Vad är riskidentifieringar?
Microsoft Entra ID Protection ger organisationer information om misstänkt aktivitet i klientorganisationen och gör det möjligt för dem att svara snabbt för att förhindra ytterligare risker. Riskidentifieringar är en kraftfull resurs som kan inkludera misstänkt eller avvikande aktivitet relaterad till ett användarkonto i katalogen. ID Protection-riskidentifieringar kan länkas till en enskild användare eller inloggningshändelse och bidra till den övergripande användarriskpoängen som finns i rapporten Riskfyllda användare.
Identifieringar av användarrisker kan flagga ett legitimt användarkonto som i riskzonen, när en potentiell hotaktör får åtkomst till ett konto genom att kompromettera sina autentiseringsuppgifter eller när de identifierar någon typ av avvikande användaraktivitet. Inloggningsriskidentifieringar representerar sannolikheten att en viss autentiseringsbegäran inte är kontots auktoriserade ägare. Att kunna identifiera risker på användar- och inloggningsnivå är viktigt för att kunderna ska kunna skydda sin klientorganisation.
Risknivåer
ID Protection kategoriserar risker i tre nivåer: låg, medel och hög. Risknivåer som beräknas av våra maskininlärningsalgoritmer och representerar hur säker Microsoft är på att en eller flera av användarens autentiseringsuppgifter är kända av en obehörig entitet.
- En riskidentifiering med risknivå Hög betyder att Microsoft är mycket säker på att kontot är komprometterat.
- En riskidentifiering med låg risknivå innebär att det finns avvikelser i inloggningen eller en användares autentiseringsuppgifter, men vi är mindre säkra på att dessa avvikelser innebär att kontot komprometteras.
Många identifieringar kan utlösas på mer än en av våra risknivåer beroende på antalet eller allvarlighetsgraden för de identifierade avvikelserna. Till exempel kan okända inloggningsegenskaper utlösas på hög, medel eller låg baserat på förtroendet för signalerna. Vissa identifieringar, till exempel läckta autentiseringsuppgifter och IP för verifierad hotskådespelare, levereras alltid som hög risk.
Den här risknivån är viktig när du bestämmer vilka identifieringar som ska prioriteras, undersökas och åtgärdas. De spelar också en viktig roll när det gäller att konfigurera riskbaserade principer för villkorsstyrd åtkomst eftersom varje princip kan ställas in att utlösas för låg, medelhög, hög eller ingen risk identifierad. Baserat på organisationens risktolerans kan du skapa principer som kräver MFA eller lösenordsåterställning när ID Protection identifierar en viss risknivå för en av dina användare. Dessa principer kan hjälpa användaren att självreparera för att lösa risken.
Viktigt!
Alla användare och identifieringar på "låg" risknivå kommer att finnas kvar i produkten i sex månader, varefter de automatiskt tas bort för att ge en renare undersökningsupplevelse. Medel- och högrisknivåerna bevaras tills de har åtgärdats eller avvisats.
Baserat på organisationens risktolerans kan du skapa principer som kräver MFA eller lösenordsåterställning när ID Protection identifierar en viss risknivå. Dessa principer kan hjälpa användaren att självreparera och lösa risken eller blockera beroende på dina toleranser.
Identifieringar i realtid och offline
ID Protection använder tekniker för att öka precisionen för identifiering av användar- och inloggningsrisker genom att beräkna vissa risker i realtid eller offline efter autentisering. Att identifiera risker i realtid vid inloggning ger fördelen att identifiera risker tidigt så att kunderna snabbt kan undersöka den potentiella kompromissen. Vid identifieringar som beräknar risker offline kan de ge mer insikt om i vilken omfattning och på vilket sätt angriparen fick åtkomst till kontot och effekten på den legitima användaren. Vissa identifieringar kan utlösas både offline och under inloggningen, vilket ökar förtroendet för att vara exakt på kompromissen.
