Co je riziko?

Detekce rizik ve službě Azure AD Identity Protection zahrnují všechny zjištěné podezřelé akce související s uživatelskými účty v adresáři. Detekce rizik (propojení uživatelů i přihlášení) přispívají k celkovému skóre rizika uživatelů, které se nachází v sestavě Rizikových uživatelů.

Identity Protection poskytuje organizacím přístup k výkonným prostředkům, aby tyto podezřelé akce viděly a rychle na ně reagovaly.

Přehled zabezpečení zobrazující rizikové uživatele a přihlášení

Poznámka

Identity Protection generuje detekci rizik pouze při použití správných přihlašovacích údajů. Pokud se při přihlašování použijí nesprávné přihlašovací údaje, nepředstavuje to riziko ohrožení přihlašovacích údajů.

Typy rizik a jejich detekce

Riziko lze detekovat na úrovni uživatel a přihlášení a dva typy detekce nebo výpočtu vreálném čase a offline. Některá rizika jsou považována za premium, která jsou k dispozici pouze zákazníkům Azure AD Premium P2, zatímco jiná jsou k dispozici zákazníkům s verzemi Free a Azure AD Premium P1.

Riziko přihlašování představuje pravděpodobnost, že daný požadavek na ověření není autorizovaný vlastníkem identity. Riziková aktivita může být zjištěna u uživatele, který není propojený s konkrétním škodlivým přihlášením, ale se samotným uživatelem.

Detekce v reálném čase se nemusí zobrazovat ve generování sestav po dobu 5 až 10 minut. Při vytváření sestav se nemusí po dobu 48 hodin zobrazovat offline detekce.

Poznámka

Náš systém může zjistit, že riziková událost, která přispěla ke skóre rizika uživatele, byla:

Náš systém zavře stav rizika a zobrazí se podrobnosti o riziku "AI potvrzené přihlašování bezpečné" a už nebude přispívat k celkovému riziku uživatele.

Detekce úrovně Premium

Detekce úrovně Premium jsou viditelné jenom Azure AD Premium P2 zákazníkům. Zákazníci bez Azure AD Premium P2 licencí stále získají prémiové detekce, ale budou mít název "další zjištěná rizika".

