Wat zijn risicodetecties?
Microsoft Entra ID Protection biedt organisaties informatie over verdachte activiteiten in hun tenant en stelt hen in staat snel te reageren om verdere risico's te voorkomen. Risicodetecties zijn een krachtige resource die verdachte of afwijkende activiteiten met betrekking tot een gebruikersaccount in de directory kan bevatten. Id Protection-risicodetecties kunnen worden gekoppeld aan een afzonderlijke gebruiker of aanmeldingsgebeurtenis en bijdragen aan de algehele gebruikersrisicoscore in het rapport Riskante gebruikers.
Detecties van gebruikersrisico's kunnen een legitiem gebruikersaccount als risico markeren, wanneer een potentiële bedreigingsacteur toegang krijgt tot een account door hun referenties in gevaar te brengen of wanneer ze een bepaald type afwijkende gebruikersactiviteit detecteren. Aanmeldingsrisicodetecties geven de kans aan dat een bepaalde verificatieaanvraag niet de geautoriseerde eigenaar van het account is. De mogelijkheid om risico's op gebruikers- en aanmeldingsniveau te identificeren, is essentieel voor klanten om hun tenant te beveiligen.
Risiconiveaus
Id Protection categoriseert het risico in drie lagen: laag, gemiddeld en hoog. Risiconiveaus die worden berekend door onze machine learning-algoritmen en geven aan hoe zeker Microsoft is dat een of meer van de referenties van de gebruiker bekend zijn door een niet-geautoriseerde entiteit.
- Een risicodetectie met risiconiveau Hoog geeft aan dat Microsoft zeer zeker weet dat het account is aangetast.
- Een risicodetectie met risiconiveau Laag geeft aan dat er afwijkingen aanwezig zijn in de aanmelding of de referenties van een gebruiker, maar we zijn er minder zeker van dat deze afwijkingen betekenen dat het account is aangetast.
Veel detecties kunnen worden geactiveerd op meer dan een van onze risiconiveaus, afhankelijk van het aantal of de ernst van de gedetecteerde afwijkingen. Zo kunnen niet-bekende aanmeldingseigenschappen worden geactiveerd op hoog, gemiddeld of laag op basis van het vertrouwen in de signalen. Sommige detecties, zoals gelekte inloggegevens en geverifieerde bedreigingsacteur IP, worden altijd als een hoog risico beschouwd.
Dit risiconiveau is belangrijk bij het bepalen welke detecties prioriteit moeten krijgen, onderzoeken en herstellen. Ze spelen ook een belangrijke rol bij het configureren van risicogebaseerd voorwaardelijk toegangsbeleid, aangezien elk beleid kan worden ingesteld om te reageren op gedetecteerd laag, gemiddeld, hoog, of geen risico. Op basis van de risicotolerantie van uw organisatie kunt u beleidsregels maken waarvoor MFA of wachtwoordherstel is vereist wanneer ID Protection een bepaald risiconiveau voor een van uw gebruikers detecteert. Deze beleidsregels kunnen de gebruiker helpen zelf te herstellen om het risico op te lossen.
Belangrijk
Alle detecties en gebruikers op het risiconiveau 'laag' zullen zes maanden in het product aanwezig blijven, waarna ze automatisch worden uitgefaseerd om een schonere onderzoeksomgeving te bieden. De middelmatige en hoge risiconiveaus zullen aanhouden totdat ze zijn hersteld of opgeheven.
Op basis van de risicotolerantie van uw organisatie kunt u beleidsregels maken waarvoor MFA of wachtwoordherstel is vereist wanneer ID Protection een bepaald risiconiveau detecteert. Met deze beleidsregels kan de gebruiker het risico of de blokkering zelf oplossen, afhankelijk van uw toleranties.
Realtime en offline detecties
ID Protection maakt gebruik van technieken om de precisie van de detectie van gebruikers- en aanmeldingsrisico's te verhogen door enkele risico's in realtime of offline te berekenen na verificatie. Het detecteren van risico's in realtime bij het aanmelden biedt het voordeel van het vroegtijdig identificeren van risico's, zodat klanten het potentiële compromis snel kunnen onderzoeken. Bij detecties die risico's offline berekenen, kunnen ze meer inzicht geven in hoe de bedreigingsacteur toegang heeft gekregen tot het account en het effect op de legitieme gebruiker. Sommige detecties kunnen zowel offline als tijdens het aanmelden worden geactiveerd, waardoor het vertrouwen in het nauwkeurig zijn van de inbreuk toeneemt.