Identifieringar som utlöses i realtid tar 5–10 minuter att visa information i rapporterna. Offlineidentifieringar tar upp till 48 timmar att visa i rapporterna, eftersom det tar tid att utvärdera egenskaperna för den potentiella risken.
Kommentar
Vårt system kan upptäcka att den riskhändelse som bidrog till riskanvändarriskpoängen antingen var:
- En falsk positiv
- Användarrisken åtgärdades av en princip av antingen:
- Slutföra multifaktorautentisering
- Säker lösenordsändring
Vårt system avfärdar riskstatusen och en riskdetalj om AI-bekräftad säker inloggning visas, vilket innebär att riskstatusen inte längre bidrar till användarens totala risk.
På risk detaljerade data registrerar Tidsidentifiering det exakta ögonblicket då en risk identifieras under en användares inloggning, vilket möjliggör riskbedömning i realtid och ett omedelbart principprogram för att skydda användaren och organisationen. Identifiering senast uppdaterad visar den senaste uppdateringen av en riskidentifiering, som kan bero på ny information, ändringar på risknivå eller administrativa åtgärder och säkerställer uppdaterad riskhantering.
De här fälten är viktiga för övervakning i realtid, hothantering och säker åtkomst till organisationens resurser.
Riskidentifieringar som mappats till riskEventType
| Riskidentifiering | Identifieringstyp | Typ | riskEventType |
|---|---|---|---|
| Identifiering av inloggningsrisk | |||
| Aktivitet från anonym IP-adress | Offline | Premium | riskyIPAddress |
| Ytterligare risk identifierad (inloggning) | Realtid eller offline | Nonpremium | generic = Premium-identifieringsklassificering för icke-P2-klientorganisationer |
| Administratören bekräftade att användaren har komprometterats | Offline | Nonpremium | adminConfirmedUserCompromised |
| Anomal token vid inloggning | Realtid eller offline | Premium | anomalousToken |
| Anonym IP-adress | Realtid | Nonpremium | anonymizedIPAddress |
| Atypiska resor | Offline | Premium | osannoliktTravel |
| Omöjlig resa | Offline | Premium | mcasImpossibleTravel |
| Skadlig IP-adress | Offline | Premium | maliciousIPAddress |
| Massåtkomst till känsliga filer | Offline | Premium | mcasFinSuspiciousFileAccess |
| Microsoft Entra-hotinformation (inloggning) | Realtid eller offline | Nonpremium | investigationsThreatIntelligence |
| Nytt land | Offline | Premium | newCountry |
| Lösenordsspray | Realtid eller offline | Premium | passwordSpray |
| Misstänkt webbläsare | Offline | Premium | suspiciousBrowser |
| Misstänkt vidarebefordran av inkorgar | Offline | Premium | suspiciousInboxForwarding |
| Misstänkta regler för inkorgsmanipulering | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| Token issuer anomaly | Offline | Premium | tokenIssuerAnomaly |
| Okända inloggningsegenskaper | Realtid | Premium | unfamiliarFeatures |
| Ip-adress för verifierad hotskådespelare | Realtid | Premium | nationStateIP |
| Identifiering av användarrisker | |||
| Ytterligare risk identifierad (användare) | Realtid eller offline | Nonpremium | generic = Premium-identifieringsklassificering för icke-P2-klientorganisationer |
| avvikande token (användare) | Realtid eller offline | Premium | anomalousToken |
| Avvikande användaraktivitet | Offline | Premium | anomalousUserActivity |
| Angripare i mitten | Offline | Premium | attackerinTheMiddle |
| Läckta autentiseringsuppgifter | Offline | Nonpremium | leakedCredentials |
| Microsoft Entra-hotinformation (användare) | Realtid eller offline | Nonpremium | investigationsThreatIntelligence |
| Möjligt försök att komma åt primär uppdateringstoken (PRT) | Offline | Premium | attemptedPrtAccess |
| Misstänkt API-trafik | Offline | Premium | suspiciousAPITraffic |
| Misstänkta sändningsmönster | Offline | Premium | suspiciousSendingPatterns |
| Användare rapporterade misstänkt aktivitet | Offline | Premium | userReportedSuspiciousActivity |
Mer information om identifiering av arbetsbelastningsidentitetsrisker finns i Skydda arbetsbelastningsidentiteter.