Riziko přihlášení

Detekce rizik přihlašování na úrovni Premium

Detekce rizik Typ detekce Description
Neobvyklá cesta Offline Tento typ detekce rizik identifikuje dvě přihlášení pocházející z geograficky vzdálených míst, kde alespoň jedno z umístění může být vzhledem k chování v minulosti pro uživatele také atypické. Algoritmus bere v úvahu několik faktorů, včetně času mezi dvěma přihlášeními a času, který by uživateli trvalo cestovat z prvního místa do druhého. Toto riziko může znamenat, že jiný uživatel používá stejné přihlašovací údaje. Algoritmus ignoruje zřejmé "falešně pozitivní výsledky", které přispívají k nesnadným cestovním podmínkám, jako jsou sítě VPN a místa, která pravidelně používají ostatní uživatelé v organizaci. Systém má počáteční dobu učení, která je nejdříve 14 dnů nebo 10 přihlášení, během kterých se učí chování nového uživatele při přihlašování.
Neobvyklý token Offline Tato detekce značí, že token má neobvyklé charakteristiky, jako je neobvyklá životnost tokenu nebo token, který se přehrává z neznámého místa. Tato detekce se týká tokenů relací a obnovovacích tokenů. POZNÁMKA: Neobvyklý token je vyladěný tak, aby na stejné úrovni rizika způsoboval větší šum než jiné detekce. Tento kompromis je zvolen tak, aby se zvýšila pravděpodobnost detekce přehrávaných tokenů, které by jinak mohly být bez povšimnutí. Vzhledem k tomu, že se jedná o detekci vysokého šumu, existuje vyšší než normální pravděpodobnost, že některé relace označené touto detekcí jsou falešně pozitivní. Doporučujeme prošetřit relace označené touto detekcí v kontextu dalších přihlášení od uživatele. Pokud jsou umístění, aplikace, IP adresa, uživatelský agent nebo jiné vlastnosti pro uživatele neočekávané, měl by správce tenanta toto riziko považovat za indikátor možného přehrání tokenu.
Anomálie vystavitele tokenů Offline Tato detekce rizik značí potenciální ohrožení vystavitele tokenu SAML přidruženého tokenu SAML. Deklarace identity zahrnuté v tokenu jsou neobvyklé nebo odpovídají známým vzorům útočníka.
Propojená IP adresa pro malware Offline Tento typ detekce rizik označuje přihlášení z IP adres napadených malwarem, o kterých je známo, že aktivně komunikují se serverem robota. Tato detekce porovnává IP adresy zařízení uživatele s IP adresami, které byly v kontaktu se serverem robota, když byl server robota aktivní. Tato detekce je zastaralá. Služba Identity Protection už nebude generovat nové detekce propojených IP adres malwaru. Zákazníci, kteří mají ve svém tenantovi aktuálně detekci PROPOJENÉ IP adresy malwaru, je budou moct zobrazit, opravit nebo zavřít, dokud nedosáhne 90denní doby uchování informací o detekci.
Podezřelý prohlížeč Offline Detekce podezřelého prohlížeče indikuje neobvyklé chování na základě podezřelé přihlašovací aktivity napříč několika tenanty z různých zemí ve stejném prohlížeči.
Neznámé vlastnosti přihlášení Reálný čas Tento typ detekce rizik při hledání neobvyklých přihlášení bere v úvahu historii přihlašování v minulosti. Systém ukládá informace o předchozích přihlášeních a aktivuje detekci rizik, když dojde k přihlášení s vlastnostmi, které uživatel nezná. Mezi tyto vlastnosti patří IP adresa, ASN, umístění, zařízení, prohlížeč a podsíť IP adres tenanta. Nově vytvořená uživatelé budou v režimu učení, kdy bude zjišťování rizik neznámých vlastností přihlašování vypnuto, zatímco se naše algoritmy učí chování uživatele. Doba trvání režimu učení je dynamická a závisí na tom, kolik času algoritmu trvá, než shromáždí dostatek informací o vzorcích přihlašování uživatele. Minimální doba trvání je pět dnů. Uživatel se může po dlouhé době nečinnosti vrátit do výukového režimu. Tuto detekci také spouštíme pro základní ověřování (nebo starší protokoly). Vzhledem k tomu, že tyto protokoly nemají moderní vlastnosti, jako je ID klienta, existuje omezená telemetrie, která snižuje počet falešně pozitivních výsledků. Doporučujeme našim zákazníkům přejít na moderní ověřování. Neznámé vlastnosti přihlášení je možné zjistit u interaktivních i neinteraktivních přihlášení. Pokud je tato detekce zjištěna u neinteraktivních přihlášení, zaslouží si zvýšenou kontrolu kvůli riziku útoků na přehrání tokenů.
Škodlivá IP adresa Offline Tato detekce indikuje přihlášení z IP adresy se zlými úmysly. IP adresa je považována za škodlivou na základě vysoké míry selhání kvůli neplatným přihlašovacím údajům přijatým z IP adresy nebo jiných zdrojů reputace IP adres.
Podezřelá pravidla manipulace s doručenou poštou Offline Tuto detekci zjistí Microsoft Defender for Cloud Apps. Tato detekce sleduje vaše prostředí a aktivuje výstrahy, když jsou v doručené poště uživatele nastavena podezřelá pravidla, která odstraňují nebo přesouvají zprávy nebo složky. Toto zjištění může naznačovat, že dojde k ohrožení zabezpečení účtu uživatele, záměrně se skryjí zprávy a poštovní schránka se používá k distribuci spamu nebo malwaru ve vaší organizaci.
Password Spray Offline Útok password spray je místo, kde je napadeno více uživatelských jmen pomocí běžných hesel jednotným způsobem hrubou silou, aby získalo neoprávněný přístup. Tato detekce rizik se aktivuje, když byl úspěšně proveden útok password spray. Například útočník je ve zjištěné instanci úspěšně ověřen.
Neuskutečnitelná cesta Offline Tuto detekci zjistí Microsoft Defender for Cloud Apps. Tato detekce identifikuje aktivity uživatelů (jedná se o jednu nebo více relací) pocházející z geograficky vzdálených míst v rámci časového období kratšího, než je doba potřebná k cestě z prvního místa do druhého. Toto riziko může znamenat, že jiný uživatel používá stejné přihlašovací údaje.
Nová země Offline Tuto detekci zjistí Microsoft Defender for Cloud Apps. Při této detekci se při určování nových a zřídka používaných umístění zváží umístění aktivit v minulosti. Modul pro detekci anomálií ukládá informace o předchozích umístěních používaných uživateli v organizaci.
Aktivita z anonymní IP adresy Offline Tuto detekci zjistí Microsoft Defender for Cloud Apps. Tato detekce identifikuje, že uživatelé byli aktivní z IP adresy, která byla identifikována jako IP adresa anonymního proxy serveru.
Podezřelé přeposílání doručené pošty Offline Tuto detekci zjistí Microsoft Defender for Cloud Apps. Tato detekce hledá podezřelá pravidla přeposílání e-mailů, například pokud uživatel vytvořil pravidlo doručené pošty, které předává kopii všech e-mailů na externí adresu.
Hromadný přístup k citlivým souborům Offline Tuto detekci zjistí Microsoft Defender for Cloud Apps. Tato detekce prohlédne vaše prostředí a aktivuje upozornění, když uživatelé přistupují k více souborům z Microsoft SharePointu nebo Microsoft OneDrivu. Upozornění se aktivuje jenom v případě, že je počet souborů, ke které uživatel přistupuje, neobvyklý a soubory můžou obsahovat citlivé informace.

