Sdílet prostřednictvím


Co jsou detekce rizik?

Microsoft Entra ID Protection poskytuje organizacím informace o podezřelé aktivitě ve svém tenantovi a umožňuje jim rychle reagovat, aby se zabránilo dalšímu riziku. Detekce rizik jsou výkonný prostředek, který může zahrnovat jakoukoli podezřelou nebo neobvyklou aktivitu související s uživatelským účtem v adresáři. Detekce rizik ochrany identifikace můžou být propojeny s jednotlivými uživateli nebo událostmi přihlášení a přispívat k celkovému skóre rizika uživatele zjištěnému ve zprávě o rizikových uživatelích.

Detekce rizik uživatelů můžou označit legitimní uživatelský účet jako ohrožený, když potenciální aktér hrozeb získá přístup k účtu tím, že zhrotí přihlašovací údaje nebo zjistí určitý typ neobvyklé aktivity uživatele. Detekce rizik přihlašování představují pravděpodobnost, že daný požadavek na ověření není autorizovaným vlastníkem účtu. Schopnost identifikovat riziko na úrovni uživatele a přihlašování je důležitá pro zákazníky, kteří mají možnost zabezpečit tenanta.

Úrovně rizika

Ochrana ID kategorizuje riziko do tří úrovní: nízká, střední a vysoká. Úrovně rizik vypočítané našimi algoritmy strojového učení a představují jistotu, že jeden nebo více přihlašovacích údajů uživatele zná neoprávněná entita.

  • Detekce rizik s vysokou úrovní rizika znamená, že Microsoft je vysoce přesvědčený, že je účet ohrožen.
  • Detekce rizik na úrovni rizika Nízké označuje, že v přihlášení nebo v přihlašovacích údajích uživatele existují anomálie, ale jsme méně si jistí, že tyto anomálie znamenají, že je účet ohrožený.

V závislosti na počtu nebo závažnosti zjištěných anomálií se může aktivovat mnoho detekcí na více než jedné z našich úrovní rizika. Například neznámé přihlašovací vlastnosti se mohou aktivovat na základě spolehlivosti signálů na vysoké, střední nebo nízké úrovni. Některé detekce, jako jsou uniklé přihlašovací údaje a IP adresa ověřeného hrozebního aktéra, jsou vždy označovány jako vysoké riziko.

Tato úroveň rizika je důležitá při rozhodování, které detekce bychom měli upřednostnit, prozkoumat a napravit. Hrají také klíčovou roli při konfiguraci zásad podmíněného přístupu na základě rizik, protože každá zásada se dá nastavit tak, aby aktivovala nízké, střední, vysoké nebo žádné riziko. Na základě odolnosti proti rizikům vaší organizace můžete vytvořit zásady, které vyžadují vícefaktorové ověřování nebo resetování hesla, když ochrana ID zjistí určitou úroveň rizika pro jednoho z vašich uživatelů. Tyto zásady můžou uživatele vést k samoobslužné nápravě a vyřešit riziko.

Důležité

Všechny detekce s nízkou úrovní rizika a uživatelé budou v produktu přetrvávat po dobu šesti měsíců, po jejichž uplynutí budou automaticky odstraněni, což poskytne lepší podmínky pro vyšetřování. Střední a vysoké úrovně rizika zůstanou, dokud nebudou napraveny nebo zrušeny.

Na základě odolnosti proti rizikům vaší organizace můžete vytvořit zásady, které vyžadují vícefaktorové ověřování nebo resetování hesla, když ochrana ID zjistí určitou úroveň rizika. Tyto zásady můžou uživatele vést k samoobslužné nápravě a vyřešení rizika nebo blokování v závislosti na vašich tolerancech.

Detekce v reálném čase a offline

Ochrana ID využívá techniky ke zvýšení přesnosti detekce rizik uživatelů a přihlašování tím, že po ověření vypočítává některá rizika v reálném čase nebo offline. Zjištění rizika v reálném čase při přihlášení dává výhodu identifikaci rizika v rané fázi, aby zákazníci mohli rychle prozkoumat potenciální ohrožení. U detekcí vypočítávajících riziko offline mohou poskytnout lepší přehled o tom, jak útočník získal přístup k účtu a jak to ovlivnilo legitimního uživatele. Některé detekce se dají aktivovat offline i během přihlášení, což zvyšuje důvěru v přesnost na ohrožení zabezpečení.

