Sdílet prostřednictvím


Co jsou detekce rizik?

Microsoft Entra ID Protection poskytuje organizacím informace o podezřelé aktivitě ve svém tenantovi a umožňuje jim rychle reagovat, aby se zabránilo dalšímu riziku. Detekce rizik jsou výkonný prostředek, který může zahrnovat jakoukoli podezřelou nebo neobvyklou aktivitu související s uživatelským účtem v adresáři. Detekce rizik ochrany ID můžou být propojeny s jednotlivými uživateli nebo událostmi přihlášení a přispívat k celkovému skóre rizika uživatele zjištěnému v sestavě Rizikový uživatel.

Detekce rizik uživatelů můžou označit legitimní uživatelský účet jako ohrožený, když potenciální aktér hrozeb získá přístup k účtu tím, že zhrotí přihlašovací údaje nebo zjistí určitý typ neobvyklé aktivity uživatele. Detekce rizik přihlašování představují pravděpodobnost, že daný požadavek na ověření není autorizovaným vlastníkem účtu. Schopnost identifikovat riziko na úrovni uživatele a přihlašování je důležitá pro zákazníky, kteří mají možnost zabezpečit tenanta.

Úrovně rizika

Ochrana ID kategorizuje riziko do tří úrovní: nízká, střední a vysoká. Úrovně rizik vypočítané našimi algoritmy strojového učení a představují jistotu, že jeden nebo více přihlašovacích údajů uživatele zná neoprávněná entita.

  • Detekce rizik s vysokou úrovní rizika znamená, že Microsoft je vysoce přesvědčený, že je účet ohrožen.
  • Detekce rizik s nízkými znaménkami na úrovni rizika označuje, že v přihlašovacích údajích nebo přihlašovacích údajích uživatele existují anomálie, ale méně jsme si jistí, že tyto anomálie znamenají, že je účet ohrožený.

V závislosti na počtu nebo závažnosti zjištěných anomálií se může aktivovat mnoho detekcí na více než jedné z našich úrovní rizika. Například neznámé vlastnosti přihlašování se můžou aktivovat na základě spolehlivosti signálů na vysoké, střední nebo nízké úrovni. Některé detekce, jako jsou nevracené přihlašovací údaje a IP adresa ověřeného objektu actor hrozeb, se vždy doručují jako vysoké riziko.

Tato úroveň rizika je důležitá při rozhodování, které detekce se mají určit prioritu, prozkoumat a napravit. Hrají také klíčovou roli při konfiguraci zásad podmíněného přístupu na základě rizik, protože každá zásada se dá nastavit tak, aby aktivovala nízké, střední, vysoké nebo žádné riziko. Na základě odolnosti proti rizikům vaší organizace můžete vytvořit zásady, které vyžadují vícefaktorové ověřování nebo resetování hesla, když ochrana ID zjistí určitou úroveň rizika pro jednoho z vašich uživatelů. Tyto zásady můžou uživatele vést k samoobslužné nápravě a vyřešit riziko.

Důležité

Všechny detekce "nízké" úrovně rizika a uživatelé zůstanou v produktu po dobu 6 měsíců, po jejichž uplynutí budou automaticky zastaralí, aby poskytli čistější prostředí pro šetření. Střední a vysoká úroveň rizika se zachová, dokud se nenapraví nebo nespustí.

Na základě odolnosti proti rizikům vaší organizace můžete vytvořit zásady, které vyžadují vícefaktorové ověřování nebo resetování hesla, když ochrana ID zjistí určitou úroveň rizika. Tyto zásady můžou uživatele vést k samoobslužné nápravě a vyřešení rizika nebo blokování v závislosti na vašich tolerancech.

Detekce v reálném čase a offline

Ochrana ID využívá techniky ke zvýšení přesnosti detekce rizik uživatelů a přihlašování tím, že po ověření vypočítává některá rizika v reálném čase nebo offline. Zjištění rizika v reálném čase při přihlášení dává výhodu identifikaci rizika v rané fázi, aby zákazníci mohli rychle prozkoumat potenciální ohrožení. Při detekcích, které vypočítají riziko offline, můžou poskytnout lepší přehled o tom, jak herec hrozeb získal přístup k účtu a jaký vliv na legitimního uživatele. Některé detekce se dají aktivovat offline i během přihlášení, což zvyšuje důvěru v přesnost na ohrožení zabezpečení.

