همانطور که محل کار مدرن تغییر می‌کند، حملات در سراسر محیط‌های محلی و Cloud نیز در حال رشد و گسترش بوده و بسیاری از Endpointها و برنامه‌های کاربردی را نیز تحت تاثیر قرار می‌دهند. تیم‌های عملیاتی امنیت (Security Operation  یا SecOps) برای نظارت بر فعالیت‌های کاربران مشکوک و غیرمشکوک، با استفاده از راهکارهای امنیتی متعددی که اغلب مرتبط نیستند، در تمام ابعاد حملات هویتی به چالش کشیده می‌شوند. از آنجا که حفاظت از هویت برای محل کار مدرن بسیار مهم است، تحقیق در مورد تهدیدات هویتی به یک تجربه واحد برای نظارت بر تمام فعالیت کاربران و جستجو رفتارهای مشکوک به منظور اولیت‌بندی کردن سریع کاربران نیاز دارد.

امروز، مایکروسافت تجربه جدیدی مربوط به شناسایی تهدید هویتی را معرفی کرد، که هشدارهای هویتی و فعالیت‌های Azure Advanced Threat Protection  (Azure ATP)، Azure Active Directory Identity Protection Azure AD و Microsoft Cloud App Security را به یک تجربه تحقیق امنیتی واحد برای تحلیلگران مرتبط می‌کند.

حملات هویتی مدرن با استفاده از Hybrid Cloud

تجربه بررسی تهدیدات هویتی یا Identity Threat ، نشان‌های هویت کاربر از محیط‌های محلی و سرویس‌های Cloud را برای کمتر کردن فاصله میان نشان‌های ناهمخوان در محیط شما ترکیب کرده و از تجزیه و تحلیل رفتار کاربر و موجودیت (User and Entity Behavior Analytics و یا به اختصار UEBA)، برای ارائه یک درجه ریسک‌پذیری و اطلاعات زمینه‌ای غنی برای هر کاربر استفاده می‌کند. این به تحلیلگران امنیتی امکان می‌دهد تا تحقیقات خود را اولویت‌بندی کرده و زمان‌های بازرسی را کاهش دهند و نیاز به جابجا شدن بین راهکار‌های امنیت هویتی را پایان دهند. این به تیم SecOps زمان بیشتری داده و اطلاعات صحیح را برای تصمیم‌گیری بهتر و اصلاح فعالانه تهدیدات و خطرات هویتی به تیم شما ارائه می‌دهد.

Azure ATP، شناسایی‌های در محل و فعالیت‌های مربوط به تجزیه و تحلیل رفتار غیرعادی را برای کمک به بررسی کاربران در معرض خطر، فراهم می‌کند. Microsoft Cloud App Security خروج بالقوه داده‌های حساس را در محیط‌های First-Party و Third-Party Cloud شناسایی کرده و به تحلیلگران امنیتی هشدار می‌دهد. Azure AD Identity Protection نیز اطلاعات Sign-in غیرعادی را شناسایی کرده و تا زمانی که مساله حل شود دسترسی کاربر آسیب پذیر را به حالت تعلیق در می‌آورد. ترکیب این سرویس‌ها، فعالیت‌ها و هشدارها را با استفاده از UEBA آنالیز می‌کنند تا رفتارهای پرخطر را برای تعیین کردن سطح اولویت سختگیری  برای واکنش به رخدادهای مربوط به احرازهویت‌های آسیب‌پذیر به سادگی فراهم نماید.

برای ساده‌سازی بیشتر جریان کار SecOps، قابلیت جدیدی در پورتال امنیتی Cloud App، صرف نظر از استفاده کردن و یا نکردن از Microsoft Cloud App Security، ایجاد شد. در حالی که هر هشدار را با اطلاعات بیشتری تقویت می‌کند، به شما این امکان را می‌دهد که به راحتی از جدول زمانی استفاده کرده و به طور مستقیم به یک بررسی عمیق و جستجو دقیق برسید.

اولویت بررسی کاربر

یک بخش جدید به مدل آزمایشی فعلی اضافه شده است، که براساس تعداد هشدارهای کلی با اولویت بررسی کاربر جدید است و توسط همه فعالیت‌ها و هشدارهای کاربر تعیین می‌شود که می‌تواند نشان‌دهنده یک حمله پیشرفته و یا تهدید درونی باشد.

برای محاسبه اولویت بررسی کاربر، هر رویداد غیرعادی براساس تاریخچه پروفایل کاربر، همتاهایش و سازمان امتیازدهی می‌شود. علاوه بر این، تاثیر بالقوه هر کاربر بر روی کسب‌وکار و دارایی‌ها برای تعیین امتیاز اولویت بررسی مورد تحلیل قرار می‌گیرد.

مفهوم جدید در صفحه کاربری به روز شده گنجانده شده‌است، که اطلاعاتی مربوط هویت کاربر، امتیاز اولویت بررسی، چگونگی این امتیاز در مقایسه با تمامی کاربران درون سازمان، هشدارهای غیر عادی و فعالیت‌های کاربر را ارائه می‌دهد.

در تصویر زیر، نمره 155 اولویت بررسی این کاربر، او را در یک درصد بالا در سازمان قرار می‌دهد و او را به یک کاربر با بالاترین اولویت برای بررسی توسط تحلیلگران امنیتی تبدیل می‌کند.

صفحه کاربری بررسی تهدیدات هویتی

این امتیاز برای این است که بتوان بدون درنگ کاربرانی که بالاترین درجه‌ی آسیب‌پذیری را در سازمان دارند مشاهده نمود و باید برای تحقیقات بیشتر اولویت‌بندی و در داشبورد اصلی نمایش داده شود.

بهبود تجربه بررسی و جستجو

قابلیت جدید برای بررسی تهدیدهای احراز هویت، فراتر از ایجاد ارتباط بین نشانه‌ها و صفحه کاربری با طراحی جدید است، مخصوصا قابلیت‌های تحقیقاتی جدید و پیشرفته­ای را صرف‌نظر از انتخاب شما میان Azure AD Identity Protection و یا Microsoft Cloud App Security، به طور خاص برای مشتریان Azure ATP اضافه می‌کند.

این توانایی‌ها شامل موارد زیر می‌باشند:

• توانایی انجام جستجو تهدیدات با محتوای بیشتر از منابع محلی و Cloud، با استفاده از قابلیت‌های فیلترینگ پیشرفته و اطلاعات هشدار غنی شده توسط تحلیلگران امنیتی.
• قابلیت دید و مدیریت سطوح خطر کاربر Azure AD با توانایی تایید وضعیت کاربر در خطر افتاده، که سطح ریسک کاربر Azure AD را به «بالا» تغییر می‌دهد.
• ایجاد Policyهای فعالیت برای تعیین اقدامات اداره و استفاده قابلیت‌های اتوماسیون تعبیه‌شده از طریق ادغام Native با Microsoft Flow برای اولیت‌بندی آسان‌تر هشدارها.