Co jsou detekce rizik?
Microsoft Entra ID Protection poskytuje organizacím informace o podezřelé aktivitě ve svém tenantovi a umožňuje jim rychle reagovat, aby se zabránilo dalšímu riziku. Detekce rizik jsou výkonný prostředek, který může zahrnovat jakoukoli podezřelou nebo neobvyklou aktivitu související s uživatelským účtem v adresáři. Detekce rizik ochrany ID můžou být propojeny s jednotlivými uživateli nebo událostmi přihlášení a přispívat k celkovému skóre rizika uživatele zjištěnému v sestavě Rizikový uživatel.
Detekce rizik uživatelů můžou označit legitimní uživatelský účet jako ohrožený, když potenciální aktér hrozeb získá přístup k účtu tím, že zhrotí přihlašovací údaje nebo zjistí určitý typ neobvyklé aktivity uživatele. Detekce rizik přihlašování představují pravděpodobnost, že daný požadavek na ověření není autorizovaným vlastníkem účtu. Schopnost identifikovat riziko na úrovni uživatele a přihlašování je důležitá pro zákazníky, kteří mají možnost zabezpečit tenanta.
Úrovně rizika
Ochrana ID kategorizuje riziko do tří úrovní: nízká, střední a vysoká. Úrovně rizik vypočítané našimi algoritmy strojového učení a představují jistotu, že jeden nebo více přihlašovacích údajů uživatele zná neoprávněná entita.
- Detekce rizik s vysokou úrovní rizika znamená, že Microsoft je vysoce přesvědčený, že je účet ohrožen.
- Detekce rizik s nízkými znaménkami na úrovni rizika označuje, že v přihlašovacích údajích nebo přihlašovacích údajích uživatele existují anomálie, ale méně jsme si jistí, že tyto anomálie znamenají, že je účet ohrožený.
V závislosti na počtu nebo závažnosti zjištěných anomálií se může aktivovat mnoho detekcí na více než jedné z našich úrovní rizika. Například neznámé vlastnosti přihlašování se můžou aktivovat na základě spolehlivosti signálů na vysoké, střední nebo nízké úrovni. Některé detekce, jako jsou nevracené přihlašovací údaje a IP adresa ověřeného objektu actor hrozeb, se vždy doručují jako vysoké riziko.
Tato úroveň rizika je důležitá při rozhodování, které detekce se mají určit prioritu, prozkoumat a napravit. Hrají také klíčovou roli při konfiguraci zásad podmíněného přístupu na základě rizik, protože každá zásada se dá nastavit tak, aby aktivovala nízké, střední, vysoké nebo žádné riziko. Na základě odolnosti proti rizikům vaší organizace můžete vytvořit zásady, které vyžadují vícefaktorové ověřování nebo resetování hesla, když ochrana ID zjistí určitou úroveň rizika pro jednoho z vašich uživatelů. Tyto zásady můžou uživatele vést k samoobslužné nápravě a vyřešit riziko.
Důležité
Všechny detekce "nízké" úrovně rizika a uživatelé zůstanou v produktu po dobu 6 měsíců, po jejichž uplynutí budou automaticky zastaralí, aby poskytli čistější prostředí pro šetření. Střední a vysoká úroveň rizika se zachová, dokud se nenapraví nebo nespustí.
Na základě odolnosti proti rizikům vaší organizace můžete vytvořit zásady, které vyžadují vícefaktorové ověřování nebo resetování hesla, když ochrana ID zjistí určitou úroveň rizika. Tyto zásady můžou uživatele vést k samoobslužné nápravě a vyřešení rizika nebo blokování v závislosti na vašich tolerancech.
Detekce v reálném čase a offline
Ochrana ID využívá techniky ke zvýšení přesnosti detekce rizik uživatelů a přihlašování tím, že po ověření vypočítává některá rizika v reálném čase nebo offline. Zjištění rizika v reálném čase při přihlášení dává výhodu identifikaci rizika v rané fázi, aby zákazníci mohli rychle prozkoumat potenciální ohrožení. Při detekcích, které vypočítají riziko offline, můžou poskytnout lepší přehled o tom, jak herec hrozeb získal přístup k účtu a jaký vliv na legitimního uživatele. Některé detekce se dají aktivovat offline i během přihlášení, což zvyšuje důvěru v přesnost na ohrožení zabezpečení.