Detekce aktivované v reálném čase trvá 5 až 10 minut, než se zobrazí podrobnosti v sestavách. Zobrazení offline detekcí v sestavách trvá až 48 hodin, protože vyhodnocení vlastností potenciálního rizika nějakou dobu trvá.

Poznámka:

Náš systém může zjistit, že riziková událost, která přispěla k rizikovému skóre rizika uživatele, byla:

  • Falešně pozitivní
  • Riziko uživatele byly napraveny zásadami :
    • Dokončení vícefaktorového ověřování
    • Zabezpečená změna hesla

Náš systém zavře stav rizika a podrobnosti o riziku potvrzeného přihlášení AI se zobrazí a už nepřispívají k celkovému riziku uživatele.

V datech s podrobnými informacemi o riziku zaznamenává Detekce času přesný okamžik, kdy se riziko identifikuje při přihlašování uživatele, což umožňuje posouzení rizik v reálném čase a aplikaci okamžitých zásad k ochraně uživatele a organizace. Poslední aktualizace detekce ukazuje nejnovější aktualizaci detekce rizik, která může být způsobená novými informacemi, změnami na úrovni rizika nebo akcemi správy a zajišťuje aktuální správu rizik.

Tato pole jsou nezbytná pro monitorování v reálném čase, reakci na hrozby a udržování zabezpečeného přístupu k prostředkům organizace.

Detekce rizik mapované na riskEventType

Detekce rizik Typ detekce Typ riskEventType
Detekce rizik přihlašování
Aktivita z anonymní IP adresy Režim offline Premium riskyIPAddress
Zjistilo se další riziko (přihlášení) V reálném čase nebo offline Nonpremium generic = Klasifikace detekce Premium pro tenanty bez P2
Správce potvrdil ohrožení zabezpečení uživatele Režim offline Nonpremium adminConfirmedUserCompromised
Neobvyklý token V reálném čase nebo offline Premium anomálieToken
Anonymní IP adresa V reálném čase Nonpremium anonymizovaná ip adresa
Atypická cesta Režim offline Premium nepravděpodobnáTravel
Nemožné cestování Režim offline Premium mcasImpossibleTravel
Škodlivá IP adresa Režim offline Premium škodlivé IP adresy
Hromadný přístup k citlivým souborům Režim offline Premium mcasFinSuspiciousFileAccess
Microsoft Entra Threat Intelligence (přihlášení) V reálném čase nebo offline Nonpremium investigationsThreatIntelligence
Nová země Režim offline Premium newCountry
Password Spray Režim offline Premium passwordSpray
Podezřelý prohlížeč Režim offline Premium suspiciousBrowser
Podezřelé přeposílání doručené pošty Režim offline Premium suspiciousInboxForwarding
Podezřelá pravidla manipulace s doručenou poštou Režim offline Premium mcasSuspiciousInboxManipulationRules
Anomálie vystavitele tokenů Režim offline Premium tokenIssuerAnomaly
Neznámé vlastnosti přihlášení V reálném čase Premium Neznámé funkceFeatures
Ip adresa ověřeného objektu actor hrozeb V reálném čase Premium nationStateIP
Detekce rizik uživatelů
Zjistilo se další riziko (uživatel) V reálném čase nebo offline Nonpremium generic = Klasifikace detekce Premium pro tenanty bez P2
Neobvyklá uživatelská aktivita Režim offline Premium anomálieUserActivity
Útočník uprostřed Režim offline Premium útočník vTheMiddle
Uniklé přihlašovací údaje Režim offline Nonpremium leakedCredentials
Microsoft Entra Threat Intelligence (uživatel) V reálném čase nebo offline Nonpremium investigationsThreatIntelligence
Možný pokus o přístup k primárnímu obnovovacímu tokenu (PRT) Režim offline Premium attemptedPrtAccess
Podezřelý provoz rozhraní API Režim offline Premium suspiciousAPITraffic
Podezřelé vzory odesílání Režim offline Premium suspiciousSendingPatterns
Uživatel oznámil podezřelou aktivitu Režim offline Premium userReportedSuspiciousActivity

Detekce úrovně Premium

Následující detekce úrovně Premium jsou viditelné pouze zákazníkům Microsoft Entra ID P2.

Detekce rizik přihlašování úrovně Premium

Aktivita z anonymní IP adresy

Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce identifikuje, že uživatelé byli aktivní z IP adresy identifikované jako ip adresa anonymního proxy serveru.

