Freigeben über


Was sind Risikoerkennungen?

Microsoft Entra ID Protection kann eine breite Palette von Risikoerkennungen bereitstellen, die verwendet werden können, um verdächtige Aktivitäten in Ihrer Organisation zu identifizieren. Die in diesem Artikel enthaltenen Tabellen fassen die Liste der Anmelde- und Benutzerrisikoerkennungen zusammen, einschließlich der Lizenzanforderungen oder wenn die Erkennung in Echtzeit oder offline erfolgt. Weitere Details zu den einzelnen Risikoerkennungen finden Sie in den Tabellen.

  • Vollständige Details zu den meisten Risikoerkennungen erfordern die Microsoft Entra ID P2.
    • Kunden ohne Microsoft Entra ID P2-Lizenzen erhalten Erkennungen mit dem Titel "Zusätzliches Risiko, das ohne Risikoerkennungsdetails erkannt wurde".
    • For more information, see the license requirements.
  • Informationen zur Erkennung von Workloadidentitätsrisiken finden Sie unter Schützen von Workloadidentitäten.

Note

Ausführliche Informationen zu Echtzeit- und Offlineerkennungen und Risikostufen finden Sie unter Risikoerkennungstypen und -stufen.

Anmelderisikoerkennungen, die riskEventType zugeordnet sind

Wählen Sie eine Risikoerkennung aus der Liste aus, um die Beschreibung der Risikoerkennung, der Funktionsweise und der Lizenzanforderungen anzuzeigen. In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license. Nonpremium indicates the detection is available with Microsoft Entra ID Free. Die riskEventType Spalte gibt den Wert an, der in Microsoft Graph-API-Abfragen angezeigt wird.

Erkennung von Anmelderisiken Detection type Type riskEventType
Aktivität über anonyme IP-Adresse Offline Premium riskyIPAddress
Zusätzliches Risiko erkannt (Anmeldung) Echtzeit oder offline Nonpremium generic ^
Benutzergefährdung durch Administrator bestätigt Offline Nonpremium adminConfirmedUserCompromised
Anomales Token (Anmeldung) Echtzeit oder offline Premium anomalousToken
Anonyme IP-Adresse Real-time Nonpremium anonymizedIPAddress
Atypical travel Offline Premium unlikelyTravel
Impossible travel Offline Premium mcasImpossibleTravel
Schädliche IP-Adresse Offline Premium maliciousIPAddress
Massenzugriff auf vertrauliche Dateien Offline Premium mcasFinSuspiciousFileAccess
Threat Intelligence von Microsoft Entra (Anmeldung) Echtzeit oder offline Nonpremium investigationsThreatIntelligence
New country Offline Premium newCountry
Password spray Echtzeit oder offline Premium passwordSpray
Suspicious browser Offline Premium suspiciousBrowser
Verdächtige Weiterleitung des Posteingangs Offline Premium suspiciousInboxForwarding
Verdächtige Regeln zur Posteingangsänderung Offline Premium mcasSuspiciousInboxManipulationRules
Anomaler Tokenaussteller Offline Premium tokenIssuerAnomaly
Ungewöhnliche Anmeldeeigenschaften Real-time Premium unfamiliarFeatures
Überprüfte Bedrohungsakteur-IP Real-time Premium nationStateIP

^ Der riskEventType für die erkennung zusätzlicher Risiken ist generisch für Mandanten mit Microsoft Entra ID Free oder Microsoft Entra ID P1. Wir haben etwas Riskantes erkannt, aber die Details sind nicht ohne eine Microsoft Entra ID P2-Lizenz verfügbar.

Benutzerrisikoerkennungen, die riskEventType zugeordnet sind

Wählen Sie eine Risikoerkennung aus der Liste aus, um die Beschreibung der Risikoerkennung, der Funktionsweise und der Lizenzanforderungen anzuzeigen.