Detekce aktivované v reálném čase trvá 5 až 10 minut, než se zobrazí podrobnosti v sestavách. Zobrazení offline detekcí v sestavách trvá až 48 hodin, protože vyhodnocení vlastností potenciálního rizika nějakou dobu trvá.
Poznámka:
Náš systém může zjistit, že riziková událost, která přispěla k rizikovému skóre rizika uživatele, byla:
- Falešně pozitivní
- Riziko uživatele byly napraveny zásadami :
- Dokončení vícefaktorového ověřování
- Zabezpečená změna hesla
Náš systém zavře stav rizika a podrobnosti o riziku potvrzeného přihlášení AI se zobrazí a už nepřispívají k celkovému riziku uživatele.
V datech s podrobnými informacemi o riziku zaznamenává Detekce času přesný okamžik, kdy se riziko identifikuje při přihlašování uživatele, což umožňuje posouzení rizik v reálném čase a aplikaci okamžitých zásad k ochraně uživatele a organizace. Poslední aktualizace detekce ukazuje nejnovější aktualizaci detekce rizik, která může být způsobená novými informacemi, změnami na úrovni rizika nebo akcemi správy a zajišťuje aktuální správu rizik.
Tato pole jsou nezbytná pro monitorování v reálném čase, reakci na hrozby a udržování zabezpečeného přístupu k prostředkům organizace.
Detekce rizik mapované na riskEventType
Detekce rizik | Typ detekce | Typ | riskEventType |
---|---|---|---|
Detekce rizik přihlašování | |||
Aktivita z anonymní IP adresy | Režim offline | Premium | riskyIPAddress |
Zjistilo se další riziko (přihlášení) | V reálném čase nebo offline | Nonpremium | generic = Klasifikace detekce Premium pro tenanty bez P2 |
Správce potvrdil ohrožení zabezpečení uživatele | Režim offline | Nonpremium | adminConfirmedUserCompromised |
neobvyklý token (přihlášení) | V reálném čase nebo offline | Premium | anomálieToken |
Anonymní IP adresa | V reálném čase | Nonpremium | anonymizovaná ip adresa |
Atypická cesta | Režim offline | Premium | nepravděpodobnáTravel |
Nemožné cestování | Režim offline | Premium | mcasImpossibleTravel |
Škodlivá IP adresa | Režim offline | Premium | škodlivé IP adresy |
Hromadný přístup k citlivým souborům | Režim offline | Premium | mcasFinSuspiciousFileAccess |
Microsoft Entra Threat Intelligence (přihlášení) | V reálném čase nebo offline | Nonpremium | investigationsThreatIntelligence |
Nová země | Režim offline | Premium | newCountry |
Password Spray | Režim offline | Premium | passwordSpray |
Podezřelý prohlížeč | Režim offline | Premium | suspiciousBrowser |
Podezřelé přeposílání doručené pošty | Režim offline | Premium | suspiciousInboxForwarding |
Podezřelá pravidla manipulace s doručenou poštou | Režim offline | Premium | mcasSuspiciousInboxManipulationRules |
Anomálie vystavitele tokenů | Režim offline | Premium | tokenIssuerAnomaly |
Neznámé vlastnosti přihlášení | V reálném čase | Premium | Neznámé funkceFeatures |
Ip adresa ověřeného objektu actor hrozeb | V reálném čase | Premium | nationStateIP |
Detekce rizik uživatelů | |||
Zjistilo se další riziko (uživatel) | V reálném čase nebo offline | Nonpremium | generic = Klasifikace detekce Premium pro tenanty bez P2 |
neobvyklý token (uživatel) | V reálném čase nebo offline | Premium | anomálieToken |
Neobvyklá uživatelská aktivita | Režim offline | Premium | anomálieUserActivity |
Útočník uprostřed | Režim offline | Premium | útočník vTheMiddle |
Uniklé přihlašovací údaje | Režim offline | Nonpremium | leakedCredentials |
Microsoft Entra Threat Intelligence (uživatel) | V reálném čase nebo offline | Nonpremium | investigationsThreatIntelligence |
Možný pokus o přístup k primárnímu obnovovacímu tokenu (PRT) | Režim offline | Premium | attemptedPrtAccess |
Podezřelý provoz rozhraní API | Režim offline | Premium | suspiciousAPITraffic |
Podezřelé vzory odesílání | Režim offline | Premium | suspiciousSendingPatterns |
Uživatel oznámil podezřelou aktivitu | Režim offline | Premium | userReportedSuspiciousActivity |
Další informace o detekcích rizik identit úloh najdete v tématu Zabezpečení identit úloh.
