Microsoft Entra Kimlik Koruması panosu
Microsoft Entra Kimlik Koruması, kimlik saldırılarını algılayarak ve riskleri bildirerek kimlik risklerini önler. Müşterilerin riskleri izleyerek, araştırarak ve hassas erişimi korumak ve riskleri otomatik olarak düzeltmek için risk tabanlı erişim ilkelerini yapılandırarak kuruluşlarını korumalarına olanak tanır.
Panomuz müşterilerin güvenlik duruşlarını daha iyi analiz etmelerine, ne kadar iyi korunduğunu anlamalarına, güvenlik açıklarını tanımlamalarına ve önerilen eylemleri gerçekleştirmelerine yardımcı olur.
Bu pano, kiracınıza uyarlanmış zengin içgörüler ve eyleme dönüştürülebilir önerilerle kuruluşları güçlendirmek için tasarlanmıştır. Bu bilgiler, kuruluşunuzun güvenlik duruşuna daha iyi bir görünüm sağlar ve uygun şekilde etkili korumaları etkinleştirmenize olanak tanır. Önemli ölçümlere, saldırı grafiklerine, riskli konumları vurgulayan bir haritaya, güvenlik duruşunu geliştirmeye yönelik en iyi önerilere ve son etkinliklere erişebilirsiniz.
Önkoşullar
Bu panoya erişmek için şunları yapmanız gerekir:
- Kullanıcılarınız için Microsoft Entra Id Free veya Microsoft Entra ID P1 veya Microsoft Entra ID P2 lisansları.
- Önerilerin kapsamlı bir listesini görüntülemek ve önerilen eylem bağlantılarını seçmek için Microsoft Entra ID P2 lisanslarına ihtiyacınız vardır.
Panoya erişme
Panoya şu şekilde erişebilirsiniz:
- Microsoft Entra yönetim merkezinde en azından Güvenlik Okuyucusu olarak oturum açın.
- Koruma>Kimlik Koruması>Panosu'na göz atın.
Ölçüm kartları
Risk tabanlı ilkeler gibi daha fazla güvenlik önlemi uyguladığınızda kiracı korumanız güçlenir. Bu nedenle, sahip olduğunuz güvenlik önlemlerinin verimliliğini anlamanıza yardımcı olmak için dört temel ölçüm sunuyoruz.
| Metric | Ölçüm tanımı | Yenileme sıklığı | Ayrıntıların görüntülendiği yer |
|---|---|---|---|
| Engellenen saldırı sayısı | Bu kiracı için her gün engellenen saldırı sayısı. Riskli oturum açma işlemi herhangi bir erişim ilkesi tarafından kesintiye uğrarsa bir saldırının engellendiği kabul edilir. İlkenin gerektirdiği erişim denetimi saldırganın oturum açmasını engellemeli, bu nedenle saldırıyı gerçek zamanlı olarak engellemelidir. |
24 saatte bir. | Risk algılamaları raporunda saldırıları belirleyen risk algılamalarını görüntüleyin ve "Risk durumu" filtresini şu şekilde filtreleyin: - Düzeltilmiş - Kapatıldı - Onaylanan kasa |
| Korunan kullanıcı sayısı | Bu kiracıda risk durumu Risk Altında olan ve her gün Düzeltilen veya Kapatılan kullanıcı sayısı. Düzeltilmiş risk durumu, kullanıcının MFA veya güvenli parola değişikliğini tamamlayarak kullanıcı riskini kendi kendine düzeltdiğini ve bu nedenle hesabının korunduğunu gösterir. Kapatılan risk durumu, bir yöneticinin kullanıcının hesabını güvenli olarak tanımladığı için kullanıcının riskini kapattığını gösterir. |
24 saatte bir. | Riskli kullanıcılar raporunda korunan kullanıcıları görüntüleyin, "Risk durumu"na şu şekilde filtreleyin: - Düzeltilmiş - Kapatıldı |
| Kullanıcılarınızın risklerini kendi kendine düzeltmek için aldıkları ortalama süre | Kiracınızdaki riskli kullanıcıların Risk durumunun Risk Altında durumundan Düzeltildi olarak değişmesi için ortalama süre. Bir kullanıcının risk durumu, kullanıcı riskini MFA veya güvenli parola değişikliği aracılığıyla kendi kendine düzelttiğinde Düzeltildi olarak değişir. Kiracınızda kendi kendini düzeltme süresini azaltmak için risk tabanlı Koşullu Erişim ilkelerini dağıtın. |
24 saatte bir. | Riskli kullanıcılar raporunda düzeltilmiş kullanıcıları görüntüleyin, "Risk durumu" filtresini şu şekilde filtreleyin: - Düzeltilmiş |
| Algılanan yeni yüksek riskli kullanıcı sayısı | Her gün algılanan risk düzeyi Yüksek olan yeni riskli kullanıcıların sayısı. | 24 saatte bir. | Riskli kullanıcılar raporunda yüksek riskli kullanıcıları görüntüleyin, risk düzeyini - "Yüksek" |
Aşağıdaki üç ölçüm için veri toplama işlemi 22 Haziran 2023'te başladı, bu nedenle bu ölçümler bu tarihten itibaren kullanılabilir. Grafı bunu yansıtacak şekilde güncelleştirmeye çalışıyoruz.
