Microsoft Entra ID Protection(旧 Azure AD Identity Protection)の新機能についての発表です。
ID Protection は、機械学習(ML)ベースの検出やリスクベースのアクセスポリシー、レポートと分析情報の提供などにより、ID の乗っ取りをブロックしたり、自動的な攻撃の軽減を行います。
What’s new with Microsoft Entra ID Protection - Microsoft Community Hub
新しいダッシュボード(プレビュー)
ID Protection の新しいダッシュボードがプレビューで公開されています。
表示される内容は、
◆ 毎月の傾向を示す4つのメトリック
・ブロックされた攻撃の数
・保護されたユーザーの数
・ユーザー リスクを修復するための平均時間
・危険度の高いユーザーの数
◆ テナントでの攻撃を示す新しい Attack グラフィック(過去 30日間)
・フィッシング、漏洩した認証情報、異常なトークン、パスワードスプレー などの数
・正常にブロックされた数
・まだ修復が必要な数
◆ レコメンデーション
・リスク エクスポージャーに基づく推奨事項
例)リスク「高」ユーザーに対し、安全な状態に戻すための推奨事項
◆ 場所別の危険なアクティビティ
・危険なイベントの起点を、地理的にマップ表示
◆ 最近のアクティビティ
・最近のリスク関連アクティビティの概要
新しい高度な検出
Microsoft 全体の脅威インテリジェンスの膨大なデータベースを活用し、早い段階で攻撃を中段できる機会を提供する、2つの高度な検出をリリース。
どちらも、すべての ID Protection のお客様が利用できる。
◆ verified threat actor ID(検証済みの脅威アクターID)
国家関係やサイバー犯罪グループなど、Microsoft の調査結果等から作成したアクターのナレッジベースからの検出
◆ attacker in the middle(中間者攻撃)
フィッシングを使用し偽のログイン操作で資格情報を盗難する攻撃の検出
リアルタイムの Azure AD 脅威インテリジェンス
新しい攻撃パターンが特定されると、ID Protection は新しいリアルタイム検出を迅速に発行できるようになった。
これにより、サインインとユーザーのリスクレベルを引き上げ、リスクベースの条件付きアクセスポリシーを利用してユーザーをブロックし、保護できる。
Entra ID Protection と Microsoft 365 Defender の統合(一般提供)
Entra ID Protection のアラートは、Microsoft 365 Defender に表示され他のアラートと共にインシデントに関連付けられています。
Microsoft 365 Defener ユーザーページで、ユーザーのリスク スコアを表示し、侵害された可能性のある危険なユーザーに関するフィードバックを提供し、調査完了後は、インシデントとアラートのステータス更新が Entra ID Protection に自動で同期されます。