Изучение рисков с помощью защиты идентификации в Внешняя идентификация Microsoft Entra

  • Статья

Область применения: Белый круг с серым символом X. клиенты рабочей силы внешниеЗеленый круг с белым проверка символом знака.клиенты (дополнительные сведения)

Защита идентификации Microsoft Entra обеспечивает постоянное обнаружение рисков для внешнего клиента. Она позволяет организациям обнаруживать, исследовать и устранять риски на основе удостоверений. Защита идентификации поставляется с отчетами о рисках, которые можно использовать для изучения рисков идентификации во внешних клиентах. Их этой статьи вы узнаете, как исследовать и устранять риски.

Отчеты по защите идентификации

Защита идентификации предоставляет два отчета. В отчете о пользователях, совершающих рискованные действия, администраторы могут найти пользователей, которые подвергаются риску, и сведения об обнаружении. Отчет об обнаружении рисков содержит сведения о каждом обнаружении рисков. Этот отчет включает тип риска, другие риски, активированные одновременно, расположение попытки входа и многое другое.

Каждый отчет содержит список всех обнаружений за период, показанный в верхней части отчета. С помощью фильтров в верхней части отчета можно фильтровать данные в отчете. Администраторы могут загрузить данные или использовать MS API Graph и пакет SDK для Microsoft Graph PowerShell для непрерывного экспорта данных.

Ограничения службы и рекомендации

При использовании защиты идентификации следует учитывать следующие моменты:

  • Защита идентификации недоступна в пробных клиентах.
  • Защита идентификации включена по умолчанию.
  • Защита идентификации доступна для локальных удостоверений и удостоверений социальных сетей, таких как Google или Facebook. Обнаружение ограничено, так как внешний поставщик удостоверений управляет учетными данными учетной записи социальных сетей.
  • В настоящее время в внешних клиентах Microsoft Entra доступно подмножество Защита идентификации Microsoft Entra обнаружения рисков. Внешняя идентификация Microsoft Entra поддерживает следующие обнаружения рисков:
Тип обнаружения риска Description
Необычное перемещение Вход из необычного расположения (на основе недавних входов пользователя).
Анонимный IP-адрес Вход с анонимного IP-адреса (например, браузер Tor, анонимайзеры VPN).
IP-адрес, связанный с вредоносным ПО Вход с вредоносного IP-адреса.
Необычные свойства входа Вход с свойствами, которые мы недавно не видели для данного пользователя.
Подтвержденная администратором компрометация пользователя Администратор указал, что пользователь был скомпрометирован.
Распыление пароля Вход с использованием атаки путем распыления пароля.
Аналитика угроз Microsoft Entra Источниками внутренней и внешней аналитики угроз Майкрософт обнаружено известный шаблон атак.

Изучение поведения пользователей, совершающих рискованные действия

С помощью сведений, предоставленных отчетом о рискованных пользователях , администраторы могут найти следующее:

  • Состояние риска указывает, какие пользователи совершают рискованные действия, были ли риски исправлены или отклонены.
  • Детальные сведения об обнаружении
  • Все события рисков при входе
  • Журнал рисков

Затем администраторы могут предпринять действия с этими событиями. Администраторы могут:

  • Сбросить пароль пользователя
  • Подтвердить компрометацию пользователя
  • Закрыть уведомление о риске для пользователя
  • Блокировать вход для выбранного пользователя
  • Изучать с помощью Azure ATP

Администратор может закрыть риск пользователя в Центре администрирования Microsoft Entra или программным способом с помощью API Microsoft Graph, чтобы закрыть риск пользователя. Для отклонения риска пользователя требуются права администратора. Рискованные пользователи или администратор, работающие от имени пользователя, могут исправить риск, например с помощью сброса пароля.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Убедитесь, что вы используете каталог, содержащий внешний клиент Microsoft Entra: выберите значок Параметры на панели инструментов и найдите внешний клиент из меню каталогов и подписок. Если это не текущий каталог, выберите переключатель.

  3. Перейдите в Центр безопасности защиты>идентификации>.

  4. Выберите "Защита идентификации".

  5. В разделе "Отчет" выберите "Рискованные пользователи".

    Выбор отдельных записей расширяет окно сведений под обнаружением. Детальный вид позволяет администраторам исследовать и выполнять действия при каждом обнаружении.

Отчет об обнаружении рисков

Отчет об обнаружении рисков содержит отфильтрованные данные до последних 90 дней (три месяца).

Информация, доступная в отчете об обнаружении рисков, поможет администратору найти следующие сведения:

  • сведения о каждом обнаружении рисков, включая тип.
  • другие риски, активированные в то же время;
  • расположение попытки входа.

Затем администраторы могут вернуться к отчету о рисках или о входах пользователей для выполнения действий на основе собранных данных.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите в Центр безопасности защиты>идентификации>.

  3. Выберите "Защита идентификации".

  4. В разделе "Отчет" выберите "Обнаружение рисков".