Erkennung von Benutzerrisiken Detection type Type riskEventType
Zusätzliches Risiko erkannt (Benutzer) Echtzeit oder offline Nonpremium generic ^
Anomales Token (Benutzende) Echtzeit oder offline Premium anomalousToken
Anomale Benutzeraktivität Offline Premium anomalousUserActivity
Angreifer-in-the-Middle Offline Premium attackerinTheMiddle
Leaked credentials Offline Nonpremium leakedCredentials
Threat Intelligence von Microsoft Entra (Benutzende) Echtzeit oder offline Nonpremium investigationsThreatIntelligence
Möglicher Versuch, auf primäres Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen Offline Premium attemptedPrtAccess
Verdächtiger API-Datenverkehr Offline Premium suspiciousAPITraffic
Verdächtiges Senden von Mustern Offline Premium suspiciousSendingPatterns
Der Benutzer hat verdächtige Aktivitäten gemeldet Offline Premium userReportedSuspiciousActivity

^ Der riskEventType für die erkennung zusätzlicher Risiken ist generisch für Mandanten mit Microsoft Entra ID Free oder Microsoft Entra ID P1. Wir haben etwas Riskantes erkannt, aber die Details sind nicht ohne eine Microsoft Entra ID P2-Lizenz verfügbar.

Erkennung von Anmelderisiken

Aktivität über anonyme IP-Adresse

Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung stellt fest, ob Benutzende eine IP-Adresse verwendet haben, die als anonyme Proxy-IP-Adresse identifiziert wurde.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Zusätzliches Risiko erkannt (Anmeldung)

Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Kundinnen und Kunden mit Microsoft Entra ID P2-Lizenz sichtbar sind, werden sie für Kundinnen und Kunden ohne Microsoft Entra ID P2-Lizenz als Zusätzliches Risiko erkannt bezeichnet.

  • Berechnet in Echtzeit oder offline
  • Lizenzanforderung: Microsoft Entra ID Free oder Microsoft Entra ID P1

Benutzergefährdung durch Administrator bestätigt

Diese Erkennung gibt an, dass das Administratorteam auf der Benutzeroberfläche für Risikobenutzende oder mithilfe der riskyUsers-API die Option Benutzergefährdung bestätigen ausgewählt hat. Überprüfen Sie den Risikoverlauf der Benutzenden (auf der Benutzeroberfläche oder über die API), um zu überprüfen, welcher Administrator oder welche Administratorin diese Benutzergefährdung bestätigt hat.

  • Calculated offline
  • Lizenzanforderung: Microsoft Entra ID Free oder Microsoft Entra ID P1

Anomales Token (Anmeldung)

Diese Erkennung weist darauf hin, dass das Token ungewöhnliche Merkmale aufweist, z. B. eine ungewöhnliche Tokenlebensdauer oder ein Token, das von einem unbekannten Ort aus ausgeführt wurde. Diese Erkennung deckt "Sitzungstoken" und "Aktualisierungstoken" ab.

Ein anomales Token wird optimiert, um mehr Rauschen als andere Erkennungen auf derselben Risikostufe zu generieren. Dieser Kompromiss wird gewählt, um die Wahrscheinlichkeit zu erhöhen, dass wiedergegebene Token erkannt werden, die andernfalls möglicherweise unbemerkt bleiben. Es gibt eine erhöhte Wahrscheinlichkeit, dass einige der von dieser Erkennung gekennzeichneten Sitzungen False Positive-Ergebnisse sind. Wir empfehlen, die von dieser Erkennung gekennzeichneten Sitzungen im Kontext anderer Anmeldungen des Benutzers zu untersuchen. Wenn der Standort, die Anwendung, die IP-Adresse, der Benutzer-Agent oder andere Merkmale für die Benutzenden ungewöhnlich sind, sollte das Mandantenadministratorteam dieses Risiko als Indikator für eine potenzielle Tokenwiederverwendung betrachten.

