员修正活动
- 自我修复活动
- 新高风险用户
已知问题
取决于租户的配置,仪表板可能没有建议或最近的活动。