Použití Azure AD Identity Protection pro detekci a nápravu rizik

Použití Azure AD Identity Protection pro detekci a nápravu rizik

  1. prosince 2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při používání Azure AD Identity Protection k detekci, vyšetřování a nápravě rizik souvisejících s identitou v jejich prostředích. Azure AD Identity Protection je funkce Microsoft Entra ID (dříve Azure Active Directory), která automatizuje detekci a nápravu rizik založených na identitě a chrání organizace před hrozbami, jako jsou kompromitované přihlašovací údaje, útoky hrubou silou a neoprávněný přístup [1].

Úvod

Identity jsou novým bezpečnostním perimetrem. S přechodem na cloud a vzdálenou práci se ochrana identit uživatelů stala důležitější než kdy jindy. Phishingové útoky, úniky přihlašovacích údajů, sprejování hesel a přístup z neobvyklých míst jsou neustálými hrozbami, které mohou vést ke kompromitaci účtu a následně k narušení dat a přerušení služeb. Azure AD Identity Protection poskytuje proaktivní, automatizované řešení pro identifikaci rizikových aktivit, posouzení úrovně rizika spojeného s uživateli a přihlášeními a uplatnění zásad nápravy v reálném čase k ochraně identit vaší organizace [2].

Tato praktická příručka se bude zabývat základními koncepty Azure AD Identity Protection, včetně typů zjišťování rizik, zásad rizik pro uživatele a přihlášení, konfigurace těchto zásad, integrace s podmíněným přístupem Azure AD a vyšetřování a náprava rizik. Budou poskytnuty podrobné pokyny, příklady konfigurace, aby čtenář mohl implementovat a ověřovat Azure AD Identity Protection, posilovat zabezpečení svých identit a zajišťovat efektivní reakci na incidenty zabezpečení identit autonomním, profesionálním a spolehlivým způsobem.

Proč je Azure AD Identity Protection zásadní?

  • Detekce rizik v reálném čase: Využívá algoritmy strojového učení a inteligence hrozeb společnosti Microsoft k automatickému zjišťování podezřelých aktivit, jako jsou přihlášení z anonymních míst, infikované adresy IP, nemožné cestování a uniklé přihlašovací údaje.
  • Adaptivní hodnocení rizik: Přiřazuje úroveň rizika (nízká, střední, vysoká) každému uživateli a vstup na základě různých faktorů, což umožňuje přiměřené reakce na hrozbu.
  • Zásady automatické nápravy: Umožňuje konfigurovat zásady, které automaticky vyžadují MFA, resetování hesel nebo blokování přístupu v reakci na konkrétní úrovně rizika.
  • Integrace podmíněného přístupu: Funguje ve spojení s podmíněným přístupem Azure AD k vynucení adaptivních řízení přístupu na základě rizika identity.
  • Viditelnost a vyšetřování: Poskytuje podrobné zprávy o detekci rizik, uživatelích rizik a rizikových vstupech, což usnadňuje vyšetřování a reakci na incidenty.
  • Snížení zátěže SOC: Automatizuje třídění a nápravu mnoha incidentů identity, čímž umožňuje bezpečnostním pracovníkům soustředit se na složitější hrozby.

Předpoklady

Chcete-li používat Azure AD Identity Protection, budete potřebovat následující položky:

  1. Licencování: Azure AD Identity Protection vyžaduje licenci Microsoft Entra ID P2 (dříve Azure AD Premium P2) [3].
  2. Administrativní přístup: Účet s rolí Správce zabezpečení, Administrátor podmíněného přístupu nebo Globální správce na Azure Portal (https://portal.azure.com).
  3. MFA Configured: Aby zásady přihlašování a rizik pro uživatele fungovaly efektivně, musí mít uživatelé nakonfigurované a registrované vícefaktorové ověřování (MFA). Doporučuje se používat Azure AD Multi-Factor Authentication.

Krok za krokem: Konfigurace Azure AD Identity Protection

Nakonfigurujeme zásady rizik pro ochranu vašich identit.