Neobvyklý token

Vypočítáno v reálném čase nebo offline. Tato detekce indikuje neobvyklé charakteristiky tokenu, jako je neobvyklá životnost nebo token přehrával z neznámého umístění. Tato detekce se zabývá tokeny relací a obnovovacími tokeny.

Neobvyklý token je vyladěný tak, aby způsoboval více šumu než jiné detekce na stejné úrovni rizika. Tento kompromis je zvolen ke zvýšení pravděpodobnosti detekce přehrání tokenů, které by jinak mohly být nepovšimané. Existuje větší než normální šance, že některé relace označené touto detekcí jsou falešně pozitivní. Doporučujeme prošetřit relace označené touto detekcí v kontextu jiných přihlášení od uživatele. Pokud je umístění, aplikace, IP adresa, uživatelský agent nebo jiné charakteristiky pro uživatele neočekávané, měl by správce toto riziko považovat za indikátor potenciálního přehrání tokenu.

Tipy pro zkoumání neobvyklých detekcí tokenů

Neobvyklá cesta

Počítané offline. Tento typ detekce rizik identifikuje dvě přihlášení pocházející z geograficky vzdálených míst, kde nejméně jedno z těchto umístění může být pro uživatele při minulém chování neobvyklé. Algoritmus bere v úvahu více faktorů, včetně času mezi dvěma přihlášeními a časem, který by uživateli trvalo cestovat z prvního místa na druhé. Toto riziko může znamenat, že jiný uživatel používá stejné přihlašovací údaje.

Algoritmus ignoruje zjevné "falešně pozitivní výsledky" přispívající k nespočívaným cestovním podmínkám, jako jsou sítě VPN a místa, která pravidelně používají jiní uživatelé v organizaci. Systém má počáteční období učení prvních 14 dnů nebo 10 přihlášení, během kterých se učí chování přihlašování nového uživatele.

Tipy pro vyšetřování atypických detekcí cest

Neuskutečnitelná cesta

Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce identifikuje aktivity uživatelů (v jednom nebo několika relacích) pocházející z geograficky vzdálených lokalit v časovém období kratším než doba trvání cesty z prvního umístění do druhého. Toto riziko může znamenat, že jiný uživatel používá stejné přihlašovací údaje.

Škodlivá IP adresa

Počítané offline. Tato detekce označuje přihlášení ze škodlivé IP adresy. IP adresa se považuje za škodlivou na základě vysoké míry selhání kvůli neplatným přihlašovacím údajům přijatým z IP adresy nebo jiných zdrojů reputace IP adres. V některých případech se tato detekce aktivuje u předchozí škodlivé aktivity.

Tipy pro vyšetřování detekce škodlivých IP adres

Hromadný přístup k citlivým souborům

Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce se podívá na vaše prostředí a aktivuje upozornění, když uživatelé přistupují k více souborům z Microsoft Office SharePoint Online nebo Microsoft OneDrivu. Upozornění se aktivuje jenom v případě, že je počet přístupných souborů pro uživatele neobvyklý a soubory můžou obsahovat citlivé informace.

Nová země

Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce bere v úvahu umístění minulých aktivit k určení nových a zřídka používaných umístění. Modul detekce anomálií ukládá informace o předchozích umístěních používaných uživateli v organizaci.

Password Spray

Počítané offline. Útok password spray je místo, kde více identit je napadeno pomocí běžných hesel jednotným způsobem hrubou silou. Detekce rizik se aktivuje, když je heslo účtu platné a pokusí se přihlásit. Tato detekce signalizuje, že heslo uživatele bylo správně identifikováno útokem password spray, nikoli tím, že útočník měl přístup k jakýmkoli prostředkům.

Tipy pro vyšetřování detekce škodlivých IP adres

Podezřelý prohlížeč

Počítané offline. Detekce podezřelého prohlížeče označuje neobvyklé chování na základě podezřelé přihlašovací aktivity napříč několika tenanty z různých zemí ve stejném prohlížeči.

Tipy pro vyšetřování podezřelých detekcí prohlížeče

Podezřelé přeposílání doručené pošty

Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce hledá podezřelá pravidla pro přeposílání e-mailů, například pokud uživatel vytvořil pravidlo doručené pošty, které přesměruje kopii všech e-mailů na externí adresu.