Detekce úrovně Premium
Následující detekce úrovně Premium jsou viditelné pouze zákazníkům Microsoft Entra ID P2.
Detekce rizik přihlašování úrovně Premium
Aktivita z anonymní IP adresy
Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce identifikuje, že uživatelé byli aktivní z IP adresy identifikované jako ip adresa anonymního proxy serveru.
Neobvyklý token (přihlášení)
Vypočítáno v reálném čase nebo offline. Tato detekce indikuje neobvyklé charakteristiky tokenu, jako je neobvyklá životnost nebo token přehrával z neznámého umístění. Tato detekce se zabývá tokeny relací a obnovovacími tokeny.
Neobvyklý token je vyladěný tak, aby způsoboval více šumu než jiné detekce na stejné úrovni rizika. Tento kompromis je zvolen ke zvýšení pravděpodobnosti detekce přehrání tokenů, které by jinak mohly být nepovšimané. Existuje větší než normální šance, že některé relace označené touto detekcí jsou falešně pozitivní. Doporučujeme prošetřit relace označené touto detekcí v kontextu jiných přihlášení od uživatele. Pokud je umístění, aplikace, IP adresa, uživatelský agent nebo jiné charakteristiky pro uživatele neočekávané, měl by správce toto riziko považovat za indikátor potenciálního přehrání tokenu.
Tipy pro zkoumání neobvyklých detekcí tokenů
Neobvyklá cesta
Počítané offline. Tento typ detekce rizik identifikuje dvě přihlášení pocházející z geograficky vzdálených míst, kde nejméně jedno z těchto umístění může být pro uživatele při minulém chování neobvyklé. Algoritmus bere v úvahu více faktorů, včetně času mezi dvěma přihlášeními a časem, který by uživateli trvalo cestovat z prvního místa na druhé. Toto riziko může znamenat, že jiný uživatel používá stejné přihlašovací údaje.
Algoritmus ignoruje zjevné "falešně pozitivní výsledky" přispívající k nespočívaným cestovním podmínkám, jako jsou sítě VPN a místa, která pravidelně používají jiní uživatelé v organizaci. Systém má počáteční období učení prvních 14 dnů nebo 10 přihlášení, během kterých se učí chování přihlašování nového uživatele.
Tipy pro vyšetřování atypických detekcí cest
Neuskutečnitelná cesta
Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce identifikuje aktivity uživatelů (v jednom nebo několika relacích) pocházející z geograficky vzdálených lokalit v časovém období kratším než doba trvání cesty z prvního umístění do druhého. Toto riziko může znamenat, že jiný uživatel používá stejné přihlašovací údaje.
Škodlivá IP adresa
Počítané offline. Tato detekce označuje přihlášení ze škodlivé IP adresy. IP adresa se považuje za škodlivou na základě vysoké míry selhání kvůli neplatným přihlašovacím údajům přijatým z IP adresy nebo jiných zdrojů reputace IP adres. V některých případech se tato detekce aktivuje u předchozí škodlivé aktivity.
