همانطور که محل کار مدرن تغییر میکند، حملات در سراسر محیطهای محلی و Cloud نیز در حال رشد و گسترش بوده و بسیاری از Endpointها و برنامههای کاربردی را نیز تحت تاثیر قرار میدهند. تیمهای عملیاتی امنیت (Security Operation یا SecOps) برای نظارت بر فعالیتهای کاربران مشکوک و غیرمشکوک، با استفاده از راهکارهای امنیتی متعددی که اغلب مرتبط نیستند، در تمام ابعاد حملات هویتی به چالش کشیده میشوند. از آنجا که حفاظت از هویت برای محل کار مدرن بسیار مهم است، تحقیق در مورد تهدیدات هویتی به یک تجربه واحد برای نظارت بر تمام فعالیت کاربران و جستجو رفتارهای مشکوک به منظور اولیتبندی کردن سریع کاربران نیاز دارد.
امروز، مایکروسافت تجربه جدیدی مربوط به شناسایی تهدید هویتی را معرفی کرد، که هشدارهای هویتی و فعالیتهای Azure Advanced Threat Protection (Azure ATP)، Azure Active Directory Identity Protection Azure AD و Microsoft Cloud App Security را به یک تجربه تحقیق امنیتی واحد برای تحلیلگران مرتبط میکند.
حملات هویتی مدرن با استفاده از Hybrid Cloud
تجربه بررسی تهدیدات هویتی یا Identity Threat ، نشانهای هویت کاربر از محیطهای محلی و سرویسهای Cloud را برای کمتر کردن فاصله میان نشانهای ناهمخوان در محیط شما ترکیب کرده و از تجزیه و تحلیل رفتار کاربر و موجودیت (User and Entity Behavior Analytics و یا به اختصار UEBA)، برای ارائه یک درجه ریسکپذیری و اطلاعات زمینهای غنی برای هر کاربر استفاده میکند. این به تحلیلگران امنیتی امکان میدهد تا تحقیقات خود را اولویتبندی کرده و زمانهای بازرسی را کاهش دهند و نیاز به جابجا شدن بین راهکارهای امنیت هویتی را پایان دهند. این به تیم SecOps زمان بیشتری داده و اطلاعات صحیح را برای تصمیمگیری بهتر و اصلاح فعالانه تهدیدات و خطرات هویتی به تیم شما ارائه میدهد.
Azure ATP، شناساییهای در محل و فعالیتهای مربوط به تجزیه و تحلیل رفتار غیرعادی را برای کمک به بررسی کاربران در معرض خطر، فراهم میکند. Microsoft Cloud App Security خروج بالقوه دادههای حساس را در محیطهای First-Party و Third-Party Cloud شناسایی کرده و به تحلیلگران امنیتی هشدار میدهد. Azure AD Identity Protection نیز اطلاعات Sign-in غیرعادی را شناسایی کرده و تا زمانی که مساله حل شود دسترسی کاربر آسیب پذیر را به حالت تعلیق در میآورد. ترکیب این سرویسها، فعالیتها و هشدارها را با استفاده از UEBA آنالیز میکنند تا رفتارهای پرخطر را برای تعیین کردن سطح اولویت سختگیری برای واکنش به رخدادهای مربوط به احرازهویتهای آسیبپذیر به سادگی فراهم نماید.
برای سادهسازی بیشتر جریان کار SecOps، قابلیت جدیدی در پورتال امنیتی Cloud App، صرف نظر از استفاده کردن و یا نکردن از Microsoft Cloud App Security، ایجاد شد. در حالی که هر هشدار را با اطلاعات بیشتری تقویت میکند، به شما این امکان را میدهد که به راحتی از جدول زمانی استفاده کرده و به طور مستقیم به یک بررسی عمیق و جستجو دقیق برسید.
اولویت بررسی کاربر
یک بخش جدید به مدل آزمایشی فعلی اضافه شده است، که براساس تعداد هشدارهای کلی با اولویت بررسی کاربر جدید است و توسط همه فعالیتها و هشدارهای کاربر تعیین میشود که میتواند نشاندهنده یک حمله پیشرفته و یا تهدید درونی باشد.
برای محاسبه اولویت بررسی کاربر، هر رویداد غیرعادی براساس تاریخچه پروفایل کاربر، همتاهایش و سازمان امتیازدهی میشود. علاوه بر این، تاثیر بالقوه هر کاربر بر روی کسبوکار و داراییها برای تعیین امتیاز اولویت بررسی مورد تحلیل قرار میگیرد.
مفهوم جدید در صفحه کاربری به روز شده گنجانده شدهاست، که اطلاعاتی مربوط هویت کاربر، امتیاز اولویت بررسی، چگونگی این امتیاز در مقایسه با تمامی کاربران درون سازمان، هشدارهای غیر عادی و فعالیتهای کاربر را ارائه میدهد.
در تصویر زیر، نمره 155 اولویت بررسی این کاربر، او را در یک درصد بالا در سازمان قرار میدهد و او را به یک کاربر با بالاترین اولویت برای بررسی توسط تحلیلگران امنیتی تبدیل میکند.
صفحه کاربری بررسی تهدیدات هویتی
این امتیاز برای این است که بتوان بدون درنگ کاربرانی که بالاترین درجهی آسیبپذیری را در سازمان دارند مشاهده نمود و باید برای تحقیقات بیشتر اولویتبندی و در داشبورد اصلی نمایش داده شود.
بهبود تجربه بررسی و جستجو
قابلیت جدید برای بررسی تهدیدهای احراز هویت، فراتر از ایجاد ارتباط بین نشانهها و صفحه کاربری با طراحی جدید است، مخصوصا قابلیتهای تحقیقاتی جدید و پیشرفتهای را صرفنظر از انتخاب شما میان Azure AD Identity Protection و یا Microsoft Cloud App Security، به طور خاص برای مشتریان Azure ATP اضافه میکند.
این تواناییها شامل موارد زیر میباشند:
- توانایی انجام جستجو تهدیدات با محتوای بیشتر از منابع محلی و Cloud، با استفاده از قابلیتهای فیلترینگ پیشرفته و اطلاعات هشدار غنی شده توسط تحلیلگران امنیتی.
- قابلیت دید و مدیریت سطوح خطر کاربر Azure AD با توانایی تایید وضعیت کاربر در خطر افتاده، که سطح ریسک کاربر Azure AD را به «بالا» تغییر میدهد.
- ایجاد Policyهای فعالیت برای تعیین اقدامات اداره و استفاده قابلیتهای اتوماسیون تعبیهشده از طریق ادغام Native با Microsoft Flow برای اولیتبندی آسانتر هشدارها.