什麼是風險偵測？

發行項
03/11/2025

Microsoft Entra ID Protection 為組織提供其租用戶可疑活動的資訊，並允許他們快速回應，以防止發生進一步的風險。風險偵測是一種功能強大的資源，可包含與目錄中使用者帳戶相關的任何可疑或異常活動。 ID Protection 風險偵測可以連結到個別使用者或登入事件，並影響風險性使用者報告中找到的整體使用者風險分數。

使用者風險偵測在潛在威脅行為者藉由破解帳戶認證來取得帳戶的存取權時，或在其偵測到某種類型的異常使用者活動時，可能會將合法的使用者帳戶標示為有風險。登入風險偵測表示指定的驗證要求未獲帳戶擁有者授權的機率。能夠識別使用者和登入層級的風險，對於客戶獲得保護其租用戶的能力至關重要。

風險層級

ID Protection 會將風險分類成三個層級：低、中和高。風險層級由機器學習演算法計算而來，代表 Microsoft 對未經授權的實體知曉一或多個使用者認證的把握程度。

風險層級為 [高] 的風險偵測表示 Microsoft 高度確信帳戶遭到盜用。
風險層級為 [低] 的風險偵測表示登入或使用者認證中有異常，但我們不太確定這些異常意味著帳戶遭到盜用。

許多偵測可以在多個風險層級上啟動，這取決於偵測到的異常數量或嚴重程度。例如，不熟悉的登入屬性可能會根據訊號的信賴度在高、中或低層級引發。某些偵測 (例如認證外洩和已驗證的威脅行為者 IP) 一律會以高風險的形式傳遞。

決定要排定優先順序、調查及補救哪些偵測時，此風險層級很重要。在設定風險型條件式存取原則方面，他們也扮演著關鍵角色，因為每個原則可以設定為在偵測到低、中、高風險或未偵測到任何風險時觸發。根據貴組織的風險承受度，您可以在 ID Protection 偵測到其中一個使用者的特定風險層級時，建立需要使用 MFA 或重設密碼的原則。這些原則可引導使用者自我補救以解決風險。

重要

所有「低」風險等級偵測項目和用戶都會在產品內保留六個月，之後會自動被排除，以提供更整潔的調查體驗。中高風險層級會一直保留到進行補救或關閉為止。

根據貴組織的風險承受度，您可以在 ID Protection 偵測到特定風險層級時，建立需要使用 MFA 或重設密碼的原則。這些原則可能會引導使用者完成自我補救並解決風險，或根據您的承受度進行封鎖。

即時和離線偵測

ID Protection 利用一些技術，透過在驗證後即時或離線計算某些風險來提高使用者和登入風險偵測的精確度。在登入時即時偵測風險的優點是能提前識別風險，讓客戶可以快速調查潛在的危害。在離線計算風險的偵測上，他們可以提供更多見解，以瞭解威脅執行者如何取得帳戶的存取權，以及對合法用戶的影響。某些偵測可以同時在離線和登入期間觸發，從而提高對於準確識別安全受損情況的信心。

即時觸發的偵測需要 5-10 分鐘的時間，才能在報告中顯示詳細資料。離線偵測最多需要 48 小時才會顯示在報告中，因為評估潛在風險的屬性需要時間。

注意

系統可能偵測到導致風險使用者風險分數增加的風險事件，這些事件可能是：

偽陽性
由政策以以下其中一種方式補救使用者風險：
- 完成多重要素驗證
- 安全密碼變更

我們的系統會解除風險狀態，當 AI 確認登入安全 的風險細節出現時，風險狀態不再對使用者的整體風險造成影響。

在風險詳細資料上，時間偵測會記錄使用者登入期間識別風險的確切時刻，這可讓即時風險評估和立即原則應用程式來保護使用者和組織。 偵測上次更新會顯示風險偵測的最新更新，這可能是因為新的資訊、風險層級變更或系統管理動作，並確保最新的風險管理。

