Gebruik Azure AD Identity Protection vir risiko-opsporing en remediëring

Gebruik Azure AD Identity Protection vir risiko-opsporing en remediëring

14/12/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die gebruik van Azure AD Identity Protection om identiteitsrisiko's in hul omgewings op te spoor, te ondersoek en te herstel. Azure AD Identity Protection is 'n kenmerk van Microsoft Entra ID (voorheen Azure Active Directory) wat die opsporing en remediëring van identiteitsgebaseerde risiko's outomatiseer, wat organisasies beskerm teen bedreigings soos gekompromitteerde geloofsbriewe, brute force-aanvalle en ongemagtigde toegang [1].

Inleiding

Identiteite is die nuwe sekuriteitsomtrek. Met die verskuiwing na die wolk en afgeleë werk, het die beskerming van gebruikersidentiteite meer krities geword as ooit. Uitvissing-aanvalle, geloofsbriewelekkasies, wagwoordbespuiting en toegang vanaf ongewone liggings is konstante bedreigings wat kan lei tot 'n rekening kompromie en gevolglik data-oortredings en diensonderbrekings. Azure AD Identity Protection bied 'n proaktiewe, geoutomatiseerde oplossing om riskante aktiwiteite te identifiseer, die vlak van risiko wat met gebruikers en aanmeldings geassosieer word te assesseer, en intydse remediëringsbeleide toe te pas om jou organisasie se identiteite te beskerm [2].

Hierdie praktiese gids sal die fundamentele konsepte van Azure AD Identity Protection dek, insluitend risiko-opsporingstipes, gebruiker- en aanmeldrisikobeleide, die opstel van hierdie beleide, integrasie met Azure AD Conditional Access, en risiko-ondersoek en -remediëring. Stap-vir-stap instruksies, konfigurasievoorbeelde sal verskaf word sodat die leser Azure AD Identity Protection kan implementeer en valideer, die sekuriteit van hul identiteite versterk en 'n effektiewe reaksie op identiteitsekuriteitsinsidente op 'n outonome, professionele en betroubare manier verseker.

Waarom is Azure AD Identity Protection noodsaaklik?

  • Intydse risiko-opsporing: Gebruik Microsoft-masjienleer- en bedreigingsintelligensie-algoritmes om outomaties verdagte aktiwiteit op te spoor soos aanmeldings vanaf anonieme liggings, besmette IP's, onmoontlike reis en uitgelekte geloofsbriewe.
  • Aanpasbare risiko-evaluering: Ken 'n risikovlak (laag, medium, hoog) aan elke gebruiker toe en insette gebaseer op 'n verskeidenheid faktore, wat proporsionele reaksies op die bedreiging moontlik maak.
  • Outomatiese herstelbeleide: Laat jou toe om beleide op te stel wat outomaties MFA vereis, wagwoorde terugstel of toegang blokkeer in reaksie op spesifieke risikovlakke.
  • Voorwaardelike toegangsintegrasie: Werk saam met Azure AD Voorwaardelike Toegang om aanpasbare toegangskontroles op grond van identiteitsrisiko af te dwing.
  • Sigbaarheid en Ondersoek: Verskaf gedetailleerde verslae oor risiko-opsporings, risikogebruikers en risiko-insette, wat ondersoek en insidentreaksie vergemaklik.
  • Verminder SOC-werklading: Outomatiseer triage en remediëring van baie identiteitsinsidente, wat sekuriteitspersoneel bevry om op meer komplekse bedreigings te fokus.

Voorvereistes

Om Azure AD Identity Protection te gebruik, benodig u die volgende items:

  1. Lisensiëring: Azure AD Identity Protection vereis 'n Microsoft Entra ID P2-lisensie (voorheen Azure AD Premium P2) [3].
  2. Administratiewe toegang: 'n Rekening met die rol van Sekuriteitsadministrateur, Voorwaardelike Toegang Administrateur of Globale administrateur in die Azure-portaal (https://portal.azure.com).
  3. MFA gekonfigureer: Vir aanmelding en gebruikersrisikobeleide om effektief te werk, moet gebruikers Multi-Factor Authentication (MFA) gekonfigureer en geregistreer hê. Die gebruik van Azure AD Multi-Factor Authentication word aanbeveel.

