Microsoft Entra Identity Protection

身分保護(Identity Protection)是一項使組織能夠查看任何帳號的安全狀況的服務。組織可以完成三項關鍵任務：

1. 自動偵測和修復基於身分的風險。
2. 使用網站中的資料調查風險。
3. 將風險偵測資料匯出到第三方程式以進行進一步分析。

PS: Microsoft Entra Identity Protection 需要買Microsoft Entra ID Premium P2 才能玩。

身分保護利用 Microsoft 從 Microsoft Entra ID 的組織、Microsoft 帳號的consumer space以及 Xbox 遊戲中獲得的知識來保護使用者。

由身分保護產生並饋送至身分保護的資料可以進一步饋送到Conditional Access等工具中以做出存取決策，或回饋到SIEM工具以根據組織的強制性政策進行進一步調查。

風險的偵測與修復

身分保護可識別以下類別的風險：

• Anonymous IP address
  從匿名 IP 位址登入（例如：Tor 瀏覽器、匿名器 VPN）。
• Atypical travel
  根據使用者最近的登入情況從非正常位置登入。
• Malware-linked IP address
  從與惡意軟體連結的 IP 位址登入。
• Unfamiliar sign in properties
  使用我們最近未見過的特定使用者的屬性登入。
• Leaked credentials
  表示使用者的有效憑證已被洩露。
• Password spray
  表示多個使用者帳號正在被使用同一個密碼進行統一暴力破解。
• Microsoft Entra threat intelligence
  Microsoft 的內部和外部威脅情報來源已識別出已知的攻擊模式。
• New country
  此偵測由 Microsoft Defender for Cloud Apps (MDCA) 發現。
• Activity from anonymous IP address
  此偵測由 MDCA 發現
• Suspicious inbox forwarding
  此偵測由 MDCA 發現

身分保護要求使用者是Security Reader, Security Operator, Security Administrator, Global Reader或Global Administrator才能存取。

目前，Security Operator角色無法存取有風險的登入報告。Conditional Access Admin也可以建立將登入風險作為條件考量政策。

功能比較

全功能當然是Microsoft Entra ID Premium P2 license。其他的授權功能可以從以下比較表得知。

實行與管理user risk policy

這裡有可以兩種風險政策可以使用：

(1). Sign-in risk policy:
Sign-in risk policy會偵測登入時出現的可疑操作。它專注於登入活動本身，並分析由使用者以外的其他人執行登入的機率。

(2). User risk policy:
User risk policy透過偵測非典型使用者行為的風險事件來偵測使用者帳號外洩的機率。

這兩種政策都可以自動回應環境中的風險偵測，並允許使用者在偵測到風險時進行自我修復。

如果組織希望允許使用者在偵測到風險時進行自我修復，則使用者必須註冊自助密碼重設和多因素身份驗證。微軟建議啟用組合安全資訊註冊的方式。允許使用者自我修復可以讓他們更快地恢復到高效狀態，而無需管理員去處處理。管理員仍然可以查看這些事件並在事後進行調查。

選擇可接受的風險程度

組織必須決定他們願意接受的風險等級，在使用者體驗和安全狀況之間取得平衡。

Microsoft 建議將 user risk policy threshold設為“High”，sign-in risk policy設為“Medium”或更高。

選擇高閾值可以減少觸發政策的次數，並最大限度地減少對使用者造成的麻煩。但是，它從政策中排除了低風險和中風險偵測，這不會阻止攻擊者利用被盜取的Identity。選擇低閾值會帶來額外的使用者中斷，但會增加安全狀況。

所有政策都允許排除使用者，例如緊急存取或打破玻璃管理員帳號。組織根據帳號的使用方式決定何時需要從特定政策中排除其他帳號。應定期審查所有排除情況，看看它們是否仍然適用。

Identity Protection在某些風險偵測中使用配置的受信任網路位置來減少誤報。

啟用user risk policy

1. Sign in to the Microsoft Entra admin center using a Global administrator account.
2. Open the portal menu and then select Identity.
3. On the Identity menu, select Protection.
4. On the Security blade, in the left navigation, select Identity protection.
5. In the Identity protection blade, in the left navigation, select User risk policy.

6. Under Assignments, select All users and review the available options. You can select from All users or Select individuals and groups if limiting your rollout. Additionally, you can choose to exclude users from the policy.

7. Under User risk, select Low and above.

8. In the User risk pane, select High and then select Done.

9. Under Controls, then Access, and then select Block access.

10. In the Access pane, review the available options.

11.Select the Require password change check box and then select Done.

