Vad är riskidentifieringar?
Microsoft Entra ID Protection ger organisationer information om misstänkt aktivitet i klientorganisationen och gör det möjligt för dem att svara snabbt för att förhindra ytterligare risker. Riskidentifieringar är en kraftfull resurs som kan inkludera misstänkt eller avvikande aktivitet relaterad till ett användarkonto i katalogen. ID Protection-riskidentifieringar kan länkas till en enskild användare eller inloggningshändelse och bidra till den övergripande användarriskpoängen som finns i rapporten Riskfyllda användare.
Identifieringar av användarrisker kan flagga ett legitimt användarkonto som i riskzonen, när en potentiell hotaktör får åtkomst till ett konto genom att kompromettera sina autentiseringsuppgifter eller när de identifierar någon typ av avvikande användaraktivitet. Inloggningsriskidentifieringar representerar sannolikheten att en viss autentiseringsbegäran inte är kontots auktoriserade ägare. Förmågan att identifiera risker på både användar- och inloggningsnivå är avgörande för att kunder ska kunna stärka säkerheten för sin hyresgäst.
Risknivåer
ID Protection kategoriserar risker i tre nivåer: låg, medel och hög. Risknivåer som beräknas av våra maskininlärningsalgoritmer och representerar hur säker Microsoft är på att en eller flera av användarens autentiseringsuppgifter är kända av en obehörig entitet.
- En riskidentifiering med risknivå Hög betyder att Microsoft är mycket säker på att kontot är komprometterat.
- En riskidentifiering med låg risknivå innebär att det finns avvikelser i inloggningen eller en användares autentiseringsuppgifter, men vi är mindre säkra på att dessa avvikelser innebär att kontot komprometteras.
Många identifieringar kan utlösas på mer än en av våra risknivåer beroende på antalet eller allvarlighetsgraden för de identifierade avvikelserna. Till exempel kan okända inloggningsegenskaper utlösas på hög, medel eller låg nivå baserat på tillförlitligheten i signalerna. Vissa upptäckter, till exempel läckta autentiseringsuppgifter och verifierad hotaktörs-IP, levereras alltid som hög risk.
Den här risknivån är viktig när du bestämmer vilka identifieringar som ska prioriteras, undersökas och åtgärdas. De spelar också en viktig roll när det gäller att konfigurera riskbaserade principer för villkorsstyrd åtkomst eftersom varje princip kan ställas in att utlösas för låg, medelhög, hög eller ingen risk identifierad. Baserat på organisationens risktolerans kan du skapa principer som kräver MFA eller lösenordsåterställning när ID Protection identifierar en viss risknivå för en av dina användare. Dessa principer kan hjälpa användaren att självreparera för att lösa risken.
Viktigt!
Alla användare och identifieringar på "låg" risknivå kommer att finnas kvar i produkten i sex månader, varefter de automatiskt tas bort för att ge en renare undersökningsupplevelse. Medel- och högrisknivåerna bevaras tills de har åtgärdats eller avvisats.
Baserat på organisationens risktolerans kan du skapa principer som kräver MFA eller lösenordsåterställning när ID Protection identifierar en viss risknivå. Dessa principer kan hjälpa användaren att självreparera och lösa risken eller blockera beroende på dina toleranser.
Detekteringar i realtid och offline
ID Protection använder tekniker för att öka precisionen för identifiering av användar- och inloggningsrisker genom att beräkna vissa risker i realtid eller offline efter autentisering. Att identifiera risker i realtid vid inloggning ger fördelen att identifiera risker tidigt så att kunderna snabbt kan undersöka den potentiella kompromissen. Vid identifieringar som beräknar risker offline kan de ge mer insikt om i vilken omfattning och på vilket sätt angriparen fick åtkomst till kontot och effekten på den legitima användaren. Vissa identifieringar kan utlösas både offline och under inloggningen, vilket ökar förtroendet för att vara exakt på kompromissen.