Podezřelá pravidla manipulace s doručenou poštou

Počítané offline. Tato detekce se zjistí pomocí informací poskytovaných programem Microsoft Defender for Cloud Apps. Tato detekce se podívá na vaše prostředí a aktivuje výstrahy, když jsou ve složce Doručená pošta uživatele nastavená podezřelá pravidla, která odstraňují nebo přesouvají zprávy nebo složky. Tato detekce může znamenat: účet uživatele je napadený, zprávy jsou záměrně skryté a poštovní schránka se používá k distribuci spamu nebo malwaru ve vaší organizaci.

Anomálie vystavitele tokenů

Počítané offline. Tato detekce rizik označuje vystavitele tokenu SAML pro přidružený token SAML, který je potenciálně ohrožen. Deklarace identity zahrnuté v tokenu jsou neobvyklé nebo odpovídají známým vzorům útočníka.

Tipy pro zkoumání detekcí anomálií vystavitele tokenů

Neznámé vlastnosti přihlášení

Vypočítáno v reálném čase. Tento typ detekce rizik považuje historii přihlašování za účelem vyhledání neobvyklých přihlášení. Systém ukládá informace o předchozích přihlášeních a aktivuje detekci rizik, když dojde k přihlášení s vlastnostmi, které nejsou pro uživatele neznámé. Mezi tyto vlastnosti patří IP adresa, ASN, umístění, zařízení, prohlížeč a podsíť IP adresy tenanta. Nově vytvořená uživatelé jsou v "výukovém režimu", ve kterém je detekce rizik neznámých vlastností přihlašování vypnutá, zatímco naše algoritmy učí chování uživatele. Doba trvání režimu učení je dynamická a závisí na tom, kolik času algoritmu trvá, než shromažďuje dostatek informací o vzorech přihlašování uživatele. Minimální doba trvání je pět dnů. Uživatel se může vrátit do režimu učení po dlouhé době nečinnosti.

Tuto detekci spustíme také pro základní ověřování (nebo starší protokoly). Vzhledem k tomu, že tyto protokoly nemají moderní vlastnosti, jako je ID klienta, existují omezená data ke snížení falešně pozitivních výsledků. Doporučujeme našim zákazníkům přejít na moderní ověřování.

U interaktivních i neinteraktivních přihlášení je možné zjistit neznámé vlastnosti přihlášení. Když se tato detekce zjistí u neinteraktivních přihlášení, zaslouží si zvýšenou kontrolu kvůli riziku útoků na přehrání tokenů.

Výběrem neznámého rizika vlastností přihlašování můžete zobrazit další informace o tom, proč se toto riziko aktivovalo.

Ip adresa ověřeného objektu actor hrozeb

Vypočítáno v reálném čase. Tento typ detekce rizik označuje přihlašovací aktivitu, která je konzistentní se známými IP adresami přidruženými k národním státním subjektům nebo skupinám kybernetických trestných činů na základě dat z centra Microsoft Threat Intelligence Center (MSTIC).

Detekce rizik uživatelů úrovně Premium

Neobvyklá uživatelská aktivita

Počítané offline. Tento směrný plán detekce rizik představuje normální chování administrativních uživatelů v ID Microsoft Entra a označuje neobvyklé vzory chování, jako jsou podezřelé změny adresáře. Detekce se aktivuje vůči správci, který změnu provede, nebo objekt, který byl změněn.

Útočník uprostřed

Počítané offline. Tato detekce vysoké přesnosti se také označuje jako Nežádoucí osoba uprostřed, když je relace ověřování propojená se škodlivým reverzním proxy serverem. V tomto druhu útoku může nežádoucí osoba zachytit přihlašovací údaje uživatele, včetně tokenů vystavených uživateli. Tým Microsoft Security Research používá Microsoft 365 Defender k zachycení identifikovaného rizika a zvýšení rizika uživatele na vysoké riziko. Doporučujeme správcům ručně prošetřit uživatele, když se tato detekce aktivuje, aby se zajistilo, že se riziko vymaže. Vymazání tohoto rizika může vyžadovat bezpečné resetování hesla nebo odvolání existujících relací.