Tipy pro vyšetřování detekce škodlivých IP adres
Hromadný přístup k citlivým souborům
Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce se podívá na vaše prostředí a aktivuje upozornění, když uživatelé přistupují k více souborům z Microsoft Office SharePoint Online nebo Microsoft OneDrivu. Upozornění se aktivuje jenom v případě, že je počet přístupných souborů pro uživatele neobvyklý a soubory můžou obsahovat citlivé informace.
Nová země
Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce bere v úvahu umístění minulých aktivit k určení nových a zřídka používaných umístění. Modul detekce anomálií ukládá informace o předchozích umístěních používaných uživateli v organizaci.
Password Spray
Počítané offline. Útok password spray je místo, kde více identit je napadeno pomocí běžných hesel jednotným způsobem hrubou silou. Detekce rizik se aktivuje, když je heslo účtu platné a pokusí se přihlásit. Tato detekce signalizuje, že heslo uživatele bylo správně identifikováno útokem password spray, nikoli tím, že útočník měl přístup k jakýmkoli prostředkům.
Tipy pro vyšetřování detekce škodlivých IP adres
Podezřelý prohlížeč
Počítané offline. Detekce podezřelého prohlížeče označuje neobvyklé chování na základě podezřelé přihlašovací aktivity napříč několika tenanty z různých zemí ve stejném prohlížeči.
Tipy pro vyšetřování podezřelých detekcí prohlížeče
Podezřelé přeposílání doručené pošty
Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce hledá podezřelá pravidla pro přeposílání e-mailů, například pokud uživatel vytvořil pravidlo doručené pošty, které přesměruje kopii všech e-mailů na externí adresu.
Podezřelá pravidla manipulace s doručenou poštou
Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce se podívá na vaše prostředí a aktivuje výstrahy, když jsou ve složce Doručená pošta uživatele nastavená podezřelá pravidla, která odstraňují nebo přesouvají zprávy nebo složky. Tato detekce může znamenat: účet uživatele je napadený, zprávy jsou záměrně skryté a poštovní schránka se používá k distribuci spamu nebo malwaru ve vaší organizaci.
Anomálie vystavitele tokenů
Počítané offline. Tato detekce rizik označuje vystavitele tokenu SAML pro přidružený token SAML, který je potenciálně ohrožen. Deklarace identity zahrnuté v tokenu jsou neobvyklé nebo odpovídají známým vzorům útočníka.
Tipy pro zkoumání detekcí anomálií vystavitele tokenů
Neznámé vlastnosti přihlášení
Vypočítáno v reálném čase. Tento typ detekce rizik považuje historii přihlašování za účelem vyhledání neobvyklých přihlášení. Systém ukládá informace o předchozích přihlášeních a aktivuje detekci rizik, když dojde k přihlášení s vlastnostmi, které nejsou pro uživatele neznámé. Mezi tyto vlastnosti patří IP adresa, ASN, umístění, zařízení, prohlížeč a podsíť IP adresy tenanta. Nově vytvořená uživatelé jsou v "výukovém režimu", ve kterém je detekce rizik neznámých vlastností přihlašování vypnutá, zatímco naše algoritmy učí chování uživatele. Doba trvání režimu učení je dynamická a závisí na tom, kolik času algoritmu trvá, než shromažďuje dostatek informací o vzorech přihlašování uživatele. Minimální doba trvání je pět dnů. Uživatel se může vrátit do režimu učení po dlouhé době nečinnosti.
Tuto detekci spustíme také pro základní ověřování (nebo starší protokoly). Vzhledem k tomu, že tyto protokoly nemají moderní vlastnosti, jako je ID klienta, existují omezená data ke snížení falešně pozitivních výsledků. Doporučujeme našim zákazníkům přejít na moderní ověřování.
U interaktivních i neinteraktivních přihlášení je možné zjistit neznámé vlastnosti přihlášení. Když se tato detekce zjistí u neinteraktivních přihlášení, zaslouží si zvýšenou kontrolu kvůli riziku útoků na přehrání tokenů.
