Co jsou detekce rizik?
Microsoft Entra ID Protection poskytuje organizacím informace o podezřelé aktivitě ve svém tenantovi a umožňuje jim rychle reagovat, aby se zabránilo dalšímu riziku. Detekce rizik jsou výkonný prostředek, který může zahrnovat jakoukoli podezřelou nebo neobvyklou aktivitu související s uživatelským účtem v adresáři. Detekce rizik ochrany identifikace můžou být propojeny s jednotlivými uživateli nebo událostmi přihlášení a přispívat k celkovému skóre rizika uživatele zjištěnému ve zprávě o rizikových uživatelích.
Detekce rizik uživatelů můžou označit legitimní uživatelský účet jako ohrožený, když potenciální aktér hrozeb získá přístup k účtu tím, že zhrotí přihlašovací údaje nebo zjistí určitý typ neobvyklé aktivity uživatele. Detekce rizik přihlašování představují pravděpodobnost, že daný požadavek na ověření není autorizovaným vlastníkem účtu. Schopnost identifikovat riziko na úrovni uživatele a přihlašování je důležitá pro zákazníky, kteří mají možnost zabezpečit tenanta.
Úrovně rizika
Ochrana ID kategorizuje riziko do tří úrovní: nízká, střední a vysoká. Úrovně rizik vypočítané našimi algoritmy strojového učení a představují jistotu, že jeden nebo více přihlašovacích údajů uživatele zná neoprávněná entita.
- Detekce rizik s vysokou úrovní rizika znamená, že Microsoft je vysoce přesvědčený, že je účet ohrožen.
- Detekce rizik na úrovni rizika Nízké označuje, že v přihlášení nebo v přihlašovacích údajích uživatele existují anomálie, ale jsme méně si jistí, že tyto anomálie znamenají, že je účet ohrožený.
V závislosti na počtu nebo závažnosti zjištěných anomálií se může aktivovat mnoho detekcí na více než jedné z našich úrovní rizika. Například neznámé přihlašovací vlastnosti se mohou aktivovat na základě spolehlivosti signálů na vysoké, střední nebo nízké úrovni. Některé detekce, jako jsou uniklé přihlašovací údaje a IP adresa ověřeného hrozebního aktéra, jsou vždy označovány jako vysoké riziko.
Tato úroveň rizika je důležitá při rozhodování, které detekce bychom měli upřednostnit, prozkoumat a napravit. Hrají také klíčovou roli při konfiguraci zásad podmíněného přístupu na základě rizik, protože každá zásada se dá nastavit tak, aby aktivovala nízké, střední, vysoké nebo žádné riziko. Na základě odolnosti proti rizikům vaší organizace můžete vytvořit zásady, které vyžadují vícefaktorové ověřování nebo resetování hesla, když ochrana ID zjistí určitou úroveň rizika pro jednoho z vašich uživatelů. Tyto zásady můžou uživatele vést k samoobslužné nápravě a vyřešit riziko.
Důležité
Všechny detekce s nízkou úrovní rizika a uživatelé budou v produktu přetrvávat po dobu šesti měsíců, po jejichž uplynutí budou automaticky odstraněni, což poskytne lepší podmínky pro vyšetřování. Střední a vysoké úrovně rizika zůstanou, dokud nebudou napraveny nebo zrušeny.
Na základě odolnosti proti rizikům vaší organizace můžete vytvořit zásady, které vyžadují vícefaktorové ověřování nebo resetování hesla, když ochrana ID zjistí určitou úroveň rizika. Tyto zásady můžou uživatele vést k samoobslužné nápravě a vyřešení rizika nebo blokování v závislosti na vašich tolerancech.
Detekce v reálném čase a offline
Ochrana ID využívá techniky ke zvýšení přesnosti detekce rizik uživatelů a přihlašování tím, že po ověření vypočítává některá rizika v reálném čase nebo offline. Zjištění rizika v reálném čase při přihlášení dává výhodu identifikaci rizika v rané fázi, aby zákazníci mohli rychle prozkoumat potenciální ohrožení. U detekcí vypočítávajících riziko offline mohou poskytnout lepší přehled o tom, jak útočník získal přístup k účtu a jak to ovlivnilo legitimního uživatele. Některé detekce se dají aktivovat offline i během přihlášení, což zvyšuje důvěru v přesnost na ohrožení zabezpečení.