Anonyme IP-Adresse

Dieser Risikoerkennungstyp gibt Anmeldungen über eine anonyme IP-Adresse (z.B. Tor-Browser oder ein anonymisiertes VPN) an. Diese IP-Adressen werden in der Regel von Akteuren verwendet, die ihre Anmeldetelemetrie (IP-Adresse, Standort, Gerät usw.) für mögliche böswillige Absichten verbergen wollen.

  • Berechnet in Echtzeit
  • Lizenzanforderung: Microsoft Entra ID Free oder Microsoft Entra ID P1

Atypical travel

Mit diesem Risikoerkennungstyp werden zwei Anmeldungen identifiziert, die von weit entfernten Orten durchgeführt wurden und bei denen mindestens einer der Orte aufgrund des bisherigen Verhaltens atypisch für eine Benutzer*in sein kann. Der Algorithmus berücksichtigt mehrere Faktoren wie etwa die Zeit zwischen zwei Anmeldungen und die Zeit, die ein*e Benutzer*in benötigen würde, um vom ersten zum zweiten Ort zu gelangen. Dieses Risiko könnte darauf hindeuten, dass ein*e anderer Benutzer*in die gleichen Anmeldeinformationen verwendet.

Bei diesem Algorithmus werden offensichtliche falsch positive Ergebnisse ignoriert, die zu den unmöglichen Ortswechselbedingungen beitragen. Hierzu zählen etwa VPNs und regelmäßig von anderen Benutzern der Organisation verwendete Standorte. Das System verfügt über einen anfänglichen Lernzeitraum von 14 Tagen oder 10 Anmeldungen (je nachdem, welcher Punkt früher erreicht wird), in dem das Anmeldeverhalten des neuen Benutzers erlernt wird.

Impossible travel

Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Es wurden zwei Benutzeraktivitäten (in einer einzelnen Sitzung oder in mehreren Sitzungen) festgestellt, die von unterschiedlichen geografischen Standorten stammen und in einem Zeitraum liegen, der kürzer ist als die Zeit, die Benutzende benötigen, um von dem einen Ort zum anderen zu gelangen. Dieses Risiko könnte darauf hindeuten, dass ein*e anderer Benutzer*in die gleichen Anmeldeinformationen verwendet.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Schädliche IP-Adresse

Diese Erkennung gibt eine Anmeldung über eine schädliche IP-Adresse an. Eine IP-Adresse wird wegen hoher Fehlerraten aufgrund von ungültige Anmeldeinformationen, die von der IP-Adresse oder anderen IP-Zuverlässigkeitsquellen empfangen wurden, als schädlich eingestuft. In einigen Fällen löst diese Erkennung bei früheren bösartigen Aktivitäten aus.

Massenzugriff auf vertrauliche Dateien

Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn Benutzende auf mehrere Dateien von Microsoft SharePoint Online oder Microsoft OneDrive zugreifen. Eine Warnung wird nur ausgelöst, wenn die Anzahl der abgerufenen Dateien für die Benutzenden ungewöhnlich ist und die Dateien vertrauliche Informationen enthalten könnten.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Threat Intelligence von Microsoft Entra (Anmeldung)

Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den angegebenen Benutzer ungewöhnlich sind oder bekannten Angriffsmustern entsprechen. Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert.

New country

Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Bei dieser Erkennungsmethode werden anhand von in der Vergangenheit verwendeten Aktivitätsstandorten neue und selten verwendete Standorte ermittelt. Die Anomalieerkennungsengine speichert Informationen zu Standorten, die Benutzer der Organisation in der Vergangenheit verwendet haben.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Password spray

Bei einem Kennwortspray-Angriff werden mehrere Identitäten unter Verwendung gängiger Kennwörter im Rahmen eines koordinierten Brute-Force-Angriffs angegriffen. Die Risikoerkennung wird ausgelöst, wenn das Passwort eines Kontos gültig ist und ein Anmeldeversuch vorliegt. Diese Erkennung signalisiert, dass das Kennwort des Benutzers durch einen Kennwortsprühangriff korrekt identifiziert wurde, nicht dass der Angreifer auf Ressourcen zugreifen konnte.

