Microsoft Entra Kimlik Koruması nedir?

Microsoft Entra Kimlik Koruması kuruluşların kimlik tabanlı riskleri algılamasını, araştırmasını ve düzeltmesini sağlar. Bu kimlik tabanlı riskler, erişim kararları almak için Koşullu Erişim gibi araçlara aktarılabilir veya daha fazla araştırma ve bağıntı için bir güvenlik bilgileri ve olay yönetimi (SIEM) aracına geri beslenebilir.

Kimlik Koruması'nın yüksek düzeyde nasıl çalıştığını gösteren diyagram.

Riskleri algılama

Microsoft, kuruluşları korumak için kataloğumuzda algılamaları sürekli olarak ekler ve güncelleştirir. Bu algılamalar, Active Directory, Microsoft Hesapları ve Xbox ile oyun oynarken her gün trilyonlarca sinyalin analizini temel alan öğrenmelerimizden gelir. Bu çok çeşitli sinyaller, KIMLIK Koruması'nın aşağıdaki gibi riskli davranışları algılamasını sağlar:

  • Anonim IP adresi kullanımı
  • Parola spreyi saldırıları
  • Sızdırılan kimlik bilgileri
  • ve daha fazlası...

Kimlik Koruması, her oturum açma sırasında, oturum açma risk düzeyi oluşturarak tüm gerçek zamanlı oturum açma algılamalarını çalıştırır ve oturum açma güvenliğinin ne kadar tehlikeye girildiğini gösterir. Bu risk düzeyine bağlı olarak, kullanıcıyı ve kuruluşu korumak için ilkeler uygulanır.

Risklerin tam listesi ve bunların nasıl algılandıkları için Risk nedir? makalesine bakın.

Araştırmak

Kimlikte algılanan riskler raporlama ile izlenir. Kimlik Koruması, yöneticilerin riskleri araştırması ve eylem gerçekleştirmesi için üç önemli rapor sağlar:

  • Risk algılamaları: Algılanan her risk, risk algılama olarak bildirilir.
  • Riskli oturum açma işlemleri: Bu oturum açma için bildirilen bir veya daha fazla risk algılaması olduğunda riskli bir oturum açma bildirilir.
  • Riskli kullanıcılar: Aşağıdakilerden biri veya her ikisi de doğru olduğunda Riskli kullanıcı bildirilir:
    • Kullanıcının bir veya daha fazla Riskli oturum açması var.
    • Bir veya daha fazla risk algılaması bildirilir.

Raporları kullanma hakkında daha fazla bilgi için Nasıl Yapılır: Riski araştırma makalesine bakın.

Riskleri düzeltme

Otomasyon neden güvenlik açısından kritik öneme sahiptir?

Siber Sinyaller: 3 Şubat 2022 tarihli en son araştırma, içgörü ve eğilimlerle siber tehditlere karşı savunma blog gönderisinde Microsoft, aşağıdaki istatistikleri içeren bir tehdit bilgileri özeti paylaştı:

Analiz... 40'tan fazla ulus-devlet grubunu ve 140'tan fazla tehdit grubunu izleyerek izlediğimiz istihbaratla birlikte 24 trilyon güvenlik sinyali...

... Ocak 2021'den Aralık 2021'e kadar 25,6 milyardan fazla Microsoft Entra deneme yanılma kimlik doğrulaması saldırılarını engelledik...

Sinyallerin ve saldırıların büyük ölçeği, yalnızca ayak uydurmak için bir düzeyde otomasyon gerektirir.

Otomatik düzeltme

Risk tabanlı Koşullu Erişim ilkeleri , güçlü bir kimlik doğrulama yöntemi sağlama, çok faktörlü kimlik doğrulaması gerçekleştirme veya algılanan risk düzeyine göre güvenli bir parola sıfırlama gerçekleştirme gibi erişim denetimleri gerektirecek şekilde etkinleştirilebilir. Kullanıcı erişim denetimini başarıyla tamamlarsa risk otomatik olarak düzeltilir.

El ile düzeltme

Kullanıcı düzeltme etkinleştirilmediğinde, yöneticinin bunları portaldaki raporlarda, API aracılığıyla veya Microsoft 365 Defender'da el ile gözden geçirmesi gerekir. Yöneticiler risklerin güvenliğini kapatmak, güvenli olduğunu onaylamak veya risklerden ödün vermek için el ile eylemler gerçekleştirebilir.

