Co to są wykrycia ryzyka?
Ochrona ID Microsoft Entra dostarcza organizacjom informacje o podejrzanych działaniach w dzierżawie i pozwala im szybko reagować, aby zapobiec wystąpieniu dalszego ryzyka. Wykrywanie ryzyka to zaawansowany zasób, który może obejmować wszelkie podejrzane lub nietypowe działania związane z kontem użytkownika w katalogu. Wykrywanie ryzyka ochrony identyfikatorów może być połączone z indywidualnym użytkownikiem lub zdarzeniem logowania i przyczynić się do ogólnego wyniku ryzyka związanego z użytkownikiem znalezionego w raporcie Ryzykowni użytkownicy.
Wykrycia ryzyka użytkowników mogą oznaczać legalne konto użytkownika jako zagrożone, gdy potencjalny aktor zagrożeń uzyskuje dostęp do konta, kompromitując poświadczenia lub gdy wykryją nietypową aktywność użytkownika. Detekcje ryzyka logowania reprezentują prawdopodobieństwo, że dane żądanie uwierzytelniania nie pochodzi od autoryzowanego właściciela konta. Zdolność do identyfikacji ryzyka na poziomie użytkownika i na etapie logowania ma kluczowe znaczenie dla klientów, aby mogli skuteczniej chronić swój tenant.
Poziomy ryzyka
Usługa ID Protection kategoryzuje ryzyko na trzy warstwy: niski, średni i wysoki. Poziomy ryzyka obliczane przez nasze algorytmy uczenia maszynowego i reprezentują pewność, że firma Microsoft ma pewność, że co najmniej jedno z poświadczeń użytkownika jest znane przez nieautoryzowaną jednostkę.
- Wykrywanie ryzyka z wysokim poziomem ryzyka oznacza, że firma Microsoft jest bardzo pewna, że konto zostało naruszone.
- Wykrywanie ryzyka z poziomem ryzyka Niski oznacza, że istnieją anomalie występujące w logowaniu lub poświadczeniu użytkownika, ale jesteśmy mniej pewni, że te anomalie oznaczają, że konto zostało naruszone.
Wiele wykryć może być uruchamianych na więcej niż jednym z naszych poziomów ryzyka w zależności od liczby lub ważności wykrytych anomalii. Na przykład nieznane cechy logowania mogą być uruchamiane na wysokim, średnim lub niskim poziomie w zależności od pewności sygnałów. Niektóre wykrycia, takie jak ujawnione poświadczenia i zweryfikowany adres IP aktora zagrożeń, są zawsze dostarczane jako wysokie ryzyko.
Ten poziom ryzyka jest ważny podczas podejmowania decyzji, które wykrycia należy priorytetyzować, badać i korygować. Odgrywają one również kluczową rolę w konfigurowaniu zasad dostępu warunkowego opartego na ryzyku, ponieważ dla każdej zasady można ustawić wyzwalanie dla niskich, średnich, wysokich lub nie wykrytych ryzyka. Na podstawie tolerancji ryzyka organizacji można utworzyć zasady wymagające uwierzytelniania wieloskładnikowego lub resetowania hasła, gdy usługa ID Protection wykryje określony poziom ryzyka dla jednego z użytkowników. Te zasady mogą kierować użytkownika do samodzielnego korygowania w celu rozwiązania ryzyka.
Ważne
Wszystkie wykrycia i użytkownicy o poziomie niskiego ryzyka będą utrzymywać się w produkcie przez sześć miesięcy, po czym zostaną automatycznie wycofane z systemu, aby zapewnić bardziej przejrzyste doświadczenie analityczne. Średni i wysoki poziom ryzyka będzie utrzymywany do czasu skorygowania lub odrzucenia.
Na podstawie tolerancji ryzyka w organizacji można utworzyć zasady wymagające uwierzytelniania wieloskładnikowego lub resetowania hasła, gdy usługa ID Protection wykryje określony poziom ryzyka. Te zasady mogą kierować użytkownika do samodzielnego korygowania i rozwiązywania ryzyka lub blokowania w zależności od tolerancji.
