Поделиться через

Рабочая тетрадь: Анализ влияния политик доступа, основанных на риске

Мы рекомендуем всем включить политики условного доступа на основе рисков, мы понимаем, что это развертывание требует времени, управления изменениями, а иногда тщательного контроля со стороны руководства, чтобы понять любое нежелательное влияние. Мы предоставляем администраторам возможность уверенно предоставлять ответы на эти сценарии для принятия политик на основе рисков, необходимых для быстрой защиты своей среды.

Вместо создания политик условного доступа на основе рисков в режиме только для отчетов и ожидания несколько недель или месяцев для получения результатов, вы можете использовать аналитическую книгу воздействия политик доступа на основе рисков, которая позволяет немедленно просматривать их влияние на основе журналов входа.

Снимок экрана: анализ воздействия рабочей книги политик доступа на основе рисков.

Описание

Книга помогает понять среду перед включением политик, которые могут заблокировать вход пользователей, требовать многофакторную проверку подлинности или выполнить безопасное изменение пароля. Он предоставляет разбивку входов с указанием выбранного вами диапазона дат, включая:

  • Сводка по влиянию рекомендуемых политик доступа на основе рисков, включая обзор:
    • Сценарии риска пользователей
    • Сценарии рисков входа в систему и доверенной сети
  • Сведения о влиянии, включая сведения об уникальных пользователях:
    • Такие сценарии риска пользователей:
      • Пользователи с высоким уровнем риска не блокируются политикой доступа на основе рисков.
      • Пользователи с высоким уровнем риска не получают запроса на изменение пароля от политики доступа на основе рисков.
      • Пользователи, изменившие пароль из-за политики доступа на основе рисков.
      • Рискованные пользователи не могут успешно войти из-за политики доступа, основывающейся на уровне рисков.
      • Пользователи, которые устранили риск с помощью локального сброса пароля.
      • Пользователи, которые устранили риск путем сброса пароля с использованием облачного сервиса.
    • Сценарии политики риска входа, такие как:
      • Попытки входа с высоким уровнем риска не блокируются политикой доступа, основанной на управлении рисками.
      • Попытки входа с высоким риском не устраняются автоматически с использованием многофакторной аутентификации в соответствии с политикой доступа, основанной на оценке рисков.
      • Рискованные входы в систему, которые не были успешными из-за политики доступа, основанной на оценке рисков.
      • Рискованные входы, исправленные многофакторной проверкой подлинности.
    • Сведения о сети, среди которых основные IP-адреса, не указанные как доверенная сеть.

Администраторы могут использовать эти сведения, чтобы узнать, какие пользователи могут быть затронуты в течение определенного периода времени, если политики условного доступа на основе рисков включены.

Как получить доступ к книге

Эта рабочая книга не требует создания политик условного доступа, даже в режиме для отчетов. Единственным предварительным условием является то, что у вас есть журналы входа, отправленные в рабочую область Log Analytics. Дополнительные сведения о том, как включить это предварительное условие, см. в статье Как использовать Microsoft Entra Workbooks. Вы можете получить доступ к книге непосредственно в Identity Protection или перейти в раздел Книги для редактируемой версии:

В защите идентичности:

  1. Войдите в Центр Администрирования Microsoft Entra как минимум с ролью Читателя отчетов.
  2. Перейдите к Защите идентификаторов>Анализ воздействия политик риска.

В рабочих тетрадях:

  1. Войдите в Центр Администрирования Microsoft Entra как минимум с ролью Читателя отчетов.
  2. Перейдите к Entra ID>Мониторинг и работоспособность>Рабочие тетради.
  3. Выберите рабочую книгу "Анализ влияния политик доступа на основе рисков" в категории Защита идентификаторов.

После открытия книги в правом верхнем углу есть несколько параметров. Вы можете задать, из какой рабочей области заполняется рабочая книга, а инструкцию можно включить или выключить.

Снимок экрана, выделяющий раздел с параметрами и руководством рабочей книги.

** Как и любой рабочий лист, вы можете просматривать или изменять запросы Kusto Query Language (KQL), которые используются для визуальных элементов. При внесении изменений всегда можно вернуться к исходному шаблону.

Итоги

Первый раздел — это сводка и показывает совокупное число пользователей или сеансов, затронутых в выбранном диапазоне времени. Если прокрутите страницу вниз, доступны связанные сведения.

Снимок экрана: раздел сводки в рабочей книге.