Detekce aktivované v reálném čase trvá 5 až 10 minut, než se zobrazí podrobnosti v sestavách. Zobrazení offline detekcí v sestavách trvá až 48 hodin, protože vyhodnocení vlastností potenciálního rizika nějakou dobu trvá.

Poznámka:

Náš systém může zjistit, že riziková událost, která přispěla k rizikovému skóre rizika uživatele, byla:

  • Falešně pozitivní
  • Riziko uživatele bylo napraveno zásadami buď:
    • Dokončení vícefaktorového ověřování
    • Zabezpečená změna hesla

Náš systém odstraní stav rizika a objeví se podrobnost rizika AI potvrzuje, že přihlášení je bezpečné, a stav rizika již proto nepřispívá k celkovému riziku uživatele.

V datech s podrobnými informacemi o riziku zaznamenává Detekce času přesný okamžik, kdy se riziko identifikuje při přihlašování uživatele, což umožňuje posouzení rizik v reálném čase a aplikaci okamžitých zásad k ochraně uživatele a organizace. Poslední aktualizace detekce ukazuje nejnovější aktualizaci detekce rizik, která může být způsobena novými informacemi, změnami úrovně rizika nebo správními opatřeními, a zajišťuje tak aktuální správu rizik.

Tato pole jsou nezbytná pro monitorování v reálném čase, reakci na hrozby a udržování zabezpečeného přístupu k prostředkům organizace.

Detekce rizik mapované na riskEventType

Detekce rizik Typ detekce Typ typ události rizika
Detekce rizik přihlašování
Aktivita z anonymní IP adresy Režim offline Premium riziková IP adresa
Zjistilo se další riziko (přihlášení) V reálném čase nebo offline neprémiový generic = Prémiová klasifikace detekce pro nájemce, kteří nemají P2
Správce potvrdil ohrožení zabezpečení uživatele Režim offline Neprémiový adminPotvrdilKompromitaceUživatele
neobvyklý token (přihlášení) V reálném čase nebo offline Prémiový anomalníToken
Anonymní IP adresa V reálném čase neprémiový anonymizovaná ip adresa
Atypická cesta Režim offline Prémiový nepravděpodobná cesta
Nemožné cestování Režim offline Prémiový mcas - nemožná cesta
Škodlivá IP adresa Režim offline Prémiový škodlivé IP adresy
Hromadný přístup k citlivým souborům Režim offline Přednostní mcasFinPodezřelýPřístupKSouborům
Microsoft Entra Threat Intelligence (přihlášení) V reálném čase nebo offline neprémiový vyšetřováníInformaceOBezpečnostníchHrozbách
Nová země Režim offline Prémiový nováZemě
Postřik hesla V reálném čase nebo offline Prémiový passwordSpray
Podezřelý prohlížeč Režim offline Prémiový podezřelý prohlížeč
Podezřelé přeposílání doručené pošty Režim offline Premium podezřelé přeposílání pošty
Podezřelá pravidla manipulace s doručenou poštou Režim offline Prvotřídní mcasPodezřeléPravidlaManipulaceSDoručenouPoštou
Anomálie vystavitele tokenů Režim offline Prémiový Anomalie vydavatele tokenu
Neznámé vlastnosti přihlášení V reálném čase Prémiový Neznámé funkceFeatures
IP adresa ověřeného aktéra hrozeb V reálném čase Prémiový národně státní IP
Detekce rizik uživatelů
Zjistilo se další riziko (uživatel) V reálném čase nebo offline Nepremiumový generic = Klasifikace detekce Premium pro nájemníky bez P2
neobvyklý token (uživatel) V reálném čase nebo offline Prémie anomalousToken
Neobvyklá uživatelská aktivita Režim offline Premium Anomální aktivita uživatele
Útočník uprostřed Režim offline Prémiový útočník uprostřed
Uniklé přihlašovací údaje Režim offline Neprémiový uniklé přihlašovací údaje
Microsoft Entra Threat Intelligence (uživatel) V reálném čase nebo offline Neprémiový vyšetřováníHrozbaInteligence
Možný pokus o přístup k primárnímu obnovovacímu tokenu (PRT) Režim offline Premium pokus o přístup k tiskárně
Podezřelý provoz rozhraní API Režim offline Prémiový podezřelý provoz API
Podezřelé vzory odesílání Režim offline Prémiový podezřelé vzory odesílání
Uživatel oznámil podezřelou aktivitu Režim offline Prémiový uživatel nahlásil podezřelou aktivitu