Detektioner som utlöses i realtid tar 5–10 minuter att visa detaljer i rapporterna. Offlineupptäckter kan ta upp till 48 timmar att dyka upp i rapporterna, eftersom det tar tid att utvärdera egenskaperna hos den potentiella risken.
Kommentar
Vårt system kan upptäcka att den riskhändelse som bidrog till riskanvändarriskpoängen antingen var:
- Ett falskt positivt resultat
- Användarrisken hanterades enligt en policy genom antingen:
- Slutföra multifaktorautentisering
- Säker lösenordsändring
Vårt system avfärdar riskstatusen och en riskdetalj om AI-bekräftad säker inloggning visas, vilket innebär att riskstatusen inte längre bidrar till användarens totala risk.
På riskdetaljerad data registrerar Tidsdetektering det exakta ögonblicket då en risk identifieras under en användares inloggning, vilket möjliggör riskbedömning i realtid och en omedelbar policytillämpning för att skydda användaren och organisationen. Identifiering senast uppdaterad visar den senaste uppdateringen av en riskidentifiering, som kan bero på ny information, ändringar på risknivå eller administrativa åtgärder och säkerställer uppdaterad riskhantering.
De här fälten är viktiga för övervakning i realtid, hothantering och säker åtkomst till organisationens resurser.
Riskidentifieringar som mappats till riskhändelsetyp
| Riskidentifiering | Identifieringstyp | Typ | riskhändelsetyp |
|---|---|---|---|
| Identifiering av inloggningsrisk | |||
| Aktivitet från anonym IP-adress | Offline | Premium | riskabelIP-adress |
| Ytterligare risk identifierad (inloggning) | Realtid eller offline | Nonpremium | generic = Premiumdetekteringsklassificering för icke-P2-klientorganisationer |
| Administratören bekräftade att användaren har komprometterats | Offline | Nonpremium | adminBekräftadAnvändareKomprometterad |
| Anomal token vid inloggning | Realtid eller offline | Premium | anomalousToken |
| Anonym IP-adress | Realtid | Nonpremium | anonymiserad IP-adress |
| Atypiska resor | Offline | Premium | osannoliktTravel |
| Omöjlig resa | Offline | Premium | mcasImpossibleTravel |
| Skadlig IP-adress | Offline | Premium | skadlig IP-adress |
| Massåtkomst till känsliga filer | Offline | Exklusiv | mcasFinSuspiciousFileAccess |
| Microsoft Entra-hotinformation (inloggning) | Realtid eller offline | Nonpremium | undersökningarHotintelligens |
| Nytt land | Offline | Premium | nyttLand |
| Lösenordsspray | Realtid eller offline | Premium | passwordSpray |
| Misstänkt webbläsare | Offline | Premium | misstänkt webbläsare |
| Misstänkt vidarebefordran av inkorg | Offline | Premium | misstänkt inkorgsvidarebefordran |
| Misstänkta regler för inkorgsmanipulering | Offline | Premium | Misstänkt Inkorgsmanipulationsregler |
| Avvikelse från tokenutgivare | Offline | Premie | tokenutgivaranomali |
| Okända inloggningsegenskaper | Realtid | Premium | obekanta funktioner |
| Verifierad hotaktörs IP-adress | Realtid | Premium | nationStateIP |
| Användarriskdetektioner | |||
| Ytterligare risk identifierad (användare) | Realtid eller offline | Nonpremium | generic = Premiumdetektionsklassificering för icke-P2-klienter |
| anomalt token (användare) | Realtid eller offline | Premium | avvikande token |
| Avvikande användaraktivitet | Offline | Premium | avvikandeAnvändarAktivitet |
| Angripare i mitten | Offline | Premium | attackerinTheMiddle |
| Läckta autentiseringsuppgifter | Offline | Nonpremium | läckta inloggningsuppgifter |
| Microsoft Entra-hotinformation (användare) | Realtid eller offline | Nonpremium | undersökningarHotintelligens |
| Möjligt försök att komma åt primär uppdateringstoken (PRT) | Offline | Premium | attemptedPrtAccess |
| Misstänkt API-trafik | Offline | Premium | misstänkt API-trafik |
| Misstänkta sändningsmönster | Offline | Premium | misstänkta sändningsmönster |
| Användare rapporterade misstänkt aktivitet | Offline | Premie | användareRapporteradMisstänktAktivitet |
Mer information om identifiering av arbetsbelastningsidentitetsrisker finns i Skydda arbetsbelastningsidentiteter.