Premiumidentifieringar
Följande premiumidentifieringar är endast synliga för Microsoft Entra ID P2-kunder.
Identifiering av premiuminloggningsrisker
Aktivitet från anonym IP-adress
Beräknas offline. Den här identifieringen identifieras med hjälp av information från Microsoft Defender för molnet Apps. Den här identifieringen identifierar att användare var aktiva från en IP-adress som identifierats som en anonym proxy-IP-adress.
Avvikande token (inloggning)
Beräknas i realtid eller offline. Den här identifieringen anger onormala egenskaper i token, till exempel en ovanlig livslängd eller en token som spelas upp från en okänd plats. Den här identifieringen omfattar sessionstoken och uppdateringstoken.
Avvikande token justeras för att medföra mer brus än andra identifieringar på samma risknivå. Den här kompromissen väljs för att öka sannolikheten för att upptäcka omspelade token som annars skulle kunna gå obemärkt förbi. Det finns en större risk än normalt att vissa av de sessioner som flaggas av den här identifieringen är falska positiva identifieringar. Vi rekommenderar att du undersöker de sessioner som flaggas av den här identifieringen i samband med andra inloggningar från användaren. Om platsen, programmet, IP-adressen, användaragenten eller andra egenskaper är oväntade för användaren bör administratören betrakta den här risken som en indikator på potentiell tokenuppspelning.
Tips för att undersöka avvikande tokenidentifieringar.
Ovanlig resa
Beräknas offline. Den här riskidentifieringstypen identifierar två inloggningar som kommer från geografiskt avlägsna platser, där minst en av platserna också kan vara atypisk för användaren, givet tidigare beteende. Algoritmen tar hänsyn till flera faktorer, inklusive tiden mellan de två inloggningarna och den tid det tar för användaren att resa från den första platsen till den andra. Den här risken kan tyda på att en annan användare använder samma autentiseringsuppgifter.
Algoritmen ignorerar uppenbara "falska positiva identifieringar" som bidrar till omöjliga reseförhållanden, till exempel VPN och platser som regelbundet används av andra användare i organisationen. Systemet har en inledande inlärningsperiod på tidigast 14 dagar eller 10 inloggningar, under vilken den lär sig en ny användares inloggningsbeteende.
Tips för att undersöka atypiska reseidentifieringar.
Omöjlig resa
Beräknas offline. Den här identifieringen identifieras med hjälp av information från Microsoft Defender för molnet Apps. Den här identifieringen identifierar användaraktiviteter (i en eller flera sessioner) som kommer från geografiskt avlägsna platser inom en tidsperiod som är kortare än den tid det tar att resa från den första platsen till den andra. Den här risken kan tyda på att en annan användare använder samma autentiseringsuppgifter.
Skadlig IP-adress
Beräknas offline. Den här identifieringen anger inloggning från en skadlig IP-adress. En IP-adress anses vara skadlig baserat på höga felfrekvenser på grund av ogiltiga autentiseringsuppgifter som tagits emot från IP-adressen eller andra IP-rykteskällor. I vissa fall utlöses den här identifieringen av tidigare skadlig aktivitet.
Tips för att undersöka identifiering av skadliga IP-adresser.
Massåtkomst till känsliga filer
Beräknas offline. Den här identifieringen identifieras med hjälp av information från Microsoft Defender för molnet Apps. Den här identifieringen tittar på din miljö och utlöser aviseringar när användare får åtkomst till flera filer från Microsoft Office SharePoint Online eller Microsoft OneDrive. En avisering utlöses endast om antalet filer som används är ovanligt för användaren och filerna kan innehålla känslig information.