Další informace o detekcích rizik identit úloh najdete v tématu Zabezpečení identit úloh.

Prémiové detekce

Následující detekce úrovně Premium jsou viditelné pouze zákazníkům Microsoft Entra ID P2.

Prémiová detekce rizik při přihlašování

Aktivita z anonymní IP adresy

Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce identifikuje, že uživatelé byli aktivní z IP adresy identifikované jako ip adresa anonymního proxy serveru.

Neobvyklý token (přihlášení)

Vypočítáno v reálném čase nebo offline. Tato detekce indikuje neobvyklé charakteristiky tokenu, jako je neobvyklá životnost nebo že byl token použit z neznámého umístění. Tato detekce se zabývá tokeny relací a obnovovacími tokeny.

Neobvyklý token je vyladěný tak, aby způsoboval více šumu než jiné detekce na stejné úrovni rizika. Tento kompromis je zvolen ke zvýšení pravděpodobnosti detekce zopakovaných tokenů, které by jinak mohly zůstat nepovšimnuté. Existuje větší než normální šance, že některé relace označené touto detekcí jsou falešně pozitivní. Doporučujeme prošetřit relace označené touto detekcí v kontextu jiných přihlášení daného uživatele. Pokud je umístění, aplikace, IP adresa, uživatelský agent nebo jiné charakteristiky pro uživatele neočekávané, měl by správce toto riziko považovat za indikátor potenciálního přehrání tokenu.

Tipy pro zkoumání neobvyklých detekcí tokenů

Neobvyklá cesta

Počítané offline. Tento typ detekce rizik identifikuje dvě přihlášení pocházející z geograficky vzdálených míst, kde nejméně jedno z těchto umístění může být pro uživatele při minulém chování neobvyklé. Algoritmus bere v úvahu více faktorů, včetně času mezi dvěma přihlášeními a časem, který by uživateli trvalo cestovat z prvního místa na druhé. Toto riziko může znamenat, že jiný uživatel používá stejné přihlašovací údaje.

Algoritmus ignoruje zjevné "falešně pozitivní výsledky", které přispívají k nemožným cestovním podmínkám, jako jsou VPN a místa, která pravidelně používají jiní uživatelé v organizaci. Systém má počáteční období učení prvních 14 dnů nebo 10 přihlášení, během kterých se učí chování přihlašování nového uživatele.

Tipy pro prošetřování atypických detekcí cestování

Neuskutečnitelná cesta

Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce identifikuje aktivity uživatelů (v jednom nebo několika relacích) pocházející z geograficky vzdálených lokalit v časovém období kratším než doba trvání cesty z prvního umístění do druhého. Toto riziko může znamenat, že jiný uživatel používá stejné přihlašovací údaje.

Škodlivá IP adresa

Počítané offline. Tato detekce označuje přihlášení ze škodlivé IP adresy. IP adresa se považuje za škodlivou na základě vysoké míry selhání kvůli neplatným přihlašovacím údajům přijatým z IP adresy nebo jiných zdrojů reputace IP adres. V některých případech se tato detekce aktivuje u předchozí škodlivé aktivity.

Tipy pro vyšetřování detekce škodlivých IP adres

Hromadný přístup k citlivým souborům

Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce se podívá na vaše prostředí a aktivuje upozornění, když uživatelé přistupují k více souborům z Microsoft Office SharePoint Online nebo Microsoft OneDrivu. Upozornění se aktivuje jenom v případě, že je počet přístupných souborů pro uživatele neobvyklý a soubory můžou obsahovat citlivé informace.