Suspicious browser

Die Erkennung „Verdächtiger Browser“ weist auf ein anomales Verhalten hin, das auf verdächtigen Anmeldeaktivitäten mehrerer Mandanten aus verschiedenen Ländern/Regionen im selben Browser beruht.

Verdächtige Weiterleitung des Posteingangs

Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Durch diese Erkennungsmethode werden verdächtige Regeln zur E-Mail-Weiterleitung erkannt. Hierzu gehört beispielsweise die Erstellung einer Posteingangsregel, die eine Kopie aller E-Mails an eine externe Adresse weiterleitet.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Verdächtige Regeln zur Posteingangsänderung

Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn verdächtige Regeln zum Löschen oder Verschieben von Nachrichten oder Ordnern für den Posteingang eines Benutzers festgelegt werden. Diese Erkennung kann darauf hinweisen, dass ein Benutzerkonto kompromittiert ist, dass Nachrichten absichtlich ausgeblendet werden und das Postfach zum Verteilen von Spam und Schadsoftware in Ihrer Organisation verwendet wird.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Anomalie beim Tokenaussteller

Diese Risikoerkennung gibt an, dass der SAML-Tokenaussteller für das zugeordnete SAML-Token möglicherweise kompromittiert ist. Die im Token enthaltenen Ansprüche sind ungewöhnlich oder stimmen mit bekannten Angriffsmustern überein.

Ungewöhnliche Anmeldeeigenschaften

Dieser Risikoerkennungstyp betrachtet den Anmeldungsverlauf, um nach anomalen Anmeldungen zu suchen. Das System speichert Informationen zu früheren Anmeldungen und löst eine Risikoerkennung aus, wenn eine Anmeldung mit Eigenschaften auftritt, die dem Benutzer nicht vertraut sind. Zu diesen Eigenschaften zählen IP, ASN, Standort, Gerät, Browser und Mandanten-IP-Subnetz. Neu erstellte Benutzende befinden sich im „Lernmodus“, in dem die Risikoerkennung für unbekannte Anmeldeeigenschaften ausgeschaltet ist, während unsere Algorithmen das Verhalten der Benutzenden erlernen. Die Dauer des Lernmodus ist dynamisch und hängt davon ab, wie lange es dauert, bis der Algorithmus genügend Informationen über die Anmeldemuster des Benutzers gesammelt hat. Die Mindestdauer beträgt fünf Tage. Ein Benutzer kann nach einer langen Zeit der Inaktivität erneut in den Lernmodus wechseln.

Diese Erkennung wird auch für die Standardauthentifizierung (bzw. ältere Protokolle) ausgeführt. Da diese Protokolle nicht über moderne Eigenschaften wie die Client-ID verfügen, gibt es nur begrenzte Daten, um Fehlalarme zu reduzieren. Wir empfehlen unseren Kunden, auf eine moderne Authentifizierung umzusteigen.

Unbekannte Anmeldungseigenschaften können sowohl bei interaktiven als auch bei nicht-interaktiven Anmeldungen erkannt werden. Wenn diese Erkennung bei nicht-interaktiven Anmeldungen festgestellt wird, sollte sie aufgrund des Risikos von Token-Wiederholungsangriffen besonders sorgfältig geprüft werden.

Wenn Sie ein Risiko mit unbekannten Anmeldeeigenschaften auswählen, erhalten Sie weitere Informationen darüber, warum dieses Risiko ausgelöst wurde.

