身份保护是使组织能够完成三项关键任务的工具:

  • 自动检测和补救基于身份的风险。
  • 使用门户中的数据调查风险。
  • 将风险检测数据导出到第三方实用程序以进行进一步分析。
自动化将有助于阻止三大攻击:
  • 违反重播
  • 密码喷雾
  • 网络钓鱼

Identity Protection在以下类别中识别风险:

风险检测与补救
风险检测类型 描述
非典型旅行 根据用户最近的登录信息从非典型位置登录。
匿名IP位址 从匿名IP地址登录(例如:Tor浏览器,匿名VPN)。
陌生的登录属性 使用该用户最近未见的属性登录。
恶意软件链接的IP地址 从恶意软件链接的IP地址登录。
凭证泄漏 表示用户的有效凭证已泄漏。
密码喷雾 表示正在使用通用密码以统一的蛮力方式攻击多个用户名。
Azure AD威胁情报 微软的内部和外部威胁情报来源已经确定了一种已知的攻击方式。

策略启用(用户风险和登录风险策略)


调查

有风险的用户

借助风险用户报告提供的信息,管理员可以找到:

  • 哪些用户有风险,已补救风险或已撤销风险?
  • 有关检测的详细信息
  • 所有风险登录的历史记录
  • 风险记录

然后,管理员可以选择对这些事件采取措施。管理员可以选择:

  • 重置用户密码(不是安全管理员)
  • 确认用户妥协
  • 消除用户风险
  • 阻止用户登录(不是安全管理员)
  • 使用Azure ATP进一步调查

风险登录

风险登录报告包含过去30天内(1个月)的可过滤数据。

借助风险登录报告提供的信息,管理员可以找到:

  • 哪些登录被分类为有风险,已确认受到威胁,已确认安全,被驳回或已修复。
  • 与登录尝试相关的实时和汇总风险级别。
  • 检测类型已触发
  • 应用了条件访问策略
  • MFA详细信息
  • 设备信息
  • 应用信息
  • 地点信息

然后,管理员可以选择对这些事件采取措施。管理员可以选择:

  • 确认登录漏洞
  • 确认登录安全

最佳实践–采取风险政策进行自我修复

通过使用风险策略中的Azure多重身份验证(MFA)和自助服务密码重置(SSPR)允许用户进行自我补救,他们可以在检测到风险时解除阻止自己的行为。然后将这些检测视为已关闭。用户必须事先注册过Azure MFA和SSPR,才能在检测到风险时使用。

如何手动修复风险并解除用户封锁

有一个选项可以启用使用风险策略(例如MFA或更改密码(SSPR –自助服务密码重置))的自动修复来补救风险。由于某些原因,如果您的组织无法使用MFA和“需要更改密码”选项,但是已启用“风险”策略以阻止用户访问。以下是一些手动过程:

1.用户被用户风险政策阻止

可以通过管理员重置密码或撤消用户或将用户从策略中排除或禁用策略(如果对所有用户造成问题)来取消由于用户风险引起的用户封锁

步骤1.由于用户将无法使用被阻止的AD帐户登录o365相关系统,因此用户必须致电服务台以请求解除阻止。解除阻止后,帮助台将执行手动密码重置,并通过电话将密码传递给用户。 

   -When a user 因高风险而被阻止(阻止为控件) 他们被阻止 验证流程。访问所有资源 与Azure AD集成将受到影响

   -Windows登录将不受身份保护的阻止用户影响,因为 上班是 缓存的日志不是实时日志对身份提供者的狂热。 

步骤2.帮助中心联系的安全管理员将需要进行调查并采取进一步的措施,例如消除用户风险,这将向Azure AD确认用户没有受到威胁。用户风险将重置为无。此用户和过去登录的所有风险将被关闭。 

步骤3.用户应该可以立即登录。 

步骤3选项:从策略中排除用户或禁用策略。 

2.用户被登录风险政策阻止

步骤1。用户将无法登录某些o365应用。          

   -When a user 因高风险而被阻止(阻止为控件) 他们被阻止 验证流程。访问所有资源 与Azure AD集成将受到影响

   -Windows登录将不受身份保护的阻止用户影响,因为 上班是 缓存的日志不是实时日志对身份提供者的狂热。 

第2步。用户通过电话或电子邮件与服务台联系,以报告问题并获得支持

-仅当从受信任的位置/设备登录时,不允许用户取消阻止自己。然后,如果需要,将需要帮助来调查用户并将其从策略中排除。请进行调查,然后确认安全登录或应采取妥协的操作确认登录,然后将其反馈给Azure AD。

步骤3安全管理员确认登录安全,这会将“风险级别”设置为“无”,并撤消其对用户风险的影响。 

第四步。用户应该可以再次登录。 

可选步骤3,将用户从登录策略中排除或禁用登录策略。将用户添加到排除策略或禁用策略后,我们应该等待多长时间?

其他建议:启用身份保护时,应从仅报告模式的用户入手,该模式允许机器学习学习用户行为(如登录位置)。仅报告模式 如果这是您设置的操作,则实际上不会强制用户执行MFA或阻止用户。  

设置策略时,您可以设置策略以阻止具有高风险的用户,但是如果您选择的级别为“低”或“上”或“中等”或“上”,则最好允许用户选择执行 并通过MFA展示Azure AD用户没有风险,然后了解该行为。如果您同时启用了两个策略,一个策略是阻止高风险,另一个策略是使用MFA(或密码更改)对用户进行低级及以上(或med级及以上)质询,则该级将强制执行该用户。

参考文献

通过 网络安全

发表评论