Premiumdetektioner
Följande premiumidentifieringar är endast synliga för Microsoft Entra ID P2-kunder.
Identifiering av premiuminloggningsrisker
Aktivitet från anonym IP-adress
Beräknas offline. Den här upptäckten upptäcktes med hjälp av information från Microsoft Defender för Cloud Apps. Den här identifieringen identifierar att användare var aktiva från en IP-adress som identifierats som en anonym proxy-IP-adress.
Avvikande token (inloggning)
Beräknas i realtid eller offline. Den här identifieringen anger onormala egenskaper i token, till exempel en ovanlig livslängd eller en token som spelas upp från en okänd plats. Den här identifieringen omfattar sessionstoken och uppdateringstoken.
Avvikande token justeras för att orsaka mer brus än andra identifieringar på samma risknivå. Den här kompromissen väljs för att öka sannolikheten att upptäcka omspelade token, som annars skulle kunna förbli obemärkta. Det finns en större risk än normalt att vissa av de sessioner som flaggas av denna detektion är falskt positiva. Vi rekommenderar att du undersöker de sessioner som flaggas av den här identifieringen i samband med andra inloggningar från användaren. Om platsen, programmet, IP-adressen, användaragenten eller andra egenskaper är oväntade för användaren bör administratören betrakta den här risken som en indikator på potentiell tokenuppspelning.
Tips för att undersöka avvikande tokenidentifieringar.
Ovanlig resa
Beräknas offline. Den här riskidentifieringstypen identifierar två inloggningar som kommer från geografiskt avlägsna platser, där minst en av platserna också kan vara atypisk för användaren, givet tidigare beteende. Algoritmen tar hänsyn till flera faktorer, inklusive tiden mellan de två inloggningarna och den tid det tar för användaren att resa från den första platsen till den andra. Den här risken kan tyda på att en annan användare använder samma autentiseringsuppgifter.
Algoritmen ignorerar uppenbara "falska positiva resultat" som bidrar till omöjliga reseförhållanden, till exempel VPN:er och platser som regelbundet används av andra användare i organisationen. Systemet har en inledande inlärningsperiod på tidigast 14 dagar eller 10 inloggningar, under vilken den lär sig en ny användares inloggningsbeteende.
Tips för att undersöka atypiska reseupptäckter.
Omöjlig resa
Beräknas offline. Den här upptäckten görs med hjälp av information från Microsoft Defender för appar i molnet. Den här identifieringen identifierar användaraktiviteter (i en eller flera sessioner) som kommer från geografiskt avlägsna platser inom en tidsperiod som är kortare än den tid det tar att resa från den första platsen till den andra. Den här risken kan tyda på att en annan användare använder samma autentiseringsuppgifter.
Skadlig IP-adress
Beräknas offline. Den här identifieringen anger inloggning från en skadlig IP-adress. En IP-adress anses vara skadlig baserat på höga felfrekvenser på grund av ogiltiga autentiseringsuppgifter som tagits emot från IP-adressen eller andra IP-rykteskällor. I vissa fall utlöses den här identifieringen av tidigare skadlig aktivitet.
Tips för att undersöka identifiering av skadliga IP-adresser.