1. Přístup k Azure AD Identity Protection

  1. Otevřete prohlížeč a přejděte na Azure Portal: https://portal.azure.com.
  2. Přihlaste se pomocí účtu, který má potřebná oprávnění.
  3. Do horního vyhledávacího pole zadejte „Azure AD Identity Protection“ a vyberte jej z výsledků.

2. Konfigurace zásad rizik pro uživatele

Tato zásada definuje akci, která má být provedena, když je zjištěn uživateljako ohrožené (např. únik přihlašovacích údajů, přetrvávající anomální aktivita).

  1. V levém navigačním podokně Azure AD Identity Protection vyberte Zásady rizika uživatele.

  2. Odpovědnosti:

    • V části „Uživatelé“ vyberte „Všichni uživatelé“ nebo „Vybrat jednotlivce a skupiny“, chcete-li zásady aplikovat na konkrétní uživatele nebo testovací skupiny. Pro začátek se doporučuje aplikovat na testovací skupinu.
    • Volitelně můžete Odstranit uživatele a skupiny (např. servisní účty, nouzové administrátory).

  3. Podmínky:

    • V části „Riziko uživatele“ nastavte úroveň rizika, která spustí politiku (např. „Vysoká“). Můžete začít s Střední a vyšší a upravit podle potřeby.

  4. Ovládací prvky:

    • Přístup: Vyberte „Povolit přístup“.
    • Vynutit zásady: Vyberte možnost „Vyžadovat zabezpečenou změnu hesla“.
      • Vysvětlení: Pokud uživatel dosáhne nakonfigurované úrovně rizika, bude nucen při příštím přihlášení změnit své heslo. To je zásadní pro uniklé přihlašovací údaje.

  5. Povolit zásady: Nastavte na „Zapnuto“.

  6. Klikněte na Uložit.

3. Konfigurace zásad rizika přihlášení

Tato zásada definuje akci, která má být provedena, když je pokus o přihlášení detekován jako rizikový (např. z neobvyklého umístění, anonymní IP, infikovaná IP).

  1. V levém navigačním podokně Azure AD Identity Protection vyberte Zásady příchozích rizik.

  2. Odpovědnosti:

    • V části „Uživatelé“ vyberte „Všichni uživatelé“ nebo „Vybrat jednotlivce a skupiny“.
    • Volitelně můžete Odstranit uživatele a skupiny.

  3. Podmínky:

    • V části „Vstupní riziko“ definujte úroveň rizika, která spustí politiku (např. „Střední“).

  4. Ovládací prvky:

    • Přístup: Vyberte „Povolit přístup“.
    • Vynutit zásady: Vyberte možnost „Vyžadovat vícefaktorové ověření“.
      • Vysvětlení: Pokud je záznam detekován jako rizikový, bude uživatel požádán, aby dokončil výzvu MFA, i když to běžně není vyžadováno. To pomáhá ověřit identitu uživatele.

  5. Povolit zásady: Nastavte na „Zapnuto“.

  6. Klikněte na Uložit.

4. Konfigurace zásad MFA registru

Tato zásada zajišťuje, že noví uživatelé nebo uživatelé, kteří ještě nezaregistrovali MFA, budou vyzváni, aby tak učinili, což je nezbytný předpoklad pro zásady rizik.

  1. V levém navigačním podokně Azure AD Identity Protection vyberte Zásady registrace MFA.

  2. Odpovědnosti:

    • V části „Uživatelé“ vyberte „Všichni uživatelé“ nebo „Vybrat jednotlivce a skupiny“.
    • Volitelně můžete Odstranit uživatele a skupiny.

  3. Vynutit zásady: Nastavte na „Povoleno“.

  4. Klikněte na Uložit.

5. Zkoumání rizikových uživatelů a vstupů

Identity Protection poskytuje zprávy pro monitorování a vyšetřování rizikových aktivit.

  1. V levém navigačním podokně Azure AD Identity Protection vyberte Risk Users.

    • Tato zpráva uvádí seznam uživatelů, kteří byli detekováni jako ohrožení, spolu s jejich úrovní rizika a posledním zjištěným rizikem.

