Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra ID Protection trägt dazu bei, Ihre Organisation zu schützen, indem identitätsbasierte Risiken automatisch erkannt und darauf reagiert werden. Während die automatisierte Wartung viele Bedrohungen behandelt, erfordern einige Situationen eine manuelle Untersuchung und Aktion. Die ID Protection-Risikoberichte liefern die Einblicke, die Sie benötigen, um potenzielle Sicherheitsbedrohungen zu identifizieren, zu untersuchen und auf sie zu reagieren, die sich auf Ihre Benutzer, Anmeldungen und Workloadidentitäten auswirken.
Zugreifen auf die Risikoberichte
Das ID-Schutzdashboard bietet eine Zusammenfassung wichtiger Erkenntnisse, die Sie jederzeit verwenden können, um potenzielle Risiken zu identifizieren.
- Melden Sie sich mindestens als Sicherheitsleser beim Microsoft Entra Admin Center an.
- Navigieren Sie zum ID-Schutz-Dashboard>.
- Wählen Sie im Navigationsmenü "ID Protection" einen Bericht aus.
Jeder Bericht wird mit einer Liste aller Erkennungen für den Zeitraum gestartet, der oben im Bericht angezeigt wird. Sie können Spalten basierend auf Ihrer Einstellung filtern und hinzufügen oder entfernen. Laden Sie die Daten in . CSV oder . JSON-Format für die weitere Verarbeitung. Informationen zum Integrieren der Berichte in SIEM-Tools (Security Information and Event Management) zur weiteren Analyse finden Sie unter Konfigurieren von Diagnoseeinstellungen.
Details anzeigen und Maßnahmen ergreifen
Wählen Sie einen Eintrag in einem Bericht aus, um weitere Details anzuzeigen, die sich je nach angezeigtem Bericht unterscheiden. Im Detailbereich können Sie auch Aktionen für den ausgewählten Benutzer oder die Anmeldung ausführen. Sie können einen oder mehrere Einträge auswählen und entweder das Risiko bestätigen oder ablehnen. Sie können auch einen Passwortzurücksetzungsprozess vom Benutzer aus starten. Diese Funktionen weisen unterschiedliche Rollenanforderungen auf. Wenn also eine Option abgeblentet ist, benötigen Sie eine höhere privilegierte Rolle. Weitere Informationen finden Sie unter ID-Schutz erforderliche Rollen.
Riskante Benutzer
Die Details eines ausgewählten riskanten Benutzers liefern Informationen zu dem Risiko, das behoben, geschlossen oder derzeit noch gefährdet ist und untersuchungsbedarft ist. Außerdem werden Details zu den zugehörigen Risikoerkennungen bereitgestellt. Eine detaillierte Übersicht finden Sie unter riskantem Benutzerbericht.
Ein Benutzer wird zu einem Risikobenutzer, wenn:
- Sie verfügen über eine oder mehrere Risikoanmeldungen.
- Sie haben ein oder mehrere Risiken in ihrem Konto entdeckt, wie z. B. durchgesickerte Anmeldedaten.
Security Copilot
Wenn Sie auch über Security Copilot verfügen, haben Sie Zugriff auf eine Zusammenfassung in natürlicher Sprache für Szenarien, z. B. warum das Risikoniveau des Benutzers erhöht wurde, und Anleitungen zur Entschärfung und Reaktion.
Riskante Anmeldungen
Der Bericht "Risky sign-ins" listet Anmeldungen auf, die gefährdet, bestätigt kompromittiert, bestätigt sicher, verworfen oder korrigiert sind. Der Detailbereich enthält weitere Informationen zum Anmeldeversuch, der während einer Untersuchung hilfreich sein kann, z. B. Echtzeit- und aggregierte Risikostufen, die Anmeldeversuchen zugeordnet sind, und die ausgelösten Erkennungstypen.
Zu den riskanten Anmeldedetails gehören:
- Die Anwendung, auf die der Benutzer zugreifen wollte
- Angewendete Richtlinien für bedingten Zugriff
- MFA-Details
- Geräte-, Anwendungs- und Standortinformationen
- Risikostatus, Risikostufe und Quelle der Risikoerkennung (ID Protection oder Microsoft Defender für Endpunkt)
Der Bericht "Risky sign-ins" enthält filterbare Daten für bis zu den letzten 30 Tage (ein Monat). ID-Schutz bewertet das Risiko für alle Authentifizierungsflows, unabhängig davon, ob sie interaktiv oder nicht interaktiv sind. Der Bericht Riskante Anmeldungen zeigt sowohl interaktive als auch nicht-interaktive Anmeldungen an. Um diese Ansicht zu ändern, verwenden Sie den Filter „Anmeldedatenart“.