Massåtkomst till känsliga filer
Beräknas offline. Den här upptäckten görs med hjälp av information från Microsoft Defender for Cloud Apps. Den här identifieringen tittar på din miljö och utlöser aviseringar när användare får åtkomst till flera filer från Microsoft Office SharePoint Online eller Microsoft OneDrive. En avisering utlöses endast om antalet filer som används är ovanligt för användaren och filerna kan innehålla känslig information.
Nytt land
Beräknas offline. Den här upptäckten görs med hjälp av information från Microsoft Defender för Cloud Apps. Den här identifieringen tar hänsyn till tidigare aktivitetsplatser för att fastställa nya och ovanliga platser. Avvikelseidentifieringsmotorn lagrar information om tidigare platser som används av användare i organisationen.
Lösenordsspray
Beräknas i realtid eller offline. En lösenordssprayattack är där flera identiteter attackeras med vanliga lösenord på ett enhetligt råstyrkesätt. Riskidentifieringen utlöses när ett kontos lösenord är giltigt och har ett inloggningsförsök. Den här identifieringen signalerar att användarens lösenord identifierades korrekt genom en lösenordssprayattack, inte att angriparen kunde komma åt några resurser.
Tips för att utreda detektioner av lösenordsspray.
Misstänkt webbläsare
Beräknas offline. Misstänkt webbläsaridentifiering indikerar avvikande beteende baserat på misstänkt inloggningsaktivitet i flera klienter från olika länder/regioner i samma webbläsare.
Tips för att undersöka misstänkta webbläsaridentifieringar.
Misstänkt vidarebefordran av inkorgar
Beräknas offline. Den här upptäckten görs med hjälp av information från Microsoft Defender för molnappar. Den här identifieringen letar efter misstänkta regler för vidarebefordran av e-post, till exempel om en användare har skapat en inkorgsregel som vidarebefordrar en kopia av alla e-postmeddelanden till en extern adress.
Misstänkta regler för inkorgsmanipulering
Beräknas offline. Den här upptäckten identifieras med hjälp av information från Microsoft Defender för molnappar. Den här identifieringen tittar på din miljö och utlöser aviseringar när misstänkta regler som tar bort eller flyttar meddelanden eller mappar anges i en användares inkorg. Den här identifieringen kan tyda på att en användares konto har komprometterats, att meddelanden avsiktligt döljs och att postlådan används för att distribuera skräppost eller skadlig kod i organisationen.
Avvikelse hos tokenutfärdare
Beräknas offline. Den här riskidentifieringen indikerar att SAML-token utfärdaren för den associerade SAML-token kan vara komprometterad. Anspråken som ingår i token är ovanliga eller matchar kända angripares mönster.
Tips för att undersöka avvikelser i tokenutfärdare.
Obekanta inloggningsegenskaper
Beräknas i realtid. Den här typen av riskidentifiering tar hänsyn till tidigare inloggningshistorik för att söka efter avvikande inloggningar. Systemet lagrar information om tidigare inloggningar och utlöser en riskidentifiering när en inloggning sker med egenskaper som användaren inte känner till. Dessa egenskaper kan omfatta IP, ASN, plats, enhet, webbläsare och klient-IP-undernät. Nyligen skapade användare befinner sig i en "inlärningsläge"-period där den okända inloggningsegenskaperna riskidentifiering är avstängd medan våra algoritmer lär sig användarens beteende. Varaktigheten för inlärningsläget är dynamisk och beror på hur lång tid det tar för algoritmen att samla in tillräckligt med information om användarens inloggningsmönster. Den minsta varaktigheten är fem dagar. En användare kan återgå till inlärningsläget efter en lång period av inaktivitet.
Vi kör även den här identifieringen för grundläggande autentisering (eller äldre protokoll). Eftersom dessa protokoll inte har moderna egenskaper, till exempel klient-ID, finns det begränsade data för att minska falska positiva identifieringar. Vi rekommenderar våra kunder att övergå till modern autentisering.