Možný pokus o přístup k primárnímu obnovovacímu tokenu (PRT)

Počítané offline. Tento typ detekce rizik se zjistí pomocí informací poskytovaných programem Microsoft Defender for Endpoint (MDE). Primární obnovovací token (PRT) je klíčovým artefaktem ověřování Microsoft Entra ve Windows 10, Windows Serveru 2016 a novějších verzích, zařízeních s iOSem a Androidem. PRT je webový token JSON (JWT) vydaný pro zprostředkovatele tokenů Microsoftu první strany, který umožňuje jednotné přihlašování (SSO) napříč aplikacemi používanými na těchto zařízeních. Útočníci se mohou pokusit o přístup k tomuto prostředku, aby se mohli později přesunout do organizace nebo provést krádež přihlašovacích údajů. Tato detekce přesouvá uživatele na vysoké riziko a aktivuje se pouze v organizacích, které nasazují MDE. Tato detekce je vysoce riziková a doporučujeme vyzvat k nápravě těchto uživatelů. Ve většině organizací se zobrazuje zřídka kvůli nízkému objemu.

Podezřelý provoz rozhraní API

Počítané offline. Tato detekce rizik se hlásí, když dojde k neobvyklému provozu GraphAPI nebo výčtu adresářů. Podezřelý provoz rozhraní API může naznačovat, že je uživatel ohrožen a provádí rekognoskaci v prostředí.

Podezřelé vzory odesílání

Počítané offline. Tento typ detekce rizik se zjistí pomocí informací poskytovaných Microsoft Defender pro Office 365 (MDO). Tato výstraha se vygeneruje, když někdo ve vaší organizaci odeslal podezřelý e-mail a je ohrožen nebo je omezen na odesílání e-mailů. Tato detekce přesouvá uživatele na střední riziko a aktivuje se pouze v organizacích, které nasazují MDO. Tato detekce je nízká a ve většině organizací se vyskytuje zřídka.

Uživatel oznámil podezřelou aktivitu

Počítané offline. Tato detekce rizik se oznamuje, když uživatel odmítne výzvu vícefaktorového ověřování (MFA) a nahlásí ji jako podezřelou aktivitu. Výzva vícefaktorového ověřování, kterou uživatel neicializoval, může znamenat ohrožení přihlašovacích údajů.

Detekce nepremiových hodnot

Zákazníci bez licencí Microsoft Entra ID P2 obdrží detekci s názvem Další riziko zjištěné bez podrobných informací o detekci, kterou zákazníci s licencemi P2 dělají. Další informace najdete v licenčních požadavcích.

Detekce rizik přihlašování bez registrace

Zjistilo se další riziko (přihlášení)

Vypočítáno v reálném čase nebo offline. Tato detekce značí, že byla zjištěna jedna z detekcí úrovně Premium. Vzhledem k tomu, že detekce úrovně Premium jsou viditelné pouze zákazníkům Microsoft Entra ID P2, označují se jako další riziko zjištěné pro zákazníky bez licencí Microsoft Entra ID P2.

Správce potvrdil ohrožení zabezpečení uživatele

Počítané offline. Tato detekce indikuje, že správce vybral Možnost Potvrdit ohrožení uživatele v uživatelském rozhraní rizikových uživatelů nebo pomocí rizikového uživatelského rozhraní API Uživatele. Pokud chcete zjistit, který správce potvrdil ohrožení zabezpečení tohoto uživatele, zkontrolujte historii rizik uživatele (prostřednictvím uživatelského rozhraní nebo rozhraní API).

Anonymní IP adresa

Vypočítáno v reálném čase. Tento typ detekce rizik označuje přihlášení z anonymní IP adresy (například prohlížeče Tor nebo anonymní sítě VPN). Tyto IP adresy obvykle používají aktéři, kteří chtějí skrýt přihlašovací údaje (IP adresu, umístění, zařízení atd.) pro potenciálně škodlivý záměr.

Microsoft Entra Threat Intelligence (přihlášení)

Vypočítáno v reálném čase nebo offline. Tento typ detekce rizik označuje aktivitu uživatele, která je pro uživatele neobvyklá nebo je konzistentní se známými vzory útoku. Tato detekce je založená na interních a externích zdrojích analýzy hrozeb Od Microsoftu.

Tipy pro zkoumání detekcí analýzy hrozeb Microsoft Entra

Detekce rizik uživatelů, kteří nejsoupremium

Zjistilo se další riziko (uživatel)

Vypočítáno v reálném čase nebo offline. Tato detekce značí, že byla zjištěna jedna z detekcí úrovně Premium. Vzhledem k tomu, že detekce úrovně Premium jsou viditelné pouze zákazníkům Microsoft Entra ID P2, označují se jako další riziko zjištěné pro zákazníky bez licencí Microsoft Entra ID P2.