Výběrem neznámého rizika vlastností přihlašování můžete zobrazit další informace o tom, proč se toto riziko aktivovalo.
Ip adresa ověřeného objektu actor hrozeb
Vypočítáno v reálném čase. Tento typ detekce rizik označuje přihlašovací aktivitu, která je konzistentní se známými IP adresami přidruženými k národním státním subjektům nebo skupinám kybernetických trestných činů na základě dat z centra Microsoft Threat Intelligence Center (MSTIC).
Detekce rizik uživatelů úrovně Premium
Neobvyklý token (uživatel)
Vypočítáno v reálném čase nebo offline. Tato detekce indikuje neobvyklé charakteristiky tokenu, jako je neobvyklá životnost nebo token přehrával z neznámého umístění. Tato detekce se zabývá tokeny relací a obnovovacími tokeny.
Neobvyklý token je vyladěný tak, aby způsoboval více šumu než jiné detekce na stejné úrovni rizika. Tento kompromis je zvolen ke zvýšení pravděpodobnosti detekce přehrání tokenů, které by jinak mohly být nepovšimané. Existuje větší než normální šance, že některé relace označené touto detekcí jsou falešně pozitivní. Doporučujeme prošetřit relace označené touto detekcí v kontextu jiných přihlášení od uživatele. Pokud je umístění, aplikace, IP adresa, uživatelský agent nebo jiné charakteristiky pro uživatele neočekávané, měl by správce toto riziko považovat za indikátor potenciálního přehrání tokenu.
Tipy pro zkoumání neobvyklých detekcí tokenů
Neobvyklá uživatelská aktivita
Počítané offline. Tento směrný plán detekce rizik představuje normální chování administrativních uživatelů v ID Microsoft Entra a označuje neobvyklé vzory chování, jako jsou podezřelé změny adresáře. Detekce se aktivuje vůči správci, který změnu provede, nebo objekt, který byl změněn.
Útočník uprostřed
Počítané offline. Tato detekce vysoké přesnosti se také označuje jako Nežádoucí osoba uprostřed, když je relace ověřování propojená se škodlivým reverzním proxy serverem. V tomto druhu útoku může nežádoucí osoba zachytit přihlašovací údaje uživatele, včetně tokenů vystavených uživateli. Tým Microsoft Security Research používá Microsoft 365 Defender k zachycení identifikovaného rizika a zvýšení rizika uživatele na vysoké riziko. Doporučujeme správcům ručně prošetřit uživatele, když se tato detekce aktivuje, aby se zajistilo, že se riziko vymaže. Vymazání tohoto rizika může vyžadovat bezpečné resetování hesla nebo odvolání existujících relací.
Možný pokus o přístup k primárnímu obnovovacímu tokenu (PRT)
Počítané offline. Tento typ detekce rizik se zjistí pomocí informací poskytovaných programem Microsoft Defender for Endpoint (MDE). Primární obnovovací token (PRT) je klíčovým artefaktem ověřování Microsoft Entra ve Windows 10, Windows Serveru 2016 a novějších verzích, zařízeních s iOSem a Androidem. PRT je webový token JSON (JWT) vydaný pro zprostředkovatele tokenů Microsoftu první strany, který umožňuje jednotné přihlašování (SSO) napříč aplikacemi používanými na těchto zařízeních. Útočníci se mohou pokusit o přístup k tomuto prostředku, aby se mohli později přesunout do organizace nebo provést krádež přihlašovacích údajů. Tato detekce přesouvá uživatele na vysoké riziko a aktivuje se pouze v organizacích, které nasazují MDE. Tato detekce je vysoce riziková a doporučujeme vyzvat k nápravě těchto uživatelů. Ve většině organizací se zobrazuje zřídka kvůli nízkému objemu.
Podezřelý provoz rozhraní API
Počítané offline. Tato detekce rizik se hlásí, když dojde k neobvyklému provozu GraphAPI nebo výčtu adresářů. Podezřelý provoz rozhraní API může naznačovat, že je uživatel ohrožen a provádí rekognoskaci v prostředí.