  • Berechnet in Echtzeit
  • Lizenzanforderung: Microsoft Entra ID P2

Überprüfte Bedrohungsakteur-IP

In Echtzeit berechnet. Dieser Risikoerkennungstyp weist auf eine Anmeldeaktivität hin, die mit bekannten IP-Adressen konsistent ist, welche nationalen Zustandsakteuren oder Gruppen zur Bekämpfung der Internetkriminalität zugeordnet sind, basierend auf Daten von Microsoft Threat Intelligence Center (MSTIC).

  • Berechnet in Echtzeit
  • Lizenzanforderung: Microsoft Entra ID P2

Erkennung von Benutzerrisiken

Zusätzliches Risiko erkannt (Benutzer)

Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Kundinnen und Kunden mit Microsoft Entra ID P2-Lizenz sichtbar sind, werden sie für Kundinnen und Kunden ohne Microsoft Entra ID P2-Lizenz als Zusätzliches Risiko erkannt bezeichnet.

  • Berechnet in Echtzeit oder offline
  • Lizenzanforderung: Microsoft Entra ID Free oder Microsoft Entra ID P1

Anomales Token (Benutzende)

Diese Erkennung weist darauf hin, dass das Token ungewöhnliche Merkmale aufweist, z. B. eine ungewöhnliche Tokenlebensdauer oder ein Token, das von einem unbekannten Ort aus ausgeführt wurde. Diese Erkennung deckt "Sitzungstoken" und "Aktualisierungstoken" ab.

Ein anomales Token wird optimiert, um mehr Rauschen als andere Erkennungen auf derselben Risikostufe zu generieren. Dieser Kompromiss wird gewählt, um die Wahrscheinlichkeit zu erhöhen, dass wiedergegebene Token erkannt werden, die andernfalls möglicherweise unbemerkt bleiben. Es gibt eine erhöhte Wahrscheinlichkeit, dass einige der von dieser Erkennung gekennzeichneten Sitzungen False Positive-Ergebnisse sind. Wir empfehlen, die von dieser Erkennung gekennzeichneten Sitzungen im Kontext anderer Anmeldungen des Benutzers zu untersuchen. Wenn der Standort, die Anwendung, die IP-Adresse, der Benutzer-Agent oder andere Merkmale für die Benutzenden ungewöhnlich sind, sollte das Mandantenadministratorteam dieses Risiko als Indikator für eine potenzielle Tokenwiederverwendung betrachten.

Anomale Benutzeraktivität

Bei dieser Risikoerkennung wird das normale Verhalten administrativer Benutzer*innen in Microsoft Entra ID zugrunde gelegt, und es werden anomale Verhaltensmuster wie beispielsweise verdächtige Änderungen am Verzeichnis erkannt. Die Erkennung wird für den Administrator, der die Änderung vornimmt, oder für das Objekt ausgelöst, das geändert wurde.

  • Calculated offline
  • Lizenzanforderung: Microsoft Entra ID P2

Angreifer-in-the-Middle

Auch als Gegner in der Mitte bezeichnet, wird diese Erkennung mit hoher Genauigkeit ausgelöst, wenn eine Authentifizierungssitzung mit einem bösartigen Reverseproxy verknüpft ist. Bei diesem Angriffstyp können Angreifende die Anmeldeinformationen von Benutzenden abfangen, einschließlich Token, die für die Benutzenden ausgestellt wurden. The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. Es wird empfohlen, dass das Administratorteam die Benutzenden manuell untersucht, wenn diese Erkennung ausgelöst wird, um sicherzustellen, dass das Risiko behoben wird. Das Beheben dieses Risikos erfordert möglicherweise eine sichere Kennwortzurücksetzung oder die Sperrung bestehender Sitzungen.

