ما المقصود بالمخاطر؟

تتضمن عمليات الكشف عن المخاطر في Azure للدليل النشط لحماية الهوية أي إجراءات مشبوهة محددة تتعلق بحسابات المستخدمين في الدليل. تساهم عمليات الكشف عن المخاطر (المرتبطة بالمستخدم وتسجيل الدخول) في إجمالي درجة مخاطر المستخدم الموجودة في تقرير المستخدمين الخطرين.

وتوفر حماية الهوية للمنظمات إمكانية الوصول إلى موارد قوية لمشاهدة هذه الأعمال المشبوهة والاستجابة لها بسرعة.

نظرة عامة على الأمان تعرض المستخدمين وتسجيلات الدخول المحفوفة بالمخاطر

ملاحظة

تقوم حماية الهوية بإنشاء عمليات الكشف عن المخاطر فقط عند استخدام بيانات الاعتماد الصحيحة. إذا تم استخدام بيانات اعتماد غير صحيحة على تسجيل الدخول، فإنه لا يمثل خطر اختراق لبيانات الاعتماد.

أنواع المخاطر والكشف عنها

يمكن الكشف عن المخاطر على مستوى المستخدم وتسجيل الدخول ونوعين من الكشف أو الحساب في الوقت الفعليوغير المتصل. تعتبر بعض المخاطر Premium ومتاحة لعملاء Azure AD Premium P2 فقط، في حين تتوفر مخاطر أخرى لعملاء Free وAzure AD Premium P1.

يمثل خطر تسجيل الدخول احتمال عدم تخويل صاحب الهوية طلب مصادقة معين. يمكن اكتشاف النشاط المحفوف بالمخاطر لمستخدم غير مرتبط بتسجيل دخول ضار معين ولكن بالمستخدم نفسه.

قد لا تظهر عمليات الكشف في الوقت الحقيقي في إعداد التقارير لمدة تتراوح من 5 إلى 10 دقائق. قد لا تظهر عمليات الكشف دون اتصال في التقارير لمدة 48 ساعة.

ملاحظة

قد يكتشف نظامنا أن حدث الخطر الذي ساهم في درجة خطر المستخدم كان إما:

  • إيجابي كاذب
  • تمت معالجة خطر المستخدم بواسطة النهج من خلال أي مما يلي:
    • إكمال المصادقة متعددة العوامل
    • تغيير كلمة المرور بشكل آمن.

سيتجاهل نظامنا حالة الخطر وستظهر تفاصيل الخطر المتمثل في "أكد الذكاء الاصطناعي على أمان تسجيل الدخول"، ولن تساهم بعد ذلك في الخطر الإجمالي للمستخدم.

عمليات الكشف لـ Premium

عمليات الكشف الخاصة بـ Premium تكون مرئية فقط لعملاء Azure AD Premium P2. لا يزال العملاء الذين ليس لديهم تراخيص Azure AD Premium P2 يتلقون الاكتشافات المميزة، ولكن ستتم تسميتها "تم الكشف عن خطر إضافي".

خطر تسجيل الدخول

عمليات الكشف عن مخاطر تسجيل الدخول لـ Premium

الكشف عن المخاطر نوع الكشف الوصف
السفر غير النمطي وضع عدم الاتصال بالإنترنت يحدد نوع الكشف عن المخاطر هذا عمليتي تسجيل دخول نشأتا من مواقع بعيدة جغرافياً، حيث قد يكون موقع واحد على الأقل أيضا غير نمطي للمستخدم، نظرًا لسلوكه السابق. تأخذ الخوارزمية في الاعتبار عوامل متعددة، بما في ذلك الوقت بين عمليتي تسجيل الدخول والوقت الذي كان سيستغرقه المستخدم للانتقال من الموقع الأول إلى الموقع الثاني. يشير هذا الخطر إلى أن مستخدماً مختلفاً يستخدم نفس بيانات الاعتماد.

