Entra ID – Ochrona Torzsamości (Microsoft Entra ID Protection)

23.03.26 r.

Zapewne dla większości osób, które pracują w środowiskach Microsoft, pojęcie Entra ID nie jest obce. Microsoft Entra ID (dawniej Azure Active Directory) to chmurowa usługa zarządzania tożsamością i dostępem (IAM) firmy Microsoft. Zapewnia bezpieczne logowanie, uwierzytelnianie wieloskładnikowe (MFA) i dostęp warunkowy do aplikacji w chmurze (np. Microsoft 365) oraz lokalnych, zabezpieczając tożsamości użytkowników i urządzeń.

Ochrona tożsamości Microsoft Entra jest złożoną usługą chmurową, zintegrowaną z Microsoft Entra ID, pozwalającą analizować, wykrywać, badać i korygować zagrożenia oparte na tożsamościach (Entra ID). Mechanizmy Microsoft Entra ID Protection wykorzystują rózne techniki podejmowania decyzji o dostępie do zasobów np. dostęp warunkowy czy wykrywanie niebezpiecznych lokalizacji.

Źródło: https://learn.microsoft.com
 
Metodologia wykrywania zagrożeń opiera się o analizę setek milionów sygnałów z Entra ID, pochodzących zarówno z naszej ogranizacji jak i setek innych sygnałów z kont Microsoft oraz konsoli Xbox. Ogromny zakres sygnałów pozwala wykrywać, usłudze ID Protection, ryzykowne zachowania opierające się o:

• Wycieki danych uwierzytelniających
• Zagrożenia wynikające z adresów IP
• Ataki związane z analizą haseł
• Przemieszczanie się po świecie

Oczywiście powyższa lista nie wyczerpuje wszystkich typów analizy zachowań.
Podczas każdego logowania, ID Protection przeprowadza wszystkie analizy logowania w czasie rzeczywistym, przypisując odpowiedni poziom ryzyka do użytkownika, sesji oraz używanych zasobów.  Wskaźnik wskazuje prawdopodobieństwo naruszenia bezpieczeństwa logowania. Na podstawie tego poziomu ryzyka stosowane są polityki mające na celu ochronę użytkownika i organizacji.
 

Kolejnym procesem obejmującym działanie ID Protection jest zbadanie zagrożeń wykrytych w procesie monitorowanie tożsamości w procesie logowania. Ochrona ID oferuje administratorom trzy kluczowe raporty, które umożliwiają im badanie zagrożeń i podejmowanie działań:

• Wykrycia ryzyka: Każde wykryte ryzyko jest raportowane jako wykrycie ryzyka.
• Ryzykowne logowania: Ryzykowne logowanie jest zgłaszane, gdy dla danego logowania wykryto jedno lub więcej zagrożeń.
• Użytkownicy ryzykowni: Użytkownik ryzykowny jest zgłaszany, gdy spełniony jest jeden lub oba z poniższych warunków:
  1.  Użytkownik ma jedno lub więcej ryzykownych logowań.
  2.  Zgłoszono jedno lub więcej wykrytych zagrożeń.

 
Kolejnym krokiem funkcjonowania ID Protection jest automatyzacja procesów naprawczych. Ze względu na ogromną ilość sygnałów i pojawiające się coraz to nowsze sygnały o zagrożeniach, wdrożono szereg mechanizmów automatyczny, których działanie ma skutkować obniżeniem poziomu ryzyka. Automatyzacja ma kluczowe znaczenie dla bezpieczeństwa, ponieważ automatyzacja musi nadążać za skalą sygnałów i ataków.
Usługa ID Protection może funkcjonować w powiązaniu z innymi usługami. Dane można eksportować do innych narzędzi, celem dalszej analizy i wyszukiwania powiązań, korelacji między zdarzeniami. Usługa ID Protection oferuje API oparte o Microsoft Graph. Szczególne, w tym przypadku, mają znaczenie systemy klasy SIEM (Security Information and Event Management). Dodajmy, że również firma Microsoft oferuje takie rozwiązanie w chmurze – Sentinel. Dane eksportowane z usługi ID Protection mogą być przechowywane w Azure w usłudze Log Analytics. Horyzont zdarzeń zawierający się w usłudze Log Analytics obejmuje 730 dni. Należy również dodać, że usługa Microsoft Entra ID Protection odbiera sygnały z produktów Microsoft Defender dotyczące wykrywania zagrożeń:

• Microsoft Defender dla aplikacji w chmurze
• Microsoft Defender dla pakietu Office 365
• Microsoft Defender dla punktów końcowych

W przypadku własnych rozwiązań analitycznych, wykozrystujący interfejs API, dane można przechowywać przez dowolnie długi czas. Rozszerzony horyzont czasowy sprzyja lepszej metodologii korelacji incydentów.
 

Autor 

Tomasz Skurniak 
Certyfikowany trener Microsoft (MCT). Specjalizuje się w szkoleniach z zakresu Baz Danych, Programowania w języku .NET oraz C#, Azure, Windows Server oraz Power BI. Jest twórcą szkoleń z zakresu Baz danych MS SQL oraz Oracle. Posiada ponad 20 letnie doświadczenie w prowadzeniu autoryzowanych szkoleń dla specjalistów IT. Ukończył studia wyższe na Politechnice Poznańskiej zdobywając dyplom magistra inżyniera.  Zrealizował szkolenia dla setek Klientów z sektora publicznego oraz prywatnego co potwierdzają liczne referencje.