Detekce aktivované v reálném čase trvá 5 až 10 minut, než se zobrazí podrobnosti v sestavách. Zobrazení offline detekcí v sestavách trvá až 48 hodin, protože vyhodnocení vlastností potenciálního rizika nějakou dobu trvá.
Poznámka:
Náš systém může zjistit, že riziková událost, která přispěla k rizikovému skóre rizika uživatele, byla:
- Falešně pozitivní
- Riziko uživatele bylo napraveno zásadami buď:
- Dokončení vícefaktorového ověřování
- Zabezpečená změna hesla
Náš systém odstraní stav rizika a objeví se podrobnost rizika AI potvrzuje, že přihlášení je bezpečné, a stav rizika již proto nepřispívá k celkovému riziku uživatele.
V datech s podrobnými informacemi o riziku zaznamenává Detekce času přesný okamžik, kdy se riziko identifikuje při přihlašování uživatele, což umožňuje posouzení rizik v reálném čase a aplikaci okamžitých zásad k ochraně uživatele a organizace. Poslední aktualizace detekce ukazuje nejnovější aktualizaci detekce rizik, která může být způsobena novými informacemi, změnami úrovně rizika nebo správními opatřeními, a zajišťuje tak aktuální správu rizik.
Tato pole jsou nezbytná pro monitorování v reálném čase, reakci na hrozby a udržování zabezpečeného přístupu k prostředkům organizace.
Detekce rizik mapované na riskEventType
Detekce rizik | Typ detekce | Typ | typ události rizika |
---|---|---|---|
Detekce rizik přihlašování | |||
Aktivita z anonymní IP adresy | Režim offline | Premium | riziková IP adresa |
Zjistilo se další riziko (přihlášení) | V reálném čase nebo offline | neprémiový | generic = Prémiová klasifikace detekce pro nájemce, kteří nemají P2 |
Správce potvrdil ohrožení zabezpečení uživatele | Režim offline | Neprémiový | adminPotvrdilKompromitaceUživatele |
neobvyklý token (přihlášení) | V reálném čase nebo offline | Prémiový | anomalníToken |
Anonymní IP adresa | V reálném čase | neprémiový | anonymizovaná ip adresa |
Atypická cesta | Režim offline | Prémiový | nepravděpodobná cesta |
Nemožné cestování | Režim offline | Prémiový | mcas - nemožná cesta |
Škodlivá IP adresa | Režim offline | Prémiový | škodlivé IP adresy |
Hromadný přístup k citlivým souborům | Režim offline | Přednostní | mcasFinPodezřelýPřístupKSouborům |
Microsoft Entra Threat Intelligence (přihlášení) | V reálném čase nebo offline | neprémiový | vyšetřováníInformaceOBezpečnostníchHrozbách |
Nová země | Režim offline | Prémiový | nováZemě |
Postřik hesla | V reálném čase nebo offline | Prémiový | passwordSpray |
Podezřelý prohlížeč | Režim offline | Prémiový | podezřelý prohlížeč |
Podezřelé přeposílání doručené pošty | Režim offline | Premium | podezřelé přeposílání pošty |
Podezřelá pravidla manipulace s doručenou poštou | Režim offline | Prvotřídní | mcasPodezřeléPravidlaManipulaceSDoručenouPoštou |
Anomálie vystavitele tokenů | Režim offline | Prémiový | Anomalie vydavatele tokenu |
Neznámé vlastnosti přihlášení | V reálném čase | Prémiový | Neznámé funkceFeatures |
IP adresa ověřeného aktéra hrozeb | V reálném čase | Prémiový | národně státní IP |
Detekce rizik uživatelů | |||
Zjistilo se další riziko (uživatel) | V reálném čase nebo offline | Nepremiumový | generic = Klasifikace detekce Premium pro nájemníky bez P2 |
neobvyklý token (uživatel) | V reálném čase nebo offline | Prémie | anomalousToken |
Neobvyklá uživatelská aktivita | Režim offline | Premium | Anomální aktivita uživatele |
Útočník uprostřed | Režim offline | Prémiový | útočník uprostřed |
Uniklé přihlašovací údaje | Režim offline | Neprémiový | uniklé přihlašovací údaje |
Microsoft Entra Threat Intelligence (uživatel) | V reálném čase nebo offline | Neprémiový | vyšetřováníHrozbaInteligence |
Možný pokus o přístup k primárnímu obnovovacímu tokenu (PRT) | Režim offline | Premium | pokus o přístup k tiskárně |
Podezřelý provoz rozhraní API | Režim offline | Prémiový | podezřelý provoz API |
Podezřelé vzory odesílání | Režim offline | Prémiový | podezřelé vzory odesílání |
Uživatel oznámil podezřelou aktivitu | Režim offline | Prémiový | uživatel nahlásil podezřelou aktivitu |
Další informace o detekcích rizik identit úloh najdete v tématu Zabezpečení identit úloh.