12. Under Enforce Policy, select On and then select Save.

啟用sign-in risk policy

1. On the Identity protection blade, in the left navigation, select Sign-in risk policy.
2. As with the User risk policy, the Sign-in risk policy can be assigned to users and groups and allows you to exclude users from the policy.
3. Under Sign-in risk, select Medium and above.
4. In the Sign-in risk pane, select High and then select Done.
5. Under Controls, then Access, and then select Block access.
6. Select the Require multifactor authentication check box and then select Done.
7. Under Enforce Policy, select On and then select Save.

Microsoft Entra multifactor authentication registration policy

多因素身份驗證提供了一種驗證使用的身份的方法，而不僅僅是帳號跟密碼。它為使用者登入提供第二層安全保護。為了讓使用者能夠回應 MFA 提示，他們必須先註冊多重身份驗證。

1. Sign in to the Microsoft Entra admin center using a Global administrator account.
2. Open the portal menu and then select Identity.
3. On the Identity men, select Protection.
4. On the Security blade, in the left navigation, select Identity protection.
5. In the Identity protection blade, in the left navigation, select Multifactor authentication registration policy.

6. Under Assignments, select All users and review the available options. You can select from All users or Select individuals and groups if limiting your rollout. Additionally, you can choose to exclude users from the policy.

7. Under Controls, notice that the Require Microsoft Entra ID multifactor authentication registration is selected and cannot be changed.

8. Under Enforce Policy, select Enabled and then select Save.

監控、調查和修復高風險使用者

風險調查

Identity Protection為組織提供了三個報告，可用於調查其環境中的身分風險：risky users、risky sign-ins和risk detections。調查事件是更好地理解和識別安全政策中的弱點的關鍵。

所有三個報表都允許下載 .CSV 格式的事件，以便在 Azure 網站之外進行進一步分析。risky users與risky sign-ins reports允許下載最近的 2,500 筆記錄，而risk detections report允許下載最近的 5,000 筆記錄。

組織可以利用 Microsoft Graph API 整合將資料與其作為組織有權存取的其他來源聚合。

報告在Microsoft Entra admin center → Identity →Protection — Identity Protection.

報告

每個報告都允許根據管理員偏好新增或刪除cloumn。管理員可以選擇以 .CSV 或 .JSON 格式下載資料。可以使用報告上方的篩選器來過濾報告。

選擇單一entries可在報告上方啟用其他entries，例如確認登入是否受到威脅或安全性、確認使用者是否受到威脅或消除使用者風險的功能。

選擇單一entries會展開偵測下方的詳細資料視窗。詳細資訊檢視可讓管理員對每個偵測進行調查並執行操作。

Risky users

透過risky users report提供的資訊，管理員可以找到：

• 哪些使用者面臨風險、已修復風險或已消除風險？
• 有關偵測的詳細資訊。
• 所有風險性登入的歷史記錄。
• 風險歷史。

然後，管理員可以選擇對這些事件採取措施。他們可以選擇：

• 重置用戶密碼。
• 確認user compromise。
• 消除使用者風險。
• 封鎖使用者登入。
• 使用 Azure ATP 進一步調查。

Risky sign-ins

Risky sign-ins report包含最多過去 30 天（一個月）的可過濾資料。透過有risky sign-ins report提供的資訊，管理員可以找到：

• 哪些登入分類為有風險、confirmed compromised、confirmed safe、已駁回或已修復。
• 與登入嘗試相關的即時和整體風險等級。
• 觸發的偵測類型。
• 應用Conditional Access policies。
• MFA details。
• 設備資訊。
• 申請資料。
• 位置資訊。

然後，管理員可以選擇對這些事件採取措施。管理員可以選擇：

• Confirm sign-in compromise.
• Confirm sign-in safe.