Wykrywanie w czasie rzeczywistym i offline
Usługa ID Protection wykorzystuje techniki zwiększania dokładności wykrywania ryzyka związanego z użytkownikiem i logowaniem przez obliczenie niektórych zagrożeń w czasie rzeczywistym lub offline po uwierzytelnieniu. Wykrywanie ryzyka w czasie rzeczywistym podczas logowania daje możliwość wczesnego identyfikowania ryzyka, dzięki czemu klienci mogą szybko zbadać potencjalne naruszenie. W przypadku wykrywania, które obliczają ryzyko w trybie offline, mogą one zapewnić lepszy wgląd w sposób, w jaki aktor zagrożeń uzyskał dostęp do konta i wpływ na uprawnionego użytkownika. Niektóre wykrycia mogą być wyzwalane zarówno w trybie offline, jak i podczas logowania, co zwiększa pewność w dokładność w kwestii kompromitacji.
Detekcje wyzwalane w czasie rzeczywistym potrzebują od 5 do 10 minut na wyświetlenie szczegółów w raportach. Wykrycia offline mogą pojawić się w raportach dopiero po 48 godzinach, ponieważ ocena właściwości potencjalnego ryzyka zajmuje trochę czasu.
Uwaga
Nasz system może wykryć, że zdarzenie ryzyka, które przyczyniło się do oceny ryzyka związanego z użytkownikiem ryzyka, było albo:
- Wynik fałszywie dodatni
- Ryzyko użytkownika zostało skorygowane za pomocą zasad przez:
- Kończenie uwierzytelniania wieloskładnikowego
- Bezpieczna zmiana hasła
Nasz system pomija stan ryzyka, a szczegóły dotyczące ryzyka pokazują bezpieczeństwo logowania potwierdzone przez AI, więc stan ryzyka nie wpływa już na ogólne ryzyko użytkownika.
W przypadku szczegółowych danych dotyczących ryzyka wykrywanie czasu rejestruje dokładny moment identyfikowania ryzyka podczas logowania użytkownika, co umożliwia ocenę ryzyka w czasie rzeczywistym i natychmiastową aplikację zasad w celu ochrony użytkownika i organizacji. Ostatnia aktualizacja wykrywania pokazuje najnowszą aktualizację wykrywania ryzyka, która może być spowodowana nowymi informacjami, zmianami na poziomie ryzyka lub działaniami administracyjnymi oraz zapewnia aktualne zarządzanie ryzykiem.
Te pola są niezbędne do monitorowania w czasie rzeczywistym, reagowania na zagrożenia i utrzymywania bezpiecznego dostępu do zasobów organizacji.
Wykrycia ryzyka mapowane na riskEventType
| Wykrywanie ryzyka | Typ wykrywania | Typ | typZdarzeniaRyzyka |
|---|---|---|---|
| Wykrywanie ryzyka logowania | |||
| Działanie z anonimowego adresu IP | W trybie offline | Ekskluzywny | riskyIPAddress |
| Wykryto dodatkowe ryzyko (logowanie) | W czasie rzeczywistym lub w trybie offline | Niepremium | generic = Klasyfikacja wykrywania Premium dla dzierżawców spoza P2 |
| Administrator potwierdził naruszenie zabezpieczeń użytkownika | W trybie offline | Niepremium | Administrator potwierdził, że użytkownik został skompromitowany. |
| Nietypowy token autoryzacyjny (logowanie) | W czasie rzeczywistym lub w trybie offline | Premium | anomalousToken |
| Anonimowy adres IP | W czasie rzeczywistym | Niepremium | zanonimizowanyAdresIP |
| Nietypowe podróże | W trybie offline | Premium | mało prawdopodobna podróż |
| Niemożliwa podróż | W trybie offline | Premium | mcasNiemożliwaPodróż |
| Złośliwy adres IP | W trybie offline | Premium | złośliwyAdresIP |
| Masowy dostęp do poufnych plików | W trybie offline | Ekskluzywny | mcasFinSuspiciousFileAccess |
| Microsoft Entra informacje o zagrożeniach (logowanie) | W czasie rzeczywistym lub w trybie offline | Niepremium | dochodzeniaThreatIntelligence |
| Nowy kraj | W trybie offline | Premium | nowyKraj |