Prémiové detekce
Následující detekce úrovně Premium jsou viditelné pouze zákazníkům Microsoft Entra ID P2.
Prémiová detekce rizik při přihlašování
Aktivita z anonymní IP adresy
Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce identifikuje, že uživatelé byli aktivní z IP adresy identifikované jako ip adresa anonymního proxy serveru.
Neobvyklý token (přihlášení)
Vypočítáno v reálném čase nebo offline. Tato detekce indikuje neobvyklé charakteristiky tokenu, jako je neobvyklá životnost nebo že byl token použit z neznámého umístění. Tato detekce se zabývá tokeny relací a obnovovacími tokeny.
Neobvyklý token je vyladěný tak, aby způsoboval více šumu než jiné detekce na stejné úrovni rizika. Tento kompromis je zvolen ke zvýšení pravděpodobnosti detekce zopakovaných tokenů, které by jinak mohly zůstat nepovšimnuté. Existuje větší než normální šance, že některé relace označené touto detekcí jsou falešně pozitivní. Doporučujeme prošetřit relace označené touto detekcí v kontextu jiných přihlášení daného uživatele. Pokud je umístění, aplikace, IP adresa, uživatelský agent nebo jiné charakteristiky pro uživatele neočekávané, měl by správce toto riziko považovat za indikátor potenciálního přehrání tokenu.
Tipy pro zkoumání neobvyklých detekcí tokenů
Neobvyklá cesta
Počítané offline. Tento typ detekce rizik identifikuje dvě přihlášení pocházející z geograficky vzdálených míst, kde nejméně jedno z těchto umístění může být pro uživatele při minulém chování neobvyklé. Algoritmus bere v úvahu více faktorů, včetně času mezi dvěma přihlášeními a časem, který by uživateli trvalo cestovat z prvního místa na druhé. Toto riziko může znamenat, že jiný uživatel používá stejné přihlašovací údaje.
Algoritmus ignoruje zjevné "falešně pozitivní výsledky", které přispívají k nemožným cestovním podmínkám, jako jsou VPN a místa, která pravidelně používají jiní uživatelé v organizaci. Systém má počáteční období učení prvních 14 dnů nebo 10 přihlášení, během kterých se učí chování přihlašování nového uživatele.
Tipy pro prošetřování atypických detekcí cestování
Neuskutečnitelná cesta
Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce identifikuje aktivity uživatelů (v jednom nebo několika relacích) pocházející z geograficky vzdálených lokalit v časovém období kratším než doba trvání cesty z prvního umístění do druhého. Toto riziko může znamenat, že jiný uživatel používá stejné přihlašovací údaje.
Škodlivá IP adresa
Počítané offline. Tato detekce označuje přihlášení ze škodlivé IP adresy. IP adresa se považuje za škodlivou na základě vysoké míry selhání kvůli neplatným přihlašovacím údajům přijatým z IP adresy nebo jiných zdrojů reputace IP adres. V některých případech se tato detekce aktivuje u předchozí škodlivé aktivity.