Nová země

Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce bere v úvahu umístění minulých aktivit k určení nových a zřídka používaných umístění. Modul detekce anomálií ukládá informace o předchozích umístěních používaných uživateli v organizaci.

Útok typu Password Spray

Vypočítáno v reálném čase nebo offline. Útok hrubou silou s použitím běžných hesel je technika, při které je napadeno více identit současně. Detekce rizik se aktivuje, když je heslo účtu platné a pokusí se přihlásit. Tato detekce signalizuje, že heslo uživatele bylo správně identifikováno útokem typu 'password spray', nikoli tím, že by útočník získal přístup k jakýmkoli prostředkům.

Tipy pro vyšetřování detekcí hromadného pokusu o zadání hesel.

Podezřelý prohlížeč

Počítané offline. Detekce podezřelého prohlížeče indikuje neobvyklé chování na základě podezřelé přihlašovací aktivity napříč několika tenanty z různých zemí nebo oblastí ve stejném prohlížeči.

Tipy pro vyšetřování podezřelých detekcí prohlížeče

Podezřelé přeposílání e-mailů

Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce hledá podezřelá pravidla pro přeposílání e-mailů, například pokud uživatel vytvořil pravidlo doručené pošty, které přesměruje kopii všech e-mailů na externí adresu.

Podezřelá pravidla manipulace s doručenou poštou

Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce se podívá na vaše prostředí a aktivuje výstrahy, když jsou ve složce Doručená pošta uživatele nastavená podezřelá pravidla, která odstraňují nebo přesouvají zprávy nebo složky. Tato detekce může znamenat: účet uživatele je napadený, zprávy jsou záměrně skryté a poštovní schránka se používá k distribuci spamu nebo malwaru ve vaší organizaci.

Anomálie vystavitele tokenů

Počítané offline. Detekce tohoto rizika označuje vystavitele tokenu SAML pro přidružený token SAML, který je potenciálně kompromitován. Deklarace identity zahrnuté v tokenu jsou neobvyklé nebo odpovídají známým vzorům útočníka.

Tipy pro zkoumání detekcí anomálií vydavatele tokenů.

Neznámé vlastnosti přihlášení

Vypočítáno v reálném čase. Tento typ detekce rizik zohledňuje historii přihlašování kvůli vyhledávání neobvyklých přihlášení. Systém ukládá informace o předchozích přihlášeních a aktivuje detekci rizik, když dojde k přihlášení s vlastnostmi, které jsou pro uživatele neznámé. Mezi tyto vlastnosti patří IP adresa, ASN, umístění, zařízení, prohlížeč a podsíť IP adresy tenanta. Nově vytvořená uživatelé jsou v "výukovém režimu", ve kterém je detekce rizik neznámých vlastností přihlašování vypnutá, zatímco naše algoritmy učí chování uživatele. Doba trvání režimu učení je dynamická a závisí na tom, kolik času algoritmu trvá, než shromažďuje dostatek informací o vzorech přihlašování uživatele. Minimální doba trvání je pět dnů. Uživatel se může vrátit do režimu učení po dlouhé době nečinnosti.

Tuto detekci spustíme také pro základní ověřování (nebo starší protokoly). Vzhledem k tomu, že tyto protokoly nemají moderní vlastnosti, jako je ID klienta, existují omezená data ke snížení falešně pozitivních výsledků. Doporučujeme našim zákazníkům přejít na moderní ověřování.

U interaktivních i neinteraktivních přihlášení je možné zjistit neznámé vlastnosti přihlášení. Když se tato detekce zjistí u neinteraktivních přihlášení, zaslouží si zvýšenou kontrolu kvůli riziku útoků na přehrání tokenů.

Výběrem neznámého rizika vlastností přihlašování můžete zobrazit další informace o tom, proč se toto riziko aktivovalo.

Ověřená IP adresa aktéra hrozeb

Vypočítáno v reálném čase. Tento typ detekce rizik označuje přihlašovací aktivitu, která je konzistentní se známými IP adresami přidruženými k národním státním subjektům nebo skupinám kybernetických trestných činů na základě dat z centra Microsoft Threat Intelligence Center (MSTIC).