| Atak typu password spray | W czasie rzeczywistym lub w trybie offline | Wysokiej klasy | passwordSpray |
| Podejrzana przeglądarka | W trybie offline | Premium | podejrzanaPrzeglądarka |
| Podejrzane przekazywanie wiadomości | W trybie offline | Premium | Podejrzane przekazywanie wiadomości z skrzynki odbiorczej |
| Podejrzane reguły manipulowania skrzynką odbiorczą | W trybie offline | Premium | Zasady podejrzanej manipulacji skrzynką odbiorczą mcas |
| Anomalia wystawcy tokenu | W trybie offline | Ekskluzywny | anomalie wystawcy tokenów |
| Nieznane właściwości logowania | W czasie rzeczywistym | Wysokiej jakości | nieznaneFunkcje |
| Zweryfikowany adres IP aktora zagrożeń | W czasie rzeczywistym | Ekskluzywny | nationStateIP |
| Wykrywanie ryzyka związanego z użytkownikiem | |||
| Wykryto dodatkowe ryzyko (użytkownik) | W czasie rzeczywistym lub w trybie offline | Niepremium | generic = Klasyfikacja wykrywania Premium dla lokatorów innych niż P2 |
| Nieprawidłowy Token (użytkownik) | W czasie rzeczywistym lub w trybie offline | Ekskluzywny | anomalousToken |
| Nietypowe działanie użytkownika | W trybie offline | Premium | nieprawidłowa aktywność użytkownika |
| Atakujący pośrodku | W trybie offline | Luksusowe | attackerinTheMiddle |
| Ujawnione poświadczenia | W trybie offline | Niepremium | ujawnione dane uwierzytelniające |
| Microsoft Entra Threat Intelligence (użytkownik) | W czasie rzeczywistym lub w trybie offline | Niepremium | dochodzeniaThreatIntelligence |
| Możliwa próba uzyskania dostępu do podstawowego tokenu odświeżania (PRT) | W trybie offline | Premium | PróbaDostępuDoDrukarki |
| Podejrzany ruch interfejsu API | W trybie offline | Premium | podejrzany ruch API |
| Podejrzane wzorce wysyłania | W trybie offline | Najwyższa jakość | podejrzane wzorce wysyłania |
| Zgłoszona przez użytkownika podejrzana aktywność | W trybie offline | Wysokiej Jakości | użytkownik zgłosił podejrzaną aktywność |
Aby uzyskać więcej informacji na temat wykrywania ryzyka tożsamości obciążenia, zobacz Zabezpieczanie tożsamości obciążeń.
Wykrywanie w warstwie Premium
Następujące wykrycia w warstwie Premium są widoczne tylko dla klientów firmy Microsoft Entra ID P2.
Wykrywanie ryzyka logowania w warstwie Premium
Działanie z anonimowego adresu IP
Obliczane w trybie offline. Ta detekcja jest odkrywana przy użyciu informacji dostarczonych przez Microsoft Defender dla aplikacji w chmurze. To wykrywanie identyfikuje, że użytkownicy byli aktywni z adresu IP zidentyfikowanego jako anonimowy adres IP serwera proxy.
Nietypowy token (logowanie)
Obliczane w czasie rzeczywistym lub offline. To wykrywanie wskazuje nietypowe cechy tokenu, takie jak nietypowy okres istnienia lub token odtwarzany z nieznanej lokalizacji. To wykrywanie obejmuje tokeny sesji i tokeny odświeżania.
Nietypowy token jest dostrojony, aby generować więcej zakłóceń niż inne wykrycia na tym samym poziomie ryzyka. Ten kompromis jest wybierany w celu zwiększenia prawdopodobieństwa wykrycia powtórzonych tokenów, które w przeciwnym razie mogłyby pozostać niezauważone. Istnieje prawdopodobieństwo większe niż normalne, że niektóre sesje oflagowane przez to wykrycie są fałszywie dodatnie. Zalecamy zbadanie sesji oflagowanych przez to wykrywanie w kontekście innych logowań użytkownika. Jeśli lokalizacja, aplikacja, adres IP, agent użytkownika lub inne cechy są nieoczekiwane dla użytkownika, administrator powinien rozważyć to ryzyko jako wskaźnik potencjalnego odtwarzania tokenu.
Porady dotyczące badania nietypowych wykryć tokenów.