Tipy pro vyšetřování detekce škodlivých IP adres
Hromadný přístup k citlivým souborům
Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce se podívá na vaše prostředí a aktivuje upozornění, když uživatelé přistupují k více souborům z Microsoft Office SharePoint Online nebo Microsoft OneDrivu. Upozornění se aktivuje jenom v případě, že je počet přístupných souborů pro uživatele neobvyklý a soubory můžou obsahovat citlivé informace.
Nová země
Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce bere v úvahu umístění minulých aktivit k určení nových a zřídka používaných umístění. Modul detekce anomálií ukládá informace o předchozích umístěních používaných uživateli v organizaci.
Útok typu Password Spray
Vypočítáno v reálném čase nebo offline. Útok hrubou silou s použitím běžných hesel je technika, při které je napadeno více identit současně. Detekce rizik se aktivuje, když je heslo účtu platné a pokusí se přihlásit. Tato detekce signalizuje, že heslo uživatele bylo správně identifikováno útokem typu 'password spray', nikoli tím, že by útočník získal přístup k jakýmkoli prostředkům.
Tipy pro vyšetřování detekcí hromadného pokusu o zadání hesel.
Podezřelý prohlížeč
Počítané offline. Detekce podezřelého prohlížeče indikuje neobvyklé chování na základě podezřelé přihlašovací aktivity napříč několika tenanty z různých zemí nebo oblastí ve stejném prohlížeči.
Tipy pro vyšetřování podezřelých detekcí prohlížeče
Podezřelé přeposílání e-mailů
Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce hledá podezřelá pravidla pro přeposílání e-mailů, například pokud uživatel vytvořil pravidlo doručené pošty, které přesměruje kopii všech e-mailů na externí adresu.
Podezřelá pravidla manipulace s doručenou poštou
Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce se podívá na vaše prostředí a aktivuje výstrahy, když jsou ve složce Doručená pošta uživatele nastavená podezřelá pravidla, která odstraňují nebo přesouvají zprávy nebo složky. Tato detekce může znamenat: účet uživatele je napadený, zprávy jsou záměrně skryté a poštovní schránka se používá k distribuci spamu nebo malwaru ve vaší organizaci.
Anomálie vystavitele tokenů
Počítané offline. Detekce tohoto rizika označuje vystavitele tokenu SAML pro přidružený token SAML, který je potenciálně kompromitován. Deklarace identity zahrnuté v tokenu jsou neobvyklé nebo odpovídají známým vzorům útočníka.
Tipy pro zkoumání detekcí anomálií vydavatele tokenů.
Neznámé vlastnosti přihlášení
Vypočítáno v reálném čase. Tento typ detekce rizik zohledňuje historii přihlašování kvůli vyhledávání neobvyklých přihlášení. Systém ukládá informace o předchozích přihlášeních a aktivuje detekci rizik, když dojde k přihlášení s vlastnostmi, které jsou pro uživatele neznámé. Mezi tyto vlastnosti patří IP adresa, ASN, umístění, zařízení, prohlížeč a podsíť IP adresy tenanta. Nově vytvořená uživatelé jsou v "výukovém režimu", ve kterém je detekce rizik neznámých vlastností přihlašování vypnutá, zatímco naše algoritmy učí chování uživatele. Doba trvání režimu učení je dynamická a závisí na tom, kolik času algoritmu trvá, než shromažďuje dostatek informací o vzorech přihlašování uživatele. Minimální doba trvání je pět dnů. Uživatel se může vrátit do režimu učení po dlouhé době nečinnosti.
Tuto detekci spustíme také pro základní ověřování (nebo starší protokoly). Vzhledem k tomu, že tyto protokoly nemají moderní vlastnosti, jako je ID klienta, existují omezená data ke snížení falešně pozitivních výsledků. Doporučujeme našim zákazníkům přejít na moderní ověřování.
U interaktivních i neinteraktivních přihlášení je možné zjistit neznámé vlastnosti přihlášení. Když se tato detekce zjistí u neinteraktivních přihlášení, zaslouží si zvýšenou kontrolu kvůli riziku útoků na přehrání tokenů.
Výběrem neznámého rizika vlastností přihlašování můžete zobrazit další informace o tom, proč se toto riziko aktivovalo.