Obekanta inloggningsegenskaper kan identifieras för både interaktiva och icke-interaktiva inloggningar. När den här identifieringen identifieras vid icke-interaktiva inloggningar förtjänar den ökad granskning på grund av risken för tokenreprisattacker.
Om du väljer en okänd inloggningsrisk kan du se mer information som ger ytterligare detaljer om varför den här risken utlöstes.
IP-adress för verifierad hotaktör
Beräknas i realtid. Den här typen av riskidentifiering indikerar inloggningsaktivitet som överensstämmer med kända IP-adresser som är associerade med nationella aktörer eller cyberbrottsgrupper, baserat på data från Microsoft Threat Intelligence Center (MSTIC).
Identifiering av premiumanvändarrisker
Avvikande token (användare)
Beräknas i realtid eller offline. Den här identifieringen anger onormala egenskaper i token, till exempel en ovanlig livslängd eller en token som spelas upp från en okänd plats. Den här identifieringen omfattar sessionstoken och förnyelsetoken.
Avvikande token justeras för att orsaka mer brus än andra upptäckter på samma risknivå. Den här kompromissen väljs för att öka sannolikheten för att upptäcka återuppspelade tokener som annars skulle kunna gå obemärkt förbi. Det finns en större risk än normalt att vissa av de sessioner som flaggas av denna detektion är falska positiva. Vi rekommenderar att du undersöker de sessioner som flaggas av den här identifieringen i samband med andra inloggningar från användaren. Om platsen, programmet, IP-adressen, användaragenten eller andra egenskaper är oväntade för användaren bör administratören betrakta den här risken som en indikator på potentiell tokenuppspelning.
Tips för att undersöka avvikande tokenidentifieringar.
Avvikande användaraktivitet
Beräknas offline. Detta riskidentifieringssystem fastställer en baslinje för normalt administrativt användarbeteende i Microsoft Entra ID och upptäcker avvikande beteendemönster som misstänkta ändringar i katalogen. Identifieringen utlöses mot administratören som gör ändringen eller objektet som ändrades.
Angripare i mitten
Beräknas offline. Den här högprecisionsidentifieringen, även kallad Adversary in the Middle, utlöses när en autentiseringssession är länkad till en skadlig omvänd proxy. I den här typen av angrepp kan angriparen fånga upp användarens autentiseringsuppgifter, inklusive token som utfärdats till användaren. Microsoft Security Research-teamet använder Microsoft 365 Defender för att identifiera den identifierade risken och tilldela användaren hög risk. Vi rekommenderar att administratörer manuellt undersöker användaren när den här identifieringen utlöses för att säkerställa att risken rensas. Om du tar bort den här risken kan det krävas säker återställning av lösenord eller återkallande av befintliga sessioner.
Möjligt försök att komma åt Primary Refresh Token (PRT)
Beräknas offline. Den här typen av riskidentifiering identifieras med hjälp av information från Microsoft Defender för Endpoint (MDE). En primär uppdateringstoken (PRT) är en viktig artefakt för Microsoft Entra-autentisering i Windows 10, Windows Server 2016 och senare versioner, iOS- och Android-enheter. En PRT är en JSON-webbtoken (JWT) som utfärdas till Microsofts tokenmäklare från första part för att möjliggöra single sign-on (SSO) i de applikationer som används på dessa enheter. Angripare kan försöka komma åt den här resursen för att flytta i sidled till en organisation eller utföra stöld av autentiseringsuppgifter. Den här upptäckten flyttar användare till hög risknivå och utlöses endast i organisationer som distribuerar MDE. Denna identifiering är av hög risk och vi rekommenderar snabb åtgärd av dessa användare. Det visas sällan i de flesta organisationer på grund av dess låga volym.
Misstänkt API-trafik
Beräknas offline. Den här riskidentifieringen rapporteras när onormal GraphAPI-trafik eller kataloguppräkning observeras. Misstänkt API-trafik kan tyda på att en användare är komprometterad och utför rekognosering i miljön.