Nietypowa podróż
Obliczane w trybie offline. Ten typ wykrywania ryzyka identyfikuje dwa logowania pochodzące z odległych geograficznie lokalizacji, w których co najmniej jedna z lokalizacji może być również nietypowa dla użytkownika, biorąc pod uwagę wcześniejsze zachowanie. Algorytm uwzględnia wiele czynników, w tym czas między dwoma logowaniami i czas potrzebny użytkownikowi na podróż z pierwszej lokalizacji do drugiej. To ryzyko może wskazywać, że inny użytkownik używa tych samych poświadczeń.
Algorytm ignoruje oczywiste "fałszywie dodatnie" przyczyniające się do niemożliwych warunków podróży, takich jak sieci VPN i lokalizacje regularnie używane przez innych użytkowników w organizacji. System ma początkowy okres nauki trwający do 14 dni lub 10 logowań się, w zależności od tego, co nastąpi wcześniej, podczas którego poznaje zachowania logowania nowego użytkownika.
Porady dotyczące analizy nietypowych zdarzeń podróży.
Niemożliwa podróż
Obliczane w trybie offline. Ta metoda wykrywania została odkryta przy użyciu informacji dostarczonych przez Microsoft Defender dla Aplikacji Chmurowych. To wykrywanie identyfikuje działania użytkownika (w jednej lub wielu sesjach) pochodzące z odległych geograficznie lokalizacji w okresie krótszym niż czas potrzebny do podróży z pierwszej lokalizacji do drugiej. To ryzyko może wskazywać, że inny użytkownik używa tych samych poświadczeń.
Złośliwy adres IP
Obliczane w trybie offline. To wykrywanie wskazuje logowanie ze złośliwego adresu IP. Adres IP jest uważany za złośliwy ze względu na wysokie współczynniki niepowodzeń z powodu nieprawidłowych danych uwierzytelniających otrzymanych z adresu IP lub innych źródeł oceny reputacji adresów IP. W niektórych przypadkach to wykrywanie wyzwala poprzednie złośliwe działanie.
Porady dotyczące badania wykrywania złośliwych adresów IP.
Masowy dostęp do poufnych plików
Obliczane w trybie offline. To wykrycie jest dokonywane przy użyciu informacji dostarczonych przez Microsoft Defender dla aplikacji w chmurze. To wykrywanie sprawdza środowisko i wyzwala alerty, gdy użytkownicy uzyskują dostęp do wielu plików z Microsoft Office SharePoint Online lub Microsoft OneDrive. Alert jest wyzwalany tylko wtedy, gdy liczba używanych plików jest rzadkością dla użytkownika, a pliki mogą zawierać poufne informacje.
Nowy kraj
Obliczane w trybie offline. Ta detekcja została wykryta z użyciem informacji dostarczonych przez Microsoft Defender for Cloud Apps. To wykrywanie uwzględnia wcześniejsze lokalizacje działań w celu określenia nowych i rzadkich lokalizacji. Aparat wykrywania anomalii przechowuje informacje o poprzednich lokalizacjach używanych przez użytkowników w organizacji.
Atak na hasła typu spray
Obliczane w czasie rzeczywistym lub offline. Atak z użyciem sprayu haseł polega na tym, że wiele tożsamości jest atakowanych przy użyciu typowych haseł w ujednolicony sposób siłowy. Wykrywanie ryzyka jest wyzwalane, gdy hasło konta jest poprawne i ktoś próbuje się zalogować. To wykrywanie sygnalizuje, że hasło użytkownika zostało prawidłowo zidentyfikowane za pośrednictwem ataku sprayu haseł, a nie, że osoba atakująca mogła uzyskać dostęp do żadnych zasobów.
Porady dotyczące badania ataków typu password spray.
Podejrzana przeglądarka
Obliczane w trybie offline. Wykrycie podejrzanej przeglądarki sygnalizuje anomalne zachowanie na podstawie podejrzanych działań logowania w wielu dzierżawach z różnych krajów i regionów w tej samej przeglądarce.
Porady dotyczące badania podejrzanych wykryć przeglądarki.
Podejrzane przesyłanie skrzynki odbiorczej
Obliczane w trybie offline. To wykrycie jest odkryte przy użyciu informacji dostarczonych przez Microsoft Defender dla aplikacji w chmurze. To wykrywanie wyszukuje podejrzane reguły przekazywania wiadomości e-mail, na przykład jeśli użytkownik utworzył regułę skrzynki odbiorczej, która przekazuje kopię wszystkich wiadomości e-mail na adres zewnętrzny.