  2. Kliknutím na uživatele zobrazíte podrobnosti o riziku, včetně konkrétních detekcí rizik (např. „Uniklé přihlašovací údaje“, „Anonymní vstup IP“).

  3. V levém navigačním panelu vyberte Risk Inputs.

    • Tento přehled uvádí seznamy pokusů o přihlášení, které byly detekovány jako rizikové, spolu s úrovní rizika a podrobnostmi o přihlášení.

  4. Klepnutím na položku rizika zobrazíte úplné podrobnosti, včetně typu detekce, umístění, zařízení a aplikace.

6. Manuální náprava rizik

Přestože zásady automatizují nápravu, možná budete muset rizika napravit ručně.

  1. Pro rizikové uživatele:

    • V přehledu „Risk Users“ vyberte uživatele.
    • Můžete si vybrat Potvrdit ohrožení uživatele (toto spustí politiku rizika uživatele a vynutí si změnu hesla) nebo Odmítnout riziko uživatele (pokud určíte, že riziko je falešně pozitivní).

  2. Pro rizikové vstupy:

    • Ve zprávě Risk Inputs vyberte záznam.
    • Můžete si vybrat Confirm Compromise nebo Confirm Security (pokud je falešně pozitivní).

Validace a testování

Testování Azure AD Identity Protection je klíčové pro zajištění správného fungování zásad.podle očekávání.

1. Simulace příchozích rizik (anonymní IP)

  1. Použijte VPN nebo proxy pro připojení k internetu z jiného místa, než je vaše obvyklé pracoviště, které lze klasifikovat jako anonymní IP (např. veřejný proxy server, Tor).

  2. Zkuste se přihlásit do Azure Portal nebo do aplikace připojené k Azure AD pomocí testovacího účtu.

    • Očekávaný výsledek: Pokud je zásada rizika přihlášení nastavena na „Střední“ nebo „Vysoká“ a „Vyžadovat vícefaktorové ověření“, měli byste být vyzváni k dokončení MFA. Pokud je riziko „Vysoké“ a zásada je nastavena na „Blokovat přístup“, přístup bude odepřen.

  3. Zkontrolujte sestavu „Položky rizika“ v Azure AD Identity Protection. Měli byste vidět záznam rizika pro testovací účet s typem detekce Anonymní záznam IP.

2. Simulace rizika uživatele (uniklé přihlašovací údaje)

Uniklá pověření nelze přímo simulovat, ale můžete otestovat zásady uživatelského rizika ručním nastavením testovacího uživatele na „vysokou“ úroveň rizika (pouze pro účely testování v kontrolovaném prostředí).

  1. Ve zprávě „Risk Users“ vyberte testovacího uživatele.
  2. Klikněte na „Potvrdit ohroženého uživatele“ (tímto nastavíte riziko uživatele na „Vysoké“ a spustíte politiku).
  3. Požádejte testovacího uživatele, aby se pokusil přihlásit.
    • Očekávaný výsledek: Uživatel by měl být vyzván ke změně hesla při příštím přihlášení, jak je nakonfigurováno v zásadách rizika uživatele.

3. Kontrola protokolů auditu a protokolů vstupů

  1. V Azure Portal přejděte na Azure Active Directory > Monitoring > Příchozí protokoly.
  2. Filtrujte protokoly podle Stav rizika vstupu a Stav rizika uživatele, abyste viděli vyhodnocené vstupy a provedené akce.