تتجاهل الخوارزمية "الإيجابيات الزائفة" الواضحة التي تساهم في ظروف السفر المستحيلة، مثل الشبكات الافتراضية الخاصة والمواقع التي يستخدمها المستخدمون الآخرون في المؤسسة بانتظام. يحتوي النظام على فترة تعلم أولية في أقرب وقت من 14 يوما أو 10 تسجيلات دخول، يتعلم خلالها سلوك تسجيل الدخول للمستخدم الجديد.
رمز مميز شاذ وضع عدم الاتصال بالإنترنت يشير هذا الكشف إلى وجود خصائص غير طبيعية في الرمز المميز مثل عمر رمز مميز غير عادي أو رمز مميز يتم تشغيله من موقع غير مألوف. يغطي هذا الكشف رموز جلسة العمل والرموز المميزة للتحديث.

ملاحظة: يتم ضبط الرمز المميز الشاذ لتحمل المزيد من الضوضاء من عمليات الكشف الأخرى على نفس مستوى الخطر. يتم اختيار هذه المفاضلة لزيادة احتمال الكشف عن الرموز المميزة المعاد تشغيلها التي قد تمر دون أن يلاحظها أحد. نظرًا لأن هذا الكشف عن ضوضاء عالية، فهناك احتمال أكبر من المعتاد أن تكون بعض الجلسات التي تم تحديدها بواسطة هذا الكشف هي نتائج إيجابية خاطئة. نوصي بالتحقيق في الجلسات التي تم وضع علامة عليها بواسطة هذا الكشف في سياق عمليات تسجيل الدخول الأخرى من المستخدم. إذا كان الموقع أو التطبيق أو عنوان IP أو عميل المستخدم أو الخصائص الأخرى غير متوقعة للمستخدم، يجب على مسؤول المستأجر مراعاة هذا الخطر كمؤشر على إعادة تشغيل الرمز المميز المحتمل.
شذوذ مصدر الرمز المميز وضع عدم الاتصال بالإنترنت يشير هذا الكشف عن المخاطر إلى أن مصدر الرمز المميز SAML للرمز المميز SAML المقترن قد يتعرض للإختراق. المطالبات المضمنة في الرمز المميز غير عادية أو تتطابق مع أنماط المهاجم المعروفة.
عنوان IP مرتبط ببرنامج ضار وضع عدم الاتصال بالإنترنت يشير نوع الكشف عن المخاطر هذا إلى تسجيل الدخول من عناوين IP المصابة بالبرامج الضارة والتي من المعروف أنها تتواصل بنشاط مع خادم روبوت الدردشة. يطابق هذا الاكتشاف عناوين IP الخاصة بجهاز المستخدم مقابل عناوين IP التي كانت على اتصال بخادم الروبوت بينما كان خادم الروبوت نشطًا.

تم إهمال هذا الكشف . حماية الهوية لن تولد بعد الآن اكتشافات جديدة "للبرامج الضارة المرتبطة بعنوان IP". سيظل العملاء الذين لديهم حاليا اكتشافات "عنوان IP مرتبط بالبرامج الضارة" في المستأجر الخاص بهم قادرين على عرضها أو علاجها أو استبعادها حتى يتم الوصول إلى وقت الاحتفاظ بالكشف لمدة 90 يوما.
متصفح مشبوه وضع عدم الاتصال بالإنترنت يشير اكتشاف المتصفح المشبوه إلى سلوك شاذ يستند إلى نشاط تسجيل الدخول المشبوه عبر العديد من المستأجرين من بلدان مختلفة في المتصفح نفسه.
خصائص تسجيل الدخول غير المألوفة الوقت الفعلي يأخذ هذا النوع من اكتشاف المخاطر في الاعتبار سجل تسجيل الدخول السابق للبحث عن عمليات تسجيل الدخول غير المألوفة. ويقوم النظام بتخزين معلومات حول عمليات تسجيل الدخول السابقة، ويقوم بتشغيل الكشف عن المخاطر عند حدوث تسجيل دخول بخصائص غير مألوفة للمستخدم. يمكن أن تتضمن هذه الخصائص IP وASN والموقع والجهاز ومستعرض الويب والشبكة الفرعية لعنوان IP للمستأجر. سيكون المستخدمون الذين تم إنشاؤهم حديثًا في فترة "وضع التعلم"، حيث سيتم إيقاف تشغيل الكشف عن مخاطر خصائص تسجيل الدخول غير المألوفة بينما تتعلم الخوارزميات سلوك المستخدم. مدة وضع التعلم ديناميكية وتعتمد على مقدار الوقت الذي تستغرقه الخوارزمية لجمع معلومات كافية حول أنماط تسجيل الدخول للمستخدم. الحد الأدنى للمدة هو خمسة أيام. يمكن للمستخدم العودة إلى وضع التعلم بعد فترة طويلة من عدم النشاط.

