استخدام حماية هوية Azure AD للكشف عن المخاطر ومعالجتها

استخدام حماية هوية Azure AD للكشف عن المخاطر ومعالجتها

14/12/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة حول استخدام حماية الهوية في Azure AD لاكتشاف مخاطر الهوية في بيئاتهم والتحقيق فيها ومعالجتها. Azure AD Identity Protection هي إحدى ميزات Microsoft Entra ID (Azure Active Directory سابقًا) التي تعمل على أتمتة الكشف عن المخاطر القائمة على الهوية ومعالجتها، وحماية المؤسسات من التهديدات مثل بيانات الاعتماد المخترقة وهجمات القوة الغاشمة والوصول غير المصرح به [1].

مقدمة

الهويات هي المحيط الأمني الجديد. مع التحول إلى السحابة والعمل عن بعد، أصبحت حماية هويات المستخدمين أكثر أهمية من أي وقت مضى. تعد هجمات التصيد الاحتيالي، وتسريبات بيانات الاعتماد، ورش كلمات المرور، والوصول من مواقع غير معتادة بمثابة تهديدات مستمرة يمكن أن تؤدي إلى اختراق الحساب، وبالتالي اختراق البيانات وانقطاع الخدمة. توفر حماية الهوية في Azure AD حلاً استباقيًا وآليًا لتحديد الأنشطة الخطرة، وتقييم مستوى المخاطر المرتبطة بالمستخدمين وعمليات تسجيل الدخول، وتطبيق سياسات المعالجة في الوقت الفعلي لحماية هويات مؤسستك [2].

سيغطي هذا الدليل العملي المفاهيم الأساسية لحماية هوية Azure AD، بما في ذلك أنواع الكشف عن المخاطر، وسياسات مخاطر المستخدم وتسجيل الدخول، وتكوين هذه السياسات، والتكامل مع الوصول المشروط لـ Azure AD، والتحقيق في المخاطر ومعالجتها. سيتم توفير تعليمات خطوة بخطوة وأمثلة التكوين حتى يتمكن القارئ من تنفيذ حماية هوية Azure AD والتحقق من صحتها، وتعزيز أمان هوياتهم وضمان الاستجابة الفعالة لحوادث أمن الهوية بطريقة مستقلة ومهنية وموثوقة.

ما سبب أهمية حماية هوية Azure AD؟

  • الكشف عن المخاطر في الوقت الفعلي: يستخدم خوارزميات التعلم الآلي من Microsoft وذكاء التهديدات لاكتشاف الأنشطة المشبوهة تلقائيًا مثل عمليات تسجيل الدخول من مواقع مجهولة وعناوين IP المصابة والسفر المستحيل وبيانات الاعتماد المسربة.
  • تقييم المخاطر التكيفي: يعين مستوى المخاطر (منخفض، متوسط، مرتفع) لكل مستخدم ومدخلات بناءً على مجموعة متنوعة من العوامل، مما يتيح استجابات متناسبة للتهديد.
  • سياسات المعالجة التلقائية: تتيح لك تكوين السياسات التي تتطلب MFA تلقائيًا، أو إعادة تعيين كلمات المرور، أو حظر الوصول استجابةً لمستويات مخاطر محددة.
  • تكامل الوصول المشروط: يعمل جنبًا إلى جنب مع الوصول المشروط لـ Azure AD لفرض ضوابط الوصول التكيفية بناءً على مخاطر الهوية.
  • الرؤية والتحقيق: يقدم تقارير تفصيلية عن عمليات اكتشاف المخاطر ومستخدمي المخاطر ومدخلات المخاطر، مما يسهل التحقيق والاستجابة للحوادث.
  • تقليل عبء عمل مركز عمليات الأمن (SOC): تعمل على أتمتة فرز العديد من حوادث الهوية ومعالجتها، مما يتيح لموظفي الأمن التركيز على التهديدات الأكثر تعقيدًا.

