使用 Azure AD 身份保护进行风险检测和修复

使用 Azure AD 身份保护进行风险检测和修复

2024年12月14日

本文旨在指导安全分析师、IT 管理员和系统工程师使用 Azure AD 身份保护来检测、调查和修复其环境中的身份风险。 Azure AD 身份保护是 Microsoft Entra ID(以前称为 Azure Active Directory)的一项功能,可自动检测和修复基于身份的风险,保护组织免受凭据泄露、暴力攻击和未经授权的访问等威胁 [1]。

简介

身份是新的安全边界。随着向云计算和远程工作的转变,保护用户身份变得比以往更加重要。网络钓鱼攻击、凭证泄露、密码喷射和来自异常位置的访问是持续存在的威胁,可能导致帐户泄露,从而导致数据泄露和服务中断。 Azure AD 身份保护提供主动、自动化的解决方案来识别风险活动、评估与用户和登录相关的风险级别,并应用实时修复策略来保护组织的身份 [2]。

本实用指南将涵盖 Azure AD 身份保护的基本概念,包括风险检测类型、用户和登录风险策略、配置这些策略、与 Azure AD 条件访问集成以及风险调查和修复。将提供分步说明、配置示例,以便读者能够实施和验证Azure AD身份保护,增强身份安全性,确保以自主、专业和可靠的方式有效响应身份安全事件。

为什么 Azure AD 身份保护至关重要?

  • 实时风险检测:利用 Microsoft 机器学习和威胁情报算法自动检测可疑活动,例如从匿名位置登录、受感染的 IP、不可能的旅行和泄露的凭据。
  • 自适应风险评估:根据各种因素为每个用户和输入分配风险级别(低、中、高),从而实现对威胁的相应响应。
  • 自动修复策略:允许您配置自动要求 MFA、重置密码或阻止访问以响应特定风险级别的策略。
  • 条件访问集成:与 Azure AD 条件访问结合使用,以根据身份风险实施自适应访问控制。
  • 可见性和调查:提供有关风险检测、风险用户和风险输入的详细报告,促进调查和事件响应。
  • 减少 SOC 工作量:自动分类和修复许多身份事件,使安全人员能够专注于更复杂的威胁。

先决条件

要使用 Azure AD 身份保护,您将需要以下项目:

  1. 许可:Azure AD 身份保护需要 Microsoft Entra ID P2 许可证(以前称为 Azure AD Premium P2)[3]。
  2. 管理访问权限:在 Azure 门户 (https://portal.azure.com) 中具有“安全管理员”、“条件访问管理员”或“全局管理员”角色的帐户。
  3. 配置 MFA:为了使登录和用户风险策略有效发挥作用,用户必须配置并注册多重身份验证 (MFA)。建议使用 Azure AD 多重身份验证。

分步:配置 Azure AD 身份保护

我们将配置风险策略来保护您的身份。

1. 访问 Azure AD 身份保护

  1. 打开浏览器并导航到 Azure 门户:“https://portal.azure.com”。
  2. 使用具有必要权限的帐户登录。
  3. 在顶部搜索字段中,输入“Azure AD 身份保护”并从结果中选择它。

2.配置用户风险策略

该策略定义检测到用户时要采取的操作存在风险(例如凭证泄露、持续异常活动)。

  1. 在 Azure AD 身份保护左侧导航窗格中,选择“用户风险策略”。

  2. 职责

    • 在“用户”下,选择“所有用户”或“选择个人和组”以将策略应用于特定用户或测试组。首先,建议申请测试组。
    • 您可以选择“删除用户和组”(例如服务帐户、紧急管理员)。

  3. 条件

    • 在“用户风险”下,设置将触发策略的风险级别(例如“高”)。您可以从“中及以上”开始,然后根据需要进行调整。

  4. 控制

    • 访问:选择“允许访问”。
    • 执行策略:选择“需要安全密码更改”。
      • 说明:如果用户达到配置的风险级别,他们将被迫在下次登录时更改密码。这对于泄露凭证至关重要。

  5. 启用策略:设置为“开”。

  6. 单击“保存”。

3. 配置登录风险策略

此策略定义了当检测到登录尝试有风险(例如来自异常位置、匿名 IP、受感染的 IP)时要采取的操作。

  1. 在 Azure AD 身份保护左侧导航窗格中,选择 入站风险策略

  2. 职责

    • 在“用户”下,选择“所有用户”或“选择个人和组”。
    • 您可以选择“删除用户和组”。

  3. 条件

    • 在“输入风险”中,定义将触发策略的风险级别(例如“中”)。

  4. 控制

    • 访问:选择“允许访问”。
    • 执行策略:选择“需要多重身份验证”。
      • 说明:如果条目被检测为有风险,则用户将需要完成 MFA 质询,即使通常不需要。这有助于验证用户的身份。

  5. 启用策略:设置为“开”。

  6. 单击“保存”。

4.配置注册表MFA策略

此策略确保提示新用户或尚未注册 MFA 的用户进行注册,这是风险策略的先决条件。

  1. 在 Azure AD 身份保护左侧导航窗格中,选择 MFA 注册策略

  2. 职责

    • 在“用户”下,选择“所有用户”或“选择个人和组”。
    • 您可以选择“删除用户和组”。

  3. 执行策略:设置为“启用”。

  4. 单击“保存”。

5. 调查有风险的用户和输入

身份保护提供报告来监控和调查危险活动。

  1. 在 Azure AD 身份保护左侧导航窗格中,选择 风险用户

    • 此报告列出了已检测到存在风险的用户,以及他们的风险级别和上次风险检测。

  2. 单击用户可查看风险详细信息,包括特定风险检测(例如“凭据泄露”、“匿名 IP 条目”)。

  3. 在左侧导航窗格中,选择风险输入

    • 此报告列出了被检测为有风险的登录尝试,以及风险级别和登录详细信息。

  4. 单击风险条目可查看完整详细信息,包括检测类型、位置、设备和应用程序。

6. 手动修复风险

尽管策略会自动修复,但您可能需要手动修复风险。

  1. 对于有风险的用户

    • 在“风险用户”报告中,选择一个用户。
    • 您可以选择“确认用户受到威胁”(这将触发用户风险策略,强制更改密码)或“消除用户风险”(如果您确定风险是误报)。

