Использование Azure AD Identity Protection для обнаружения и устранения рисков.

Использование Azure AD Identity Protection для обнаружения и устранения рисков.

14.12.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам использовать Azure AD Identity Protection для обнаружения, исследования и устранения рисков идентификации в своих средах. Azure AD Identity Protection — это функция Microsoft Entra ID (ранее Azure Active Directory), которая автоматизирует обнаружение и устранение рисков, связанных с идентификацией, защищая организации от таких угроз, как скомпрометированные учетные данные, атаки методом перебора и несанкционированный доступ [1].

Введение

Личности — это новый периметр безопасности. С переходом на облако и удаленную работу защита личных данных пользователей стала более важной, чем когда-либо. Фишинговые атаки, утечки учетных данных, распыление паролей и доступ из необычных мест — это постоянные угрозы, которые могут привести к компрометации учетной записи и, как следствие, к утечке данных и перебоям в обслуживании. Azure AD Identity Protection предоставляет упреждающее автоматизированное решение для выявления рискованных действий, оценки уровня риска, связанного с пользователями и входом в систему, а также применения политик исправления в реальном времени для защиты удостоверений вашей организации [2].

В этом практическом руководстве будут рассмотрены фундаментальные концепции Azure AD Identity Protection, включая типы обнаружения рисков, политики рисков для пользователей и входа в систему, настройку этих политик, интеграцию с условным доступом Azure AD, а также исследование и устранение рисков. Будут предоставлены пошаговые инструкции и примеры конфигурации, чтобы читатель мог реализовать и проверить защиту идентификации Azure AD, усилив безопасность своих удостоверений и обеспечив эффективное реагирование на инциденты безопасности удостоверений автономным, профессиональным и надежным способом.

Почему защита идентификации Azure AD так важна?

  • Обнаружение рисков в режиме реального времени. Использует алгоритмы машинного обучения Microsoft и анализа угроз для автоматического обнаружения подозрительной активности, такой как вход в систему из анонимных мест, зараженные IP-адреса, невозможность перемещения и утечка учетных данных.
  • Адаптивная оценка рисков: назначает уровень риска (низкий, средний, высокий) каждому пользователю и вводным данным на основе множества факторов, что обеспечивает пропорциональную реакцию на угрозу.
  • Политики автоматического исправления: позволяют настраивать политики, которые автоматически требуют MFA, сбрасывают пароли или блокируют доступ в ответ на определенные уровни риска.
  • Интеграция условного доступа: работает вместе с условным доступом Azure AD для обеспечения адаптивного управления доступом на основе риска идентификации.
  • Видимость и расследование: предоставляет подробные отчеты об обнаруженных рисках, пользователях рисков и входных данных о рисках, облегчая расследование и реагирование на инциденты.
  • Сокращение рабочей нагрузки на SOC: автоматизирует сортировку и устранение многих инцидентов с идентификацией, позволяя сотрудникам службы безопасности сосредоточиться на более сложных угрозах.

Предварительные условия

Чтобы использовать Azure AD Identity Protection, вам потребуются следующие элементы:

  1. Лицензирование: для Azure AD Identity Protection требуется лицензия Microsoft Entra ID P2 (ранее Azure AD Premium P2) [3].
  2. Административный доступ: учетная запись с ролью «Администратор безопасности», «Администратор условного доступа» или «Глобальный администратор» на портале Azure («https://portal.azure.com»).
  3. Настроено MFA. Для эффективной работы политик входа и рисков пользователей у пользователей должна быть настроена и зарегистрирована многофакторная аутентификация (MFA). Рекомендуется использовать многофакторную аутентификацию Azure AD.

Шаг за шагом: настройка защиты идентификации Azure AD

Мы настроим политики рисков для защиты вашей личности.

1. Доступ к защите идентификации Azure AD

  1. Откройте браузер и перейдите на портал Azure: https://portal.azure.com.
  2. Войдите в систему под учетной записью, имеющей необходимые разрешения.
  3. В верхнем поле поиска введите «Azure AD Identity Protection» и выберите его из результатов.

2. Настройка политики рисков пользователя

Эта политика определяет действие, которое необходимо предпринять при обнаружении пользователя.как находящиеся под угрозой (например, утечка учетных данных, постоянная аномальная активность).

  1. На левой панели навигации Azure AD Identity Protection выберите Политики рисков пользователей.

  2. Обязанности:

    • В разделе «Пользователи» выберите «Все пользователи» или «Выбрать отдельных лиц и группы», чтобы применить политику к конкретным пользователям или тестовым группам. Для начала рекомендуется подать заявку в тестовую группу.
    • При желании вы можете «Удалить пользователей и группы» (например, сервисные учетные записи, администраторов экстренных служб).

  3. Условия:

    • В разделе «Риск пользователя» установите уровень риска, при котором активируется политика (например, «Высокий»). Вы можете начать со значения «Средний и выше» и при необходимости корректировать его.