Ověřená IP adresa aktéra hrozeb
Vypočítáno v reálném čase. Tento typ detekce rizik označuje přihlašovací aktivitu, která je konzistentní se známými IP adresami přidruženými k národním státním subjektům nebo skupinám kybernetických trestných činů na základě dat z centra Microsoft Threat Intelligence Center (MSTIC).
Detekce rizik uživatelů úrovně Premium
Neobvyklý token (uživatel)
Vypočítáno v reálném čase nebo offline. Tato detekce indikuje neobvyklé charakteristiky tokenu, jako je neobvyklá životnost nebo použití tokenu z neznámého umístění. Tato detekce se zabývá tokeny relací a obnovovacími tokeny.
Neobvyklý token je vyladěný tak, aby způsoboval více šumu než jiné detekce na stejné úrovni rizika. Tento kompromis je zvolen ke zvýšení pravděpodobnosti detekce zopakovaných tokenů, které by jinak mohly zůstat nepozorované. Existuje vyšší než obvyklá pravděpodobnost, že některé sesí označené touto detekcí mohou být falešně pozitivní. Doporučujeme prošetřit relace označené touto detekcí v kontextu dalších přihlášení uživatele. Pokud je umístění, aplikace, IP adresa, uživatelský agent nebo jiné charakteristiky pro uživatele neočekávané, měl by správce toto riziko považovat za indikátor potenciálního přehrání tokenu.
Tipy pro zkoumání neobvyklých detekcí tokenů
Neobvyklá uživatelská aktivita
Počítané offline. Detekce rizik vytváří základní linii pro normální chování administrativních uživatelů v Microsoft Entra Identity a odhaluje neobvyklé vzorce chování, jako jsou podezřelé změny adresáře. Detekce se aktivuje vůči správci, který změnu provede, nebo objekt, který byl změněn.
Útočník uprostřed
Počítané offline. Tato detekce vysoké přesnosti, známá také jako Útočník uprostřed, je spuštěna, když je relace ověřování spojena se škodlivým reverzním proxy serverem. V tomto druhu útoku může nežádoucí osoba zachytit přihlašovací údaje uživatele, včetně tokenů vystavených uživateli. Tým Microsoft Security Research používá Microsoft 365 Defender k zachycení identifikovaného rizika a zvýšení rizika uživatele na vysoké riziko. Doporučujeme správcům ručně prošetřit uživatele, když se tato detekce aktivuje, aby se zajistilo, že se riziko odstraní. Vymazání tohoto rizika může vyžadovat bezpečné resetování hesla nebo odvolání existujících relací.
Možný pokus o přístup k primárnímu obnovovacímu tokenu (PRT)
Počítané offline. Tento typ detekce rizik se zjistí pomocí informací poskytovaných programem Microsoft Defender for Endpoint (MDE). Primární obnovovací token (PRT) je klíčovým artefaktem ověřování Microsoft Entra ve Windows 10, Windows Serveru 2016 a novějších verzích, zařízeních s iOSem a Androidem. PRT je webový token JSON (JWT) vydaný pro zprostředkovatele tokenů Microsoftu první strany, který umožňuje jednotné přihlašování (SSO) napříč aplikacemi používanými na těchto zařízeních. Útočníci se mohou pokusit o přístup k tomuto prostředku, aby se mohli později přesunout do organizace nebo provést krádež přihlašovacích údajů. Tato detekce překlasifikuje uživatele na vysoké riziko a aktivuje se pouze v organizacích, které nasazují Microsoft Defender for Endpoint (MDE). Tato detekce je vysoce riziková a doporučujeme vyzvat k nápravě těchto uživatelů. Ve většině organizací se zobrazuje zřídka kvůli nízkému objemu.
Podezřelý provoz rozhraní API
Počítané offline. Tato detekce rizik se hlásí, když dojde k neobvyklému provozu GraphAPI nebo výčtu adresářů. Podezřelý provoz rozhraní API může naznačovat, že je uživatel ohrožen a provádí rekognoskaci v prostředí.