نقوم أيضا بتشغيل هذا الكشف للمصادقة الأساسية (أو البروتوكولات القديمة). نظرا لعدم وجود خصائص حديثة لهذه البروتوكولات مثل معرف العميل، فهناك قياس محدود عن بعد لتقليل الإيجابيات الزائفة. نوصي عملائنا بالانتقال إلى المصادقة الحديثة.

يمكن اكتشاف خصائص تسجيل الدخول غير المألوفة على كل من تسجيل الدخول التفاعلي وغير التفاعلي. عندما يتم الكشف عن هذا الكشف على تسجيل الدخول غير التفاعلي، فإنه يستحق زيادة التدقيق بسبب خطر هجمات إعادة الرمز المميز.
عنوان IP ضار وضع عدم الاتصال بالإنترنت يشير هذا الكشف إلى تسجيل الدخول من عنوان IP ضار. يعتبر عنوان IP ضارا استنادا إلى معدلات الفشل المرتفعة بسبب بيانات الاعتماد غير الصالحة المستلمة من عنوان IP أو مصادر سمعة IP الأخرى.
قواعد معالجة علبة الوارد المشبوهة وضع عدم الاتصال بالإنترنت هذا الاكتشاف اكتُشف بواسطة Microsoft Defender for Cloud Apps. يبحث هذا الاكتشاف في بيئتك، ويشغِّل التنبيهات عندما يتم تعيين القواعد المشبوهة التي تحذف الرسائل أو المجلدات أو تنقلها في علبة الوارد للمستخدم. قد يشير هذا الكشف إلى: اختراق حساب المستخدم، وإخفاء الرسائل عمدًا، واستخدام علبة البريد لتوزيع البريد العشوائي أو البرامج الضارة في مؤسستك.
نشر كلمة المرور وضع عدم الاتصال بالإنترنت هجوم رش كلمة المرور هو المكان الذي تتم فيه مهاجمة أسماء مستخدمين متعددة باستخدام كلمات مرور شائعة بطريقة القوة الغاشمة الموحدة للحصول على وصول غير مصرح به. يتم تشغيل اكتشاف المخاطر هذا عند تنفيذ هجوم بنشر كلمة المرور بنجاح. على سبيل المثال، تمت مصادقة المهاجم بنجاح، في المثيل المكتشف.
السفر المستحيل وضع عدم الاتصال بالإنترنت هذا الاكتشاف اكتُشف بواسطة Microsoft Defender for Cloud Apps. يحدد هذا الاكتشاف أنشطة المستخدم (جلسة واحدة أو جلسات متعددة) التي تنشأ من مواقع بعيدة جغرافيًا خلال فترة زمنية أقصر من الوقت المستغرق للانتقال من الموقع الأول إلى الموقع الثاني. يشير هذا الخطر إلى أن مستخدماً مختلفاً يستخدم نفس بيانات الاعتماد.
بلد جديد وضع عدم الاتصال بالإنترنت هذا الاكتشاف اكتُشف بواسطة Microsoft Defender for Cloud Apps. هذا الكشف يأخذ في الإعتبار مواقع النشاط السابقة لتحديد مواقع جديدة ونادرة. يخزن محرك الكشف عن الشذوذ معلومات حول المواقع السابقة التي يستخدمها المستخدمون في المؤسسة.
نشاط من عنوان IP مجهول وضع عدم الاتصال بالإنترنت هذا الاكتشاف اكتُشف بواسطة Microsoft Defender for Cloud Apps. يعرف هذا الكشف أن المستخدمين كانوا نشطين من عنوان IP الذي تم تعريفه كعنوان IP وكيل مجهول.
إعادة توجيه وارد مشبوهة وضع عدم الاتصال بالإنترنت هذا الاكتشاف اكتُشف بواسطة Microsoft Defender for Cloud Apps. يبحث هذا الكشف عن قواعد إعادة توجيه البريد الإلكتروني المشبوهة، على سبيل المثال، إذا أنشأ مستخدم قاعدة علبة الوارد التي تقوم بإعادة توجيه نسخة من كل رسائل البريد الإلكتروني إلى عنوان خارجي.
الوصول الشامل إلى الملفات الحساسة وضع عدم الاتصال بالإنترنت هذا الاكتشاف اكتُشف بواسطة Microsoft Defender for Cloud Apps. ينظر هذا الكشف إلى بيئتك، ويشغل التنبيهات عند وصول المستخدمين إلى ملفات متعددة من Microsoft SharePoint أو Microsoft OneDrive. يُشغَّل التنبيه فقط إذا كان عدد الملفات التي تم الوصول إليها غير شائع للمستخدم وقد تحتوي الملفات على معلومات حساسة