Bezpečnostní tipy a doporučené postupy

  • Začněte s režimem hlášení: Při konfiguraci zásad rizik začněte v režimu „Pouze hlášení“, abyste pochopili dopad zásad, než je použijete v režimu prosazování. To pomáhá identifikovat falešné poplachy bez přerušení uživatelů.
  • Vzdělávání uživatelů: Poučte uživatele o důležitosti MFA a o tom, jak reagovat na žádosti o změnu hesla nebo výzvy MFA. Vysvětlete jim výhody Identity Protection.
  • Integrace s podmíněným přístupem: Použijte Identity Protection ve spojení s podmíněným přístupem k vytvoření sofistikovanějších zásad adaptivního přístupu. Například blokování přístupu ke kritickým aplikacím, pokud je vstupní riziko „vysoké“.
  • Nepřetržité monitorování: Pravidelně sledujte zprávy „Risk Users“ a „Risk Inputs“, abyste prozkoumali podezřelou aktivitu a zajistili, že zásady fungují podle očekávání.
  • Pravidelný přezkum zásad: Pravidelně kontrolujte a upravujte své zásady rizik, aby se přizpůsobily změnám v prostředí hrozeb a obchodním požadavkům.
  • Integrace SIEM/SOAR: Integrujte výstrahy Azure AD Identity Protection s vaší SIEM (např. Microsoft Sentinel) pro centralizované zobrazení a komplexnější automatizaci odezvy na incidenty.
  • Upřednostněte privilegované uživatele: Zaměřte se na ochranu vysoce privilegovaných uživatelů (správců) s nejpřísnějšími zásadami rizik.

Běžné odstraňování problémů

  • Uživatelé nejsou vyzváni ke změně MFA/hesla: Ověřte, zda má uživatel licenci Azure AD P2. Ujistěte se, že zásady rizik jsou „Povoleno“ a uživatel je zahrnut do přiřazení. Zkontrolujte, zda uživatel již zaregistroval MFA.
  • Falešná pozitiva rizika: Prozkoumejte zjištěná rizika, abyste pochopili, proč byly spuštěny. Můžete Potvrdit zabezpečení pro záznamy nebo Zrušit uživatelské riziko pro uživatele, pokud jste si jisti, že neexistuje žádná hrozba. V případě potřeby upravte podmínky politiky rizika (např. zvyšte úroveň rizika, která spouští politiku).
  • Nesprávně blokovaní uživatelé: Pokud je zásada rizika přihlášení nastavena na „Blokovat přístup“ pro „střední“ nebo „nízké“ riziko, může to mít za následek nadměrné blokování. Zkontrolujte úroveň rizika a opatření politiky. Zvažte použití možnosti „Vyžadovat vícefaktorovou autentizaci“ namísto „Blokovat přístup“ pro střední rizika.
  • Problémy s registrací MFA: Ujistěte se, že Zásady registrace MFA jsou „Povoleno“ a že jsou zahrnuti uživateléVy. Zkontrolujte další zásady podmíněného přístupu, které mohou rušit.
  • Detekce rizik se nezobrazují: Ověřte, zda je povolena ochrana identity a zda je ve vaší Azure AD provoz ověřování. Může chvíli trvat, než se objeví detekce rizik, zejména uživatelských rizik.

Závěr

Azure AD Identity Protection je nepostradatelný nástroj pro ochranu identit v moderních cloudových prostředích. Automatizací detekce a nápravy rizik souvisejících s identitou umožňuje organizacím rychle reagovat na hrozby, redukovat plochu útoku a posílit celkovou pozici zabezpečení. Pečlivá implementace rizikových politik v kombinaci se vzděláváním uživatelů a neustálým monitorováním umožňuje bezpečnostním týmům proaktivně chránit ty nejkritičtější identity. Díky této praktické příručce budou odborníci na zabezpečení dobře vybaveni ke konfiguraci, ověřování a správě Azure AD Identity Protection a zajistí, že jejich identity zůstanou bezpečné a odolné vůči neustále se vyvíjejícím kybernetickým hrozbám.

Reference:

[1] Microsoft Learn. Co je Microsoft Entra ID Protection?. Dostupné na: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection [2] Microsoft Learn. Co jsou detekce rizik?. Dostupné na: https://learn.microsoft.com/pt-br/entra/id-protection/concept-identity-protection-risks [3] Microsoft Learn. Licenční požadavky pro Microsoft Entra ID Protection. Dostupné na: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection#license-requirements [4] Microsoft Learn. Konfigurujte zásady rizik pro Microsoft Entra ID Protection. Dostupné na: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-configure-risk-policies [5] Microsoft Learn. Prozkoumejte rizika pomocí Microsoft Entra ID Protection. Dostupné na: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-investigate-risk [6] Microsoft Learn. Opravte rizika a odblokujte uživatele. Dostupné na: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-remediate-unblock