Detekce rizik nepremiového přihlášení

Detekce rizik Typ detekce Description
Bylo zjištěno další riziko V reálném čase nebo offline Tato detekce značí, že byla zjištěna jedna z detekcí úrovně Premium. Vzhledem k tomu, že detekce úrovně Premium jsou viditelné jenom Azure AD Premium P2 zákazníkům, označují se jako "další zjištěná rizika" pro zákazníky bez Azure AD Premium P2 licencí.
Anonymní IP adresa Reálný čas Tento typ detekce rizik označuje přihlášení z anonymní IP adresy (například z prohlížeče Tor nebo anonymní sítě VPN). Tyto IP adresy obvykle používají aktéři, kteří chtějí skrýt své přihlašovací údaje (IP adresu, polohu, zařízení atd.) pro potenciálně škodlivé úmysly.
Správa ověření ohrožení zabezpečení uživatelem Offline Toto zjištění znamená, že správce v uživatelském rozhraní rizikových uživatelů nebo pomocí rozhraní API riskyUsers vybral možnost Potvrdit ohrožení zabezpečení uživatele. Pokud chcete zjistit, který správce potvrdil ohrožení zabezpečení tohoto uživatele, zkontrolujte historii rizik uživatele (prostřednictvím uživatelského rozhraní nebo rozhraní API).
Analýza hrozeb Azure AD Offline Tento typ detekce rizik označuje aktivitu uživatele, která je pro uživatele neobvyklá nebo konzistentní se známými vzory útoku. Tato detekce je založená na interních a externích zdrojích analýzy hrozeb Microsoft.

Detekce propojení s uživatelem

Detekce rizik uživatelů úrovně Premium

Detekce rizik Typ detekce Description
Možný pokus o přístup k primárnímu obnovovacímu tokenu (PRT) Offline Tento typ detekce rizik detekuje Microsoft Defender for Endpoint (MDE). Primární obnovovací token (PRT) je klíčovým artefaktem ověřování Azure AD na Windows 10, Windows Server 2016 a novějších verzích, zařízeních s iOSem a Androidem. PRT je webový token JSON (JWT), který je speciálně vydaný pro Microsoft zprostředkovateli tokenů první strany, aby bylo možné povolit jednotné přihlašování (SSO) napříč aplikacemi používanými na těchto zařízeních. Útočníci se můžou pokusit o přístup k tomuto prostředku, aby se mohli laterálně přesunout do organizace nebo provést krádež přihlašovacích údajů. Tato detekce přesune uživatele do vysoce rizikového prostředí a aktivuje se pouze v organizacích, které nasadily MDE. Tato detekce je málo objemná a většina organizací k této detekci dochází zřídka. Pokud k tomu ale dojde, je to vysoce rizikové a uživatelé by měli být napraveni.
Neobvyklá aktivita uživatelů Offline Tato detekce rizik nastavuje základní hodnoty normálního chování administrativních uživatelů v Azure AD a detekuje neobvyklé vzorce chování, jako jsou podezřelé změny adresáře. Detekce se aktivuje v případě, že správce provede změnu nebo objekt, který se změnil.