Detecties die in realtime worden geactiveerd, hebben 5-10 minuten nodig voordat details in de rapporten zichtbaar worden. Het duurt maximaal 48 uur voordat offlinedetecties in de rapporten worden weergegeven, omdat het tijd kost om eigenschappen van het potentiële risico te evalueren.
Notitie
Ons systeem kan detecteren dat de risicogebeurtenis die heeft bijgedragen aan de risicoscore van de gebruiker, een van de volgende was:
- Een foutpositief
- Het gebruikersrisico is opgelost door beleid door:
- Meervoudige verificatie voltooien
- Wachtwoordwijziging beveiligen
Ons systeem verwerpt de risicostatus en er verschijnt een risicodetail van waarbij AI bevestigd dat aanmelden veilig is, zodat de risicostatus niet langer bijdraagt aan het algehele risico van de gebruiker.
Op risico-gedetailleerde gegevens registreert Tijddetectie het exacte moment waarop een risico wordt geïdentificeerd tijdens de aanmelding van een gebruiker, waardoor realtime risicoanalyse en onmiddellijke beleidstoepassing de gebruiker en organisatie kunnen beschermen. Detectie laatst bijgewerkt toont de meest recente update voor een risicodetectie, die kan worden veroorzaakt door nieuwe informatie, wijzigingen op risiconiveau of beheeracties, en zorgt voor up-to-date risicobeheer.
Deze velden zijn essentieel voor realtime bewaking, reactie op bedreigingen en het onderhouden van veilige toegang tot organisatieresources.
Risicodetecties die zijn toegewezen aan riskEventType
| Risicodetectie | Detectietype | Type | risicoGebeurtenistype |
|---|---|---|---|
| Detectie van aanmeldingsrisico's | |||
| Activiteit van anoniem IP-adres | Offline | Premiumkwaliteit | riskyIPAddress |
| Extra risico gedetecteerd (aanmelding) | Realtime of offline | Niet-premium | generic = Premium-detectieclassificatie voor niet-P2-tenants |
| Beheerder heeft bevestigd dat de gebruiker is gecompromitteerd | Offline | Niet-premium | beheerderBevestigdeGebruikerGecompromitteerd |
| Afwijkende token (aanmelding) | Realtime of offline | Premium | afwijkendeToken |
| Anoniem IP-adres | Real-time | Niet-premium | geanonimiseerd IP-adres |
| Atypisch reizen | Offline | Premium | unlikelyTravel |
| Onmogelijke reis | Offline | Premium | mcasImpossibleTravel |
| Schadelijk IP-adres | Offline | Premie | kwaadaardig IP-adres |
| Massatoegang tot gevoelige bestanden | Offline | Hoogwaardig | mcasFinVerdachteBestandsToegang |
| Bedreigingsinformatie van Microsoft Entra (aanmelden) | Realtime of offline | Niet-premium | onderzoekenThreatIntelligence |
| Nieuw land | Offline | Premium | nieuwLand |
| Wachtwoordspray | Realtime of offline | Premium | passwordSpray |
| Verdachte browser | Offline | Premie | verdachteBrowser |
| Suspicious inbox forwarding ( | Offline | Premium | suspiciousInboxForwarding |
| Verdachte manipulatieregels voor de inbox | Offline | Premium | mcasVerdachteInboxManipulatieregels |
| Tokenuitgeverafwijking | Offline | Premium | tokenuitgeverAnomalie |
| Onbekende aanmeldingseigenschappen | Realtijd | Premium | onbekende functies |
| Ip-adres van geverifieerde bedreigingsacteur | Realtijd | Premium | natiestaatIP |
| Detectie van gebruikersrisico's | |||
| Extra risico gedetecteerd (gebruiker) | Realtime ofwel offline | Niet-premium | generic = Premium-detectieclassificatie voor niet-P2-tenants |
| Afwijkend Token (gebruiker) | Realtime of offline | Premium | afwijkendToken |
| Afwijkende gebruikersactiviteit | Offline | Premium | afwijkende gebruikersactiviteiten |
| Aanvaller in het midden | Offline | Premium | aanvallerinTheMiddle |
| Gelekte inloggegevens | Offline | Niet-premium | gelekte referenties |
| Bedreigingsinformatie van Microsoft Entra (gebruiker) | Realtime of offline | Niet-premium | Onderzoeken Dreigingsintelligentie |
| Mogelijke poging om toegang te krijgen tot het primaire verversingstoken (PRT) | Offline | Premium | geprobeerdPrtAccess |
| Verdachte API-verkeer | Offline | Premium | suspiciousAPITraffic |
| Verdachte verzendpatronen | Offline | Topkwaliteit | verdachteVerzendpatronen |
| Gebruiker heeft verdachte activiteiten gerapporteerd | Offline | Premium | gebruikerHeeftVerdachteActiviteitGerapporteerd |
Voor meer informatie over de detectie van identiteitsrisico's voor werkbelastingen, zie Het beveiligen van workloadidentiteiten.