Podejrzane reguły manipulowania skrzynką odbiorczą
Obliczane w trybie offline. Ta funkcja jest odkrywana przy użyciu informacji dostarczonych przez Microsoft Defender for Cloud Apps. To wykrywanie sprawdza środowisko i wyzwala alerty, gdy podejrzane reguły usuwające lub przenoszące komunikaty lub foldery są ustawiane w skrzynce odbiorczej użytkownika. To wykrywanie może wskazywać: konto użytkownika zostało naruszone, wiadomości są celowo ukryte, a skrzynka pocztowa jest używana do rozpowszechniania spamu lub złośliwego oprogramowania w organizacji.
Anomalia wystawcy tokenu
Obliczane w trybie offline. To wykrywanie ryzyka wskazuje, że wystawca skojarzonego tokenu SAML jest potencjalnie zagrożony. Twierdzenia zawarte w tokenie są nietypowe lub odpowiadają znanym wzorcom atakujących.
Porady dotyczące badania wykrycia anomalii związanych z wystawcą tokenu.
Nieznane właściwości logowania
Obliczane w czasie rzeczywistym. Ten typ wykrywania ryzyka uwzględnia poprzednią historię logowania, aby wyszukać nietypowe logowania. System przechowuje informacje o poprzednich logowaniach i wyzwala wykrywanie ryzyka w przypadku wystąpienia logowania przy użyciu właściwości nieznanych użytkownikowi. Te właściwości mogą obejmować adresy IP, ASN, lokalizację, podsieć IP najemcy, urządzenie i przeglądarkę. Nowo utworzeni użytkownicy są w okresie "trybu uczenia", w którym wykrywanie ryzyka związanego z nieznanymi właściwościami logowania jest wyłączone, podczas gdy nasze algorytmy uczą się zachowania użytkownika. Czas trwania trybu uczenia jest dynamiczny i zależy od tego, ile czasu zajmuje algorytmowi zebranie wystarczającej ilości informacji o wzorcach logowania użytkownika. Minimalny czas trwania wynosi pięć dni. Użytkownik może wrócić do trybu uczenia po długim okresie braku aktywności.
Uruchamiamy również to wykrywanie na potrzeby uwierzytelniania podstawowego (lub starszych protokołów). Ponieważ te protokoły nie mają nowoczesnych właściwości, takich jak identyfikator klienta, istnieją ograniczone dane, aby zmniejszyć liczbę wyników fałszywie dodatnich. Zalecamy naszym klientom przejście do nowoczesnego uwierzytelniania.
Nieznane właściwości logowania można wykryć zarówno przy logowaniu interaktywnym, jak i nieinteraktywnym. Jeśli zostanie to wykryte przy logowaniu nieinteraktywnym, wymaga to zwiększonej kontroli ze względu na ryzyko ataków odtworzeniowych z tokenem.
Wybranie ryzyka związanego z nietypowymi właściwościami logowania umożliwia wyświetlenie bardziej szczegółowych informacji o tym, dlaczego to ryzyko zostało uruchomione.
Zweryfikowany adres IP aktora zagrożeń
Obliczane w czasie rzeczywistym. Ten typ wykrywania ryzyka wskazuje na aktywność logowania zgodną ze znanymi adresami IP skojarzonymi z podmiotami państwowymi lub grupami cyberprzestępców na podstawie danych z Centrum analizy zagrożeń firmy Microsoft (MSTIC).
Wykrywanie ryzyka użytkowników w warstwie Premium
Nietypowy token (użytkownik)
Obliczane w czasie rzeczywistym lub offline. To wykrywanie wskazuje nietypowe cechy tokenu, takie jak nietypowy okres istnienia lub token odtwarzany z nieznanej lokalizacji. To wykrywanie obejmuje tokeny sesji i tokeny odświeżania.
Nietypowy token jest dostrojony w celu ponoszenia większej ilości szumu niż inne wykrycia na tym samym poziomie ryzyka. Ten kompromis jest wybierany w celu zwiększenia prawdopodobieństwa wykrycia powtórnie odtwarzanych tokenów, które w przeciwnym razie mogłyby pozostać niezauważone. Istnieje większe niż normalne prawdopodobieństwo, że niektóre sesje oflagowane przez to wykrywanie są fałszywie dodatnie. Zalecamy zbadanie sesji oflagowanych przez tę detekcję w kontekście innych zalogowań od użytkownika. Jeśli lokalizacja, aplikacja, adres IP, agent użytkownika lub inne cechy są nieoczekiwane dla użytkownika, administrator powinien rozważyć to ryzyko jako wskaźnik potencjalnego odtwarzania tokenu.