المتطلبات الأساسية

لاستخدام حماية الهوية في Azure AD، ستحتاج إلى العناصر التالية:

  1. الترخيص: تتطلب حماية الهوية في Azure AD ترخيص Microsoft Entra ID P2 (Azure AD Premium P2 سابقًا) [3].
  2. الوصول الإداري: حساب بدور مسؤول الأمان أو مسؤول الوصول المشروط أو المسؤول العام في بوابة Azure (https://portal.azure.com).
  3. تم تكوين MFA: لكي تعمل سياسات تسجيل الدخول ومخاطر المستخدم بشكل فعال، يجب على المستخدمين تكوين وتسجيل المصادقة متعددة العوامل (MFA). يوصى باستخدام مصادقة Azure AD متعددة العوامل.

خطوة بخطوة: تكوين حماية هوية Azure AD

سنقوم بتكوين سياسات المخاطر لحماية هوياتك.

1. الوصول إلى حماية هوية Azure AD

  1. افتح المتصفح الخاص بك وانتقل إلى بوابة Azure: https://portal.azure.com.
  2. قم بتسجيل الدخول باستخدام حساب لديه الأذونات اللازمة.
  3. في حقل البحث العلوي، اكتب "Azure AD Identity Protection" وحدده من النتائج.

2. تكوين سياسة مخاطر المستخدم

تحدد هذه السياسة الإجراء الذي يجب اتخاذه عند اكتشاف مستخدمباعتبارها معرضة للخطر (على سبيل المثال، بيانات الاعتماد المسربة، والنشاط الشاذ المستمر).

  1. في جزء التنقل الأيمن لحماية هوية Azure AD، حدد سياسات مخاطر المستخدم.

  2. المسؤوليات:

    • ضمن "المستخدمون"، حدد "جميع المستخدمين" أو "حدد الأفراد والمجموعات" لتطبيق السياسة على مستخدمين أو مجموعات اختبار محددة. في البداية، يوصى بالتقدم إلى مجموعة اختبار.
    • اختياريًا، يمكنك "حذف المستخدمين والمجموعات" (مثل حسابات الخدمة ومسؤولي الطوارئ).

  3. الشروط:

    • ضمن "مخاطر المستخدم"، حدد مستوى المخاطرة الذي سيؤدي إلى تفعيل السياسة (على سبيل المثال، "مرتفع"). يمكنك البدء بـ "متوسط ​​وما فوق" وتعديله حسب الحاجة.

  4. الضوابط:

    • الوصول: حدد "السماح بالوصول".
    • فرض السياسة: حدد يتطلب تغيير كلمة المرور بشكل آمن.
      • الشرح: إذا وصل المستخدم إلى مستوى المخاطرة الذي تم تكوينه، فسوف يضطر إلى تغيير كلمة المرور الخاصة به عند تسجيل الدخول التالي. وهذا أمر بالغ الأهمية لأوراق الاعتماد المسربة.

  5. تمكين السياسة: اضبط على تشغيل.

  6. انقر حفظ.

3. تكوين سياسة مخاطر تسجيل الدخول

تحدد هذه السياسة الإجراء الذي يجب اتخاذه عند اكتشاف أن محاولة تسجيل الدخول محفوفة بالمخاطر (على سبيل المثال من موقع غير عادي، أو عنوان IP مجهول، أو عنوان IP مصاب).

  1. في جزء التنقل الأيمن لحماية هوية Azure AD، حدد سياسات المخاطر الواردة.

  2. المسؤوليات:

    • ضمن "المستخدمون"، حدد "جميع المستخدمين" أو "حدد الأفراد والمجموعات".
    • اختياريًا، يمكنك "حذف المستخدمين والمجموعات".

  3. الشروط:

    • في "مخاطر الإدخال"، حدد مستوى المخاطرة الذي سيؤدي إلى تفعيل السياسة (على سبيل المثال، "متوسط").