Premiumdetecties
De volgende Premium-detecties zijn alleen zichtbaar voor Klanten van Microsoft Entra ID P2.
Detectie aanmeldingsrisico's
Activiteit vanaf anoniem IP-adres
Offline berekend. Deze detectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Cloud Apps. Deze detectie identificeert dat gebruikers actief waren vanaf een IP-adres dat is geïdentificeerd als een anoniem proxy-IP-adres.
Afwijkend token (aanmelding)
Wordt in realtime of offline berekend. Deze detectie geeft abnormale kenmerken in het token aan, zoals een ongebruikelijke levensduur of een token dat wordt afgespeeld vanaf een onbekende locatie. Deze detectie omvat de sessietokens en verversingtokens.
Het afwijkende token is afgestemd om meer ruis te veroorzaken dan andere detecties op hetzelfde risiconiveau. Deze afweging wordt gekozen om de kans op het detecteren van opnieuw afgespeelde tokens te vergroten die anders onopgemerkt kunnen blijven. Er is een hogere kans dan normaal dat sommige sessies die door deze detectie zijn gemarkeerd, fout-positieven zijn. Wij raden u aan om de sessies te onderzoeken die door deze detectie zijn gemarkeerd in de context van andere aanmeldingen van de gebruiker. Als de locatie, toepassing, IP-adres, gebruikersagent of andere kenmerken onverwacht zijn voor de gebruiker, moet de beheerder dit risico beschouwen als een indicator van mogelijke tokenherplay.
Tips voor het onderzoeken van abnormale token detecties.
Ongebruikelijke reis
Offline berekend. Dit type risicodetectie identificeert twee aanmeldingen die afkomstig zijn van geografisch verre locaties, waarbij ten minste één van de locaties ook atypisch kan zijn voor de gebruiker, gezien het eerdere gedrag. Het algoritme houdt rekening met meerdere factoren, waaronder de tijd tussen de twee aanmeldingen en de tijd die de gebruiker nodig heeft om van de eerste locatie naar de tweede te reizen. Dit risico kan erop wijzen dat een andere gebruiker dezelfde referenties gebruikt.
Het algoritme negeert overduidelijke "fout-positieven" die bijdragen aan onmogelijke reisvoorwaarden, zoals VPN's en locaties die regelmatig door andere gebruikers in de organisatie worden gebruikt. Het systeem heeft een aanvankelijke leerperiode van de eerste 14 dagen of 10 aanmeldingen, waarbij dat systeem aanmeldingsgedrag van een nieuwe gebruiker leert.
Tips voor het onderzoeken van ongewone reispatronen.
Onmogelijk traject
Offline berekend. Deze detectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Cloud Apps. Deze detectie identificeert gebruikersactiviteiten (in één of meerdere sessies) die afkomstig zijn van geografisch verre locaties binnen een periode die korter is dan de tijd die nodig is om van de eerste locatie naar de tweede te reizen. Dit risico kan erop wijzen dat een andere gebruiker dezelfde referenties gebruikt.
Schadelijk IP-adres
Offline berekend. Deze detectie geeft de indicatie dat u zich aanmeldt vanaf een schadelijk IP-adres. Een IP-adres wordt als schadelijk beschouwd op basis van hoge foutpercentages vanwege ongeldige aanmeldingsgegevens die zijn ontvangen van het IP-adres of andere IP-reputatiebronnen. In sommige gevallen wordt deze detectie als reactie op eerdere schadelijke activiteiten geactiveerd.
Tips voor het onderzoeken van schadelijke IP-adresdetecties.