  2. 对于风险输入

    • 在“风险输入”报告中,选择一个条目。
    • 您可以选择“确认妥协”或“确认安全”(如果是误报)。

验证和测试

测试 Azure AD 身份保护对于确保策略正常运行至关重要。正如预期的那样。

1.入站风险模拟(匿名IP)

  1. 使用 VPN 或代理从您通常工作场所以外的可归类为匿名 IP 的位置(例如公共代理服务器、Tor)连接到互联网。

  2. 尝试使用测试帐户登录 Azure 门户或连接 Azure AD 的应用程序。

    • 预期结果:如果登录风险策略设置为“中”或“高”且“需要多重身份验证”,系统应提示您完成 MFA。如果风险为“高”且策略设置为“阻止访问”,则访问将被拒绝。

  3. 检查 Azure AD 身份保护中的“风险条目”报告。您应该会看到检测类型为“匿名 IP 条目”的测试帐户的风险条目。

2. 用户风险模拟(凭证泄露)

您无法直接模拟泄露的凭据,但可以通过手动将测试用户设置为“高”风险级别来测试用户风险策略(仅用于在受控环境中进行测试)。

  1. 在“风险用户”报告中,选择一个测试用户。
  2. 单击“确认受损用户”(这会将用户风险设置为“高”并触发策略)。
  3. 要求测试用户尝试登录。
    • 预期结果:系统应提示用户在下次登录时更改密码,如用户风险策略中的配置。

3.检查审计日志和输入日志

  1. 在 Azure 门户中,导航到“Azure Active Directory”>“监控”>“入站日志”。
  2. 按“输入风险状态”和“用户风险状态”过滤日志,以查看评估的输入和采取的操作。

安全提示和最佳实践

  • 从报告模式开始:配置风险策略时,从“仅报告”模式开始,以了解策略的影响,然后再将其应用于强制模式。这有助于在不打扰用户的情况下识别误报。
  • 用户教育:教育用户了解 MFA 的重要性以及如何响应密码更改请求或 MFA 挑战。向他们解释身份保护的好处。
  • 与条件访问集成:将身份保护与条件访问结合使用来创建更复杂的自适应访问策略。例如,如果进入风险为“高”,则阻止对关键应用程序的访问。
  • 持续监控:定期监控“风险用户”和“风险输入”报告,以调查可疑活动并确保策略按预期运行。
  • 定期审查策略:定期审查和调整您的风险策略,以适应威胁形势和业务需求的变化。
  • SIEM/SOAR 集成:将 Azure AD 身份保护警报与 SIEM(例如 Microsoft Sentinel)集成,以实现集中视图和更全面的事件响应自动化。
  • 优先考虑特权用户:专注于通过最严格的风险策略保护高特权用户(管理员)。

常见故障排除

  • 系统不会提示用户进行 MFA/密码更改:验证用户是否拥有 Azure AD P2 许可证。确保风险策略已“启用”并且用户包含在分配中。检查用户是否已注册 MFA。
  • 风险误报:调查风险检测以了解触发风险的原因。如果您确定不存在威胁​​,您可以为条目“确认安全”或为用户“解除用户风险”。如有必要,调整风险政策条件(例如提高触发政策的风险级别)。
  • 用户被不当阻止:如果将登录风险策略设置为“中”或“低”风险的“阻止访问”,则可能会导致过多的阻止。审查风险级别和政策行动。对于中等风险,请考虑使用“需要多重身份验证”而不是“阻止访问”。
  • MFA 注册问题:确保 MFA 注册策略已“启用”并且包含用户你。检查是否有其他可能干扰的条件访问策略。
  • 不显示风险检测:验证身份保护是否已启用并且 Azure AD 中存在身份验证流量。风险检测可能需要一段时间才会出现,尤其是用户风险。

结论

Azure AD 身份保护是现代基于云的环境中保护身份不可或缺的工具。通过自动化身份风险检测和修复,它使组织能够快速响应威胁、减少攻击面并加强整体安全态势。仔细实施风险策略,结合用户教育和持续监控,使安全团队能够主动保护最关键的身份。通过本实用指南,安全专业人员将能够配置、验证和管理 Azure AD 身份保护,确保他们的身份保持安全并能够抵御不断变化的网络威胁。

参考资料:

[1] 微软学习。 什么是 Microsoft Entra ID 保护?。位于:https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection [2] 微软学习。 什么是风险检测?。网址:https://learn.microsoft.com/pt-br/entra/id-protection/concept-identity-protection-risks [3] 微软学习。 Microsoft Entra ID 保护的许可要求。网址:https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection#license-requirements [4] 微软学习。 配置 Microsoft Entra ID 保护的风险策略。位于:https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-configure-risk-policies [5] 微软学习。 利用 Microsoft Entra ID Protection 调查风险。网址:https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-investigate-risk [6] 微软学习。 修复风险并解锁用户。位于:https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-remediate-unblock