Nytt land
Beräknas offline. Den här identifieringen identifieras med hjälp av information från Microsoft Defender för molnet Apps. Den här identifieringen tar hänsyn till tidigare aktivitetsplatser för att fastställa nya och ovanliga platser. Avvikelseidentifieringsmotorn lagrar information om tidigare platser som används av användare i organisationen.
Lösenordsspray
Beräknas i realtid eller offline. En lösenordssprayattack är där flera identiteter attackeras med vanliga lösenord på ett enhetligt råstyrkesätt. Riskidentifieringen utlöses när ett kontos lösenord är giltigt och har ett inloggningsförsök. Den här identifieringen signalerar att användarens lösenord identifierades korrekt genom en lösenordssprayattack, inte att angriparen kunde komma åt några resurser.
Tips för att utreda detektion av lösenordsspray.
Misstänkt webbläsare
Beräknas offline. Misstänkt webbläsaridentifiering indikerar avvikande beteende baserat på misstänkt inloggningsaktivitet i flera klienter från olika länder/regioner i samma webbläsare.
Tips för att undersöka misstänkta webbläsaridentifieringar.
Misstänkt vidarebefordran av inkorgar
Beräknas offline. Den här identifieringen identifieras med hjälp av information från Microsoft Defender för molnet Apps. Den här identifieringen letar efter misstänkta regler för vidarebefordran av e-post, till exempel om en användare har skapat en inkorgsregel som vidarebefordrar en kopia av alla e-postmeddelanden till en extern adress.
Misstänkta regler för inkorgsmanipulering
Beräknas offline. Den här identifieringen identifieras med hjälp av information från Microsoft Defender för molnet Apps. Den här identifieringen tittar på din miljö och utlöser aviseringar när misstänkta regler som tar bort eller flyttar meddelanden eller mappar anges i en användares inkorg. Den här identifieringen kan tyda på att en användares konto har komprometterats, att meddelanden avsiktligt döljs och att postlådan används för att distribuera skräppost eller skadlig kod i organisationen.
Token issuer anomaly
Beräknas offline. Den här riskidentifieringen indikerar att SAML-token utfärdaren för den associerade SAML-token kan komma att komprometteras. Anspråken som ingår i token är ovanliga eller matchar kända angripares mönster.
Tips för att undersöka avvikelseidentifieringar för token utfärdare.
Obekanta inloggningsegenskaper
Beräknas i realtid. Den här typen av riskidentifiering tar hänsyn till tidigare inloggningshistorik för att söka efter avvikande inloggningar. Systemet lagrar information om tidigare inloggningar och utlöser en riskidentifiering när en inloggning sker med egenskaper som användaren inte känner till. Dessa egenskaper kan omfatta IP, ASN, plats, enhet, webbläsare och klient-IP-undernät. Nyligen skapade användare befinner sig i en "inlärningsläge"-period där den okända inloggningsegenskaperna riskidentifiering är avstängd medan våra algoritmer lär sig användarens beteende. Varaktigheten för inlärningsläget är dynamisk och beror på hur lång tid det tar för algoritmen att samla in tillräckligt med information om användarens inloggningsmönster. Den minsta varaktigheten är fem dagar. En användare kan återgå till inlärningsläget efter en lång period av inaktivitet.
Vi kör även den här identifieringen för grundläggande autentisering (eller äldre protokoll). Eftersom dessa protokoll inte har moderna egenskaper, till exempel klient-ID, finns det begränsade data för att minska falska positiva identifieringar. Vi rekommenderar våra kunder att övergå till modern autentisering.