Massatoegang tot gevoelige bestanden
Offline berekend. Deze detectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Cloud Apps. Deze detectie kijkt naar uw omgeving en activeert waarschuwingen wanneer gebruikers toegang hebben tot meerdere bestanden vanuit Microsoft Office SharePoint Online of Microsoft OneDrive. Een waarschuwing wordt alleen geactiveerd als het aantal geopende bestanden ongebruikelijk is voor de gebruiker en de bestanden mogelijk gevoelige informatie bevatten.
Nieuw land
Offline berekend. Deze detectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Cloud Apps. Deze detectie bekijkt eerdere activiteitlocaties om nieuwe en niet-frequente locaties vast te stellen. De engine voor de detectie van afwijkingen slaat informatie op over eerdere locaties die worden gebruikt door gebruikers in de organisatie.
Wachtwoordspray
Wordt in realtime of offline berekend. Een wachtwoordspray-aanval is waarbij meerdere identiteiten worden aangevallen met behulp van algemene wachtwoorden op een uniforme brute force-manier. De risicodetectie wordt geactiveerd wanneer het wachtwoord van een account geldig is en zich heeft geprobeerd aan te melden. Deze detectie geeft aan dat het wachtwoord van de gebruiker correct is geïdentificeerd via een wachtwoordspray-aanval, niet dat de aanvaller toegang heeft tot alle resources.
Tips voor het onderzoeken van wachtwoordspraydetecties.
Verdachte browser
Offline berekend. Verdachte browserdetectie geeft afwijkend gedrag aan op basis van verdachte aanmeldingsactiviteit voor meerdere tenants uit verschillende landen/regio's in dezelfde browser.
Tips voor het onderzoeken van verdachte browserdetecties.
Verdachte doorstuuractiviteit voor Postvak IN
Offline berekend. Deze detectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Cloud Apps. Met die detectie wordt gezocht naar regels voor het doorsturen van verdachte e-mail, bijvoorbeeld wanneer een gebruiker een regel voor het postvak IN heeft gemaakt die een kopie van alle e-mails doorstuurt naar een extern adres.
Verdachte bewerkingsregels voor het Postvak IN
Offline berekend. Deze detectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Cloud Apps. Deze detectie kijkt naar uw omgeving en activeert waarschuwingen wanneer verdachte regels voor het verwijderen of verplaatsen van berichten of mappen zijn ingesteld op het Postvak IN van een gebruiker. Deze detectie kan erop wijzen: het account van een gebruiker is aangetast, berichten worden opzettelijk verborgen en het postvak wordt gebruikt om spam of malware in uw organisatie te distribueren.
Anomalie van tokenuitgever
Offline berekend. Deze risicodetectie geeft aan dat de verlener van het SAML-token voor het bijbehorende SAML-token mogelijk is gecompromitteerd. De claims die in het token zijn opgenomen, zijn ongebruikelijk of ze komen overeen met bekende aanvallerpatronen.
Tips voor het onderzoeken van anomaliedetecties voor tokenuitgevers.
Onbekende inloggegevens
In realtime berekend. Dit type risicodetectie beschouwt de geschiedenis van eerdere aanmeldingen om te zoeken naar afwijkende aanmeldingen. Het systeem slaat informatie op over eerdere aanmeldingen en activeert een risicodetectie wanneer er een aanmelding plaatsvindt met eigenschappen die onbekend zijn voor de gebruiker. Deze eigenschappen kunnen IP-, ASN-, locatie-, apparaat-, browser- en tenant-IP-subnet omvatten. Nieuw gemaakte gebruikers bevinden zich in een 'leermodus'-periode waarbij de risicodetectie van onbekende aanmeldingseigenschappen is uitgeschakeld terwijl onze algoritmen het gedrag van de gebruiker leren kennen. De duur van de leermodus is dynamisch en hangt af de tijd die het algoritme nodig heeft om voldoende informatie te verzamelen over de aanmeldingspatronen van de gebruiker. De minimale duur is vijf dagen. Een gebruiker kan teruggaan naar de leermodus na een lange periode van inactiviteit.
Deze detectie wordt ook uitgevoerd voor basisverificatie (of verouderde protocollen). Omdat deze protocollen geen moderne eigenschappen hebben, zoals een client ID, zijn er maar beperkte gegevens beschikbaar om het aantal false positives te verminderen. Wij raden onze klanten aan om over te stappen op moderne verificatie.