الكشف عن مخاطر تسجيل الدخول غير الممتازة

الكشف عن المخاطر نوع الكشف الوصف
اكتشاف مخاطر إضافية في الوقت الحقيقي أو دون اتصال يشير هذا الكشف إلى أنه تم الكشف عن أحد الاكتشافات المميزة. نظرا لأن عمليات الكشف المتميزة مرئية فقط لعملاء Azure للدليل النشط Premium P2، فهي تحمل عنوان "اكتشاف مخاطر إضافية" للعملاء الذين لا يحملون تراخيص Azure للدليل النشط Premium P2.
عنوان IP مجهول الوقت الفعلي يشير نوع الكشف عن المخاطر هذا إلى تسجيلات الدخول من عنوان IP مجهول (على سبيل المثال، متصفح Tor أو VPN مجهول). عادةً ما يتم استخدام عناوين IP هذه من قبل المستخدمين الذين يرغبون في إخفاء معلومات تسجيل الدخول الخاصة بهم (عنوان IP، والموقع، والجهاز، وما إلى ذلك) لاحتمال وجود أهداف خبيثة.
أكد المسؤول أن حساب المستخدم مخترق وضع عدم الاتصال بالإنترنت يشير هذا الكشف إلى أن أحد المسؤولين قد حدد "تأكيد اختراق المستخدم" في واجهة المستخدمين الخطرة أو باستخدام واجهة برمجة التطبيقات للمستخدمين الخطرين. لمعرفة المسؤول الذي أكد اختراق هذا المستخدم، تحقق من تاريخ مخاطر المستخدم (عبر واجهة المستخدم أو واجهة برمجة التطبيقات).
التحليل الذكي للمخاطر من Azure AD وضع عدم الاتصال بالإنترنت يشير هذا النوع من الكشف عن الخطر إلى نشاط مستخدم غير مألوف بالنسبة للمستخدم أو متوافق مع أنماط الهجوم المعروفة. يعتمد هذا الكشف على مصادر التحليل الذكي للمخاطر الداخلية والخارجية من Microsoft.

