Logo STC

AAD Identity Protection

Azure IT Pro20. 8. 2021

#administrátoři#Azure#AzureActiveDirectory#AzureMulti-FactorAuthentication#AzurePortal

Snažíte se o automatizaci detekce hrozeb nebo identifikaci a řešení jednotlivých hrozeb? Azure Active Directory Identity Protection je nástroj právě pro vás. Dokonce díky němu můžete data vyexportovat do aplikací třetích stran.

Co je Azure Active Directory Identity Protection?

Jedná se o nástroj, pomocí kterého mohou firmy provádět 3 důležité úkony:

  • Automatizaci detekcí a nápravy rizik identit
  • Prozkoumání rizik použitím dat z portálu
  • Poslání dat o detekci rizik do nástrojů třetích stran pro podrobnější analýzu

AAD Identity Protection (AAD IP) využívá poznatků, které Microsoft získal díky organizaci Azure AD. Microsoft analyzuje denně přes 6,5 triliónů podnětů k identifikaci a chránění zákazníků před hrozbami.

Co všechno může Identity Protection sledovat?

  • Přihlášení pomocí anonymní IP adresy nebo z IP adresy, která byla detekována jako rozšiřující malware
  • Přihlášení z atypické polohy nebo pomocí neznámých vlastností přihlášení
  • Únik přihlašovacích údajů
  • Útok na účty použitím běžných hesel
  • Pokud interní a externí zdroje z výzkumného oddělení Microsoftu identifikovali známý vzor útoků
  • Aktivita z jiného státu, anonymní IP adresy nebo podezřelé přeposílání emailů ve schránce je zjištěno pomocí Microsoft Cloud App Security

Co s riziky?

Vyšetřovaní rizik

Administrátoři můžou posoudit nálezy a podniknout manuální zásah, pokud je potřeba. Jsou 3 klíčové hlášení, které administrátoři mohou použít pro ochranu identit:

  • Rizikoví uživatelé
  • Rizikové přihlášení
  • Detekce rizik

Úrovně rizik

Úrovně rizik jsou rozvržené do tří stupňů: nízké, střední a vysoké. Čím vyšší stupeň je, tím je větší pravděpodobnost, že účet nebo přihlášení jsou ohrožené. Například přihlášení z neznámé IP adresy není tak závažné ohrožení jako uniklé přihlašovací údaje.

Potřebné oprávnění pro jednotlivé služby

Potřebné oprávnění uživatele pro jednotlivé služby
Potřebné oprávnění uživatele pro jednotlivé služby

Licencování AAD Identity Protection

Jak můžeme z tabulky vypozorovat, tak pro všechny funkce potřebujeme licenci Azure AD Premium P2.

Tabulka s přehledem licencování AAD IP, pro plnou funkčnost je potřeba Azure AD Premium P2
Tabulka s přehledem licencování AAD IP, pro plnou funkčnost je potřeba Azure AD Premium P2

Jak AAD IP nastavit?

V AAD admin centru najdeme Identity Protection.

Cesta v Azure Active Directory Admin centru do Identity Protection
Cesta v Azure Active Directory Admin centru do Identity Protection

AAD IP Přehled

Jako první věc vidíme přehled. Tady se můžeme dívat na různé statistiky o rizicích uživatelů nebo přihlášení. Napravo se nachází skóre zabezpečení identit. Tento údaj nám jenom říká, jak jsme na tom se zabezpečením oproti běžným postupům, ale neříká, jak na tom se zabezpečením doopravdy jsme, jelikož je to pro každého individuální. Proto je důležité, aby všechno bylo řádně zabezpečené.

Identity Protection - přehled rizik
Identity Protection - přehled rizik

Zásady rizik uživatelů

Pod skupinou položek Zamknout máme na výběr 3 zásady: rizika uživatelů, přihlašování a zásady registrace MFA. V zásadách rizik uživatelů a přihlašování máme 4 možnosti. U uživatelů nastavujeme, kterých konkrétně se tato zásada týka nebo které ze zásady vyloučíme. U rizika uživatele vybíráme pro jak vysoké riziko se tato zásada bude používat. Azure tento parametr sám vypočítá na základě možného ohrožení uživatele. Poté určíme, jestli chceme přístup uživateli zablokovat, nebo povolit pouze se změnou hesla. Nakonec můžeme vybrat, jestli tuto zásadu chceme vynutit a změny uložit.

Identity Protection - Zásady rizik uživatelů
Identity Protection - Zásady rizik uživatelů

Zásady rizik přihlašování

U zásady rizika přihlašování je změna pouze v parametru rizika přihlášení. Pokud přihlašovací údaje uniknou, tak se jedná o riziko vysoké. Jestliže se přihlašuje z: anonymní IP adresy, napadeného zařízení, neznámé lokace nebo lokace, do kterých je fyzicky nemožné se dostat, jedná se o riziko střední. Pokud se přihlašuje z IP adres, které vykazují podezřelé aktivity, jedná se o riziko nízké. Na konci pozor, provedené změny musíme uložit.

Identity Protection - Zásady rizik přihlášení
Identity Protection - Zásady rizik přihlášení

Zásady registrace MFA

Jako třetí máme zásadu registrace MFA (studuj.digital). V tomto okně vybereme uživatele, kterých se zásada bude týkat a jestli zásadu chceme vynutit. Vše uložíme kliknutím na tlačítko Uložit. Možnost Vyžadovat registraci k Azure AD MFA je automaticky povolená a nemůžeme ji změnit.

MFA, neboli multi faktorové ověřování, je další možnost ověření uživatele a pro případné útočníky další překážka, přes kterou se musí dostat. Biometrická informace, mobilní zařízení nebo hardwarový klíč jsou příklady ověřovacích nástrojů, pomocí kterých Azure Active Directory zvyšuje bezpečnost přihlašování a samotných účtů.

Identity Protection - Zásady registrace MFA
Identity Protection - Zásady registrace MFA

Rizikový uživatelé

Pod nabídkou Sestava můžeme sledovat aktuální rizika. Na obrázku máme rizika uživatelů, kde se nám zobrazuje jméno uživatele, informace o uživateli, které jsou na spodní části stránky pod nabídkou s názvem podrobnosti, a informace o riziku. Také je zde možné na dálku uživatele zablokovat, změnit mu heslo nebo ho prověřit pomocí Microsoft Defenderu for Identity (studuj.digital).

Microsoft Defender for Identity (dříve také známý jako Azure ATP) umožňuje monitorování uživatelů a identifikaci podezřelých aktivit, Ochranu identit, které se v AAD nacházejí a taky poskytuje v případě útoků časovou osu, kde se všechny podezřelé aktivity přehledně nachází.

Identity Protection - Přehled rizikových uživatelé
Identity Protection - Přehled rizikových uživatelé

Více informací o AAD Identity Protection