Stap vir stap: konfigureer Azure AD Identity Protection

Ons sal risikobeleide opstel om jou identiteite te beskerm.

1. Toegang tot Azure AD Identity Protection

  1. Maak jou blaaier oop en navigeer na die Azure-portaal: https://portal.azure.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.
  3. In die boonste soekveld, tik Azure AD Identity Protection en kies dit uit die resultate.

2. Konfigureer gebruikerrisikobeleid

Hierdie beleid definieer die aksie wat geneem moet word wanneer 'n gebruiker bespeur wordas in gevaar (bv. uitgelekte geloofsbriewe, aanhoudende afwykende aktiwiteit).

  1. Kies Gebruikersrisikobeleide in die linkernavigasiepaneel van Azure AD Identity Protection.

  2. Verantwoordelikhede:

    • Onder Gebruikers, kies Alle gebruikers of Kies individue en groepe om die beleid op spesifieke gebruikers of toetsgroepe toe te pas. Om mee te begin, word aanbeveel om by 'n toetsgroep aansoek te doen.
    • Opsioneel kan jy Gebruikers en groepe uitvee (bv. diensrekeninge, noodadministrateurs).

  3. Voorwaardes:

    • Onder Gebruikersrisiko, stel die risikovlak in wat die polis sal aktiveer (bv. Hoog). Jy kan met Medium en hoër begin en aanpas soos nodig.

  4. Kontrole:

    • Toegang: Kies Laat toegang toe.
    • Beleid afdwing: Kies Vereis veilige wagwoordverandering.
      • Verduideliking: As 'n gebruiker die gekonfigureerde risikovlak bereik, sal hulle gedwing word om hul wagwoord te verander by die volgende aanmelding. Dit is van kardinale belang vir uitgelekte geloofsbriewe.

  5. Aktiveer beleid: Stel op Aan.

  6. Klik Stoor.

3. Opstel van die aanmeldrisikobeleid

Hierdie beleid definieer die aksie wat geneem moet word wanneer 'n aanmeldpoging as riskant bespeur word (bv. vanaf 'n ongewone ligging, anonieme IP, besmette IP).

  1. Kies Inkomende risikobeleide in die linkernavigasievenster van Azure AD Identity Protection.

  2. Verantwoordelikhede:

    • Onder Gebruikers, kies Alle gebruikers of Kies individue en groepe.
    • Opsioneel kan jy Gebruikers en groepe uitvee.

  3. Voorwaardes:

    • In Insetrisiko, definieer die risikovlak wat die polis sal aktiveer (bv. Medium).

  4. Kontrole:

    • Toegang: Kies Laat toegang toe.
    • Beleid afdwing: Kies Vereis multi-faktor-stawing.
      • Verduideliking: As 'n inskrywing as riskant bespeur word, sal daar van die gebruiker vereis word om 'n MFA-uitdaging te voltooi, selfs al word dit nie normaalweg vereis nie. Dit help om die gebruiker se identiteit te verifieer.

  5. Aktiveer beleid: Stel op Aan.

  6. Klik Stoor.

4. Konfigureer Register MFA-beleid

Hierdie beleid verseker dat nuwe gebruikers of gebruikers wat nog nie MFA geregistreer het nie, gevra word om dit te doen, wat 'n voorvereiste vir risikobeleide is.

  1. Kies MFA-registrasiebeleid in die linkernavigasiepaneel van Azure AD Identity Protection.

  2. Verantwoordelikhede:

    • Onder Gebruikers, kies Alle gebruikers of Kies individue en groepe.
    • Opsioneel kan jy Gebruikers en groepe uitvee.

  3. Beleid afdwing: Stel op Aangeskakel.

  4. Klik Stoor.

5. Ondersoek riskante gebruikers en insette

Identiteitsbeskerming verskaf verslae om riskante aktiwiteite te monitor en te ondersoek.

  1. Kies Risikogebruikers in die linkernavigasiepaneel van Azure AD Identity Protection.

    • Hierdie verslag lys gebruikers wat bespeur is as 'n risiko, saam met hul risikovlak en laaste risiko-opsporing.

  2. Klik op 'n gebruiker om die risikobesonderhede te sien, insluitend spesifieke risiko-bespeurings (bv. Uitgelekte geloofsbriewe, Anonieme IP-inskrywing).