- Engellenen saldırı sayısı
- Korunan kullanıcı sayısı
- Kullanıcı riskini düzeltmek için ortalama süre
Grafikler, 12 aylık sıralı bir veri penceresi sağlar.
Saldırı grafiği
Risk kapsamınızı daha iyi anlamanıza yardımcı olmak için, saldırı grafiğimizde kiracınız için algılanan genel kimlik tabanlı saldırı desenleri görüntülenir. Saldırı desenleri MITRE ATT&CK teknikleri ile temsil edilir ve gelişmiş risk algılamalarımız tarafından belirlenir. Daha fazla bilgi için MiTRE saldırı türü eşlemesine risk algılama türü bölümüne bakın.
Microsoft Entra Kimlik Koruması'da saldırı olarak ne kabul edilir?
Saldırı, ortamınızda oturum açmaya çalışan kötü bir aktörü algıladığımız bir olaydır. Bu olay, ilgili MITRE ATT&CK tekniğine eşlenmiş gerçek zamanlı oturum açma riski algılamasını tetikler. mitre ATT&CK teknikleri tarafından kategorilere ayrılmış olarak Microsoft Entra Kimlik Koruması gerçek zamanlı oturum açma riski algılamaları ve saldırıları arasındaki eşleme için aşağıdaki tabloya bakın.
Saldırı grafiği yalnızca gerçek zamanlı oturum açma riski etkinliğini gösterdiğinden riskli kullanıcı etkinliği dahil değildir. Ortamınızdaki riskli kullanıcı etkinliğini görselleştirmek için riskli kullanıcılar raporuna gidebilirsiniz.
Saldırı grafiği nasıl yorumlur?
Grafik, son 30 gün içinde kiracınızı etkileyen saldırı türlerini ve oturum açma sırasında engellenip engellenmediğini gösterir. Sol tarafta, her saldırı türünün hacmini görürsünüz. Sağ tarafta engellenen ve henüz düzeltilmeyen saldırıların sayısı görüntülenir. Graf her 24 saatte bir güncelleştirilir ve gerçek zamanlı olarak gerçekleşen risk oturum açma algılamalarını sayıyor; bu nedenle, toplam saldırı sayısı toplam algılama sayısıyla eşleşmiyor.
- Engellendi: Bir saldırı, çok faktörlü kimlik doğrulaması gerektiren bir erişim ilkesi tarafından ilişkili riskli oturum açma işleminin kesintiye uğraması durumunda engellenmiş olarak sınıflandırılır. Bu eylem saldırganın oturum açmasını engeller ve saldırıyı engeller.
- Düzeltilmedi: Kesintiye uğramamış ve düzeltilmesi gereken başarılı riskli oturum açma işlemleri. Bu nedenle, bu riskli oturum açma işlemleriyle ilişkili risk algılamaları da düzeltme gerektirir. Riskli oturum açma işlemleri raporunda "Risk altında" risk durumuyla filtreleyerek bu oturum açma işlemleri ve ilişkili risk algılamalarını görüntüleyebilirsiniz.
Saldırıları nerede görüntüleyebilirim?
Saldırı ayrıntılarını görüntülemek için grafiğin sol tarafındaki saldırı sayısını seçebilirsiniz. Bu grafik sizi bu saldırı türüne göre filtrelenen risk algılama raporuna götürür.
Doğrudan risk algılama raporuna gidebilir ve Saldırı türlerine göre filtreleyebilirsiniz. Saldırı ve algılama sayısı bire bir eşleme değildir.
