Microsoft Entra ID 标识保护可帮助组织检测、调查和修正基于标识的风险。 这些风险可以馈送到条件访问等工具中,以做出访问决策或发送到安全信息和事件管理(SIEM)工具,以便进一步调查和关联。
检测风险
Microsoft 会不断在我们的目录中添加和更新检测,以保护组织。 这些检测来自于我们每天对 Active Directory、Microsoft 帐户和 Xbox 游戏中的数万亿个信号进行分析所得到的经验。 这种广泛的信号可帮助 ID 保护功能检测风险行为,例如:
- 匿名 IP 地址使用
- 密码喷射攻击
- 凭据泄露
- 等等...
每次登录期间,ID Protection 都会运行所有实时登录检测,生成登录会话风险级别,指示登录可能遭到入侵。 根据此风险级别,将应用策略来保护用户和组织。
有关风险的完整列表及其检测方式,请参阅什么是风险一文。
调查
在标识上检测到的风险通过报告来跟踪。 ID 保护为管理员提供了三个关键报告,用于调查风险并采取措施:
- 风险检测:检测到的每个风险都报告为风险检测。
- 风险登录:如果针对登录报告了一个或多个风险检测,则会报告风险登录。
- 风险用户:当满足以下任一条件或两个条件均满足时,将报告风险用户:
- 用户具有一个或多个风险登录。
- 报告一个或多个风险检测。
有关如何使用报表的详细信息,请参阅如何:调查风险一文。
修正风险
自动化在安全性方面至关重要,因为信号和攻击的规模需要自动化才能跟上。
Microsoft数字防御报告 2024 提供以下统计信息:
每天分析78万亿个安全信号,比上年增加13万亿个
每天对Microsoft客户发动 6 亿次攻击
人为作勒索软件攻击同比增长 2.75 倍
这些统计数据继续呈上升趋势,没有放缓的迹象。 在此环境中,自动化是识别和修正风险的关键,以便 IT 组织能够专注于正确的优先级。
自动修正
可以启用基于风险的条件访问策略来要求访问控制,例如提供强身份验证方法、执行多重身份验证或根据检测到的风险级别执行安全密码重置。 如果用户成功完成访问控制,风险则会自动修正。
手动修正
如果未启用用户修正,管理员必须在门户中的报表、API 或 Microsoft Defender XDR 中手动查看它们。 管理员可以执行手动操作来消除、确认安全或确认风险被妥协。
利用数据
来自 ID 保护的数据可以导出到其他工具,以进行存档以及深入调查和相关性分析。 使用基于 API 的 Microsoft Graph,组织可以收集这些数据,以便在 SIEM 等工具中进一步处理。 若要了解如何访问 ID 保护 API,请参阅 Microsoft Entra ID 保护和 Microsoft Graph 入门一文
要了解如何将 ID 保护信息与 Microsoft Sentinel 集成,请参阅从 Microsoft Entra ID 保护连接数据一文。
组织可以通过更改 Microsoft Entra ID 中的诊断设置将数据存储更长的时间。 他们可以选择将数据发送到 Log Analytics 工作区、将数据存档到存储帐户、将数据流式传输到事件中心或将数据发送到另一合作伙伴解决方案。 有关如何这样做的详细信息,请参阅如何:导出风险数据一文。
必需的角色
ID 保护要求为用户分配以下一个或多个角色。
| 角色 | 允许事项 | 禁止事项 |
|---|---|---|
| 全局读取者 | 对“ID 保护”的只读访问 | 对 ID 保护的写入访问权限 |
| 用户管理员 | 重置用户密码 | 读取或写入 ID保护功能 |
| 条件访问管理员 | 创建将用户或登录风险作为条件考虑的策略 | 读取或写入旧版 ID 保护策略 |
| 安全信息读取者 | 查看所有 ID 保护报告和概述 | 配置或更改策略 重置用户密码 配置警报 提供有关检测的反馈 |
| 安全操作员 | 查看所有 ID 保护报告和概述 消除用户风险,确认安全登录,确认泄露 |
配置或更改策略 重置用户密码 配置警报 |
| 安全管理员 | 对“ID 保护”具有完全访问权限 | 重置用户密码 |
许可要求
使用此功能需要 Microsoft Entra ID P2 许可证。 若要找到合适的许可证,请参阅 Microsoft Entra 计划和定价。 下表介绍了 Microsoft Entra ID Protection 的主要功能以及每个功能的许可要求。 有关定价详细信息,请参阅Microsoft Entra 计划和定价页。
| 功能 | 详细信息 | Microsoft Entra ID 免费版/ Microsoft 365 应用版 | Microsoft Entra ID P1 | Microsoft Entra ID P2 / Microsoft Entra Suite |
|---|---|---|---|---|
| 风险策略 | 登录风险策略和用户风险策略(通过 ID 保护或条件访问实现) | 否 | 否 | 是 |
| 安全报表 | 概述 | 否 | 否 | 是 |
| 安全报表 | 有风险用户 | 有限信息。 仅显示中等风险和高风险用户。 无详细信息抽屉或风险历史记录。 | 有限信息。 仅显示中等风险和高风险用户。 无详细信息抽屉或风险历史记录。 | 完全访问权限 |
| 安全报表 | 有风险的登录 | 有限信息。 未显示任何风险详细信息或风险级别。 | 有限信息。 未显示任何风险详细信息或风险级别。 | 完全访问权限 |
| 安全报表 | 风险检测 | 否 | 有限信息。 无详细信息抽屉。 | 完全访问权限 |
| 通知 | 检测到用户存在风险的警报 | 否 | 否 | 是 |
| 通知 | 每周摘要 | 否 | 否 | 是 |
| MFA 注册策略 | 要求通过条件访问进行多重身份验证(MFA) | 否 | 否 | 是 |
| Microsoft Graph | 所有风险报告 | 否 | 否 | 是 |
若要查看风险工作负荷标识报告和风险检测报告中的“工作负荷标识检测”选项卡,需要工作负荷标识高级许可。 有关详细信息,请参阅保护工作负载标识。
Microsoft Defender
Microsoft Entra ID Protection 接收来自 Microsoft Defender 产品的信号,以便进行多项风险检测,因此还需要获得拥有你感兴趣的信号的 Microsoft Defender 产品的相应许可证。
Microsoft 365 E5 涵盖以下所有信号:
Microsoft Defender for Cloud Apps
- 来自匿名 IP 地址的活动
- 不可能旅行
- 对敏感文件的批量访问
- 新国家/地区
Microsoft Defender for Office 365
- 可疑收件箱规则
Microsoft Defender for Endpoint
- 可能尝试访问主刷新令牌