Azure AD İdentifikasiya müdafiəsi (Azure AD İdentity Protection)

Hücumu aşkar etmək üçün ən vacib amil siqnaldır. Microsoft, geniş istifdəçi və korporativ uçot məlumatları operatoru olması ilə yanaşı, elektron poçt xidmətinin təchizatçısı olması səbəbilə çox sayda müxtəlif növdə hücumlara məruz qalır. Məsələn,  bir istifadəçinin login və parolu hücumçu ələ keçirdikdən sonra (başqa sayt boşluğundan istifadə edərək, fişinq və ya ziyanverici proqram istifadə edərək) daha geniş miqyasda faydalanmaq üçün, çox güman ki məlumatları böyük mail provider saytlarında, bank saytlarında və başqa məlumat saxlanma portallarında test edəcəkdir. Bütün bu prosseslərin aşkar edilib, izlənməsi üçün hər gün onlarla terabayt həcmində olan jurnallar analiz edilir və 15 milliard access hadisələri storage-də saxlanılır.  Bir infrastruktur üçün, məlumat sızmazı ən böyük təhlükə hesab edilir. Belə sızıntıların nəticəsində hakerlər sistemə daxil olub qonşu komponentlərə hücumlar reallaşdıra bilər. Bununla da ardıcıl olaraq üstünlük dərəcəsini artırıb bütün resursların kontrolunu ələ keçirə bilərlər. Azure Active Directory təhlükəsizliyin təmini funksiyalarında –  identity əsasında istifadəçilərin davranışlarının analizi, müasir Machine-learning texnologiyalar və Microsoftun Rəqəmsal Cinayətlərlə Mübarizə (Microsoft Digital Crimes Unit) şöbəsinin iş nəticələrini istifadə edir. Bu addımlar  minlərlə şirkətlərin cloud identity-larını qorumağa imkan verir. Azure Active Directory milliardlarla autentifikasiya əməliyyatları və bir çox ölkədə yerləşən həm fiziki şəxslərə həm də təşkilatlara aid olan, Microsoft web-xidmətlərinə hücumlar haqqında məlumatları yığır və analiz edir. Azure AD Identity Protection hücumları real vaxt rejimində aşkar edə bilir, risklər haqqında məlumatlandırır və avtomatik olaraq müxtəlif təhlükəsizlik metodlarını işə salır ki, sizin şirkətin resursları təhlükədən uzaq olsun.

Bu məlumatlar, Microsoft Exchange Server, SharePoint, Skype və OneDrive kimi xidmətlərdən gələn məlumatlar ilə birləşir ki, onlardan daha dəyərli və analitik doğru olan məlumatlar alına bilsin. Nəticədə, kifayət qədər etibarlı sistem meydana gəlir.

Azure AD İdentity Protection xidmətin aktivləşdirmək üçün Portalda Marketplace hissəsinə daxil olaraq Azure Ad İdentity Protection xidmətini seçərək, Overview bölməsində bir çox məlumatlarla tanış olmaq olar.

Qeyd olunan screenshot, daha aydın təsəvvür yaratmağı üçün production-da olan Azure portaldan götürülmüşdür.

İstifadəçi Risk Siyasəti (User Risk Policy)

Bu siyasəti ilk növbətə qoşmaq lazımdır. Bu siyasətin vəzifəsi – müəyyən təhlükəsizlik analizləri aparaq mövcud riskləri aşağı salmaq üçün istifadəçilərdən şifrə tələbləri və Multifaktorlu autentifikasiyanı aktivləşdirməyii tələb etməkdir. Bu tipli tələbləri etmək  üçün Azure AD İdentity Protection potensial riskli hadisələri yoxlayır hansı ki, şübhəli  aktivlik olaraq dəyərləndirilir.

Azure AD identifikasiya müdafiəsi növbəti riskləri aşkar edə bilir:

• Uçot məlumatlarının sızıntısı (Leaked credentials)
• Tipik olmayan lokasiyalara mümkünsüz səhayət (Impossible travel to atypical locations)
• Yoluxmuş cihazlardan giriş cəhdi (Sign-ins from infected devices)
• Anonim İP-adreslərdən giriş cəhdi (Sign-ins from anonymous IP addresses)
• Şübhəli aktivlik aşkarlanmış İP-adreslərdən giriş cəhdi (Sign-ins from IP addresses with suspicious activity)
• Naməlum yerlərdən giriş cəhdi (Signs from unfamiliar locations).

Daxilolma Risk Siyasəti (Sign-in Risk Policy)

Bu siyasət kənar hər hansı bir şəxsin sistemə icazəsiz müdaxiləsin mümkün qədər operativ aşkar etmək üçün nəzərdə tutlub. Başqa sözlə desək, istifadəçinin şifrəsi oğurlandığı zaman, bu policy maksimum köməklik göstərmək üşün nəzərdə tutulub. Burada da, yuxarıda nəzərdən keçirdiyimiz risk dərəcələri mövcuddur. Qiymətləndirmə isə, sistemə giriş zamanı baş verir.

Bu siyasət bütün trafikə və brauzer istifadəsi ilə access cəhdlərinə nəzarət edə bilsədə, bəzi köhnə protokollar istifadə edən application-larda effektli deyildir.

Bildirişlərin aktivləşdirilməsi (Notification Enabling)

Növbəti addım, uçot məlumatlarının kompromatlaşdırılması zamanı bildirişlərin aktivləşdirməkdir. Azure AD İdentity Protection iki növ elektron məktub göndərə bilir. Birincisi –  istifadəçinin uçot məlumatlarının kompromentasiyası haqqında bildirişdir. İkincisi isə qeyd olunan hissələrdən ibarət informasiyanın həftəlik hesabatı:

• Risk zonasında olan istifadəçilər (Users at Risk)
• Şübhəli hərəkətlər (Suspicous Activities)
• Boşluqların aşkarı (Detected Vulnerabilities)
• Azure AD İdentity Protection xidmətində lazım olan hesabatlara linklər (Links to the related reports in Azure AD Identity Protection)

Elektron poçtla bildirişlərin göndərilməsini aktiv etmək üçün, Azure AD İdentity Protection bölümünü açaraq, Alerts və  “Weekly  Digest” bölümündə  notification alması planlaşdırılan istifadəçinin mail ünvanın qeyd edə bilərsiniz.