  4. الضوابط:

    • الوصول: حدد "السماح بالوصول".
    • فرض السياسة: حدد "يتطلب مصادقة متعددة العوامل".
      • الشرح: إذا تم اكتشاف إدخال ما على أنه محفوف بالمخاطر، سيُطلب من المستخدم إكمال تحدي MFA، حتى لو لم يكن ذلك مطلوبًا في العادة. وهذا يساعد على التحقق من هوية المستخدم.

  5. تمكين السياسة: اضبط على تشغيل.

  6. انقر حفظ.

4. تكوين سياسة MFA الخاصة بالسجل

تضمن هذه السياسة مطالبة المستخدمين الجدد أو المستخدمين الذين لم يسجلوا MFA بعد بالقيام بذلك، وهو شرط أساسي لسياسات المخاطر.

  1. في جزء التنقل الأيسر لحماية هوية Azure AD، حدد سياسة تسجيل MFA.

  2. المسؤوليات:

    • ضمن "المستخدمون"، حدد "جميع المستخدمين" أو "حدد الأفراد والمجموعات".
    • اختياريًا، يمكنك "حذف المستخدمين والمجموعات".

  3. فرض السياسة: اضبط على "ممكّن".

  4. انقر حفظ.

5. التحقيق في المستخدمين والمدخلات الخطرة

توفر حماية الهوية تقارير لرصد الأنشطة الخطرة والتحقيق فيها.

  1. في جزء التنقل الأيمن لحماية هوية Azure AD، حدد تعريض المستخدمين للخطر.

    • يسرد هذا التقرير المستخدمين الذين تم اكتشاف أنهم معرضون للخطر، بالإضافة إلى مستوى المخاطر وآخر اكتشاف للمخاطر.

  2. انقر فوق المستخدم لرؤية تفاصيل المخاطر، بما في ذلك اكتشافات المخاطر المحددة (على سبيل المثال، "بيانات الاعتماد المسربة"، "إدخال IP المجهول").

  3. في جزء التنقل الأيسر، حدد مدخلات المخاطر.

    • يسرد هذا التقرير محاولات تسجيل الدخول التي تم اكتشافها على أنها محفوفة بالمخاطر، بالإضافة إلى مستوى المخاطرة وتفاصيل تسجيل الدخول.

  4. انقر فوق إدخال المخاطر لعرض التفاصيل الكاملة، بما في ذلك نوع الكشف والموقع والجهاز والتطبيق.

6. معالجة المخاطر يدويًا

على الرغم من أن السياسات تعمل على أتمتة عملية المعالجة، إلا أنك قد تحتاج إلى معالجة المخاطر يدويًا.

  1. بالنسبة للمستخدمين الخطرين:

    • في تقرير "المستخدمين المعرضين للخطر"، حدد مستخدمًا.
    • يمكنك اختيار "تأكيد تعرض المستخدم للاختراق" (سيؤدي ذلك إلى تفعيل سياسة مخاطر المستخدم، وفرض تغيير كلمة المرور) أو "رفض مخاطر المستخدم" (إذا حددت أن الخطر نتيجة إيجابية كاذبة).

  2. بالنسبة لمدخلات المخاطر:

    • في تقرير "مدخلات المخاطر"، حدد إدخالاً.
    • يمكنك اختيار "تأكيد التسوية" أو "تأكيد الأمان" (إذا كانت نتيجة إيجابية كاذبة).

التحقق والاختبار

يعد اختبار حماية الهوية في Azure AD أمرًا ضروريًا لضمان عمل السياسات بشكل صحيح.كما هو متوقع.

1. محاكاة المخاطر الواردة (عنوان IP مجهول)

  1. استخدم VPN أو وكيلًا للاتصال بالإنترنت من موقع آخر غير مكان عملك المعتاد والذي يمكن تصنيفه على أنه عنوان IP مجهول (على سبيل المثال، خادم وكيل عام، Tor).