Wenn die Aktionsschaltflächen ausgegraut sind, benötigen Sie eine Rolle mit höheren Berechtigungen. Administrierende können bei riskanten Anmeldevorgängen Maßnahmen ergreifen und sich dafür entscheiden, Folgendes zu tun:
- Bestätigen, dass die Anmeldung kompromittiert ist - Diese Aktion bestätigt, dass die Anmeldung True Positive ist. Die Anmeldung wird als riskant eingestuft, bis Korrekturschritte ausgeführt wurden.
- Bestätigen, dass die Anmeldung sicher ist - Diese Aktion bestätigt, dass die Anmeldung ein falsches Positiv ist. Ähnliche Anmeldungen sollten in Zukunft nicht als riskant eingestuft werden.
- Risiko verwerfen: Diese Aktion wird für ein True Positive-Ergebnis verwendet. Das von uns entdeckte Anmeldungsrisiko ist real, aber nicht bösartig, wie bei einem bekannten Penetrationstest oder einer bekannten Aktivität, die von einer genehmigten Anwendung erzeugt wird. Ähnliche Anmeldungen sollten weiterhin als riskant eingestuft werden.
Weitere Informationen darüber, wann die einzelnen Maßnahmen zu ergreifen sind, finden Sie unter Wie verwendet Microsoft mein Risiko-Feedback.
Riskante Agenten
ID Protection kann Ihnen helfen, riskante Agents in Ihrer Organisation zu identifizieren. Dieser Bericht enthält alle Identitäten innerhalb der Microsoft Entra Agent ID-Plattform . Der Bericht "Risky Agents " bietet eine Übersicht über die Risikoerkennungen für jeden Agenten mit Tools, mit denen Sie direkt aus dem Bericht Maßnahmen ergreifen können.
Details zu riskanten Agenten umfassen:
- Anzeigename des Agents
- Risikostatus und Risikostufe
- Agententyp
- Agentensponsoren
Ein Agent wird ein riskanter Agent, wenn ein oder mehrere Risikoereignisse auf seinem Konto erkannt wurden. Weitere Informationen finden Sie unter ID Protection für Agents.
Riskante Workload-IDs
Eine Workloadidentität ist eine Identität, die einen Anwendungszugriff auf Ressourcen ermöglicht, manchmal im Kontext eines Benutzers. Auf der Detailseite "Risky Workload ID" können Sie auf Anmeldungen bei Dienstprinzipalen und Prüfprotokolle zugreifen, um diese für eine weitere Analyse zu verwenden.
Von Bedeutung
Vollständige Risikodetails und risikobasierte Zugriffskontrollen sind für Workload Identities Premium-Kunden verfügbar; Kunden ohne Workload Identities Premium-Lizenz erhalten jedoch weiterhin alle Erkennungen mit eingeschränkten Berichtsdetails.
Details zu riskanten Workload-IDs umfassen:
- Diensthauptbenutzer-ID
- Risikostatus und Risikostufe
- Risikoverlauf
Risikoerkennungen
Der Bericht "Risikoerkennungen" bietet Einblicke in die verschiedenen Risikoerkennungen, die Benutzern und Anmeldungen zugeordnet sind. Zu den Details gehören Informationen über die Art des erkannten Risikos, den Benutzer oder die Anmeldung, zu der es gehört, und den aktuellen Status des Risikos. Im Detailbereich können Sie auch auf den zugehörigen Benutzerrisikobericht, die Anmeldungen des Benutzers und die Risikoerkennung zugreifen.
Details zu Risikoerkennungen umfassen:
- Erkennungstyp
- Risikostatus, Risikostufe und Risikodetails
- Angriffstyp
- Quelle der Risikoerkennung (ID Protection oder Microsoft Defender für Endpunkt)
Der Bericht Risikoerkennungen enthält filterbare Daten der letzten 90 Tage (3 Monate).
Anhand der Informationen, die der Risikoerkennungsbericht liefert, können die Administrierende Folgendes finden:
- Informationen zu jeder Risikoerkennung
- Angriffstyp auf der Grundlage des MITRE ATT&CK-Frameworks
- Andere, gleichzeitig ausgelöste Risiken
- Ort des Anmeldeversuchs
- Link zu weiteren Details von Microsoft Defender für Cloud-Apps
- Agentenerkennung (Vorschau)
Administratoren können dann zum Risiko- oder Anmeldebericht des Benutzers zurückkehren, um basierend auf gesammelten Informationen Aktionen auszuführen.
Hinweis
Unser System kann folgendes erkennen:
- das Risikoereignis, das zur Risikobewertung beigetragen hat, war ein falsch positives Ergebnis; oder
- Das Risiko wurde durch die Durchsetzung der Richtlinien behoben, z. B. durch Vervollständigung einer MFA-Aufforderung oder einer sicheren Passwortänderung.
Daher entfernt unser System den Risikozustand und ein Risikodetail von "KI-bestätigter als sicherer Anmelden" wird angezeigt und trägt nicht mehr zum Risiko des Benutzers bei.