عمليات الكشف المرتبطة بالمستخدم

عمليات الكشف عن مخاطر مستخدم Premium

الكشف عن المخاطر نوع الكشف الوصف
محاولة محتملة للوصول إلى رمز التحديث الأساسي (PRT) وضع عدم الاتصال بالإنترنت يتم الكشف عن هذا النوع من الكشف عن المخاطر بواسطة Microsoft Defender لنقطة النهاية (MDE). رمز التحديث الأساسي المميز (PRT) هو عنصر أساسي في مصادقة Azure AD على أجهزة Windows 10 وWindows Server 2016، والإصدارات الأحدث لأجهزة iOS وAndroid. PRT هو رمز ويب مميز JSON (JWT) تم إصداره خصيصًا لوسطاء الرموز المميزة للطرف الأول من Microsoft لتمكين تسجيل الدخول الأحادي (SSO) عبر التطبيقات المستخدمة على هذه الأجهزة. يمكن للمهاجمين محاولة الوصول إلى هذا المورد للانتقال أفقياً إلى مؤسسة أو تنفيذ سرقة بيانات الاعتماد. سيؤدي هذا الكشف إلى نقل المستخدمين إلى مخاطر عالية ولن يظهر إلا في المؤسسات التي نشرت MDE. هذا الاكتشاف منخفض الحجم، ولن تراه معظم المؤسسات بشكل متكرر. ومع ذلك، عندما يحدث ذلك، فإنه يكون عالي الخطورة ويجب معالجة المستخدمين.
نشاط المستخدم المختلف عن الطبيعي وضع عدم الاتصال بالإنترنت يقوم الكشف عن المخاطر هذا بخطوط أساس سلوك المستخدم الإداري العادي في Azure AD، ويعرض أنماط السلوك الشاذة مثل التغييرات المشبوهة في الدليل. يتم تشغيل الكشف مقابل المسؤول الذي يقوم بإجراء التغيير أو الكائن الذي تم تغييره.

عمليات الكشف عن مخاطر المستخدم غير Premium

الكشف عن المخاطر نوع الكشف الوصف
اكتشاف مخاطر إضافية في الوقت الحقيقي أو دون اتصال يشير هذا الكشف إلى أنه تم الكشف عن أحد الاكتشافات المميزة. نظرا لأن عمليات الكشف المتميزة مرئية فقط لعملاء Azure للدليل النشط Premium P2، فهي تحمل عنوان "اكتشاف مخاطر إضافية" للعملاء الذين لا يحملون تراخيص Azure للدليل النشط Premium P2.
بيانات اعتماد مسربة وضع عدم الاتصال بالإنترنت يشير نوع الكشف عن المخاطر هذا إلى تسريب بيانات اعتماد المستخدم الصالحة. عندما يخترق المتسللون كلمات المرور الصالحة للمستخدمين الشرعيين، فإنهم غالباً ما يشاركون بيانات الاعتماد هذه. تتم هذه المشاركة عادةً عن طريق النشر علنًا على الويب المظلم، أو مواقع اللصق، أو عن طريق تداول بيانات الاعتماد وبيعها في السوق السوداء. عندما تحصل خدمة بيانات اعتماد Microsoft المسربة على بيانات اعتماد المستخدم من الويب المظلم أو مواقع اللصق أو مصادر أخرى، يتم التحقق منها مقابل بيانات اعتماد مستخدمي Azure للدليل النشط الصالحة الحالية للعثور على مطابقات صحيحة. لمزيد من المعلومات حول بيانات الاعتماد المسربة، راجع الأسئلة المتداولة.
التحليل الذكي للمخاطر من Azure AD وضع عدم الاتصال بالإنترنت يشير هذا النوع من الكشف عن الخطر إلى نشاط مستخدم غير مألوف بالنسبة للمستخدم أو متوافق مع أنماط الهجوم المعروفة. يعتمد هذا الكشف على مصادر التحليل الذكي للمخاطر الداخلية والخارجية من Microsoft.

الأسئلة الشائعة

مستويات المخاطر

تصنف Identity Protection المخاطر إلى ثلاث طبقات: منخفضة ومتوسطة وعالية. عند تكوين نهج حماية الهوية، يمكنك أيضا تكوينها لتشغيلها عند عدم وجود مستوى مخاطر . لا خطر يعني أنه لا يوجد مؤشر نشط على أن هوية المستخدم قد تم اختراقها.