Onbekende aanmeldingseigenschappen kunnen bij zowel interactieve als niet-interactieve aanmeldingen worden gedetecteerd. Als deze detectie wordt gedetecteerd bij niet-interactieve aanmeldingen, verdient deze meer controle vanwege het risico op aanvallen door opnieuw afspelen van tokens.
Als u onbekende aanmeldingseigenschappen selecteert, kunt u meer details zien die toelichten waarom dit risico is geactiveerd.
Ip-adres van geverifieerde bedreigingsacteur
In realtime berekend. Dit type risicodetectie geeft aanmeldingsactiviteiten aan die consistent zijn met bekende IP-adressen die zijn gekoppeld aan nationale staatsactoren of cybercriminaliteitsgroepen, op basis van gegevens van het Microsoft Threat Intelligence Center (MSTIC).
Premium-detecties van gebruikersrisico's
Afwijkend token (gebruiker)
Wordt in realtime of offline berekend. Deze detectie geeft abnormale kenmerken in het token aan, zoals een ongebruikelijke levensduur of een token dat wordt afgespeeld vanaf een onbekende locatie. Deze detectie omvat sessietokens en vernieuwingtokens.
Het afwijkende token is zo afgestemd dat het meer ruis creëert dan andere detecties op hetzelfde risiconiveau. Deze afweging wordt gekozen om de kans op het detecteren van opnieuw afgespeelde tokens te vergroten die anders onopgemerkt kunnen blijven. Er is een hogere kans dan normaal dat sommige sessies die door deze detectie zijn gemarkeerd, fout-positieven zijn. Wij raden u aan om de sessies te onderzoeken die door deze detectie zijn gemarkeerd in de context van andere aanmeldingen van de gebruiker. Als de locatie, toepassing, IP-adres, gebruikersagent of andere kenmerken onverwacht zijn voor de gebruiker, moet de beheerder dit risico beschouwen als een indicator van mogelijke tokenherplay.
Tips voor het onderzoeken van anomale tokendetecties.
Afwijkende gebruikersactiviteit
Offline berekend. Deze risicodetectiebaselines normaliseren het gedrag van gebruikers met beheerdersrechten in Microsoft Entra ID, en detecteren afwijkende gedragspatronen zoals verdachte wijzigingen in de directory. De detectie wordt geactiveerd voor de beheerder die de wijziging aanbrengt of het object dat is gewijzigd.
Aanvaller in het midden
Offline berekend. Ook wel bekend als Adversary in het Midden, wordt deze hoge precisiedetectie geactiveerd wanneer een verificatiesessie is gekoppeld aan een schadelijke omgekeerde proxy. In dit soort aanvallen kan de aanvaller de inloggegevens van de gebruiker onderscheppen, inclusief tokens die aan de gebruiker zijn uitgegeven. Het Microsoft Security Research-team maakt gebruik van Microsoft 365 Defender om het geïdentificeerde risico vast te leggen en de gebruiker te verhogen naar hoog risico. Wij raden beheerders aan de gebruiker handmatig na te gaan wanneer deze detectie wordt geactiveerd om het risico uit te sluiten. Het verminderen van dit risico kan vereisen dat wachtwoorden veilig worden opnieuw ingesteld of dat bestaande sessies worden ingetrokken.
Mogelijke poging om toegang te krijgen tot de Primaire Vernieuwingstoken (PRT)
Offline berekend. Dit type risicodetectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Eindpunt (MDE). Een primair vernieuwingstoken (PRT) is een belangrijk artefact van Microsoft Entra-verificatie op Windows 10-, Windows Server 2016- en latere versies, iOS- en Android-apparaten. Een PRT is een JSON Web Token (JWT) dat is uitgegeven aan Microsoft first party token brokers om eenmalige aanmelding (SSO) in te schakelen voor de toepassingen die op deze apparaten worden gebruikt. Aanvallers kunnen proberen om toegang te krijgen tot deze resource om zich lateraal naar een organisatie te verplaatsen of diefstal van referenties uit te voeren. Gebruikers worden met deze detectie verplaatst naar een hoog risico. Detecties worden alleen geactiveerd in organisaties die MDE implementeren. Deze detectie houdt een hoog risico in en we raden u aan om onmiddellijk maatregelen te nemen voor deze gebruikers. Het komt vanwege het lage volume zelden voor in de meeste organisaties.