這些欄位對於即時監視、威脅回應及維護組織資源的安全存取至關重要。

被歸類為「riskEventType」的風險偵測

風險偵測	偵測類型	類型	風險事件類型
登入風險偵測
來自匿名 IP 位址的活動	離線	高級	風險IP地址
已偵測到的額外風險 (登入)	即時或離線	非高級	generic = 非 P2 租用戶的進階偵測分類
系統管理員已確認使用者遭盜用	離線	非高級	管理員確認用戶被入侵
異常令牌（登入）	即時或離線	高級	異常代幣
匿名 IP 位址	即時	非高級	匿名IP地址
非慣用移動	離線	高級	不尋常的旅行
不可能的移動	離線	高級	mcasImpossibleTravel
惡意 IP 位址	離線	高級	惡意IP地址
大量存取敏感性檔案	離線	高級	懷疑檔案存取 (mcasFin)
Microsoft Entra 威脅情報 (登入)	即時或離線	非高級	調查威脅情報
新國家/地區	離線	高級	新國家
密碼噴灑	即時或離線	高級	密碼灑列攻擊 (passwordSpray)
可疑的瀏覽器	離線	高級	可疑瀏覽器
可疑的收件箱轉寄	離線	高級	可疑收件匣轉寄
可疑的收件匣操作規則	離線	高級	mcasSuspiciousInboxManipulationRules
令牌發行者異常	離線	高級	權杖發行方異常
不熟悉的登入屬性	即時	高級	不熟悉的功能
已驗證的威脅行為者 IP	即時	高級	nationStateIP
使用者風險偵測
已偵測到的額外風險 (使用者)	即時或離線	非高級	generic = 非 P2 租用戶的進階偵測分類
異常令牌（使用者）	即時或離線	高級	異常代幣
異常使用者活動	離線	高級	異常用戶活動
中間攻擊者	離線	高級	attackerinTheMiddle
認證外洩	離線	非高級	洩露的憑證
Microsoft Entra 威脅情報 (使用者)	即時或離線	非高級	調查威脅情報
可能嘗試存取主要重新整理權杖 (PRT)	離線	高級	attemptedPrtAccess
可疑的 API 流量	離線	高級	可疑的API流量
可疑的傳送模式	離線	高級	可疑的發送模式
使用者回報可疑活動	離線	高級	用戶報告可疑活動

如需工作負載身分識別風險偵測的詳細資訊，請參閱保護工作負載身分識別。

進階偵測

只有 Microsoft Entra ID P2 客戶才能看到下列進階偵測。

來自匿名 IP 位址的活動

離線計算。此偵測會使用 Microsoft Defender for Cloud Apps 所提供的資訊來探索。此偵測識別到使用者是從被識別為匿名代理 IP 位址的 IP 位址進行活動。

即時或離線計算。此偵測會指出權杖中異常的特性，例如異常的生命周期，或在不熟悉的位置使用的權杖。此偵測涵蓋工作階段權杖和重新整理權杖。

異常代幣被調整為會產生比相同風險層級的其他偵測更多的噪音。做出此取捨的目的是為了增加偵測回放的權杖的可能性，否則這些權杖可能會被忽略。有一些由此偵測標記的會話，其誤判機率比正常高。我們建議您在使用者的其他登入情境中調查此偵測所標示的會議。如果位置、應用程式、IP 位址、使用者代理或其他特性對於使用者來說是意外的，系統管理員應將此風險視為權杖可能遭重複使用的指標。

調查異常令牌偵測的秘訣。

非典型旅行

離線計算。此風險偵測類型會識別從距離遙遠的位置進行的兩次登入，而根據使用者過去的行為，其中至少有一個位置可能不尋常。演算法會考量多重因素，包括兩次登入間隔多久，以及使用者從第一個位置移至第二個位置所需的時間。此風險可能表示有不同的使用者使用相同的認證。

演算法會忽略明顯的「誤判」，這些誤判可能造成不可能的旅行情況，比如 VPN 和組織中其他使用者定期使用的位置。系統有前 14 天或 10 次登入的初始學習期間，它會在這段期間了解新使用者的登入行為。

調查非典型旅行偵測的技巧。

不可能的旅行

離線計算。此偵測會使用 Microsoft Defender for Cloud Apps 所提供的資訊來探索。此偵測用於識別從地理位置遙遠的地方發起的使用者活動（可以是單一或多個工作階段），其時間短於從第一個地點到第二個地點的正常旅行時間。此風險可能表示有不同的使用者使用相同的認證。