Detekce rizik uživatelů úrovně Premium

Neobvyklý token (uživatel)

Vypočítáno v reálném čase nebo offline. Tato detekce indikuje neobvyklé charakteristiky tokenu, jako je neobvyklá životnost nebo použití tokenu z neznámého umístění. Tato detekce se zabývá tokeny relací a obnovovacími tokeny.

Neobvyklý token je vyladěný tak, aby způsoboval více šumu než jiné detekce na stejné úrovni rizika. Tento kompromis je zvolen ke zvýšení pravděpodobnosti detekce zopakovaných tokenů, které by jinak mohly zůstat nepozorované. Existuje vyšší než obvyklá pravděpodobnost, že některé sesí označené touto detekcí mohou být falešně pozitivní. Doporučujeme prošetřit relace označené touto detekcí v kontextu dalších přihlášení uživatele. Pokud je umístění, aplikace, IP adresa, uživatelský agent nebo jiné charakteristiky pro uživatele neočekávané, měl by správce toto riziko považovat za indikátor potenciálního přehrání tokenu.

Tipy pro zkoumání neobvyklých detekcí tokenů

Neobvyklá uživatelská aktivita

Počítané offline. Detekce rizik vytváří základní linii pro normální chování administrativních uživatelů v Microsoft Entra Identity a odhaluje neobvyklé vzorce chování, jako jsou podezřelé změny adresáře. Detekce se aktivuje vůči správci, který změnu provede, nebo objekt, který byl změněn.

Útočník uprostřed

Počítané offline. Tato detekce vysoké přesnosti, známá také jako Útočník uprostřed, je spuštěna, když je relace ověřování spojena se škodlivým reverzním proxy serverem. V tomto druhu útoku může nežádoucí osoba zachytit přihlašovací údaje uživatele, včetně tokenů vystavených uživateli. Tým Microsoft Security Research používá Microsoft 365 Defender k zachycení identifikovaného rizika a zvýšení rizika uživatele na vysoké riziko. Doporučujeme správcům ručně prošetřit uživatele, když se tato detekce aktivuje, aby se zajistilo, že se riziko odstraní. Vymazání tohoto rizika může vyžadovat bezpečné resetování hesla nebo odvolání existujících relací.

Možný pokus o přístup k primárnímu obnovovacímu tokenu (PRT)

Počítané offline. Tento typ detekce rizik se zjistí pomocí informací poskytovaných programem Microsoft Defender for Endpoint (MDE). Primární obnovovací token (PRT) je klíčovým artefaktem ověřování Microsoft Entra ve Windows 10, Windows Serveru 2016 a novějších verzích, zařízeních s iOSem a Androidem. PRT je webový token JSON (JWT) vydaný pro zprostředkovatele tokenů Microsoftu první strany, který umožňuje jednotné přihlašování (SSO) napříč aplikacemi používanými na těchto zařízeních. Útočníci se mohou pokusit o přístup k tomuto prostředku, aby se mohli později přesunout do organizace nebo provést krádež přihlašovacích údajů. Tato detekce překlasifikuje uživatele na vysoké riziko a aktivuje se pouze v organizacích, které nasazují Microsoft Defender for Endpoint (MDE). Tato detekce je vysoce riziková a doporučujeme vyzvat k nápravě těchto uživatelů. Ve většině organizací se zobrazuje zřídka kvůli nízkému objemu.

Podezřelý provoz rozhraní API

Počítané offline. Tato detekce rizik se hlásí, když dojde k neobvyklému provozu GraphAPI nebo výčtu adresářů. Podezřelý provoz rozhraní API může naznačovat, že je uživatel ohrožen a provádí rekognoskaci v prostředí.

Podezřelé vzory odesílání

Počítané offline. Tento typ detekce rizik se zjistí pomocí informací poskytovaných Microsoft Defender pro Office 365 (MDO). Tato výstraha se vygeneruje, když někdo ve vaší organizaci odeslal podezřelý e-mail a je ohrožen nebo je omezen na odesílání e-mailů. Tato detekce přesouvá uživatele na střední riziko a aktivuje se výhradně v organizacích, které používají MDO. Tato detekce je nízká a ve většině organizací se vyskytuje zřídka.