Porady dotyczące badania nietypowych wykryć tokenów.
Nietypowe działanie użytkownika
Obliczane w trybie offline. To wykrywanie ryzyka określa normalne zachowanie użytkownika administracyjnego w identyfikatorze Entra firmy Microsoft i wykrywa nietypowe wzorce zachowania, takie jak podejrzane zmiany w katalogu. Wykrywanie jest uruchamiane wobec administratora, który dokonuje zmiany lub obiektu, który został zmieniony.
Atakujący w środku
Obliczane w trybie offline. Znany również jako przeciwnik w środku, to wykrywanie o wysokiej precyzji jest wyzwalane, gdy sesja uwierzytelniania jest połączona ze złośliwym zwrotnym serwerem proxy. W takim ataku atakujący może przechwycić poświadczenia użytkownika, w tym tokeny wystawione dla użytkownika. Zespół ds. badań nad zabezpieczeniami firmy Microsoft używa usługi Microsoft 365 Defender do przechwytywania zidentyfikowanych ryzyka i podnosi użytkownika do wysokiego ryzyka. Zalecamy administratorom przeprowadzenie ręcznej analizy użytkownika, gdy to wykrycie zostanie uruchomione, aby upewnić się, że ryzyko zostało usunięte. Wyczyszczenie tego ryzyka może wymagać bezpiecznego resetowania hasła lub odwoływania istniejących sesji.
Możliwa próba uzyskania dostępu do tokenu odświeżania podstawowego (PRT)
Obliczane w trybie offline. Ten typ wykrywania ryzyka jest odkrywany na podstawie informacji dostarczonych przez Microsoft Defender for Endpoint (MDE). Podstawowy token odświeżania (PRT) to główny element uwierzytelniania Microsoft Entra na systemach Windows 10, Windows Server 2016 i nowszych wersjach, oraz na urządzeniach iOS i Android. PrT to token internetowy JSON (JWT) wystawiony dla brokerów tokenów firmy Microsoft, aby umożliwić logowanie jednokrotne (SSO) w aplikacjach używanych na tych urządzeniach. Osoby atakujące mogą próbować uzyskać dostęp do tego zasobu, aby przenieść się później do organizacji lub przeprowadzić kradzież poświadczeń. To wykrywanie powoduje, że użytkownicy są klasyfikowani jako zagrożeni wysokiego ryzyka i jest aktywne tylko w organizacjach wdrażających rozwiązanie MDE. To wykrycie wiąże się z wysokim ryzykiem, i zalecamy szybką naprawę związanych z tymi użytkownikami problemów. Występuje rzadko w większości organizacji ze względu na niską częstotliwość.
Podejrzany ruch interfejsu API
Obliczane w trybie offline. Wykrywanie tego ryzyka jest zgłaszane, gdy zaobserwuje się nietypowy ruch w interfejsie GraphAPI lub wyliczanie katalogu. Podejrzany ruch interfejsu API może sugerować, że użytkownik został przejęty i prowadzi rekonesans w środowisku.
Podejrzane wzorce wysyłania
Obliczane w trybie offline. Ten typ wykrywania ryzyka jest odkrywany przy użyciu informacji dostarczonych przez Microsoft Defender dla Office 365 (MDO). Ten alert jest generowany, gdy ktoś w organizacji wysłał podejrzaną wiadomość e-mail i jest zagrożony ograniczeniem lub już został ograniczony w wysyłaniu wiadomości e-mail. To wykrywanie klasyfikuje użytkowników jako średnie ryzyko i aktywuje się tylko w organizacjach wdrażających MDO. To wykrywanie jest małe i występuje rzadko w większości organizacji.
Zgłoszona przez użytkownika podejrzana aktywność
Obliczane w trybie offline. To wykrywanie ryzyka jest zgłaszane, gdy użytkownik odmawia monitu uwierzytelniania wieloskładnikowego (MFA) i zgłasza go jako podejrzane działanie. Powiadomienie o uwierzytelnianiu wieloskładnikowym nie zainicjowane przez użytkownika może sugerować, że jego poświadczenia mogą być naruszone.