Risk detections

Risk detections report包含最多過去 90 天（三個月）的可過濾資料。透過risk detections report提供的資訊，管理員可以發現：

• 有關每個risk detection（包括類型）的資訊。
• 同時引發其他風險。
• 登入嘗試位置。

然後，管理員可以選擇回到使用者的risk 或sign-ins report，以根據收集到的資訊採取行動。

Risk detection report還提供了指向 Microsoft Defender for Cloud Apps (MDCA) 網站偵測的可點擊鏈接，可以在其中查看其他日誌和告警。

風險修復與解鎖使用者

完成調查後，需要採取措施修復風險或解除對使用者的封鎖。組織還可以選擇使用其風險政策啟用自動修復。組織應嘗試在組織認為合適的時間段內關閉所遇到的所有風險偵測。 微軟建議盡快結束活動，因為處理風險時時間很重要。

所有主動風險偵測都有助於計算稱為user risk level的值。使用者風險等級是帳號被竊的可能性的指標（低、中、高）。身為管理員，我們可能希望關閉所有風險偵測，以便受影響的使用者不再面臨風險。

某些風險偵測被 Identity Protection 標記為“Closed (system)”，因為這些事件不再被確定為有風險。管理員可以選擇以下補救措施：

• Self-remediation with risk policy.
• Manual password reset.
• Dismiss user risk.
• Close individual risk detections manually.

如果我們允許使用者進行自我修復，並在風險政策中使用多重身份驗證 (MFA) 和自助密碼重設 (SSPR)，那麼當偵測到風險時，他們可以自行解鎖。這些偵測將被視為已關閉。使用者必須事先註冊 MFA 和 SSPR，才能在偵測到風險時使用。

某些偵測不會將風險提高到需要使用者自行修復的程度，但管理員仍應評估這些偵測。管理員確定需要採取其他措施，例如阻止來自某個位置的存取或降低其政策中可接受的風險。

如果無法使用user risk policy要求重設密碼，管理員可以透過手動重設密碼來關閉使用者的所有風險偵測。

為使用者重設密碼時，管理者有兩個選項：

產生臨時密碼 — 透過產生臨時密碼，可以立即將身分恢復到安全狀態。此方法需要聯繫受影響的使用者，因為他們需要知道臨時密碼是什麼。由於密碼是臨時的，因此系統會提示使用者在下次登入時將密碼變更為新密碼。

要求使用者重設密碼 — 要求使用者重設密碼可以自我恢復，而無需聯絡服務台或管理員。此方法僅適用於註冊了 MFA 和 SSPR 的使用者。對於尚未註冊的使用者，此選項無法使用。

如果因使用者已被刪除等原因而無法重設密碼，則可以選擇忽略使用者風險偵測。當選擇Dismiss user risk時，所有事件都將關閉，受影響的使用者不再面臨風險。但是，由於此方法不會影響現有密碼，因此不會使相關身分恢復到安全狀態。

透過手動關閉個別風險偵測，可以降低使用者風險等級。通常，風險偵測是為了回應相關調查而手動關閉的，例如與使用者交談時發現不再需要主動風險偵測時。

手動關閉風險偵測時，可以選擇執行下列任一操作以變更風險偵測的狀態：

• Confirm user compromised.
• Dismiss user risk.
• Confirm sign-in safe.
• Confirm sign-in compromised.

解鎖使用者

管理員根據其風險政策或調查選擇封鎖登入。封鎖的發生是基於sign-in 或user risk。

若要取消封鎖因使用者風險而被封鎖的帳號，管理員可以選擇以下選項：

• 重設密碼 — 可以重設使用者的密碼。
• Dismiss user risk — 如果達到配置的封鎖存取的user risk level，則user risk policy會封鎖使用者。可以透過消除使用者風險或手動關閉報告的風險偵測來降低使用者的風險等級。
• 從政策中排除使用者 — 如果我們認為登入政策的目前配置導致特定使用者出現問題，則可以從政策中排除使用者。
• 停用政策 — 如果我們認為政策配置導致所有使用者出現問題，可以停用該政策。

若要根據sign-in risk解鎖帳號，管理員可以選擇以下選項：

• 從熟悉的位置或裝置登入 — 阻止可疑登入的常見原因是嘗試從不熟悉的位置或裝置登入。使用者可以透過嘗試從熟悉的位置或裝置登入來快速確定此原因是否是封鎖原因。
• 從政策中排除使用者 — 如果我們認為登入策略的目前配置導致特定使用者出現問題，則可以從政策中排除使用者。
• 停用策略 — 如果我們認為政策配置導致所有使用者出現問題，可以停用該策略。

使用Microsoft Graph API

Microsoft Graph 是 Microsoft 統一 API endpoint，也是 Microsoft Entra Identity Protection API 的所在地。共有三個 API是有關有風險的使用者和登入的資訊：riskDetection、riskyUsers 和 signIn。

riskDetection 查詢 Microsoft Graph 以取得使用者和登入連結的風險偵測的清單以及有關偵測的關聯資訊。

riskyUsers 可查詢 Microsoft Graph 以取得 Identity Protection 偵測到有風險的使用者的資訊。

SignIn 可查詢 Microsoft Graph 以取得有關 Microsoft Entra ID 登入的資訊以及與風險狀態、詳細資訊和層級相關的特定屬性。

實行workload identities的安全性

Microsoft Entra Identity Protection 歷來在偵測、調查和補救基於身分的風險方面保護使用者。身份保護已將這些功能擴展到工作負載身份(workload identities)，以保護應用程式、service principals與Managed Identities.。