Uživatel oznámil podezřelou aktivitu

Počítané offline. Tato detekce rizik se oznamuje, když uživatel odmítne výzvu vícefaktorového ověřování (MFA) a nahlásí ji jako podezřelou aktivitu. Výzva vícefaktorového ověřování, kterou uživatel neicializoval, může znamenat ohrožení přihlašovacích údajů.

Detekce nepremiových hodnot

Zákazníci bez licencí Microsoft Entra ID P2 obdrží detekci s názvem Další riziko zjištěné bez podrobných informací o detekci, kterou zákazníci s licencemi P2 dělají. Další informace najdete v licenčních požadavcích.

Detekce rizik při neprémiovém přihlašování

Zjistilo se další riziko (přihlášení)

Vypočítáno v reálném čase nebo offline. Tato detekce značí, že byla zjištěna jedna z detekcí úrovně Premium. Vzhledem k tomu, že detekce úrovně Premium jsou viditelné pouze zákazníkům Microsoft Entra ID P2, označují se jako další riziko zjištěné pro zákazníky bez licencí Microsoft Entra ID P2.

Správce potvrdil ohrožení zabezpečení uživatele

Počítané offline. Tato detekce indikuje, že správce vybral Potvrdit ohrožení uživatele v uživatelském rozhraní rizikových uživatelů nebo pomocí rozhraní API pro rizikové uživatele. Pokud chcete zjistit, který správce potvrdil ohrožení zabezpečení tohoto uživatele, zkontrolujte historii rizik uživatele (prostřednictvím uživatelského rozhraní nebo rozhraní API).

Anonymní IP adresa

Vypočítáno v reálném čase. Tento typ detekce rizik označuje přihlášení z anonymní IP adresy (například prohlížeče Tor nebo anonymní sítě VPN). Tyto IP adresy obvykle používají aktéři, kteří chtějí skrýt přihlašovací údaje (IP adresu, umístění, zařízení atd.) pro potenciálně škodlivý záměr.

Microsoft Entra Threat Intelligence (přihlášení)

Vypočítáno v reálném čase nebo offline. Tento typ detekce rizik označuje aktivitu uživatele, která je pro uživatele neobvyklá nebo je konzistentní se známými vzory útoku. Tato detekce je založená na interních a externích zdrojích analýzy hrozeb Od Microsoftu.

Tipy pro zkoumání detekcí informací o hrozbách Microsoft Entra

Detekce rizik neprémiových uživatelů

Zjistilo se další riziko (uživatel)

Vypočítáno v reálném čase nebo offline. Tato detekce značí, že byla zjištěna jedna z detekcí úrovně Premium. Vzhledem k tomu, že detekce úrovně Premium jsou viditelné pouze zákazníkům Microsoft Entra ID P2, označují se jako další riziko zjištěné pro zákazníky bez licencí Microsoft Entra ID P2.

Uniklé přihlašovací údaje

Počítané offline. Tento typ detekce rizik označuje, že došlo k úniku platných přihlašovacích údajů uživatele. Když kyberzločinci ohrožují platná hesla legitimních uživatelů, často tyto shromážděné přihlašovací údaje sdílejí. Toto sdílení obvykle spočívá ve zveřejnění přihlašovacích údajů na dark webu, na webech pro vkládání obsahu, nebo ve výměně a prodeji na černém trhu. Když služba Microsoft pro úniky přihlašovacích údajů získá uživatelské přihlašovací údaje z temného webu, paste stránek nebo jiných zdrojů, jsou porovnány s aktuálními platnými přihlašovacími údaji uživatelů Microsoft Entra, aby se našly platné shody. Další informace o úniku přihlašovacích údajů najdete v běžných dotazech.