  2. حاول تسجيل الدخول إلى بوابة Azure أو تطبيق متصل بـ Azure AD باستخدام حساب اختباري.

    • النتيجة المتوقعة: إذا تم تعيين سياسة مخاطر تسجيل الدخول على متوسطة أو عالية وتتطلب مصادقة متعددة العوامل، فمن المفترض أن تتم مطالبتك بإكمال MFA. إذا كان الخطر "مرتفعًا" وتم ضبط السياسة على "حظر الوصول"، فسيتم رفض الوصول.

  3. تحقق من تقرير "إدخالات المخاطر" في حماية هوية Azure AD. يجب أن تشاهد إدخال المخاطر للحساب الاختباري بنوع الكشف "إدخال IP مجهول".

2. محاكاة مخاطر المستخدم (بيانات الاعتماد المسربة)

لا يمكنك محاكاة بيانات الاعتماد المسربة بشكل مباشر، ولكن يمكنك اختبار سياسة مخاطر المستخدم عن طريق تعيين مستخدم اختبار إلى مستوى المخاطرة "المرتفع" يدويًا (لأغراض الاختبار فقط في بيئة خاضعة للرقابة).

  1. في تقرير "المستخدمين المعرضين للخطر"، حدد مستخدمًا اختباريًا.
  2. انقر فوق "تأكيد المستخدم المخترق" (سيؤدي هذا إلى ضبط مستوى خطورة المستخدم على "مرتفع" وتفعيل السياسة).
  3. اطلب من المستخدم الاختباري محاولة تسجيل الدخول.
    • النتيجة المتوقعة: يجب مطالبة المستخدم بتغيير كلمة المرور الخاصة به عند تسجيل الدخول التالي، كما تم تكوينه في سياسة مخاطر المستخدم.

3. التحقق من سجلات التدقيق وسجلات الإدخال

  1. في بوابة Azure، انتقل إلى Azure Active Directory > المراقبة > السجلات الواردة.
  2. قم بتصفية السجلات حسب "حالة خطر الإدخال" و"حالة خطر المستخدم" لرؤية المدخلات التي تم تقييمها والإجراءات المتخذة.

نصائح أمنية وأفضل الممارسات

  • البدء بوضع التقارير: عند تكوين سياسات المخاطر، ابدأ بوضع التقرير فقط لفهم تأثير السياسات قبل تطبيقها في وضع التنفيذ. ويساعد هذا في تحديد النتائج الإيجابية الكاذبة دون مقاطعة المستخدمين.
  • تعليم المستخدم: تثقيف المستخدمين حول أهمية MFA وكيفية الاستجابة لطلبات تغيير كلمة المرور أو تحديات MFA. اشرح لهم فوائد حماية الهوية.
  • التكامل مع الوصول المشروط: استخدم حماية الهوية جنبًا إلى جنب مع الوصول المشروط لإنشاء سياسات وصول تكيفية أكثر تطورًا. على سبيل المثال، حظر الوصول إلى التطبيقات المهمة إذا كانت خطورة الدخول "عالية".
  • المراقبة المستمرة: قم بمراقبة تقارير "المستخدمين المعرضين للخطر" و"مدخلات المخاطر" بانتظام للتحقيق في النشاط المشبوه والتأكد من أن السياسات تعمل كما هو متوقع.
  • المراجعة الدورية للسياسات: قم بمراجعة سياسات المخاطر الخاصة بك وتعديلها بانتظام للتكيف مع التغييرات في مشهد التهديدات ومتطلبات العمل.
  • تكامل SIEM/SOAR: قم بدمج تنبيهات حماية هوية Azure AD مع SIEM (على سبيل المثال، Microsoft Sentinel) للعرض المركزي والأتمتة الأكثر شمولاً للاستجابة للحوادث.
  • منح الأولوية للمستخدمين المميزين: التركيز على حماية المستخدمين ذوي الامتيازات العالية (المسؤولين) من خلال سياسات المخاطر الأكثر صرامة.