Obekanta inloggningsegenskaper kan identifieras för både interaktiva och icke-interaktiva inloggningar. När den här identifieringen identifieras vid icke-interaktiva inloggningar förtjänar den ökad granskning på grund av risken för tokenreprisattacker.
Om du väljer en okänd risk för inloggningsegenskaper kan du se mer information som visar mer information om varför den här risken utlöstes.
Ip-adress för verifierad hotskådespelare
Beräknas i realtid. Den här typen av riskidentifiering indikerar inloggningsaktivitet som överensstämmer med kända IP-adresser som är associerade med nationella aktörer eller cyberbrottsgrupper, baserat på data från Microsoft Threat Intelligence Center (MSTIC).
Identifiering av premiumanvändarrisker
Avvikande token (användare)
Beräknas i realtid eller offline. Den här identifieringen anger onormala egenskaper i token, till exempel en ovanlig livslängd eller en token som spelas upp från en okänd plats. Den här identifieringen omfattar sessionstoken och uppdateringstoken.
Avvikande token justeras för att medföra mer brus än andra identifieringar på samma risknivå. Den här kompromissen väljs för att öka sannolikheten för att upptäcka omspelade token som annars skulle kunna gå obemärkt förbi. Det finns en större risk än normalt att vissa av de sessioner som flaggas av den här identifieringen är falska positiva identifieringar. Vi rekommenderar att du undersöker de sessioner som flaggas av den här identifieringen i samband med andra inloggningar från användaren. Om platsen, programmet, IP-adressen, användaragenten eller andra egenskaper är oväntade för användaren bör administratören betrakta den här risken som en indikator på potentiell tokenuppspelning.
Tips för att undersöka avvikande tokenidentifieringar.
Avvikande användaraktivitet
Beräknas offline. Den här riskidentifieringen baslinjer normalt administrativt användarbeteende i Microsoft Entra-ID och upptäcker avvikande beteendemönster som misstänkta ändringar i katalogen. Identifieringen utlöses mot administratören som gör ändringen eller objektet som ändrades.
Angripare i mitten
Beräknas offline. Den här högprecisionsidentifieringen, även kallad Adversary in the Middle, utlöses när en autentiseringssession är länkad till en skadlig omvänd proxy. I den här typen av angrepp kan angriparen fånga upp användarens autentiseringsuppgifter, inklusive token som utfärdats till användaren. Microsoft Security Research-teamet använder Microsoft 365 Defender för att fånga upp den identifierade risken och ger användaren hög risk. Vi rekommenderar att administratörer manuellt undersöker användaren när den här identifieringen utlöses för att säkerställa att risken rensas. Om du tar bort den här risken kan det krävas säker återställning av lösenord eller återkallande av befintliga sessioner.
Möjligt försök att komma åt primär uppdateringstoken (PRT)
Beräknas offline. Den här typen av riskidentifiering identifieras med hjälp av information från Microsoft Defender för Endpoint (MDE). En primär uppdateringstoken (PRT) är en viktig artefakt för Microsoft Entra-autentisering i Windows 10, Windows Server 2016 och senare versioner, iOS- och Android-enheter. En PRT är en JSON-webbtoken (JWT) som utfärdas till Microsofts tokenköer från första part för att aktivera enkel inloggning (SSO) i de program som används på dessa enheter. Angripare kan försöka komma åt den här resursen för att flytta i sidled till en organisation eller utföra stöld av autentiseringsuppgifter. Den här identifieringen flyttar användare till hög risk och utlöses endast i organisationer som distribuerar MDE. Den här identifieringen är hög och vi rekommenderar snabb reparation av dessa användare. Det visas sällan i de flesta organisationer på grund av dess låga volym.
Misstänkt API-trafik
Beräknas offline. Den här riskidentifieringen rapporteras när onormal GraphAPI-trafik eller kataloguppräkning observeras. Misstänkt API-trafik kan tyda på att en användare är komprometterad och utför rekognosering i miljön.