Detekce rizik uživatelů nepremiových

Detekce rizik Typ detekce Description
Bylo zjištěno další riziko V reálném čase nebo offline Tato detekce značí, že byla zjištěna jedna z detekcí úrovně Premium. Vzhledem k tomu, že detekce úrovně Premium jsou viditelné jenom Azure AD Premium P2 zákazníkům, označují se jako "další zjištěná rizika" pro zákazníky bez Azure AD Premium P2 licencí.
Uniklé přihlašovací údaje Offline Tento typ detekce rizika značí, že došlo k úniku platných přihlašovacích údajů uživatele. Když kybernetičtí zločinci zjistí platná hesla legitimních uživatelů, často je sdílejí. Toto sdílení obvykle spočívá ve zveřejnění na dark webu nebo na webech pro vkládání obsahu nebo v prodeji na černém trhu. Když služba Microsoft uniklých přihlašovacích údajů získá přihlašovací údaje uživatele z tmavého webu, webů pro vkládání nebo z jiných zdrojů, zkontroluje se, jestli Azure AD aktuálních platných přihlašovacích údajů uživatelů, aby se zjistily platné shody. Další informace o uniklých přihlašovacích údaji najdete v tématu Běžné dotazy.
Analýza hrozeb Azure AD Offline Tento typ detekce rizik označuje aktivitu uživatele, která je pro uživatele neobvyklá nebo konzistentní se známými vzory útoku. Tato detekce je založená na interních a externích zdrojích analýzy hrozeb Microsoft.

Časté dotazy

Úrovně rizika

Služba Identity Protection kategorizuje riziko do tří úrovní: nízká, střední a vysoká. Při konfiguraci zásad služby Identity Protection je také můžete nakonfigurovat tak, aby se aktivovala na úrovni Bez rizika . Bez rizika znamená, že neexistuje žádná aktivní indikace, že identita uživatele byla ohrožena.

Microsoft neposkytuje konkrétní podrobnosti o tom, jak se počítá riziko. Každá úroveň rizika přináší větší jistotu, že dojde k ohrožení zabezpečení uživatele nebo přihlášení. Například něco jako jedna instance neznámých přihlašovacích vlastností pro uživatele nemusí být tak ohrožená jako uniklé přihlašovací údaje pro jiného uživatele.

Synchronizace hodnot hash hesel

Detekce rizik, jako jsou úniky přihlašovacích údajů, vyžadují přítomnost hodnot hash hesel, aby mohlo dojít ke zjištění. Další informace o synchronizaci hodnot hash hesel najdete v článku Implementace synchronizace hodnot hash hesel se synchronizací Azure AD Connect.

Proč se pro zakázané uživatelské účty generují detekce rizik?

Zakázané uživatelské účty je možné znovu povolit. Pokud dojde k ohrožení přihlašovacích údajů zakázaného účtu a účet se znovu povolí, můžou aktéři se špatnými oprávněními tyto přihlašovací údaje použít k získání přístupu. Identity Protection generuje detekce rizik podezřelých aktivit u zakázaných uživatelských účtů, aby zákazníky upozornila na potenciální ohrožení zabezpečení účtu. Pokud se účet už nepoužívá a nebude znovu povolený, měli by zákazníci zvážit jeho odstranění, aby se zabránilo ohrožení zabezpečení. Pro odstraněné účty se negenerují žádné detekce rizik.

Uniklé přihlašovací údaje

Kde Microsoft najít uniklé přihlašovací údaje?

Microsoft najde uniklé přihlašovací údaje na různých místech, mezi které patří:

  • Veřejné weby pro vložení, jako jsou pastebin.com a paste.ca, kde takový materiál obvykle publikuje špatní aktéři. Toto místo je většina špatných herců první zastávkou na jejich lovu najít odcizené přihlašovací údaje.
  • Donucovacích.
  • Další skupiny v Microsoft provádějí průzkum temného webu.

Proč se nezobrazují žádné uniklé přihlašovací údaje?

Uniklé přihlašovací údaje se zpracovávají vždy, Microsoft najde novou veřejně dostupnou dávku. Kvůli citlivé povaze se uniklé přihlašovací údaje krátce po zpracování odstraní. Ve vašem tenantovi se zpracují jenom nové uniklé přihlašovací údaje, které se najdou po povolení synchronizace hodnot hash hesel (PHS). Ověření u dříve nalezených párů přihlašovacích údajů se neprovedlo.

Už nějakou dobu jsem nezaznamenal(a) žádné rizikové události úniku přihlašovacích údajů?

Pokud jste nezaznamenali žádné rizikové události úniku přihlašovacích údajů, může to být z následujících důvodů:

  • Pro vašeho tenanta nemáte povolený phs.
  • Microsoft nenašla žádné dvojice uniklých přihlašovacích údajů, které odpovídají vašim uživatelům.

Jak často Microsoft zpracovává nové přihlašovací údaje?

Přihlašovací údaje se zpracovávají okamžitě po jejich nalezení, obvykle ve více dávkách za den.

Umístění

Poloha při detekci rizik se určuje vyhledáváním IP adres.

Další kroky