MITRE saldırı türü eşlemesine risk algılama türü
| Gerçek zamanlı oturum açma riski algılama | Algılama türü | MITRE ATT&CK tekniği eşlemesi | Saldırı görünen adı | Tür |
|---|---|---|---|---|
| Anormal Belirteç | Gerçek zamanlı veya Çevrimdışı | T1539 | Web Oturumu Tanımlama Bilgisini/Belirteç Hırsızlığını Çal | Premium |
| Bilinmeyen oturum açma özellikleri | Gerçek zamanlı | T1078 | Geçerli bir hesap kullanarak erişim (Oturum Açma Sırasında Algılandı) | Premium |
| Doğrulanmış tehdit aktörü IP'si | Gerçek zamanlı | T1078 | Geçerli bir hesap kullanarak erişim (Oturum Açma Sırasında Algılandı) | Premium |
| Anonim IP adresi | Gerçek zamanlı | T1090 | Proxy kullanarak gizleme/erişim | Şirket dışı |
| Microsoft Entra tehdit bilgileri | Gerçek zamanlı veya Çevrimdışı | T1078 | Geçerli bir hesap kullanarak erişim (Oturum Açma Sırasında Algılandı) | Şirket dışı |
Harita
Kiracınızdaki riskli oturum açmaların coğrafi konumunu görüntülemek için bir harita sağlanır. Kabarcığın boyutu, bu konumdaki oturum açma risklerinin hacmini yansıtır. Balonun üzerine geldiğinizde, ülke adını ve riskli oturum açma sayısını sağlayan bir arama kutusu gösterilir.
Aşağıdaki öğeleri içerir:
- Tarih aralığı: Tarih aralığını seçin ve haritada bu zaman aralığının içinden riskli oturum açmaları görüntüleyin. Kullanılabilir değerler şunlardır: son 24 saat, son yedi gün ve son bir ay.
- Risk düzeyi: Görüntülenecek riskli oturum açma işlemleri için risk düzeyini seçin. Kullanılabilir değerler şunlardır: Yüksek, Orta, Düşük.
- Riskli Konum sayısı :
- Tanım: Kiracınızın riskli oturum açma işlemlerine ait konumların sayısı.
- Tarih aralığı ve risk düzeyi filtresi bu sayıya uygulanır.
- Bu sayıyı seçtiğinizde, seçilen tarih aralığına ve risk düzeyine göre filtrelenmiş Riskli oturum açma işlemleri raporuna yönlendirilirsiniz.
- Riskli Oturum Açma sayısı :
- Tanım: Seçili tarih aralığında seçili risk düzeyine sahip toplam riskli oturum açma sayısı.
- Tarih aralığı ve risk düzeyi filtresi bu sayıya uygulanır.
- Bu sayıyı seçtiğinizde, seçilen tarih aralığına ve risk düzeyine göre filtrelenmiş Riskli oturum açma işlemleri raporuna yönlendirilirsiniz.
Öneriler
Microsoft Entra Kimlik Koruması öneriler, müşterilerin güvenlik duruşlarını artırmak için ortamlarını yapılandırmalarına yardımcı olur. Bu Öneriler, kiracınızda son 30 gün içinde algılanan saldırıları temel alır. Güvenlik personelinize yapılması önerilen eylemler konusunda yol göstermek için öneriler sağlanır.
Parola spreyi, kiracınızda sızdırılan kimlik bilgileri ve hassas dosyalara toplu erişim gibi yaygın saldırılar olası bir ihlal olduğunu size bildirebilir. Önceki ekran görüntüsünde, Kimlik Koruması örneği kiracınızda kimlik bilgileri sızdırılmış en az 20 kullanıcı algıladı. Bu durumda önerilen eylem, riskli kullanıcılarda güvenli parola sıfırlama gerektiren bir Koşullu Erişim ilkesi oluşturmak olacaktır.
Panomuzdaki öneriler bileşeninde müşteriler şunları görür:
- Kiracısında belirli saldırılar gerçekleşirse en fazla üç öneri.
- Saldırının etkisi hakkında içgörü.
- Düzeltme için uygun eylemleri gerçekleştirmeye yönelik doğrudan bağlantılar.
P2 lisansına sahip müşteriler, eylemlerle içgörü sağlayan kapsamlı bir öneri listesini görüntüleyebilir. "Tümünü Görüntüle" seçildiğinde, ortamlarındaki saldırılara göre tetiklenen daha fazla öneriyi gösteren bir panel açılır.
Son etkinlikler
Son Etkinlik, kiracınızdaki riskle ilgili son etkinliklerin özetini sağlar. Olası etkinlik türleri şunlardır:
- Saldırı Etkinliği
- Yönetici Düzeltme Etkinliği
- Kendi Kendine Düzeltme Etkinliği
- Yeni Yüksek Riskli Kullanıcılar
Bilinen sorunlar
Kiracınızın yapılandırmasına bağlı olarak, panonuzda öneriler veya son etkinlikler olmayabilir.