Misstänkta sändningsmönster
Beräknas offline. Den här typen av riskidentifiering identifieras med hjälp av information som tillhandahålls av Microsoft Defender för Office 365 (MDO). Den här aviseringen genereras när någon i din organisation skickar misstänkt e-post och antingen riskerar att bli eller begränsas från att skicka e-post. Den här identifieringen flyttar användare till medelhög risk och utlöses endast i organisationer som distribuerar MDO. Den här identifieringen är låg volym och visas sällan i de flesta organisationer.
Användare rapporterade misstänkt aktivitet
Beräknas offline. Den här riskidentifieringen rapporteras när en användare nekar en MFA-uppmaning (multifaktorautentisering) och rapporterar den som misstänkt aktivitet. En MFA-fråga som inte initieras av en användare kan innebära att deras autentiseringsuppgifter komprometteras.
Nonpremiumidentifieringar
Kunder utan Microsoft Entra ID P2-licenser får identifieringar med titeln Ytterligare risk identifierad utan detaljerad information om den identifiering som kunder med P2-licenser gör. Mer information finns i licenskraven.
Riskidentifiering av icke-premiuminloggning
Ytterligare risk identifierad (inloggning)
Beräknas i realtid eller offline. Den här identifieringen anger att en av premiumidentifieringarna har identifierats. Eftersom premiumidentifieringarna endast är synliga för Microsoft Entra ID P2-kunder har de titeln Ytterligare risk identifierad för kunder utan Microsoft Entra ID P2-licenser.
Administratören bekräftade att användaren har komprometterats
Beräknas offline. Den här identifieringen anger att en administratör har valt Bekräfta att användaren har komprometterats i användargränssnittet för riskfyllda användare eller använder riskfylltAnvändar-API. Om du vill se vilken administratör som har bekräftat att användaren har komprometterats kontrollerar du användarens riskhistorik (via användargränssnitt eller API).
Anonym IP-adress
Beräknas i realtid. Den här riskidentifieringstypen anger inloggningar från en anonym IP-adress (till exempel Tor-webbläsare eller anonym VPN). Dessa IP-adresser används vanligtvis av aktörer som vill dölja sin inloggningsinformation (IP-adress, plats, enhet och så vidare) för potentiellt skadliga avsikter.
Microsoft Entra-hotinformation (inloggning)
Beräknas i realtid eller offline. Den här typen av riskidentifiering anger användaraktivitet som är ovanlig för användaren eller som överensstämmer med kända attackmönster. Den här identifieringen baseras på Microsofts interna och externa hotinformationskällor.
Tips för att undersöka identifieringar av Hotinformation i Microsoft Entra.
Riskidentifiering för icke-premiumanvändare
Ytterligare risk identifierad (användare)
Beräknas i realtid eller offline. Den här identifieringen anger att en av premiumidentifieringarna har identifierats. Eftersom premiumidentifieringarna endast är synliga för Microsoft Entra ID P2-kunder har de titeln Ytterligare risk identifierad för kunder utan Microsoft Entra ID P2-licenser.
Läckta autentiseringsuppgifter
Beräknas offline. Den här riskidentifieringstypen anger att användarens giltiga autentiseringsuppgifter läckte ut. När cyberbrottslingar komprometterar giltiga lösenord för legitima användare delar de ofta dessa insamlade autentiseringsuppgifter. Den här delningen sker vanligtvis genom att offentlig publicering på den mörka webben, eller genom att autentiseringsuppgifterna säljs på den svarta marknaden. När Tjänsten Microsofts läckta autentiseringsuppgifter hämtar användarautentiseringsuppgifter från dark web, klistrar in webbplatser eller andra källor kontrolleras de mot Microsoft Entra-användarnas aktuella giltiga autentiseringsuppgifter för att hitta giltiga matchningar. Mer information om läckta autentiseringsuppgifter finns i vanliga frågor.