Misstänkta sändningsmönster
Beräknas offline. Den här typen av riskidentifiering identifieras med hjälp av information som tillhandahålls av Microsoft Defender för Office 365 (MDO). Den här aviseringen genereras när någon i din organisation skickar misstänkt e-post och antingen riskerar att bli eller begränsas från att skicka e-post. Den här detekteringen flyttar användare till medelhög risk och utlöses endast i organisationer som distribuerar MDO. Den här detekteringen är i låg volym och det sker sällan i de flesta organisationer.
Användare rapporterade misstänkt aktivitet
Beräknas offline. Den här riskidentifieringen rapporteras när en användare nekar en MFA-uppmaning (multifaktorautentisering) och rapporterar den som misstänkt aktivitet. En MFA-fråga som inte initieras av en användare kan innebära att deras autentiseringsuppgifter komprometteras.
Icke-premiumdetekteringar
Kunder utan Microsoft Entra ID P2-licenser får identifieringar med titeln Ytterligare risk identifierad utan detaljerad information om den identifiering som kunder med P2-licenser gör. Mer information finns i licenskraven.
Riskdetektering för icke-premium inloggningar
Ytterligare risk identifierad (inloggning)
Beräknas i realtid eller offline. Den här identifieringen anger att en av premiumidentifieringarna har identifierats. Eftersom premiumidentifieringarna endast är synliga för Microsoft Entra ID P2-kunder har de titeln Ytterligare risk identifierad för kunder utan Microsoft Entra ID P2-licenser.
Administratören bekräftade att användaren har komprometterats
Beräknas offline. Den här identifieringen anger att en administratör har valt Bekräfta att användaren har komprometterats i användargränssnittet för riskfyllda användare eller använder riskfylltAnvändar-API. Om du vill se vilken administratör som har bekräftat att användaren har komprometterats kontrollerar du användarens riskhistorik (via användargränssnitt eller API).
Anonym IP-adress
Beräknas i realtid. Den här riskidentifieringstypen anger inloggningar från en anonym IP-adress (till exempel Tor-webbläsare eller anonym VPN). Dessa IP-adresser används vanligtvis av aktörer som vill dölja sin inloggningsinformation (IP-adress, plats, enhet och så vidare) för potentiellt skadliga avsikter.
Microsoft Entra-hotinformation (inloggning)
Beräknas i realtid eller offline. Den här typen av riskidentifiering anger användaraktivitet som är ovanlig för användaren eller som överensstämmer med kända attackmönster. Den här identifieringen baseras på Microsofts interna och externa hotinformationskällor.
Tips för att undersöka identifieringar av Hotinformation i Microsoft Entra.
Riskidentifiering för icke-premiumanvändare
Ytterligare risk identifierad (användare)
Beräknas i realtid eller offline. Den här detektionen anger att en av premiumdetektionerna har upptäckts. Eftersom premiumidentifieringarna endast är synliga för Microsoft Entra ID P2-kunder har de titeln Ytterligare risk identifierad för kunder utan Microsoft Entra ID P2-licenser.
Läckta autentiseringsuppgifter
Beräknas offline. Den här riskidentifieringstypen anger att användarens giltiga autentiseringsuppgifter läckte ut. När cyberbrottslingar komprometterar giltiga lösenord för legitima användare delar de ofta dessa insamlade autentiseringsuppgifter. Delning sker vanligtvis genom offentlig publicering på mörka webben, paste-sajter, eller genom att byta och sälja inloggningsuppgifterna på den svarta marknaden. När tjänsten för läckta autentiseringsuppgifter från Microsoft hämtar användarautentiseringsuppgifter från dark web, pastade sajter eller andra källor, kontrolleras dessa autentiseringsuppgifter mot Microsoft Entra-användarnas aktuella giltiga inloggningsuppgifter för att hitta matchningar. Mer information om läckta autentiseringsuppgifter finns i vanliga frågor.
Leddtrådar för att undersöka läckta autentiseringsuppgifter.