工作負載身分是允許應用程式或service principal存取資源（有時是在使用者情境中）的身分。這些工作負載身分與傳統使用者帳號不同，因為它們：

• 無法執行多重身份驗證。
• 通常沒有正式的生命週期流程。
• 需要將它們的credentials或secrets存放在某處。

這些差異使得工作負載身分更難管理，並使它們面臨更高的洩漏風險。

若要利用workload identity risk，包括新的「new Risky workload identities」側邊欄標籤和「Risk detections」側邊欄標籤中的「Workload identity detections」頁籤，在Azure 網站中，我們必須具有:

• Microsoft Entra ID Premium P2 licensing
• Logged in user must be assigned either:
  — Global administrator
  — Security administrato
  — Security operator
  — Security reader

偵測到哪些類型的風險？

• Microsoft Entra threat intelligence(offline)
  此風險偵測顯示某些活動與基於 Microsoft 內部和外部威脅情資來源的已知攻擊模式一致。
• Suspicious Sign-ins(offline)
  此風險偵測表示此service principal不常見的登入屬性或模式。
  此偵測會在 2 到 60 天內了解tenant中工作負載身分的基準登入行為，並在稍後登入期間出現以下一個或多個不熟悉的屬性時觸發：IP 位址/ASN、目標資源、使用者代理程式、託管/非託管IP 變更、IP 國家/地區、憑證類型。
• Unusual addition of credentials to an OAuth app(offline)
  此偵測由 Microsoft Defender for Cloud Apps 探索到。此偵測可識別 OAuth 應用程式中可疑新增的privileged credentials。這可能表明攻擊者已破壞該應用程式，並將其用於惡意活動。
• Admin confirmed account compromised(offline)
  此偵測表示管理員已在有風險的工作負載身分 UI 中或使用riskyServicePrincipals API 選擇「Confirm compromised」。若要查看哪個管理員已確認此帳戶受到威脅，請檢查帳號的風險記錄（透過 UI 或 API）。
• Leaked Credentials(offline)
  此風險偵測顯示該帳號的有效憑證已外洩。當有人在 GitHub 上的公開代碼工件中簽入憑證時，或者當憑證因資料外洩而洩露時，可能會發生這種洩漏。

使用Conditional Access for workload identities，身分保護將其標記為「at risk」時，我們可以封鎖對選擇的特定帳號的存取。政策可以套用於已在tenant中註冊的single-tenant service principals。第三方 SaaS、多租戶應用程式和託管身分不在範圍內。

Microsoft Defender for Identity

Microsoft Defender for Identity（以前稱為Azure Advanced Threat Protection，也稱為 Azure ATP）是一種基於雲端的安全解決方案。 Defender for Identity 使用地端 Active Directory 資料來識別、偵測和調查針對組織的進階威脅、compromised identities和惡意內部操作。 Defender for Identity 讓努力偵測混合環境中進階攻擊的 SecOp 分析師和安全專業人員能夠：

• 透過基於學習的分析來監控使用者、實體行為和活動
• 保護 Active Directory 中儲存的使用者身分和憑證
• 識別並調查整個kill chain中的可疑使用者活動和進階攻擊
• 在簡單的時間表上提供清晰的事故資訊，以便快速分類

Defender for Identity 由下列組件組成：

• Defender for Identity portal -
  Defender for Identity portal允許建立 Defender for Identity instance，顯示從 Defender for Identity 感測器接收的資料，並使我們能夠監控、管理和調查網路環境中的威脅。
• Defender for Identity sensor -
  Defender for Identity sensors可以直接安裝在下列伺服器上：
  — 感測器直接監控網域控制器流量，無需專用伺服器或配置port mirroring。
  —ADFS(Active Directory Federated Services)：感測器直接監視網路流量和驗證事件。
• Defender for Identity cloud service -
  Defender for Identity cloud service在 Azure 基礎架構上運行，目前部署在美國、歐洲和亞洲。 Defender for Identity 雲端服務已連線至 Microsoft 的intelligent security graph。