  • Calculated offline
  • Lizenzanforderung: Microsoft Entra ID P2

Leaked credentials

Dieser Risikoerkennungstyp gibt an, dass die gültigen Anmeldeinformationen der Benutzenden kompromittiert wurden. Wenn Cyberkriminelle gültige Passwörter von rechtmäßigen Nutzern kompromittieren, geben sie diese gesammelten Anmeldeinformationen oft weiter. Diese Freigabe erfolgt in der Regel durch eine Veröffentlichung im Darknet oder auf Paste Sites oder durch den Handel und Verkauf der Anmeldeinformationen auf dem Schwarzmarkt. Wenn der Microsoft-Dienst für durchgesickerte Anmeldedaten Benutzeranmeldedaten aus dem Dark Web, von Paste-Sites oder anderen Quellen erhält, werden diese mit den aktuellen gültigen Anmeldedaten der Microsoft Entra-Benutzer abgeglichen, um gültige Übereinstimmungen zu finden. For more information about leaked credentials, see FAQs.

Threat Intelligence von Microsoft Entra (Benutzer*in)

Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den angegebenen Benutzer ungewöhnlich sind oder bekannten Angriffsmustern entsprechen. Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert.

Möglicher Versuch, auf primäres Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen

Dieser Risikoerkennungstyp wird mittels von durch Microsoft Defender for Endpoint (MDE) bereitgestellten Informationen erkannt. Ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) ist ein Schlüsselartefakt der Microsoft Entra-Authentifizierung auf Geräten unter Windows 10, Windows Server 2016 und höheren Versionen, iOS und Android. Ein PRT ist ein JSON Web Token (JWT), das für Microsoft-Erstanbieter-Tokenbroker ausgestellt wird, um einmaliges Anmelden (Single Sign-On, SSO) für die Anwendungen zu ermöglichen, die auf diesen Geräten verwendet werden. Angreifer können versuchen, auf diese Ressource zuzugreifen, um sich im gesamten Netzwerk zu bewegen oder Anmeldeinformationen zu stehlen. Diese Erkennung legt die Risikostufe von Benutzenden auf „Hoch“ fest. Sie wird nur in Organisationen ausgelöst, die MDE bereitgestellt haben. Diese Erkennung stellt ein hohes Risiko dar, für das eine umgehende Behebung der zugehörigen Benutzenden empfohlen wird. Sie tritt aufgrund seines geringen Volumens in den meisten Organisationen nur selten auf.

  • Calculated offline
  • Lizenzanforderung: Microsoft Entra ID P2

Verdächtiger API-Datenverkehr

Diese Risikoerkennung wird gemeldet, wenn ungewöhnlicher Graph-Datenverkehr oder eine ungewöhnliche Verzeichnisenumeration erkannt wird. Verdächtiger API-Datenverkehr kann darauf hindeuten, dass Benutzende kompromittiert wurden und Aufklärung in ihren Umgebungen durchführen.

  • Calculated offline
  • Lizenzanforderung: Microsoft Entra ID P2

Verdächtiges Senden von Mustern

Dieser Risikoerkennungstyp wird mithilfe von durch Microsoft Defender for Office 365 (MDO) bereitgestellten Informationen erkannt. Diese Warnung wird generiert, wenn jemand in Ihrer Organisation verdächtige E-Mails gesendet hat und entweder als riskant eingestuft ist oder keine E-Mails senden darf. Diese Erkennung stuft das Risiko von Benutzenden als „Mittel“ ein. Sie wird nur in Organisationen ausgelöst, die MDO bereitgestellt haben. Diese Erkennung erfolgt nur in geringem Umfang und wird in den meisten Organisationen nur selten beobachtet.

  • Calculated offline
  • Lizenzanforderung: Microsoft Entra ID P2

Der Benutzer hat verdächtige Aktivitäten gemeldet

Diese Risikoerkennung wird gemeldet, wenn ein Benutzer eine MFA (Multi-Faktor-Authentifizierung)-Eingabeaufforderung verweigert und dies als verdächtige Aktivität meldet. Eine MFA-Eingabeaufforderung, die nicht von Benutzer*innen initiiert wird, kann bedeuten, dass deren Anmeldeinformationen kompromittiert sind.

  • Calculated offline
  • Lizenzanforderung: Microsoft Entra ID P2