لا تقدم Microsoft تفاصيل محددة حول كيفية حساب المخاطر. كل مستوى من المخاطر يجلب ثقة أكبر في تعرض المستخدم أو تسجيل الدخول للخطر. على سبيل المثال، شيء مثل مثيل واحد لخصائص تسجيل دخول غير مألوفة لمستخدم قد لا يمثل تهديدًا مثل بيانات الاعتماد المسربة لمستخدم آخر.

مزامنة تجزئة كلمة المرور

تتطلب عمليات الكشف عن المخاطر مثل بيانات الاعتماد المسربة وجود تجزئات كلمة المرور للكشف عنها. للحصول على مزيدٍ من المعلومات حول مزامنة تجزئة كلمة المرور، راجع تنفيذ مزامنة تجزئة كلمة المرور مع مزامنة Azure لإتصال الدليل النشط

لماذا توجد عمليات كشف مخاطر تم إنشاؤها لحسابات المستخدمين المعطلين؟

يمكن إعادة تمكين حسابات المستخدمين المعطلين. إذا تم اختراق بيانات اعتماد حساب معطل، وحصل الحساب على إعادة تمكين، قد تستخدم الجهات الفاعلة التالفة بيانات الاعتماد هذه للوصول. تقوم حماية الهوية بإنشاء عمليات للكشف عن الخطر للأنشطة المشبوهة مقابل حسابات المستخدمين المعطلة لتنبيه العملاء حول اختراق محتمل للحساب. إذا لم يعد الحساب قيد الاستخدام ولم يتم إعادة تمكينه، يجب على العملاء الأخذ في الإعتبار حذفه لمنع الإختراق. لا يتم إنشاء أية اكتشافات مخاطر للحسابات المحذوفة.

بيانات اعتماد مسربة

أين تجد Microsoft بيانات اعتماد مسربة؟

تعثر Microsoft على بيانات اعتماد مسربة في أماكن مختلفة، بما في ذلك:

  • مواقع لصق عامة مثل pastebin.com وpaste.ca حيث أن الجهات الفاعلة السيئة عادة ما تنشر مثل هذه المواد. هذا الموقع هو المحطة الأولى للممثلين السيئين في مطاردتهم للعثور على أوراق اعتماد مسروقة.
  • وكالات إنفاذ القانون.
  • مجموعات أخرى في Microsoft تقوم بأبحاث الويب المظلمة.

لماذا لا أرى أي أوراق اعتماد مسربة؟

تتم معالجة بيانات الاعتماد المسربة في أي وقت تعثر فيه Microsoft على دفعة جديدة متاحة للجمهور. وبسبب الطبيعة الحساسة، يتم حذف بيانات الاعتماد المسربة بعد وقت قصير من المعالجة. ستتم معالجة بيانات الاعتماد المسربة الجديدة التي تم العثور عليها بعد تمكين مزامنة تجزئة كلمة المرور (PHS) مقابل مستأجرك. لم يتم التحقق من أزواج بيانات الاعتماد التي تم العثور عليها مسبقا.

لم أرى أية أحداث مخاطر لبيانات الاعتماد قد تسربت منذ وقت ليس بالقليل؟

إذا لم تشاهد أية أحداث خطر لبيانات الاعتماد المسربة، فقد يرجع ذلك للأسباب التالية:

  • لم يكن لديك PHS تم تمكينه لمستأجرك.
  • لم تعثر Microsoft على أية أزواج بيانات اعتماد مسربة تطابق مستخدمينك.

كم مرة تعالج Microsoft فيها بيانات اعتماد جديدة؟

تتم معالجة بيانات الاعتماد مباشرة بعد العثور عليها، عادة على دفعات متعددة في اليوم.

المواقع

يتم تحديد الموقع في الكشف عن المخاطر من خلال البحث عن عنوان IP.

الخطوات التالية