惡意 IP 位址

離線計算。此偵測會指出來自惡意 IP 位址的登入。如果 IP 位址由於從該位址或其他 IP 名譽來源接收到無效憑證而導致高失敗率，則該 IP 位址會被視為惡意。在某些情況下，此偵測會因先前的惡意活動而啟動。

調查惡意IP位址偵測的秘訣。

大量存取敏感性檔案

離線計算。此偵測會使用 Microsoft Defender for Cloud Apps 所提供的資訊來探索。此偵測會分析您的環境，並在使用者從 Microsoft SharePoint Online 或 Microsoft OneDrive 存取多個檔案時，觸發警示。只有在存取的檔案數目不是使用者所常見，且檔案可能包含敏感性資訊的情況下，才會觸發警示。

新國家/地區

離線計算。此偵測會使用 Microsoft Defender for Cloud Apps 所提供的資訊來探索。這項偵測會考量過去的活動位置來判斷新的和非經常性的位置。異常偵測引擎會儲存組織中使用者先前使用的位置資訊。

密碼噴灑

即時或離線計算。密碼噴濺攻擊指的是以統一暴力密碼破解攻擊的方式對多個身分識別進行攻擊。當帳戶的密碼有效且嘗試登入時，就會觸發風險偵測。此偵測表示，使用者的密碼是透過密碼噴射攻擊正確識別的，而非攻擊者能夠存取任何資源。

調查密碼噴洒偵測的秘訣。

可疑的瀏覽器

離線計算。可疑瀏覽器偵測會根據相同瀏覽器中不同國家/地區的多個租用戶之間的可疑登入活動，指出異常行為。

調查可疑瀏覽器偵測的秘訣。

可疑的收件匣轉寄

離線計算。此偵測會使用 Microsoft Defender for Cloud Apps 所提供的資訊來探索。此偵測可尋找可疑電子郵件轉寄規則，例如使用者建立會將所有電子郵件複本轉寄到外部地址的收件匣規則。

可疑的收件匣操作規則

離線計算。此偵測會使用 Microsoft Defender for Cloud Apps 所提供的資訊來探索。此偵測會分析您的環境，並在使用者收件匣設定可疑規則 (即刪除或移動訊息或資料夾) 時，觸發警示。此偵測可能表示使用者帳戶遭到盜用、訊息被刻意隱藏，以及信箱被用來在組織中散發垃圾郵件或惡意程式碼。

代幣發行者異常

離線計算。此風險偵測表示相關聯 SAML 權杖的 SAML 權杖簽發者可能已遭入侵。代幣中包含的聲明不尋常或符合已知的攻擊者模式。

調查令牌簽發者異常偵測的秘訣。

即時計算。此風險偵測類型會考慮過去的登入歷程記錄，以尋找異常登入。系統會儲存先前登入的相關資訊，並在透過使用者不熟悉的屬性進行登入時觸發風險偵測。這些屬性可以包含 IP、ASN、位置、裝置、瀏覽器和租用戶 IP 子網路。新建立的使用者處於「學習模式」期間，其中在演算法學習使用者的行為時，不熟悉的登入屬性風險偵測就會關閉。學習模式持續時間是動態的，取決於演算法需要多久時間來收集足夠的使用者登入模式資訊。最短持續時間為五天。使用者會在長時間無活動後回到學習模式。

我們也會針對基本驗證 (或舊版通訊協定) 執行這項偵測。由於這些通訊協定沒有用戶端識別碼之類的新式屬性，因此只能以有限的資料減少誤判。我們建議客戶移轉至新式驗證。

您可以在互動式和非互動式登入上偵測到不熟悉的登入屬性。在非互動式登入上偵測到這項偵測時，由於存在權杖重新執行攻擊的風險，因此應該加強審查。

選取不熟悉的登入屬性風險，可讓您查看更多有關為何觸發此風險的詳細資訊。

已驗證的威脅行為者 IP

即時計算。此風險偵測類型會根據 Microsoft 威脅情報中心 (MSTIC) 中的資料，指出與國家行為體或網路犯罪集團相關聯的已知 IP 位址一致的登入活動。