Uniklé přihlašovací údaje

Počítané offline. Tento typ detekce rizik označuje, že došlo k úniku platných přihlašovacích údajů uživatele. Když kyberzločinci ohrožují platná hesla legitimních uživatelů, často tyto shromážděné přihlašovací údaje sdílejí. Toto sdílení obvykle spočívá ve zveřejnění na dark webu nebo na webech pro vkládání obsahu nebo v prodeji na černém trhu. Když služba pro únik přihlašovacích údajů Microsoftu získá přihlašovací údaje uživatele z tmavého webu, vloží weby nebo jiné zdroje, zkontrolují se v aktuálních přihlašovacích údajích uživatelů Microsoft Entra a vyhledá platné shody. Další informace o úniku přihlašovacích údajů najdete v běžných dotazech.

Tipy pro vyšetřování detekce nevracených přihlašovacích údajů

Microsoft Entra Threat Intelligence (uživatel)

Počítané offline. Tento typ detekce rizik označuje aktivitu uživatele, která je pro uživatele neobvyklá nebo je konzistentní se známými vzory útoku. Tato detekce je založená na interních a externích zdrojích analýzy hrozeb Od Microsoftu.

Tipy pro zkoumání detekcí analýzy hrozeb Microsoft Entra

Časté dotazy

Co když se k pokusu o přihlášení použily nesprávné přihlašovací údaje?

Ochrana ID generuje detekci rizik pouze v případech, kdy se použijí správné přihlašovací údaje. Pokud se při přihlášení používají nesprávné přihlašovací údaje, nepředstavuje riziko ohrožení přihlašovacích údajů.

Vyžaduje se synchronizace hodnot hash hesel?

Detekce rizik, jako jsou nevracené přihlašovací údaje, vyžadují přítomnost hodnot hash hesel, aby se detekce vyskytla. Další informace o synchronizaci hodnot hash hesel najdete v článku Implementace synchronizace hodnot hash hesel se službou Microsoft Entra Connect Sync.

Proč se pro zakázané účty generují detekce rizik?

Uživatelské účty v zakázaném stavu je možné znovu povolit. Pokud dojde k ohrožení zabezpečení přihlašovacích údajů zakázaného účtu a účet se znovu povolí, můžou k získání přístupu použít chybné aktéry tyto přihlašovací údaje. Ochrana ID generuje detekce rizik pro podezřelé aktivity vůči těmto zakázaným účtům, aby zákazníky upozorňovala na potenciální ohrožení zabezpečení účtu. Pokud se účet už nepoužívá a nebude znovu povolený, měli by zákazníci zvážit jeho odstranění, aby se zabránilo ohrožení zabezpečení. Pro odstraněné účty se negenerují žádné detekce rizik.

Běžné dotazy k nevraceným přihlašovacím údajům

Kde Microsoft našel nevracené přihlašovací údaje?

Microsoft na různých místech najde uniklé přihlašovací údaje, mezi které patří:

  • Veřejné vložené weby, kde bad actors obvykle publikuje takový materiál.
  • orgány v oblasti prosazování práva.
  • Další skupiny v Microsoftu, které provádějí vyhledávání na tmavém webu.

Proč se mi nezobrazují žádné uniklé přihlašovací údaje?

Nevracené přihlašovací údaje se zpracovávají, kdykoli Microsoft najde novou veřejně dostupnou dávku. Z důvodu citlivé povahy se nevracené přihlašovací údaje krátce po zpracování odstraní. Po povolení synchronizace hodnot hash hesel (PHS) se pro vašeho tenanta zpracují jenom nové nevracené přihlašovací údaje. Ověření dříve nalezených párů přihlašovacích údajů se neprovedlo.

Nezobrazují se žádné události rizika úniku přihlašovacích údajů

Pokud se nezobrazí žádné události rizika úniku přihlašovacích údajů, je to z následujících důvodů:

  • Pro svého tenanta nemáte povolené phS.
  • Společnost Microsoft nenašla žádné páry nevrácených přihlašovacích údajů, které odpovídají vašim uživatelům.

Jak často Microsoft zpracovává nové přihlašovací údaje?

Přihlašovací údaje se zpracovávají okamžitě po jejich nalezení, obvykle v několika dávkách za den.

Umístění

Umístění v detekcích rizik se určuje pomocí vyhledávání IP adres. Přihlášení z důvěryhodných pojmenovaných umístění zlepšují přesnost výpočtu rizika microsoft Entra ID Protection a snižují riziko přihlášení uživatele při ověřování z umístění označeného jako důvěryhodné.