Verdacht API-verkeer
Offline berekend. Deze risicodetectie wordt gerapporteerd wanneer abnormaal GraphAPI-verkeer of directory-inventarisatie wordt waargenomen. Verdacht API-verkeer kan suggereren dat een gebruiker wordt aangetast en reconnaissance uitvoert in de omgeving.
Verdachte verzendpatronen
Offline berekend. Dit type risicodetectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Office 365 (MDO). Deze waarschuwing wordt gegenereerd wanneer iemand in uw organisatie verdachte e-mail heeft verzonden en het risico loopt om beperkt te worden in het verzenden van e-mail, of wanneer het verzenden van e-mail al beperkt is. Met deze detectie worden gebruikers naar een gemiddeld risico verplaatst en de detectie wordt alleen geactiveerd in organisaties die MDO implementeren. Deze detectie is laag in aantal en wordt in de meeste organisaties zelden gezien.
Gebruiker heeft verdachte activiteiten gerapporteerd
Offline berekend. Deze risicodetectie wordt gerapporteerd wanneer een gebruiker een meervoudige verificatieprompt (MFA) weigert en rapporteert als verdachte activiteit. Een MFA-prompt die niet door een gebruiker wordt geïnitieerd, kan betekenen dat hun referenties zijn aangetast.
Niet-premiumdetecties
Klanten zonder Microsoft Entra ID P2-licenties ontvangen detecties met de titel Extra risico gedetecteerd zonder gedetailleerde informatie over de detectie die klanten met P2-licenties doen. Zie de licentievereisten voor meer informatie.
Detectie van risico's bij niet-premium aanmeldingen
Extra risico gedetecteerd (aanmelding)
Wordt in realtime, of offline berekend. Deze detectie wijst erop dat een van de Premium-detecties is gedetecteerd. Omdat de Premium-detecties alleen zichtbaar zijn voor Microsoft Entra ID P2-klanten, hebben ze de titel Extra risico gedetecteerd voor klanten zonder Microsoft Entra ID P2-licenties.
Door beheerder bevestigd misbruik van gebruiker
Offline berekend. Deze detectie geeft aan dat een beheerder gecompromitteerde gebruiker bevestigen heeft geselecteerd in de gebruikersinterface van riskante gebruikers of via de riskante gebruikers-API. Als u wilt zien welke beheerder deze gebruiker heeft bevestigd dat deze gebruiker is gecompromitteerd, controleert u de risicogeschiedenis van de gebruiker (via de gebruikersinterface of API).
Anoniem IP-adres
In realtime berekend. Dit type risicodetectie wijst op aanmeldingen vanaf een anoniem IP-adres (bijvoorbeeld Tor-browser of anonieme VPN). Deze IP-adressen worden doorgaans gebruikt door actoren die hun aanmeldingsgegevens (IP-adres, locatie, apparaat, enzovoort) willen verbergen voor mogelijk schadelijke bedoelingen.
Bedreigingsinformatie van Microsoft Entra (aanmelden)
Wordt in realtime of offline berekend. Dit type risicodetectie geeft gebruikersactiviteit aan die ongebruikelijk is voor de gebruiker of consistent is met bekende aanvalspatronen. Deze detectie is gebaseerd op de interne en externe bedreigingsinformatiebronnen van Microsoft.
Tips voor het onderzoeken van detecties van bedreigingsinformatie van Microsoft Entra.
Niet-Premium-detecties van gebruikersrisico's
Extra risico gedetecteerd (gebruiker)
Wordt in realtime of offline berekend. Deze detectie wijst erop dat een van de Premium-detecties is gedetecteerd. Omdat de Premium-detecties alleen zichtbaar zijn voor Microsoft Entra ID P2-klanten, hebben ze de titel Extra risico gedetecteerd voor klanten zonder Microsoft Entra ID P2-licenties.
Gelekte inloggegevens
Offline berekend. Dit type risicodetectie geeft aan dat de geldige referenties van de gebruiker zijn gelekt. Wanneer cybercriminelen inbreuk maken op geldige wachtwoorden van legitieme gebruikers, delen ze vaak deze verzamelde referenties. Dit delen wordt doorgaans gedaan door het openbaar plaatsen op het dark web, op plaksites, of door het ruilen en verkopen van de referenties op de zwarte markt. Wanneer de Microsoft-service voor gelekte referenties gebruikersreferenties verkrijgt van het dark web, plaksites of andere bronnen, worden ze gecontroleerd op de huidige geldige referenties van Microsoft Entra-gebruikers om geldige overeenkomsten te vinden. Zie algemene vragen voor meer informatie over gelekte referenties.