進階使用者風險偵測

異常令牌（使用者）

即時或離線計算。此偵測會指出令牌中的異常特性，例如異常的存留期，或從不熟悉的位置存取的令牌。此偵測涵蓋會話權杖和重新整理權杖。

異常標記的調整使其在相同風險層級下產生的雜訊比其他偵測更多。選擇這種取捨是為了提高偵測可能會被忽略的重播權杖的機會。此偵測標記的部分會話出現誤判的機率高於正常水平。建議您在其他使用者的登入背景中調查此偵測所標示的工作階段。如果某個位置、應用程式、IP 位址、使用者代理程式或其他特性對使用者來說是未預期的，系統管理員應該將這個風險視為權杖可能重複使用的指標。

調查異常令牌偵測的秘訣。

異常使用者活動

離線計算。此風險偵測會設定 Microsoft Entra ID 中一般系統管理使用者行為的基準，並發現異常行為模式，例如目錄的可疑變更。系統會針對系統管理員進行變更或變更的物件，觸發偵測。

中間攻擊者

離線計算。又稱為中間人攻擊，當驗證會話連結到惡意的反向代理（Proxy）時，就會觸發此高精準度的偵測。在這類攻擊中，攻擊者可以攔截使用者的認證，包括發給使用者的令牌。 Microsoft 安全性研究小組會使用 Microsoft 365 Defender 來偵測已識別的風險，並將使用者提高到高風險。建議系統管理員在觸發此偵測時手動調查使用者，以確保清除風險。清除此風險可能需要重設安全密碼或撤銷現有的會話。

可能嘗試存取主要重新整理權杖 (PRT)

離線計算。此風險偵測類型使用 Microsoft Defender for Endpoint (MDE) 提供的資訊來偵測。主要重新整理權杖 (PRT) 是 Microsoft Entra 驗證過程中的關鍵產物，使用於 Windows 10、Windows Server 2016 和其後版本的 Windows，以及 iOS 和 Android 裝置。 PRT 是向 Microsoft 第一方權杖代理程式發出的 JSON Web 權杖 (JWT)，用來在這些裝置上使用的應用程式之間啟用單一登入 (SSO)。攻擊者可以嘗試存取此資源，以橫向移至組織或執行認證竊取。此偵測會將使用者移至高風險組別，並且只會在部署 MDE 的組織中觸發警報。此偵測的風險很高，建議您即時補救這些使用者。由於其數量較少，因此在大部分組織中似乎不常出現。

可疑的 API 流量

離線計算。若觀察到異常的 GraphAPI 流量或目錄列舉，就會報告此風險偵測。可疑的 API 流量可能表示使用者遭到入侵，並在環境中進行偵察。

可疑的傳送模式

離線計算。此風險偵測類型會使用適用於 Office 365 的 Microsoft Defender (MDO) 所提供的資訊來探索。當貴組織有人傳送可疑的電子郵件，並且有可能被限制傳送電子郵件，或者已經被限制時，就會產生此警示。此偵測會將使用者移至中等風險，且只會在部署 MDO 的組織中觸發。此偵測很少進行，因此大部分的組織中不常看到此偵測。

使用者回報可疑活動

離線計算。若使用者拒絕多重要素驗證 (MFA) 提示並將其回報為可疑活動，就會報告此風險偵測。使用者未起始的 MFA 提示可能表示其認證遭洩漏。

非高級偵測

沒有 Microsoft Entra ID P2 授權的客戶會收到標題為已偵測到的額外風險的偵測，但沒有 P2 授權客戶所進行偵測的詳細資訊。如需詳細資訊，請參閱授權需求。

即時或離線計算。此偵測表示偵測到其中一個進階偵測。因為進階偵測只對 Microsoft Entra ID P2 客戶顯示，所以對於沒有 Microsoft Entra ID P2 授權的客戶來說，其標題為已偵測到的額外風險。

系統管理員已確認使用者遭盜用

離線計算。此偵測表明系統管理員在風險使用者 UI 中或使用 riskyUsers API 選擇了確認使用者遭盜用。若要查看哪一個系統管理員已確認此使用者遭盜用，請檢查使用者的風險歷程記錄 (透過 UI 或 API)。