Wykrycia niestandardowe
Klienci bez licencji microsoft Entra ID P2 otrzymują wykrycia o nazwie Dodatkowe ryzyko wykryte bez szczegółowych informacji dotyczących wykrywania, które robią klienci z licencjami P2. Aby uzyskać więcej informacji, zobacz wymagania dotyczące licencji.
Wykrywanie ryzyka logowania dla użytkowników bez dostępu premium
Wykryto dodatkowe ryzyko (logowanie)
Obliczane w czasie rzeczywistym lub offline. To wykrywanie wskazuje, że wykryto jedno z wykryć w warstwie Premium. Ponieważ wykrycia w warstwie Premium są widoczne tylko dla klientów microsoft Entra ID P2, są one zatytułowane Dodatkowe ryzyko wykryte dla klientów bez licencji microsoft Entra ID P2.
Administrator potwierdził naruszenie zabezpieczeń użytkownika
Obliczane w trybie offline. To wykrywanie wskazuje, że administrator wybrał pozycję Potwierdź, że użytkownik został naruszony w interfejsie użytkownika dla ryzykownych użytkowników lub przy użyciu interfejsu API dla ryzykownych użytkowników. Aby sprawdzić, który administrator potwierdził kompromitację tego użytkownika, sprawdź historię ryzyka użytkownika (za pośrednictwem interfejsu użytkownika lub interfejsu API).
Anonimowy adres IP
Obliczane w czasie rzeczywistym. Ten typ wykrywania ryzyka wskazuje logowania z anonimowego adresu IP (na przykład przeglądarki Tor lub anonimowej sieci VPN). Te adresy IP są zwykle używane przez aktorów, którzy chcą ukryć informacje logowania (adres IP, lokalizacja, urządzenie itd.) w celu potencjalnie złośliwych intencji.
Microsoft Entra - inteligencja zagrożeń (logowanie)
Obliczane w czasie rzeczywistym lub offline. Ten typ wykrywania ryzyka wskazuje na aktywność użytkownika, która jest nietypowa dla użytkownika lub jest zgodna ze znanymi wzorcami ataków. Ta funkcja wykrywania jest oparta na wewnętrznych i zewnętrznych źródłach analizy zagrożeń firmy Microsoft.
Porady dotyczące badania wykrywania analizy zagrożeń firmy Microsoft w usłudze Entra.
Detekcje ryzyka dla użytkownika bez dostępu premium
Wykryto dodatkowe ryzyko (użytkownik)
Obliczane w czasie rzeczywistym lub offline. To wykrycie wskazuje, że wykryto jedno z wykryć premium. Ponieważ wykrycia w warstwie Premium są widoczne tylko dla klientów microsoft Entra ID P2, są one zatytułowane Dodatkowe ryzyko wykryte dla klientów bez licencji microsoft Entra ID P2.
Ujawnione poświadczenia
Obliczane w trybie offline. Ten typ wykrywania ryzyka wskazuje, że wyciekły prawidłowe poświadczenia użytkownika. Gdy cyberprzestępcy naruszyli prawidłowe hasła uprawnionych użytkowników, często udostępniają te zebrane poświadczenia. Jest to zwykle wykonywane poprzez publiczne publikowanie na ciemnej sieci, na stronach w rodzaju paste sites lub poprzez wymianę i sprzedaż danych uwierzytelniających na czarnym rynku. Gdy usługa firmy Microsoft zajmująca się wyciekami poświadczeń uzyskuje poświadczenia użytkowników z ciemnej sieci, witryn typu pastebin lub innych źródeł, są one porównywane z bieżącymi prawidłowymi poświadczeniami użytkowników Microsoft Entra w celu odnalezienia zgodności. Aby uzyskać więcej informacji na temat wycieku poświadczeń, zobacz typowe pytania.
Porady dotyczące badania wykrycia wyciekłych poświadczeń.
Microsoft Entra analiza zagrożeń (użytkownik)
Obliczane w trybie offline. Ten typ wykrywania ryzyka wskazuje na aktywność użytkownika, która jest nietypowa dla użytkownika lub jest zgodna ze znanymi wzorcami ataków. Ta funkcja wykrywania jest oparta na wewnętrznych i zewnętrznych źródłach analizy zagrożeń firmy Microsoft.
