Snažíte se o automatizaci detekce hrozeb nebo identifikaci a řešení jednotlivých hrozeb? Azure Active Directory Identity Protection je nástroj právě pro vás. Dokonce díky němu můžete data vyexportovat do aplikací třetích stran.
Obsah
Co je Azure Active Directory Identity Protection?
Jedná se o nástroj, pomocí kterého mohou firmy provádět 3 důležité úkony:
- Automatizaci detekcí a nápravy rizik identit
- Prozkoumání rizik použitím dat z portálu
- Poslání dat o detekci rizik do nástrojů třetích stran pro podrobnější analýzu
AAD Identity Protection (AAD IP) využívá poznatků, které Microsoft získal díky organizaci Azure AD. Microsoft analyzuje denně přes 6,5 triliónů podnětů k identifikaci a chránění zákazníků před hrozbami.
Co všechno může Identity Protection sledovat?
- Přihlášení pomocí anonymní IP adresy nebo z IP adresy, která byla detekována jako rozšiřující malware
- Přihlášení z atypické polohy nebo pomocí neznámých vlastností přihlášení
- Únik přihlašovacích údajů
- Útok na účty použitím běžných hesel
- Pokud interní a externí zdroje z výzkumného oddělení Microsoftu identifikovali známý vzor útoků
- Aktivita z jiného státu, anonymní IP adresy nebo podezřelé přeposílání emailů ve schránce je zjištěno pomocí Microsoft Cloud App Security
Co s riziky?
Vyšetřovaní rizik
Administrátoři můžou posoudit nálezy a podniknout manuální zásah, pokud je potřeba. Jsou 3 klíčové hlášení, které administrátoři mohou použít pro ochranu identit:
- Rizikoví uživatelé
- Rizikové přihlášení
- Detekce rizik
Úrovně rizik
Úrovně rizik jsou rozvržené do tří stupňů: nízké, střední a vysoké. Čím vyšší stupeň je, tím je větší pravděpodobnost, že účet nebo přihlášení jsou ohrožené. Například přihlášení z neznámé IP adresy není tak závažné ohrožení jako uniklé přihlašovací údaje.
Potřebné oprávnění pro jednotlivé služby
Licencování AAD Identity Protection
Jak můžeme z tabulky vypozorovat, tak pro všechny funkce potřebujeme licenci Azure AD Premium P2.
Jak AAD IP nastavit?
V AAD admin centru najdeme Identity Protection.
AAD IP Přehled
Jako první věc vidíme přehled. Tady se můžeme dívat na různé statistiky o rizicích uživatelů nebo přihlášení. Napravo se nachází skóre zabezpečení identit. Tento údaj nám jenom říká, jak jsme na tom se zabezpečením oproti běžným postupům, ale neříká, jak na tom se zabezpečením doopravdy jsme, jelikož je to pro každého individuální. Proto je důležité, aby všechno bylo řádně zabezpečené.
Zásady rizik uživatelů
Pod skupinou položek Zamknout máme na výběr 3 zásady: rizika uživatelů, přihlašování a zásady registrace MFA. V zásadách rizik uživatelů a přihlašování máme 4 možnosti. U uživatelů nastavujeme, kterých konkrétně se tato zásada týka nebo které ze zásady vyloučíme. U rizika uživatele vybíráme pro jak vysoké riziko se tato zásada bude používat. Azure tento parametr sám vypočítá na základě možného ohrožení uživatele. Poté určíme, jestli chceme přístup uživateli zablokovat, nebo povolit pouze se změnou hesla. Nakonec můžeme vybrat, jestli tuto zásadu chceme vynutit a změny uložit.
Zásady rizik přihlašování
U zásady rizika přihlašování je změna pouze v parametru rizika přihlášení. Pokud přihlašovací údaje uniknou, tak se jedná o riziko vysoké. Jestliže se přihlašuje z: anonymní IP adresy, napadeného zařízení, neznámé lokace nebo lokace, do kterých je fyzicky nemožné se dostat, jedná se o riziko střední. Pokud se přihlašuje z IP adres, které vykazují podezřelé aktivity, jedná se o riziko nízké. Na konci pozor, provedené změny musíme uložit.
Zásady registrace MFA
Jako třetí máme zásadu registrace MFA (studuj.digital). V tomto okně vybereme uživatele, kterých se zásada bude týkat a jestli zásadu chceme vynutit. Vše uložíme kliknutím na tlačítko Uložit. Možnost Vyžadovat registraci k Azure AD MFA je automaticky povolená a nemůžeme ji změnit.
MFA, neboli multi faktorové ověřování, je další možnost ověření uživatele a pro případné útočníky další překážka, přes kterou se musí dostat. Biometrická informace, mobilní zařízení nebo hardwarový klíč jsou příklady ověřovacích nástrojů, pomocí kterých Azure Active Directory zvyšuje bezpečnost přihlašování a samotných účtů.
Rizikový uživatelé
Pod nabídkou Sestava můžeme sledovat aktuální rizika. Na obrázku máme rizika uživatelů, kde se nám zobrazuje jméno uživatele, informace o uživateli, které jsou na spodní části stránky pod nabídkou s názvem podrobnosti, a informace o riziku. Také je zde možné na dálku uživatele zablokovat, změnit mu heslo nebo ho prověřit pomocí Microsoft Defenderu for Identity (studuj.digital).
Microsoft Defender for Identity (dříve také známý jako Azure ATP) umožňuje monitorování uživatelů a identifikaci podezřelých aktivit, Ochranu identit, které se v AAD nacházejí a taky poskytuje v případě útoků časovou osu, kde se všechny podezřelé aktivity přehledně nachází.