  3. Kies Risiko-insette in die linkernavigasiepaneel.

    • Hierdie verslag lys aanmeldpogings wat as riskant bespeur is, saam met die risikovlak en aanmeldbesonderhede.

  4. Klik 'n risiko-inskrywing om volledige besonderhede te sien, insluitend opsporingstipe, ligging, toestel en toepassing.

6. Remediëring van risiko's met die hand

Alhoewel beleide remediëring outomatiseer, moet u moontlik risiko's handmatig herstel.

  1. Vir riskante gebruikers:

    • Kies 'n gebruiker in die Risikogebruikers-verslag.
    • Jy kan Bevestig Gebruiker Gekompromitteer kies (dit sal die Gebruikerrisiko-beleid aktiveer, wat n wagwoordverandering afdwing) ofVerwerp Gebruikerrisiko(as jy vasstel dat die risikon vals positief is).

  2. Vir risiko-insette:

    • Kies 'n inskrywing in die Risiko-insette-verslag.
    • Jy kan Bevestig kompromie of Bevestig sekuriteit kies (as dit vals positief is).

Bekragtiging en toetsing

Die toets van Azure AD Identity Protection is noodsaaklik om te verseker dat beleide behoorlik werk.soos verwag.

1. Inkomende risikosimulasie (anonieme IP)

  1. Gebruik 'n VPN of instaanbediener om aan die internet te koppel vanaf 'n ander plek as jou gewone werkplek wat as 'n anonieme IP geklassifiseer kan word (bv. 'n openbare instaanbediener, Tor).

  2. Probeer om aan te meld by die Azure-portaal of 'n Azure AD-gekoppelde toepassing met 'n toetsrekening.

    • Verwagte resultaat: As die aanmeldrisikobeleid op 'Medium' of 'Hoog' gestel is en 'Vereis multi-faktor-stawing', moet jy gevra word om MFA te voltooi. As die risiko Hoog is en die beleid is ingestel op Blokkeer toegang, sal toegang geweier word.

  3. Gaan die Risiko-inskrywings-verslag in Azure AD Identity Protection na. Jy behoort 'n risiko-inskrywing vir die toetsrekening te sien met die opsporingstipe Anonieme IP-inskrywing.

2. Gebruikerrisiko-simulasie (uitgelekte geloofsbriewe)

Jy kan nie uitgelekte geloofsbriewe direk simuleer nie, maar jy kan die gebruikerrisikobeleid toets deur 'n toetsgebruiker handmatig op die Hoë risikovlak te stel (slegs vir toetsdoeleindes in 'n beheerde omgewing).

  1. Kies 'n toetsgebruiker in die Risikogebruikers-verslag.
  2. Klik Bevestig gekompromitteerde gebruiker (dit sal die gebruikerrisiko op Hoog stel en die beleid aktiveer).
  3. Vra die toetsgebruiker om te probeer aanmeld.
    • Verwagte resultaat: Die gebruiker moet gevra word om hul wagwoord by die volgende aanmelding te verander, soos opgestel in die gebruikerrisikobeleid.

3. Kontroleer ouditlogs en invoerlogs

  1. In die Azure-portaal, navigeer na Azure Active Directory > Monitoring > Inkomende logs.
  2. Filtreer die logs volgens Invoerrisikostatus en Gebruikersrisikostatus om insette te sien wat geëvalueer is en aksies wat geneem is.