Tipy pro prověřování detekcí uniklých přihlašovacích údajů

Microsoft Entra Služby pro analýzu hrozeb (uživatel)

Počítané offline. Tento typ detekce rizik označuje aktivitu uživatele, která je pro uživatele neobvyklá nebo je konzistentní se známými vzory útoku. Tato detekce je založená na interních a externích zdrojích analýzy hrozeb Od Microsoftu.

Tipy pro zkoumání detekcí hrozeb v rámci analýzy Microsoft Entra

Časté dotazy

Co když se k pokusu o přihlášení použily nesprávné přihlašovací údaje?

Ochrana ID generuje detekci rizik pouze v případech, kdy se použijí správné přihlašovací údaje. Pokud se při přihlášení používají nesprávné přihlašovací údaje, nepředstavuje riziko ohrožení přihlašovacích údajů.

Vyžaduje se synchronizace hodnot hash hesel?

Detekce rizik, jako jsou uniklé přihlašovací údaje, vyžadují přítomnost hodnot hash hesel, aby bylo možné detekci provést. Další informace o synchronizaci hodnot hash hesel najdete v článku Implementace synchronizace hodnot hash hesel se službou Microsoft Entra Connect Sync.

Proč se pro zakázané účty generují detekce rizik?

Uživatelské účty v zakázaném stavu je možné znovu povolit. Pokud dojde k ohrožení zabezpečení přihlašovacích údajů zakázaného účtu a účet se znovu povolí, můžou k získání přístupu použít chybné aktéry tyto přihlašovací údaje. Ochrana ID generuje detekce rizik pro podezřelé aktivity vůči těmto zakázaným účtům, aby zákazníky upozorňovala na potenciální ohrožení zabezpečení účtu. Pokud se účet už nepoužívá a nebude znovu povolený, měli by zákazníci zvážit jeho odstranění, aby se zabránilo ohrožení zabezpečení. Pro odstraněné účty se negenerují žádné detekce rizik.

Pokusil(a) jsem se seřadit zprávu o detekcích rizika pomocí sloupce čas detekce, ale nefunguje to.

Řazení podle času detekce ve zprávě o detekci rizik nemusí vždy poskytovat správný výsledek z důvodu známého technického omezení. Pokud chcete data seřadit podle času detekce , vyberte Stáhnout, aby se data exportovala jako soubor CSV a seřadila odpovídajícím způsobem.

Běžné dotazy k uniklým přihlašovacím údajům

Kde Microsoft nachází uniklé přihlašovací údaje?

Microsoft na různých místech najde uniklé přihlašovací údaje, mezi které patří:

  • Veřejné webové stránky na sdílení informací, kde lidé se špatnými úmysly obvykle publikují takový materiál.
  • orgány v oblasti prosazování práva.
  • Další skupiny v Microsoftu, které provádějí vyhledávání na tmavém webu.

Proč se mi nezobrazují žádné uniklé přihlašovací údaje?

Uniklé přihlašovací údaje jsou zpracovávány, když Microsoft najde novou dávku, která je veřejně dostupná. Z důvodu citlivé povahy se uniklé přihlašovací údaje krátce po zpracování odstraní. Nově uniklé přihlašovací údaje se zpracovávají pro vašeho tenanta pouze poté, co povolíte synchronizaci hodnot hash hesel (PHS). Ověření dříve nalezených párů přihlašovacích údajů není prováděno.

Nezobrazují se žádné události rizika úniku přihlašovacích údajů

Pokud se nezobrazí žádné události rizika úniku přihlašovacích údajů, je to z následujících důvodů:

  • Nemáte pro svého tenanta povolené PHS.
  • Společnost Microsoft nenašla žádné páry nevrácených přihlašovacích údajů, které odpovídají vašim uživatelům.

Jak často Microsoft zpracovává nové přihlašovací údaje?

Přihlašovací údaje se zpracovávají okamžitě po jejich nalezení, obvykle v několika dávkách za den.

Umístění

Umístění v detekcích rizik se určuje pomocí vyhledávání IP adres. Přihlášení z důvěryhodných pojmenovaných umístění zlepšují přesnost výpočtu rizika v Microsoft Entra ID Protection a snižují riziko přihlášení pro uživatele, kteří se ověřují z umístění označeného jako důvěryhodné.