  4. Управление:

    • Доступ: выберите «Разрешить доступ».
    • Применить политику: выберите «Требовать смену безопасного пароля».
      • Пояснение: Если пользователь достигнет настроенного уровня риска, он будет вынужден сменить пароль при следующем входе в систему. Это имеет решающее значение для утечки учетных данных.

  5. Включить политику: установите значение «Вкл.».

  6. Нажмите Сохранить.

3. Настройка политики рисков при входе в систему

Эта политика определяет действие, которое необходимо предпринять, если попытка входа в систему обнаруживается как рискованная (например, из необычного места, с анонимного IP-адреса, с зараженного IP-адреса).

  1. На левой панели навигации Azure AD Identity Protection выберите Политики входящего риска.

  2. Обязанности:

    • В разделе «Пользователи» выберите «Все пользователи» или «Выбрать отдельных лиц и группы».
    • При желании вы можете «Удалить пользователей и группы».

  3. Условия:

    • В разделе «Входной риск» определите уровень риска, который приведет к срабатыванию политики (например, «Средний»).

  4. Управление:

    • Доступ: выберите «Разрешить доступ».
    • Применить политику: выберите «Требовать многофакторную аутентификацию».
      • Пояснение: Если запись будет обнаружена как опасная, пользователю потребуется выполнить запрос MFA, даже если обычно это не требуется. Это помогает подтвердить личность пользователя.

  5. Включить политику: установите значение «Вкл.».

  6. Нажмите Сохранить.

4. Настройка политики MFA реестра

Эта политика гарантирует, что новым пользователям или пользователям, которые еще не зарегистрировали MFA, будет предложено сделать это, что является обязательным условием для политик риска.

  1. В левой панели навигации Azure AD Identity Protection выберите Политика регистрации MFA.

  2. Обязанности:

    • В разделе «Пользователи» выберите «Все пользователи» или «Выбрать отдельных лиц и группы».
    • При желании вы можете «Удалить пользователей и группы».

  3. Принудительное соблюдение политики: установите значение «Включено».

  4. Нажмите Сохранить.

5. Расследование рискованных пользователей и вводимых данных

Identity Protection предоставляет отчеты для мониторинга и расследования рискованных действий.

  1. На левой панели навигации Azure AD Identity Protection выберите Пользователи риска.

    • В этом отчете перечислены пользователи, которые были обнаружены как находящиеся в группе риска, а также их уровень риска и последний обнаруженный риск.

  2. Нажмите на пользователя, чтобы просмотреть подробную информацию о риске, включая конкретные обнаруженные риски (например, «Утечка учетных данных», «Анонимный ввод IP-адреса»).

  3. На левой панели навигации выберите Входные данные о риске.

    • В этом отчете перечислены попытки входа в систему, которые были признаны рискованными, а также уровень риска и сведения о входе.

  4. Щелкните запись о риске, чтобы просмотреть полную информацию, включая тип обнаружения, местоположение, устройство и приложение.

6. Устранение рисков вручную

Хотя политики автоматизируют исправление, вам может потребоваться устранить риски вручную.

  1. Для рискованных пользователей:

    • В отчете «Пользователи риска» выберите пользователя.
    • Вы можете выбрать «Подтвердить компрометацию пользователя» (при этом активируется политика риска пользователя, заставляющая сменить пароль) или «Отклонить риск пользователя» (если вы определите, что риск является ложным срабатыванием).

  2. Для входных данных риска:

    • В отчете «Входные данные о рисках» выберите запись.
    • Вы можете выбрать «Подтвердить компрометацию» или «Подтвердить безопасность» (если это ложное срабатывание).

Проверка и тестирование

Тестирование Azure AD Identity Protection имеет решающее значение для обеспечения правильной работы политик.как и ожидалось.

1. Моделирование входящего риска (анонимный IP-адрес)

  1. Используйте VPN или прокси-сервер для подключения к Интернету из места, отличного от вашего обычного рабочего места, которое можно классифицировать как анонимный IP-адрес (например, общедоступный прокси-сервер Tor).

  2. Попробуйте войти на портал Azure или в приложение, подключенное к Azure AD, с помощью тестовой учетной записи.

    • Ожидаемый результат: если для политики риска входа установлено значение «Средний» или «Высокий» и «Требовать многофакторную аутентификацию», вам будет предложено выполнить MFA. Если риск «Высокий», а для политики установлено значение «Блокировать доступ», доступ будет запрещен.

  3. Проверьте отчет «Записи о рисках» в Azure AD Identity Protection. Вы должны увидеть запись о риске для тестовой учетной записи с типом обнаружения «Анонимная запись IP».

2. Моделирование рисков пользователя (утечка учетных данных)

Вы не можете напрямую имитировать утечку учетных данных, но можете протестировать политику риска пользователя, вручную установив для тестового пользователя уровень риска «Высокий» (только для целей тестирования в контролируемой среде).