Porady dotyczące badania wykrycia zagrożeń w Microsoft Entra.
Często zadawane pytania
Co zrobić, jeśli do próby zalogowania się użyto nieprawidłowych poświadczeń?
Usługa ID Protection generuje wykrywanie ryzyka tylko wtedy, gdy są używane poprawne poświadczenia. Jeśli podczas logowania są używane nieprawidłowe poświadczenia, nie stanowi to ryzyka naruszenia poświadczeń.
Czy wymagana jest synchronizacja skrótów haseł?
Wykrycia ryzyka, takie jak ujawnione poświadczenia, wymagają obecności skrótów haseł w celu wykrycia. Aby uzyskać więcej informacji na temat synchronizacji skrótów haseł, zobacz artykuł Implementowanie synchronizacji skrótów haseł za pomocą programu Microsoft Entra Connect Sync.
Dlaczego wykrywanie ryzyka jest generowane dla wyłączonych kont?
Konta użytkowników w stanie wyłączonym można ponownie włączyć. Jeśli poświadczenia wyłączonego konta zostaną naruszone, a konto zostanie ponownie włączone, źli aktorzy mogą użyć tych poświadczeń, aby uzyskać dostęp. Usługa ID Protection generuje wykrywanie ryzyka podejrzanych działań na tych wyłączonych kontach w celu powiadamiania klientów o potencjalnym naruszeniu zabezpieczeń konta. Jeśli konto nie jest już używane i nie zostanie ponownie włączone, klienci powinni rozważyć usunięcie go, aby zapobiec naruszeniu zabezpieczeń. Nie są generowane żadne wykrycia ryzyka dla usuniętych kont.
Próbowałem posortować raport Wykrywanie ryzyka przy użyciu kolumny Czas wykrywania , ale nie działa.
Sortowanie według czasu detekcji w raporcie wykrycia ryzyka może nie zawsze dać prawidłowy wynik ze względu na znane ograniczenie techniczne. Aby posortować według czasu wykrywania , wybierz pozycję Pobierz, aby wyeksportować dane jako plik CSV i odpowiednio posortować.
Typowe pytania dotyczące ujawnionych poświadczeń
Gdzie firma Microsoft znajduje ujawnione poświadczenia?
Firma Microsoft znajduje ujawnione poświadczenia w różnych miejscach, w tym:
- Publiczne witryny wklejania, w których zły aktorzy zazwyczaj publikują takie materiały.
- Organy ścigania.
- Inne grupy w firmie Microsoft wykonują ciemne badania internetowe.
Dlaczego nie widzę żadnych ujawnionych poświadczeń?
Ujawnione poświadczenia są przetwarzane za każdym razem, gdy firma Microsoft znajdzie nowy, publicznie dostępny zestaw. Ze względu na poufny charakter ujawnione poświadczenia są usuwane wkrótce po przetworzeniu. Tylko nowe wycieknięte poświadczenia odnalezione po włączeniu synchronizacji skrótów haseł (PHS) są przetwarzane względem dzierżawcy. Nie można zweryfikować wcześniej znalezionych par poświadczeń.
Nie widzę żadnych ujawnionych zdarzeń ryzyka poświadczeń
Jeśli nie widzisz żadnych zdarzeń ryzyka związanego z wyciekiem poświadczeń, jest to spowodowane następującymi przyczynami:
- Funkcja PHS nie jest włączona dla twojego dzierżawcy.
- Microsoft nie znalazł żadnych ujawnionych par poświadczeń pasujących do twoich użytkowników.
Jak często firma Microsoft przetwarza nowe poświadczenia?
Poświadczenia są przetwarzane natychmiast po ich znalezieniu, zwykle w wielu partiach dziennie.
Lokalizacje
Lokalizacja w wykrywaniu ryzyka jest określana przy użyciu wyszukiwania adresów IP. Logowania z zaufanych nazwanych lokalizacji zwiększają dokładność obliczeń ryzyka w Microsoft Entra ID Protection, obniżając ryzyko logowania użytkownika przy uwierzytelnianiu z lokalizacji oznaczonej jako zaufana.