Verileri kullanma

Kimlik Koruması'ndan alınan veriler arşivleme, daha fazla araştırma ve bağıntı için diğer araçlara aktarılabilir. Microsoft Graph tabanlı API'ler, kuruluşların SIEM'leri gibi bir araçta daha fazla işlem yapmak için bu verileri toplamasına olanak sağlar. Id Protection API'sine erişme hakkındaki bilgileri Microsoft Entra Kimlik Koruması kullanmaya başlama ve Microsoft Graph makalesinde bulabilirsiniz

Kimlik Koruması bilgilerini Microsoft Sentinel ile tümleştirme hakkında bilgi Microsoft Entra Kimlik Koruması'dan veri bağlama makalesinde bulunabilir.

Kuruluşlar, Microsoft Entra Id'deki tanılama ayarlarını değiştirerek verileri daha uzun süreler boyunca depolayabilir. Log Analytics çalışma alanına veri göndermeyi, verileri depolama hesabına arşivlemeyi, Event Hubs'a veri akışı yapmayı veya başka bir çözüme veri göndermeyi seçebilir. Bunun nasıl yapılacağının ayrıntılı bilgileri Nasıl Yapılır: Risk verilerini dışarı aktarma makalesinde bulabilirsiniz.

Gerekli roller

Kimlik Koruması, erişim için kullanıcılara aşağıdaki rollerden birinin veya daha fazlasının atanması gerekir.

Rol Bunu yapabilir Yapılamaz
Güvenlik Yöneticisi Kimlik Koruması'na tam erişim Kullanıcının parolasını sıfırlama
Güvenlik İşleci Tüm Kimlik Koruması raporlarını ve Genel Bakış'ı görüntüleme

Kullanıcı riskini kapatma, güvenli oturum açmayı onaylama, güvenliğin aşılmasına onay verme
İlkeleri yapılandırma veya değiştirme

Kullanıcının parolasını sıfırlama

Uyarıları yapılandırma
Güvenlik Okuyucusu Tüm Kimlik Koruması raporlarını ve Genel Bakış'ı görüntüleme İlkeleri yapılandırma veya değiştirme

Kullanıcının parolasını sıfırlama

Uyarıları yapılandırma

Algılamalar hakkında geri bildirimde bulunmak
Genel Okuyucu Kimlik Koruması'na salt okunur erişim
Kullanıcı Yöneticisi Kullanıcı parolalarını sıfırlama

Şu anda Güvenlik operatörü rolü Riskli oturum açma işlemleri raporuna erişemiyor.

Koşullu Erişim yöneticileri, kullanıcı veya oturum açma riskini bir koşul olarak dikkate alan ilkeler oluşturabilir. Koşullu Erişim: Koşullar makalesinde daha fazla bilgi bulabilirsiniz.

Lisans gereksinimleri

Bu özelliği kullanmak için Microsoft Entra ID P2 lisansları gerekir. Gereksinimleriniz için doğru lisansı bulmak için bkz . Microsoft Entra Id'nin genel kullanıma sunulan özelliklerini karşılaştırma.

Yetenek Şey Microsoft Entra ID Ücretsiz / Microsoft 365 Uygulamaları Microsoft Entra ID P1 Microsoft Entra ID P2
Risk ilkeleri Oturum açma ve kullanıcı riski ilkeleri (Kimlik Koruması veya Koşullu Erişim aracılığıyla) Hayır Hayır Evet
Güvenlik raporları Genel bakış Hayır Hayır Evet
Güvenlik raporları Riskli kullanıcılar Sınırlı Bilgi. Yalnızca orta ve yüksek riskli kullanıcılar gösterilir. Ayrıntı çekmecesi veya risk geçmişi yok. Sınırlı Bilgi. Yalnızca orta ve yüksek riskli kullanıcılar gösterilir. Ayrıntı çekmecesi veya risk geçmişi yok. Tam erişim
Güvenlik raporları Riskli oturum açma işlemleri Sınırlı Bilgi. Hiçbir risk ayrıntısı veya risk düzeyi gösterilmez. Sınırlı Bilgi. Hiçbir risk ayrıntısı veya risk düzeyi gösterilmez. Tam erişim
Güvenlik raporları Risk algılamaları Hayır Sınırlı Bilgi. Ayrıntı çekmecesi yok. Tam erişim
Bildirim Risk altında olan kullanıcılar uyarı algılandı Hayır Hayır Evet
Bildirim Haftalık özet Hayır Hayır Evet
MFA kayıt ilkesi Hayır Hayır Evet

Bu zengin raporlar hakkında daha fazla bilgiyi Nasıl Yapılır: Riski araştırma makalesinde bulabilirsiniz.

Yönetim merkezindeki Risk algılamaları bölmelerindeki Riskli iş yükü kimlikleri ve İş yükü kimlik algılamaları sekmesi de dahil olmak üzere iş yükü kimlik risklerinden yararlanmak için İş Yükü Kimlikleri Premium lisansına sahip olmanız gerekir. Daha fazla bilgi için iş yükü kimliklerinin güvenliğini sağlama makalesine bakın.

Sonraki adımlar