匿名 IP 位址

即時計算。此風險偵測類型指出登入來自匿名 IP 位址 (例如 Tor 瀏覽器或匿名 VPN)。操作者使用這些 IP 位址時，通常想隱藏其登入資訊 (IP 位址、位置、裝置等)，可能具有惡意目的。

即時或離線計算。此風險偵測類型會指出對使用者而言不尋常，或與已知攻擊模式一致的使用者活動。此偵測基於 Microsoft 的內部和外部威脅情報來源。

調查Microsoft Entra 威脅情報偵測的秘訣。

非進階使用者風險偵測

已偵測到的額外風險 (使用者)

認證外洩

離線計算。此風險偵測類型指出使用者的有效認證已外洩。在網路罪犯入侵合法使用者的有效密碼時，他們通常會共用這些收集的認證。這種資訊共享通常是將帳號憑證張貼在暗網或貼文網站上，或是在黑市上進行交易和銷售。當 Microsoft 外洩認證服務從暗網、分享網站或其他來源取得使用者認證時，會將其與 Microsoft Entra 使用者目前的有效認證互相檢查，以尋找有效的相符項目。如需認證外洩的詳細資訊，請參閱常見問題。

調查外洩認證偵測的秘訣。

Microsoft Entra 威脅情報 (使用者)

離線計算。此風險偵測類型會指出對使用者而言不尋常，或與已知攻擊模式一致的使用者活動。此偵測基於 Microsoft 的內部和外部威脅情報來源。

調查Microsoft Entra 威脅情報偵測的秘訣。

常見問題

只有在使用正確的認證時，ID Protection 才會產生風險偵測。如果登入時使用了不正確的認證，不代表有認證洩漏的風險。

是否需要密碼雜湊同步？

認證外洩之類的風險偵測需要存在密碼雜湊，才能進行偵測。如需密碼雜湊同步的詳細資訊，請參閱此文章：使用 Microsoft Entra Connect 同步來實作密碼雜湊同步。

為什麼會對已停用的帳戶產生風險偵測？

處於停用狀態的使用者帳戶可以重新啟用。如果已停用帳戶的認證遭到入侵，而且該帳戶會重新啟用，則惡意執行者可能會使用這些認證來取得存取權。 ID Protection 會對這些已停用帳戶的可疑活動產生風險偵測，並警示客戶可能面臨的帳戶安全問題。如果帳戶不再使用且不會重新啟用，客戶應該考慮將其刪除以避免遭到入侵。已刪除的帳戶不會產生風險偵測。

我嘗試使用偵測時間欄來排序風險偵測報告，但沒有作用。

在風險偵測報告中依 偵測時間 排序，可能不一定因為已知的技術條件約束而提供正確的結果。若要依 偵測時間排序，請選取 [下載]，將數據匯出為 CSV 檔案並據以排序。

常見的認證外洩問題

Microsoft 會在哪裡發現外洩的認證？

Microsoft 可在不同位置發現外洩的認證，包括：

公開的貼文網站，不法分子通常會在此張貼這類資訊。
執法機關。
Microsoft 的其他小組進行暗網研究。

為什麼我看不到任何外洩的認證？

微軟發現新的公開可用憑證批次時，會立即處理這些外洩的憑證。由於本質敏感，外洩的認證在處理後不久就會刪除。只有找到在您啟用密碼雜湊同步 (PHS) 之後的新外洩憑證，才會對您的租用戶進行處理。系統不會對先前找到的認證配對進行驗證。

我看不到任何認證外洩風險事件

如果您沒有看到任何認證外洩風險事件，原因如下：

您的租用戶未有啟用 PHS。
Microsoft 找不到任何與您使用者相符的外洩認證配對。

Microsoft 處理新認證的頻率為何？

認證會在找到之後立即處理，通常是每天多個批次。

位置

風險偵測中的位置是使用 IP 位址查閱來決定。從受信任的具名位置登入可提高 Microsoft Entra ID Protection 風險計算的正確性，在使用者從標示為受信任的位置進行驗證時，可以降低使用者的登入風險。

共用方式為