Microsoft Entra-hotinformation (användare)
Beräknas offline. Den här typen av riskidentifiering anger användaraktivitet som är ovanlig för användaren eller som överensstämmer med kända attackmönster. Den här identifieringen baseras på Microsofts interna och externa hotinformationskällor.
Tips för att undersöka identifieringar av Hotinformation i Microsoft Entra.
Vanliga frågor
Vad händer om felaktiga autentiseringsuppgifter användes för att försöka logga in?
ID Protection genererar riskidentifieringar endast när rätt autentiseringsuppgifter används. Om felaktiga autentiseringsuppgifter används vid en inloggning innebär det inte risk för intrång i autentiseringsuppgifterna.
Krävs synkronisering av lösenordshash?
Riskidentifieringar, såsom läckta autentiseringsuppgifter, kräver att lösenordshashvärden finns närvarande för att detektering ska kunna ske. Mer information om synkronisering av lösenordshash finns i artikeln Implementera synkronisering av lösenordshash med Microsoft Entra Connect Sync.
Varför genereras riskidentifieringar för inaktiverade konton?
Användarkonton i inaktiverat tillstånd kan återaktiveras. Om autentiseringsuppgifterna för ett inaktiverat konto komprometteras och kontot återaktiveras kan dåliga aktörer använda dessa autentiseringsuppgifter för att få åtkomst. ID Protection genererar riskidentifieringar för misstänkta aktiviteter mot dessa inaktiverade konton för att varna kunder om potentiella kontointrång. Om ett konto inte längre används och inte aktiveras igen bör kunderna överväga att ta bort det för att förhindra att det komprometteras. Inga riskidentifieringar genereras för borttagna konton.
Jag försökte sortera rapporten Riskidentifieringar med hjälp av kolumnen Identifieringstid, men den fungerar inte
Sortering efter Identifieringstid i rapporten Riskidentifieringar kanske inte alltid ger rätt resultat på grund av en känd teknisk begränsning. Om du vill sortera efter identifieringstidväljer du Ladda ned för att exportera data som en CSV-fil och sortera därefter.
Vanliga frågor om läckta autentiseringsuppgifter
Var hittar Microsoft läckta autentiseringsuppgifter?
Microsoft hittar läckta autentiseringsuppgifter på olika platser, bland annat:
- Offentliga inklistringswebbplatser där dåliga aktörer vanligtvis publicerar sådant material.
- Brottsbekämpande myndigheter.
- Andra grupper på Microsoft som gör dark web-forskning.
Varför visas inga läckta autentiseringsuppgifter?
Läckta autentiseringsuppgifter bearbetas varje gång Microsoft hittar en ny, offentligt tillgänglig batch. På grund av den känsliga karaktären tas de läckta autentiseringsuppgifterna bort strax efter bearbetningen. Endast nya läckta autentiseringsuppgifter som hittades när du har aktiverat synkronisering av lösenordshash (PHS) bearbetas mot din klientorganisation. Verifikation mot tidigare funna par av inloggningsuppgifter görs inte.
Jag ser inga läckta riskhändelser för autentiseringsuppgifter
Om du inte ser några läckta riskhändelser för autentiseringsuppgifter beror det på följande:
- Du har inte aktiverat PHS (Password Hash Synchronization) för din hyresgäst.
- Microsoft hittade inga läckta par med autentiseringsuppgifter som matchar dina användare.
Hur ofta bearbetar Microsoft nya autentiseringsuppgifter?
Autentiseringsuppgifter bearbetas omedelbart efter att de har hittats, vanligtvis i flera batchar per dag.
Platser
Platsen i riskidentifieringar bestäms med hjälp av IP-adresssökning. Inloggningar från betrodda namngivna platser förbättrar noggrannheten i Microsoft Entra ID Protections riskberäkning, vilket minskar en användares inloggningsrisk när de autentiserar från en plats som markerats som betrodd.