Sekuriteitswenke en beste praktyke

  • Begin met Rapporteermodus: Wanneer u risikobeleide opstel, begin met 'Slegs Rapporteer'-modus om die impak van die beleide te verstaan voordat u dit in afdwingingsmodus toepas. Dit help om vals positiewe te identifiseer sonder om gebruikers te onderbreek.
  • Gebruikersopvoeding: Leer gebruikers op oor die belangrikheid van MFA en hoe om te reageer op wagwoordveranderingsversoeke of MFA-uitdagings. Verduidelik die voordele van Identiteitsbeskerming aan hulle.
  • Integrasie met Voorwaardelike Toegang: Gebruik Identiteitsbeskerming in samewerking met Voorwaardelike Toegang om meer gesofistikeerde aanpasbare toegangsbeleide te skep. Byvoorbeeld, blokkeer toegang tot kritieke toepassings as toegangsrisiko Hoog is.
  • Deurlopende Monitering: Moniteer gereeld die Risikogebruikers en Risiko-insette-verslae om verdagte aktiwiteit te ondersoek en te verseker dat beleide werk soos verwag.
  • Periodiese hersiening van beleide: Hersien en pas jou risikobeleide gereeld aan om aan te pas by veranderinge in die bedreiginglandskap en besigheidsvereistes.
  • SIEM/SOAR-integrasie: Integreer Azure AD Identity Protection-waarskuwings met jou SIEM (bv. Microsoft Sentinel) vir gesentraliseerde aansig en meer omvattende insidentreaksie-outomatisering.
  • Prioriteer bevoorregte gebruikers: Fokus op die beskerming van hoogs bevoorregte gebruikers (administrateurs) met die strengste risikobeleide.

Algemene probleemoplossing

  • Gebruikers word nie vir MFA/wagwoordverandering gevra nie: Verifieer dat die gebruiker 'n Azure AD P2-lisensie het. Maak seker dat risikobeleide Aktiveer is en dat die gebruiker by die opdragte ingesluit is. Kyk of die gebruiker reeds MFA geregistreer het.
  • Risiko vals positiewes: Ondersoek risiko-bespeurings om te verstaan ​​hoekom hulle geaktiveer is. Jy kan Sekuriteit bevestig vir inskrywings of Verwerp Gebruikersrisiko vir gebruikers as jy seker is daar is geen bedreiging nie. Pas risikopolisvoorwaardes aan indien nodig (bv. verhoog die risikovlak wat die polis aktiveer).
  • Gebruikers onbehoorlik geblokkeer: As die aanmeldrisikobeleid op 'Blokkeer toegang' gestel is vir 'n 'Medium' of 'Lae' risiko, kan dit oormatige blokkasies tot gevolg hê. Hersien die risikovlak en beleidsoptrede. Oorweeg dit om Vereis multi-faktor-stawing in plaas van Blokkeer toegang vir medium risiko's te gebruik.
  • MFA-registrasiekwessies: Maak seker dat die MFA-registrasiebeleid 'Aktiveer' is en gebruikers ingesluit isjy. Kyk vir ander voorwaardelike toegang-beleide wat dalk inmeng.
  • Risikobespeurings verskyn nie: Verifieer dat Identiteitsbeskerming geaktiveer is en daar stawingsverkeer in jou Azure AD is. Dit kan 'n rukkie neem voordat risiko-bespeurings verskyn, veral vir gebruikersrisiko's.

Gevolgtrekking

Azure AD Identity Protection is 'n onontbeerlike hulpmiddel vir die beskerming van identiteite in moderne wolk-gebaseerde omgewings. Deur die opsporing en remediëring van identiteitsrisiko's te outomatiseer, stel dit organisasies in staat om vinnig op bedreigings te reageer, die aanvaloppervlak te verminder en hul algehele sekuriteitsposisie te versterk. Versigtige implementering van risikobeleide, gekombineer met gebruikersopvoeding en deurlopende monitering, bemagtig sekuriteitspanne om die mees kritieke identiteite proaktief te beskerm. Met hierdie praktiese gids sal sekuriteitspersoneel goed toegerus wees om Azure AD Identity Protection op te stel, te bekragtig en te bestuur, om te verseker dat hul identiteite veilig en veerkragtig bly teen steeds ontwikkelende kuberbedreigings.

Verwysings:

[1] Microsoft Learn. Wat is Microsoft Entra ID-beskerming?. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection [2] Microsoft Learn. Wat is risiko-opsporings?. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-protection/concept-identity-protection-risks [3] Microsoft Learn. Lisensiëringsvereistes vir Microsoft Entra ID-beskerming. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection#license-requirements [4] Microsoft Learn. Konfigureer risikobeleide vir Microsoft Entra ID-beskerming. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-configure-risk-policies [5] Microsoft Learn. Ondersoek risiko's met Microsoft Entra ID-beskerming. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-investigate-risk [6] Microsoft Learn. Remediëer risiko's en deblokkeer gebruikers. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-remediate-unblock