Podezřelé vzory odesílání
Počítané offline. Tento typ detekce rizik se zjistí pomocí informací poskytovaných Microsoft Defender pro Office 365 (MDO). Tato výstraha se vygeneruje, když někdo ve vaší organizaci odeslal podezřelý e-mail a je ohrožen nebo je omezen na odesílání e-mailů. Tato detekce přesouvá uživatele na střední riziko a aktivuje se výhradně v organizacích, které používají MDO. Tato detekce je nízká a ve většině organizací se vyskytuje zřídka.
Uživatel oznámil podezřelou aktivitu
Počítané offline. Tato detekce rizik se oznamuje, když uživatel odmítne výzvu vícefaktorového ověřování (MFA) a nahlásí ji jako podezřelou aktivitu. Výzva vícefaktorového ověřování, kterou uživatel neicializoval, může znamenat ohrožení přihlašovacích údajů.
Detekce nepremiových hodnot
Zákazníci bez licencí Microsoft Entra ID P2 obdrží detekci s názvem Další riziko zjištěné bez podrobných informací o detekci, kterou zákazníci s licencemi P2 dělají. Další informace najdete v licenčních požadavcích.
Detekce rizik při neprémiovém přihlašování
Zjistilo se další riziko (přihlášení)
Vypočítáno v reálném čase nebo offline. Tato detekce značí, že byla zjištěna jedna z detekcí úrovně Premium. Vzhledem k tomu, že detekce úrovně Premium jsou viditelné pouze zákazníkům Microsoft Entra ID P2, označují se jako další riziko zjištěné pro zákazníky bez licencí Microsoft Entra ID P2.
Správce potvrdil ohrožení zabezpečení uživatele
Počítané offline. Tato detekce indikuje, že správce vybral Potvrdit ohrožení uživatele v uživatelském rozhraní rizikových uživatelů nebo pomocí rozhraní API pro rizikové uživatele. Pokud chcete zjistit, který správce potvrdil ohrožení zabezpečení tohoto uživatele, zkontrolujte historii rizik uživatele (prostřednictvím uživatelského rozhraní nebo rozhraní API).
Anonymní IP adresa
Vypočítáno v reálném čase. Tento typ detekce rizik označuje přihlášení z anonymní IP adresy (například prohlížeče Tor nebo anonymní sítě VPN). Tyto IP adresy obvykle používají aktéři, kteří chtějí skrýt přihlašovací údaje (IP adresu, umístění, zařízení atd.) pro potenciálně škodlivý záměr.
Microsoft Entra Threat Intelligence (přihlášení)
Vypočítáno v reálném čase nebo offline. Tento typ detekce rizik označuje aktivitu uživatele, která je pro uživatele neobvyklá nebo je konzistentní se známými vzory útoku. Tato detekce je založená na interních a externích zdrojích analýzy hrozeb Od Microsoftu.
Tipy pro zkoumání detekcí informací o hrozbách Microsoft Entra
Detekce rizik neprémiových uživatelů
Zjistilo se další riziko (uživatel)
Vypočítáno v reálném čase nebo offline. Tato detekce značí, že byla zjištěna jedna z detekcí úrovně Premium. Vzhledem k tomu, že detekce úrovně Premium jsou viditelné pouze zákazníkům Microsoft Entra ID P2, označují se jako další riziko zjištěné pro zákazníky bez licencí Microsoft Entra ID P2.
Uniklé přihlašovací údaje
Počítané offline. Tento typ detekce rizik označuje, že došlo k úniku platných přihlašovacích údajů uživatele. Když kyberzločinci ohrožují platná hesla legitimních uživatelů, často tyto shromážděné přihlašovací údaje sdílejí. Toto sdílení obvykle spočívá ve zveřejnění přihlašovacích údajů na dark webu, na webech pro vkládání obsahu, nebo ve výměně a prodeji na černém trhu. Když služba Microsoft pro úniky přihlašovacích údajů získá uživatelské přihlašovací údaje z temného webu, paste stránek nebo jiných zdrojů, jsou porovnány s aktuálními platnými přihlašovacími údaji uživatelů Microsoft Entra, aby se našly platné shody. Další informace o úniku přihlašovacích údajů najdete v běžných dotazech.