Tips för att undersöka läckta identifieringar av autentiseringsuppgifter.
Microsoft Entra-hotinformation (användare)
Beräknas offline. Den här typen av riskidentifiering anger användaraktivitet som är ovanlig för användaren eller som överensstämmer med kända attackmönster. Den här identifieringen baseras på Microsofts interna och externa hotinformationskällor.
Tips för att undersöka identifieringar av Hotinformation i Microsoft Entra.
Vanliga frågor
Vad händer om felaktiga autentiseringsuppgifter användes för att försöka logga in?
ID Protection genererar riskidentifieringar endast när rätt autentiseringsuppgifter används. Om felaktiga autentiseringsuppgifter används vid en inloggning innebär det inte risk för intrång i autentiseringsuppgifterna.
Krävs synkronisering av lösenordshash?
Riskidentifieringar som läckta autentiseringsuppgifter kräver att det finns lösenordshashvärden för identifiering. Mer information om synkronisering av lösenordshash finns i artikeln Implementera synkronisering av lösenordshash med Microsoft Entra Connect Sync.
Varför genereras riskidentifieringar för inaktiverade konton?
Användarkonton i inaktiverat tillstånd kan återaktiveras. Om autentiseringsuppgifterna för ett inaktiverat konto komprometteras och kontot återaktiveras kan dåliga aktörer använda dessa autentiseringsuppgifter för att få åtkomst. ID Protection genererar riskidentifieringar för misstänkta aktiviteter mot dessa inaktiverade konton för att varna kunder om potentiella kontointrång. Om ett konto inte längre används och inte aktiveras igen bör kunderna överväga att ta bort det för att förhindra att det komprometteras. Inga riskidentifieringar genereras för borttagna konton.
Jag försökte sortera rapporten Riskidentifieringar med hjälp av kolumnen Identifieringstid, men den fungerar inte
Sortering efter Identifieringstid i rapporten Riskidentifieringar kanske inte alltid ger rätt resultat på grund av en känd teknisk begränsning. Om du vill sortera efter identifieringstidväljer du Ladda ned för att exportera data som en CSV-fil och sortera därefter.
Vanliga frågor om läckta autentiseringsuppgifter
Var hittar Microsoft läckta autentiseringsuppgifter?
Microsoft hittar läckta autentiseringsuppgifter på olika platser, bland annat:
- Offentliga inklistringswebbplatser där dåliga aktörer vanligtvis publicerar sådant material.
- Brottsbekämpande myndigheter.
- Andra grupper på Microsoft som gör dark web-forskning.
Varför visas inga läckta autentiseringsuppgifter?
Läckta autentiseringsuppgifter bearbetas varje gång Microsoft hittar en ny, offentligt tillgänglig batch. På grund av den känsliga karaktären tas de läckta autentiseringsuppgifterna bort strax efter bearbetningen. Endast nya läckta autentiseringsuppgifter som hittades när du har aktiverat synkronisering av lösenordshash (PHS) bearbetas mot din klientorganisation. Det går inte att verifiera mot tidigare hittade par med autentiseringsuppgifter.
Jag ser inga läckta riskhändelser för autentiseringsuppgifter
Om du inte ser några läckta riskhändelser för autentiseringsuppgifter beror det på följande:
- Du har inte aktiverat PHS för din klientorganisation.
- Microsoft hittade inga läckta par med autentiseringsuppgifter som matchar dina användare.
Hur ofta bearbetar Microsoft nya autentiseringsuppgifter?
Autentiseringsuppgifter bearbetas omedelbart efter att de har hittats, vanligtvis i flera batchar per dag.
Platser
Platsen i riskidentifieringar bestäms med hjälp av IP-adresssökning. Inloggningar från betrodda namngivna platser förbättrar noggrannheten i Microsoft Entra ID Protections riskberäkning, vilket minskar en användares inloggningsrisk när de autentiserar från en plats som markerats som betrodd.