Podezřelé vzory odesílání
Počítané offline. Tento typ detekce rizik se zjistí pomocí informací poskytovaných Microsoft Defender pro Office 365 (MDO). Tato výstraha se vygeneruje, když někdo ve vaší organizaci odeslal podezřelý e-mail a je ohrožen nebo je omezen na odesílání e-mailů. Tato detekce přesouvá uživatele na střední riziko a aktivuje se pouze v organizacích, které nasazují MDO. Tato detekce je nízká a ve většině organizací se vyskytuje zřídka.
Uživatel oznámil podezřelou aktivitu
Počítané offline. Tato detekce rizik se oznamuje, když uživatel odmítne výzvu vícefaktorového ověřování (MFA) a nahlásí ji jako podezřelou aktivitu. Výzva vícefaktorového ověřování, kterou uživatel neicializoval, může znamenat ohrožení přihlašovacích údajů.
Detekce nepremiových hodnot
Zákazníci bez licencí Microsoft Entra ID P2 obdrží detekci s názvem Další riziko zjištěné bez podrobných informací o detekci, kterou zákazníci s licencemi P2 dělají. Další informace najdete v licenčních požadavcích.
Detekce rizik přihlašování bez registrace
Zjistilo se další riziko (přihlášení)
Vypočítáno v reálném čase nebo offline. Tato detekce značí, že byla zjištěna jedna z detekcí úrovně Premium. Vzhledem k tomu, že detekce úrovně Premium jsou viditelné pouze zákazníkům Microsoft Entra ID P2, označují se jako další riziko zjištěné pro zákazníky bez licencí Microsoft Entra ID P2.
Správce potvrdil ohrožení zabezpečení uživatele
Počítané offline. Tato detekce indikuje, že správce vybral Možnost Potvrdit ohrožení uživatele v uživatelském rozhraní rizikových uživatelů nebo pomocí rizikového uživatelského rozhraní API Uživatele. Pokud chcete zjistit, který správce potvrdil ohrožení zabezpečení tohoto uživatele, zkontrolujte historii rizik uživatele (prostřednictvím uživatelského rozhraní nebo rozhraní API).
Anonymní IP adresa
Vypočítáno v reálném čase. Tento typ detekce rizik označuje přihlášení z anonymní IP adresy (například prohlížeče Tor nebo anonymní sítě VPN). Tyto IP adresy obvykle používají aktéři, kteří chtějí skrýt přihlašovací údaje (IP adresu, umístění, zařízení atd.) pro potenciálně škodlivý záměr.
Microsoft Entra Threat Intelligence (přihlášení)
Vypočítáno v reálném čase nebo offline. Tento typ detekce rizik označuje aktivitu uživatele, která je pro uživatele neobvyklá nebo je konzistentní se známými vzory útoku. Tato detekce je založená na interních a externích zdrojích analýzy hrozeb Od Microsoftu.
Tipy pro zkoumání detekcí analýzy hrozeb Microsoft Entra
Detekce rizik uživatelů, kteří nejsoupremium
Zjistilo se další riziko (uživatel)
Vypočítáno v reálném čase nebo offline. Tato detekce značí, že byla zjištěna jedna z detekcí úrovně Premium. Vzhledem k tomu, že detekce úrovně Premium jsou viditelné pouze zákazníkům Microsoft Entra ID P2, označují se jako další riziko zjištěné pro zákazníky bez licencí Microsoft Entra ID P2.
Uniklé přihlašovací údaje
Počítané offline. Tento typ detekce rizik označuje, že došlo k úniku platných přihlašovacích údajů uživatele. Když kyberzločinci ohrožují platná hesla legitimních uživatelů, často tyto shromážděné přihlašovací údaje sdílejí. Toto sdílení obvykle spočívá ve zveřejnění na dark webu nebo na webech pro vkládání obsahu nebo v prodeji na černém trhu. Když služba pro únik přihlašovacích údajů Microsoftu získá přihlašovací údaje uživatele z tmavého webu, vloží weby nebo jiné zdroje, zkontrolují se v aktuálních přihlašovacích údajích uživatelů Microsoft Entra a vyhledá platné shody. Další informace o úniku přihlašovacích údajů najdete v běžných dotazech.