Tipy pro prověřování detekcí uniklých přihlašovacích údajů
Microsoft Entra Služby pro analýzu hrozeb (uživatel)
Počítané offline. Tento typ detekce rizik označuje aktivitu uživatele, která je pro uživatele neobvyklá nebo je konzistentní se známými vzory útoku. Tato detekce je založená na interních a externích zdrojích analýzy hrozeb Od Microsoftu.
Tipy pro zkoumání detekcí hrozeb v rámci analýzy Microsoft Entra
Časté dotazy
Co když se k pokusu o přihlášení použily nesprávné přihlašovací údaje?
Ochrana ID generuje detekci rizik pouze v případech, kdy se použijí správné přihlašovací údaje. Pokud se při přihlášení používají nesprávné přihlašovací údaje, nepředstavuje riziko ohrožení přihlašovacích údajů.
Vyžaduje se synchronizace hodnot hash hesel?
Detekce rizik, jako jsou uniklé přihlašovací údaje, vyžadují přítomnost hodnot hash hesel, aby bylo možné detekci provést. Další informace o synchronizaci hodnot hash hesel najdete v článku Implementace synchronizace hodnot hash hesel se službou Microsoft Entra Connect Sync.
Proč se pro zakázané účty generují detekce rizik?
Uživatelské účty v zakázaném stavu je možné znovu povolit. Pokud dojde k ohrožení zabezpečení přihlašovacích údajů zakázaného účtu a účet se znovu povolí, můžou k získání přístupu použít chybné aktéry tyto přihlašovací údaje. Ochrana ID generuje detekce rizik pro podezřelé aktivity vůči těmto zakázaným účtům, aby zákazníky upozorňovala na potenciální ohrožení zabezpečení účtu. Pokud se účet už nepoužívá a nebude znovu povolený, měli by zákazníci zvážit jeho odstranění, aby se zabránilo ohrožení zabezpečení. Pro odstraněné účty se negenerují žádné detekce rizik.
Pokusil(a) jsem se seřadit zprávu o detekcích rizika pomocí sloupce čas detekce, ale nefunguje to.
Řazení podle času detekce ve zprávě o detekci rizik nemusí vždy poskytovat správný výsledek z důvodu známého technického omezení. Pokud chcete data seřadit podle času detekce , vyberte Stáhnout, aby se data exportovala jako soubor CSV a seřadila odpovídajícím způsobem.
Běžné dotazy k uniklým přihlašovacím údajům
Kde Microsoft nachází uniklé přihlašovací údaje?
Microsoft na různých místech najde uniklé přihlašovací údaje, mezi které patří:
- Veřejné webové stránky na sdílení informací, kde lidé se špatnými úmysly obvykle publikují takový materiál.
- orgány v oblasti prosazování práva.
- Další skupiny v Microsoftu, které provádějí vyhledávání na tmavém webu.
Proč se mi nezobrazují žádné uniklé přihlašovací údaje?
Uniklé přihlašovací údaje jsou zpracovávány, když Microsoft najde novou dávku, která je veřejně dostupná. Z důvodu citlivé povahy se uniklé přihlašovací údaje krátce po zpracování odstraní. Nově uniklé přihlašovací údaje se zpracovávají pro vašeho tenanta pouze poté, co povolíte synchronizaci hodnot hash hesel (PHS). Ověření dříve nalezených párů přihlašovacích údajů není prováděno.
Nezobrazují se žádné události rizika úniku přihlašovacích údajů
Pokud se nezobrazí žádné události rizika úniku přihlašovacích údajů, je to z následujících důvodů:
- Nemáte pro svého tenanta povolené PHS.
- Společnost Microsoft nenašla žádné páry nevrácených přihlašovacích údajů, které odpovídají vašim uživatelům.
Jak často Microsoft zpracovává nové přihlašovací údaje?
Přihlašovací údaje se zpracovávají okamžitě po jejich nalezení, obvykle v několika dávkách za den.
Umístění
Umístění v detekcích rizik se určuje pomocí vyhledávání IP adres. Přihlášení z důvěryhodných pojmenovaných umístění zlepšují přesnost výpočtu rizika v Microsoft Entra ID Protection a snižují riziko přihlášení pro uživatele, kteří se ověřují z umístění označeného jako důvěryhodné.