  1. В отчете «Пользователи риска» выберите тестового пользователя.
  2. Нажмите «Подтвердить скомпрометированного пользователя» (это установит риск пользователя на «Высокий» и активирует политику).
  3. Попросите тестового пользователя попытаться войти в систему.
    • Ожидаемый результат: пользователю будет предложено сменить пароль при следующем входе в систему, как указано в политике рисков пользователя.

3. Проверка журналов аудита и журналов ввода

  1. На портале Azure перейдите в раздел «Azure Active Directory» > «Мониторинг» > «Входящие журналы».
  2. Отфильтруйте журналы по «Статусу входного риска» и «Статусу пользовательского риска», чтобы увидеть оцененные входные данные и предпринятые действия.

Советы и рекомендации по безопасности

  • Начните с режима отчетности. При настройке политик рисков начните с режима «Только отчет», чтобы понять влияние политик, прежде чем применять их в режиме принудительного применения. Это помогает выявлять ложные срабатывания, не отвлекая пользователей.
  • Обучение пользователей: информируйте пользователей о важности MFA и о том, как реагировать на запросы на смену пароля или проблемы с MFA. Объясните им преимущества защиты личных данных.
  • Интеграция с условным доступом. Используйте Identity Protection в сочетании с условным доступом для создания более сложных политик адаптивного доступа. Например, блокировка доступа к критически важным приложениям, если риск входа «Высокий».
  • Постоянный мониторинг. Регулярно отслеживайте отчеты «Пользователи риска» и «Входные данные о рисках», чтобы расследовать подозрительную активность и обеспечивать правильную работу политик.
  • Периодический пересмотр политик: регулярно проверяйте и корректируйте свои политики управления рисками, чтобы адаптироваться к изменениям в ландшафте угроз и бизнес-требованиях.
  • Интеграция SIEM/SOAR: интегрируйте оповещения Azure AD Identity Protection с вашим SIEM (например, Microsoft Sentinel) для централизованного просмотра и более полной автоматизации реагирования на инциденты.
  • Приоритизация привилегированных пользователей. Сосредоточьтесь на защите пользователей с высокими привилегиями (администраторов) с помощью самых строгих политик риска.

Распространенное устранение неполадок

  • Пользователям не предлагается сменить MFA/пароль. Убедитесь, что у пользователя есть лицензия Azure AD P2. Убедитесь, что политики риска включены и пользователь включен в назначения. Проверьте, зарегистрировал ли пользователь уже MFA.
  • Риск ложных срабатываний: изучите обнаруженные риски, чтобы понять, почему они были вызваны. Вы можете «Подтвердить безопасность» для записей или «Отклонить пользовательский риск» для пользователей, если вы уверены, что угроз нет. При необходимости скорректируйте условия политики риска (например, увеличьте уровень риска, приводящий в действие политику).
  • Пользователи заблокированы неправильно. Если для политики риска входа в систему установлено значение «Блокировать доступ» для «Среднего» или «Низкого» риска, это может привести к чрезмерным блокировкам. Рассмотрите уровень риска и меры политики. Рассмотрите возможность использования «Требовать многофакторную аутентификацию» вместо «Блокировать доступ» для средних рисков.
  • Проблемы с регистрацией MFA. Убедитесь, что политика регистрации MFA включена и включены пользователи.ты. Проверьте наличие других политик условного доступа, которые могут мешать.
  • Обнаружения рисков не отображаются. Убедитесь, что защита идентификации включена и в Azure AD есть трафик проверки подлинности. Обнаружение рисков может занять некоторое время, особенно в отношении рисков пользователей.

Заключение

Azure AD Identity Protection — незаменимый инструмент для защиты удостоверений в современных облачных средах. Автоматизируя обнаружение и устранение рисков, связанных с идентификацией, он позволяет организациям быстро реагировать на угрозы, уменьшать поверхность атак и укреплять общий уровень безопасности. Тщательная реализация политик риска в сочетании с обучением пользователей и постоянным мониторингом позволяет командам безопасности активно защищать наиболее важные личные данные. Благодаря этому практическому руководству специалисты по безопасности будут хорошо подготовлены к настройке, проверке и управлению защитой удостоверений Azure AD, обеспечивая безопасность и устойчивость своих удостоверений к постоянно развивающимся киберугрозам.

Ссылки:

[1] Microsoft Learn. Что такое защита идентификатора Microsoft Entra?. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection [2] Microsoft Learn. Что такое обнаружение рисков?. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/id-protection/concept-identity-protection-risks. [3] Microsoft Learn. Лицензионные требования для Microsoft Entra ID Protection. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection#license-requirements [4] Microsoft Learn. Настройте политики риска для Microsoft Entra ID Protection. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-configure-risk-policies [5] Microsoft Learn. Исследуйте риски с помощью Microsoft Entra ID Protection. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-investigate-risk [6] Microsoft Learn. Устранить риски и разблокировать пользователей. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-remediate-unblock