Tipy pro vyšetřování detekce nevracených přihlašovacích údajů
Microsoft Entra Threat Intelligence (uživatel)
Počítané offline. Tento typ detekce rizik označuje aktivitu uživatele, která je pro uživatele neobvyklá nebo je konzistentní se známými vzory útoku. Tato detekce je založená na interních a externích zdrojích analýzy hrozeb Od Microsoftu.
Tipy pro zkoumání detekcí analýzy hrozeb Microsoft Entra
Časté dotazy
Co když se k pokusu o přihlášení použily nesprávné přihlašovací údaje?
Ochrana ID generuje detekci rizik pouze v případech, kdy se použijí správné přihlašovací údaje. Pokud se při přihlášení používají nesprávné přihlašovací údaje, nepředstavuje riziko ohrožení přihlašovacích údajů.
Vyžaduje se synchronizace hodnot hash hesel?
Detekce rizik, jako jsou nevracené přihlašovací údaje, vyžadují přítomnost hodnot hash hesel, aby se detekce vyskytla. Další informace o synchronizaci hodnot hash hesel najdete v článku Implementace synchronizace hodnot hash hesel se službou Microsoft Entra Connect Sync.
Proč se pro zakázané účty generují detekce rizik?
Uživatelské účty v zakázaném stavu je možné znovu povolit. Pokud dojde k ohrožení zabezpečení přihlašovacích údajů zakázaného účtu a účet se znovu povolí, můžou k získání přístupu použít chybné aktéry tyto přihlašovací údaje. Ochrana ID generuje detekce rizik pro podezřelé aktivity vůči těmto zakázaným účtům, aby zákazníky upozorňovala na potenciální ohrožení zabezpečení účtu. Pokud se účet už nepoužívá a nebude znovu povolený, měli by zákazníci zvážit jeho odstranění, aby se zabránilo ohrožení zabezpečení. Pro odstraněné účty se negenerují žádné detekce rizik.
Běžné dotazy k nevraceným přihlašovacím údajům
Kde Microsoft našel nevracené přihlašovací údaje?
Microsoft na různých místech najde uniklé přihlašovací údaje, mezi které patří:
- Veřejné vložené weby, kde bad actors obvykle publikuje takový materiál.
- orgány v oblasti prosazování práva.
- Další skupiny v Microsoftu, které provádějí vyhledávání na tmavém webu.
Proč se mi nezobrazují žádné uniklé přihlašovací údaje?
Nevracené přihlašovací údaje se zpracovávají, kdykoli Microsoft najde novou veřejně dostupnou dávku. Z důvodu citlivé povahy se nevracené přihlašovací údaje krátce po zpracování odstraní. Po povolení synchronizace hodnot hash hesel (PHS) se pro vašeho tenanta zpracují jenom nové nevracené přihlašovací údaje. Ověření dříve nalezených párů přihlašovacích údajů se neprovedlo.
Nezobrazují se žádné události rizika úniku přihlašovacích údajů
Pokud se nezobrazí žádné události rizika úniku přihlašovacích údajů, je to z následujících důvodů:
- Pro svého tenanta nemáte povolené phS.
- Společnost Microsoft nenašla žádné páry nevrácených přihlašovacích údajů, které odpovídají vašim uživatelům.
Jak často Microsoft zpracovává nové přihlašovací údaje?
Přihlašovací údaje se zpracovávají okamžitě po jejich nalezení, obvykle v několika dávkách za den.
Umístění
Umístění v detekcích rizik se určuje pomocí vyhledávání IP adres. Přihlášení z důvěryhodných pojmenovaných umístění zlepšují přesnost výpočtu rizika microsoft Entra ID Protection a snižují riziko přihlášení uživatele při ověřování z umístění označeného jako důvěryhodné.