Наиболее важными сценариями, описанными в сводке, являются сценарии один и два для рисков пользователей и входа в систему. Они показывают пользователей с высокой активностью или входов в систему, которые не были заблокированы, для которых не требовалась смена пароля, или которые не были откорректированы с помощью MFA (многофакторной аутентификации); это означает, что пользователи с высоким риском могут оставаться в вашей среде.

Затем вы можете прокрутить вниз и просмотреть сведения о том, кто именно эти пользователи будут. Каждый компонент сводки содержит соответствующие сведения, приведенные ниже.

Сценарии риска пользователей

Снимок экрана, показывающий разделы риска пользователя рабочей книги.

Сценарии риска пользователей три и четыре помогут вам, если у вас уже есть некоторые политики доступа на основе рисков; они показывают, что пользователи изменили пароль или пользователей с высоким риском, которые были заблокированы для входа из-за политик доступа на основе рисков. Если у вас по-прежнему есть пользователи с высоким уровнем риска, которые появляются в сценариях риска пользователей один и два (не заблокированы или не запрашиваются на изменение пароля), когда вы думали, что все они подходят под эти категории, возможно, существуют пробелы в вашей политике.

Сценарии риска входа

Снимок экрана, показывающий разделы риска входа рабочей книги.

Далее давайте рассмотрим сценарии риска входа в систему три и четыре. Если вы используете MFA, у вас, вероятно, есть активность, даже если у вас не включены политики доступа на основе рисков. Риски входа автоматически исправляются при успешном выполнении многофакторной аутентификации. В четырех сценариях рассматриваются входы с высоким риском, которые не были успешными из-за политик доступа на основе рисков. Если вы включили политики, но по-прежнему видите входы, которые, как вы ожидаете, должны быть заблокированы или обработаны с помощью MFA, возможно, в ваших политиках есть пробелы. Если это так, мы рекомендуем пересмотреть ваши политики и использовать раздел с деталями из этой рабочей книги, чтобы выявить все пробелы.

Сценарии 5 и 6 для сценариев риска пользователей показывают, что происходит исправление. В этом разделе показано, сколько пользователей меняют пароль из локальной среды или с помощью самостоятельного сброса пароля (SSPR). Если эти цифры не имеют смысла для вашей среды, например, вы не думали, что SSPR включен, используйте детали для расследования.

Сценарий входа 5, IP-адреса, не доверенные, отображает IP-адреса из всех входов в выбранном диапазоне времени и отображает эти IP-адреса, которые не считаются доверенными.

Сценарии политики риска федеративного входа в систему

Для клиентов, использующих нескольких поставщиков удостоверений, следующий раздел поможет выяснить, перенаправляются ли какие-либо рискованные сеансы к этим внешним поставщикам для многофакторной аутентификации или других корректирующих мер. В этом разделе можно узнать, где происходит исправление, и если это происходит должным образом. Для того чтобы эти данные заполнились, необходимо задать в федеративной среде "federatedIdpMfaBehavior" для принудительного применения MFA, поступающего от федеративного поставщика удостоверений.

Снимок экрана, показывающий сценарии политики риска федеративного входа в систему рабочей книги.

Устаревшие политики защиты идентификации

В следующем разделе показано, сколько устаревших политик пользователя и входа по-прежнему находятся в вашей среде и должны перенести к октября 2026 года. Важно знать эту временную шкалу и начать перенос политик на портал условного доступа как можно скорее. Вы хотите достаточно времени для тестирования новых политик, очистки любых ненужных или повторяющихся политик и проверки отсутствия пробелов в охвате. Вы можете узнать больше о переносе устаревших политик, в том числе политик риска, перейдя по этой ссылке: "Перенос политик риска".

Снимок экрана, показывающий раздел устаревшей политики защиты идентификации в рабочей тетради.

Сведения о доверенной сети

В этом разделе представлен подробный список этих IP-адресов, которые не считаются доверенными. Откуда идут эти IP-адреса, кто владеет ими? Должны ли они считаться "доверенными"? Это может быть кросс-командная работа с администраторами сети; однако это полезно сделать, так как наличие точного списка доверенных IP-адресов помогает уменьшить обнаружение ложных положительных рисков. Если есть IP-адрес, который выглядит сомнительным для вашей среды, пришло время исследовать.

Снимок экрана, показывающий раздел доверенной сети в рабочей книге.

Связанный контент

  • Last updated on