استكشاف الأخطاء وإصلاحها الشائعة

  • لا تتم مطالبة المستخدمين بتغيير MFA/كلمة المرور: تأكد من أن المستخدم لديه ترخيص Azure AD P2. تأكد من أن سياسات المخاطر "ممكّنة" ومن تضمين المستخدم في المهام. تحقق مما إذا كان المستخدم قد قام بالفعل بتسجيل MFA.
  • الإيجابيات الكاذبة للمخاطر: تحقق من اكتشافات المخاطر لفهم سبب ظهورها. يمكنك "تأكيد الأمان" للإدخالات أو "رفض مخاطر المستخدم" للمستخدمين إذا كنت متأكدًا من عدم وجود تهديد. قم بتعديل شروط سياسة المخاطر إذا لزم الأمر (على سبيل المثال، زيادة مستوى المخاطر الذي يؤدي إلى تفعيل السياسة).
  • تم حظر المستخدمين بشكل غير صحيح: إذا تم تعيين سياسة مخاطر تسجيل الدخول على "حظر الوصول" لخطورة "متوسطة" أو "منخفضة"، فقد يؤدي ذلك إلى عمليات حظر مفرطة. مراجعة مستوى المخاطر وإجراءات السياسة. فكر في استخدام "يتطلب مصادقة متعددة العوامل" بدلاً من "حظر الوصول" للمخاطر المتوسطة.
  • مشكلات تسجيل MFA: تأكد من أن سياسة تسجيل MFA "ممكّنة" ومن تضمين المستخدمينأنت. تحقق من وجود سياسات الوصول المشروط الأخرى التي قد تتداخل.
  • لا تظهر اكتشافات المخاطر: تأكد من تمكين حماية الهوية ومن وجود حركة مرور مصادقة في Azure AD الخاص بك. قد يستغرق ظهور اكتشافات المخاطر بعض الوقت، خاصة بالنسبة لمخاطر المستخدم.

الخلاصة

تعد Azure AD Identity Protection أداة لا غنى عنها لحماية الهويات في البيئات السحابية الحديثة. ومن خلال أتمتة الكشف عن مخاطر الهوية ومعالجتها، فإنها تمكن المؤسسات من الاستجابة بسرعة للتهديدات، وتقليل سطح الهجوم، وتعزيز وضعها الأمني ​​العام. إن التنفيذ الدقيق لسياسات المخاطر، إلى جانب تثقيف المستخدمين والمراقبة المستمرة، يمكّن فرق الأمان من حماية الهويات الأكثر أهمية بشكل استباقي. باستخدام هذا الدليل العملي، سيكون متخصصو الأمن مجهزين تجهيزًا جيدًا لتكوين حماية هوية Azure AD والتحقق من صحتها وإدارتها، مما يضمن بقاء هوياتهم آمنة ومرنة ضد التهديدات السيبرانية المتطورة باستمرار.

المراجع:

[1] مايكروسوفت تعلم. ما هي حماية معرف Microsoft Entra؟. متوفر على: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection [2] مايكروسوفت تعلم. ما هي اكتشافات المخاطر؟. متوفر على: https://learn.microsoft.com/pt-br/entra/id-protection/concept-identity-protection-risks [3] مايكروسوفت تعلم. متطلبات الترخيص لحماية معرف Microsoft Entra. متوفر على: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection#license-requirements [4] مايكروسوفت تعلم. تكوين سياسات المخاطر لحماية معرف Microsoft Entra. متوفر على: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-configure-risk-policies [5] مايكروسوفت تعلم. * التحقيق في المخاطر باستخدام Microsoft Entra ID Protection . متوفر على: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-investigate-risk [6] مايكروسوفت تعلم. * معالجة المخاطر وإلغاء حظر المستخدمين . متوفر على: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-remediate-unblock