Tips voor het onderzoeken van detecties van gelekte referenties.
Bedreigingsinformatie van Microsoft Entra (gebruiker)
Offline berekend. Dit type risicodetectie geeft gebruikersactiviteit aan die ongebruikelijk is voor de gebruiker of consistent is met bekende aanvalspatronen. Deze detectie is gebaseerd op de interne en externe bedreigingsinformatiebronnen van Microsoft.
Tips voor het onderzoeken van detecties van bedreigingsinformatie van Microsoft Entra.
Veelgestelde vragen
Wat gebeurt er als onjuiste referenties zijn gebruikt om u aan te melden?
Id Protection genereert alleen risicodetecties wanneer de juiste referenties worden gebruikt. Als er onjuiste referenties worden gebruikt bij een aanmelding, is er geen risico op inbreuk op referenties.
Is wachtwoord-hashsynchronisatie vereist?
Risicodetecties, zoals gelekte referenties, vereisen aanwezigheid van wachtwoordhashes voor detectie. Zie het artikel Wachtwoord-hashsynchronisatie implementeren met Microsoft Entra Connect Sync voor meer informatie over wachtwoord-hashsynchronisatie.
Waarom worden risicodetecties gegenereerd voor uitgeschakelde accounts?
Gebruikersaccounts met een uitgeschakelde status kunnen opnieuw worden ingeschakeld. Als de referenties van een uitgeschakeld account worden gecompromitteerd en het account opnieuw wordt ingeschakeld, kunnen slechte actoren deze referenties gebruiken om toegang te krijgen. Id Protection genereert risicodetecties voor verdachte activiteiten tegen deze uitgeschakelde accounts om klanten te waarschuwen over mogelijke inbreuk op accounts. Als een account niet meer wordt gebruikt en niet opnieuw wordt ingeschakeld, moeten klanten overwegen het account te verwijderen om inbreuk te voorkomen. Voor verwijderde accounts worden geen risicodetecties gegenereerd.
Ik heb geprobeerd het rapport Risicodetecties te sorteren met behulp van de kolom Detectietijd, maar het werkt niet
Sorteren op detectietijd in het rapport Risicodetecties geeft mogelijk niet altijd het juiste resultaat vanwege een bekende technische beperking. Als u wilt sorteren op detectietijd, selecteert u Download om de gegevens als csv-bestand te exporteren en dienovereenkomstig te sorteren.
Veelvoorkomende vragen over gelekte referenties
Waar vindt Microsoft eventueel gelekte referenties?
Microsoft vindt gelekte referenties op verschillende plekken, waaronder:
- Openbare plaksites waarbij slechte actoren meestal dergelijk materiaal plaatsen.
- Instanties voor wetshandhaving.
- Andere groepen bij Microsoft die onderzoek op het dark web uitvoeren.
Waarom kan ik geen gelekte referenties zien?
Gelekte inloggegevens worden verwerkt zodra Microsoft een nieuwe, openbaar beschikbare batch vindt. Vanwege de gevoelige aard worden de gelekte referenties kort na de verwerking verwijderd. Alleen nieuwe gelekte inloggegevens die nadat u wachtwoord-hashsynchronisatie (PHS) hebt ingeschakeld worden gevonden, worden verwerkt tegen uw tenant. Verificatie van eerder gevonden referentieparen is niet uitgevoerd.
Ik zie geen gelekte referentierisicogebeurtenissen
Als u geen gelekte referentierisicogebeurtenissen ziet, heeft dit de volgende oorzaken:
- PHS is niet ingeschakeld voor uw tenant.
- Microsoft heeft geen gelekte referentieparen gevonden die overeenkomen met uw gebruikers.
Hoe regelmatig verwerkt Microsoft nieuwe referenties?
Referenties worden onmiddellijk verwerkt nadat ze zijn gevonden, normaal gesproken in meerdere batches per dag.
Locaties
Locatie in risicodetecties wordt bepaald met behulp van IP-adreszoekacties. Aanmeldingen van vertrouwde benoemde locaties verbeteren de nauwkeurigheid van de risicoberekening van Microsoft Entra ID Protection, waardoor het aanmeldingsrisico van een gebruiker wordt verlaagd wanneer deze zich verifieert vanaf een locatie die is gemarkeerd als vertrouwd.