Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra ID Protection kann eine breite Palette von Risikoerkennungen bereitstellen, die verwendet werden können, um verdächtige Aktivitäten in Ihrer Organisation zu identifizieren. Die in diesem Artikel enthaltenen Tabellen fassen die Liste der Anmelde- und Benutzerrisikoerkennungen zusammen, einschließlich der Lizenzanforderungen oder wenn die Erkennung in Echtzeit oder offline erfolgt. Weitere Details zu den einzelnen Risikoerkennungen finden Sie in den Tabellen.
- Vollständige Details zu den meisten Risikoerkennungen erfordern die Microsoft Entra ID P2.
- Kunden ohne Microsoft Entra ID P2-Lizenzen erhalten Erkennungen mit dem Titel "Zusätzliches Risiko, das ohne Risikoerkennungsdetails erkannt wurde".
- For more information, see the license requirements.
- Informationen zur Erkennung von Workloadidentitätsrisiken finden Sie unter Schützen von Workloadidentitäten.
Note
Ausführliche Informationen zu Echtzeit- und Offlineerkennungen und Risikostufen finden Sie unter Risikoerkennungstypen und -stufen.
Anmelderisikoerkennungen, die riskEventType zugeordnet sind
Wählen Sie eine Risikoerkennung aus der Liste aus, um die Beschreibung der Risikoerkennung, der Funktionsweise und der Lizenzanforderungen anzuzeigen. In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license.
Nonpremium indicates the detection is available with Microsoft Entra ID Free. Die riskEventType
Spalte gibt den Wert an, der in Microsoft Graph-API-Abfragen angezeigt wird.
Erkennung von Anmelderisiken | Detection type | Type | riskEventType |
---|---|---|---|
Aktivität über anonyme IP-Adresse | Offline | Premium | riskyIPAddress |
Zusätzliches Risiko erkannt (Anmeldung) | Echtzeit oder offline | Nonpremium | generic ^ |
Benutzergefährdung durch Administrator bestätigt | Offline | Nonpremium | adminConfirmedUserCompromised |
Anomales Token (Anmeldung) | Echtzeit oder offline | Premium | anomalousToken |
Anonyme IP-Adresse | Real-time | Nonpremium | anonymizedIPAddress |
Atypical travel | Offline | Premium | unlikelyTravel |
Impossible travel | Offline | Premium | mcasImpossibleTravel |
Schädliche IP-Adresse | Offline | Premium | maliciousIPAddress |
Massenzugriff auf vertrauliche Dateien | Offline | Premium | mcasFinSuspiciousFileAccess |
Threat Intelligence von Microsoft Entra (Anmeldung) | Echtzeit oder offline | Nonpremium | investigationsThreatIntelligence |
New country | Offline | Premium | newCountry |
Password spray | Echtzeit oder offline | Premium | passwordSpray |
Suspicious browser | Offline | Premium | suspiciousBrowser |
Verdächtige Weiterleitung des Posteingangs | Offline | Premium | suspiciousInboxForwarding |
Verdächtige Regeln zur Posteingangsänderung | Offline | Premium | mcasSuspiciousInboxManipulationRules |
Anomaler Tokenaussteller | Offline | Premium | tokenIssuerAnomaly |
Ungewöhnliche Anmeldeeigenschaften | Real-time | Premium | unfamiliarFeatures |
Überprüfte Bedrohungsakteur-IP | Real-time | Premium | nationStateIP |
^ Der riskEventType für die erkennung zusätzlicher Risiken ist generisch für Mandanten mit Microsoft Entra ID Free oder Microsoft Entra ID P1. Wir haben etwas Riskantes erkannt, aber die Details sind nicht ohne eine Microsoft Entra ID P2-Lizenz verfügbar.
Benutzerrisikoerkennungen, die riskEventType zugeordnet sind
Wählen Sie eine Risikoerkennung aus der Liste aus, um die Beschreibung der Risikoerkennung, der Funktionsweise und der Lizenzanforderungen anzuzeigen.
Erkennung von Benutzerrisiken | Detection type | Type | riskEventType |
---|---|---|---|
Zusätzliches Risiko erkannt (Benutzer) | Echtzeit oder offline | Nonpremium | generic ^ |
Anomales Token (Benutzende) | Echtzeit oder offline | Premium | anomalousToken |
Anomale Benutzeraktivität | Offline | Premium | anomalousUserActivity |
Angreifer-in-the-Middle | Offline | Premium | attackerinTheMiddle |
Leaked credentials | Offline | Nonpremium | leakedCredentials |
Threat Intelligence von Microsoft Entra (Benutzende) | Echtzeit oder offline | Nonpremium | investigationsThreatIntelligence |
Möglicher Versuch, auf primäres Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen | Offline | Premium | attemptedPrtAccess |
Verdächtiger API-Datenverkehr | Offline | Premium | suspiciousAPITraffic |
Verdächtiges Senden von Mustern | Offline | Premium | suspiciousSendingPatterns |
Der Benutzer hat verdächtige Aktivitäten gemeldet | Offline | Premium | userReportedSuspiciousActivity |
^ Der riskEventType für die erkennung zusätzlicher Risiken ist generisch für Mandanten mit Microsoft Entra ID Free oder Microsoft Entra ID P1. Wir haben etwas Riskantes erkannt, aber die Details sind nicht ohne eine Microsoft Entra ID P2-Lizenz verfügbar.
Erkennung von Anmelderisiken
Aktivität über anonyme IP-Adresse
Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung stellt fest, ob Benutzende eine IP-Adresse verwendet haben, die als anonyme Proxy-IP-Adresse identifiziert wurde.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Zusätzliches Risiko erkannt (Anmeldung)
Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Kundinnen und Kunden mit Microsoft Entra ID P2-Lizenz sichtbar sind, werden sie für Kundinnen und Kunden ohne Microsoft Entra ID P2-Lizenz als Zusätzliches Risiko erkannt bezeichnet.
- Berechnet in Echtzeit oder offline
- Lizenzanforderung: Microsoft Entra ID Free oder Microsoft Entra ID P1
Benutzergefährdung durch Administrator bestätigt
Diese Erkennung gibt an, dass das Administratorteam auf der Benutzeroberfläche für Risikobenutzende oder mithilfe der riskyUsers-API die Option Benutzergefährdung bestätigen ausgewählt hat. Überprüfen Sie den Risikoverlauf der Benutzenden (auf der Benutzeroberfläche oder über die API), um zu überprüfen, welcher Administrator oder welche Administratorin diese Benutzergefährdung bestätigt hat.
- Calculated offline
- Lizenzanforderung: Microsoft Entra ID Free oder Microsoft Entra ID P1
Anomales Token (Anmeldung)
Diese Erkennung weist darauf hin, dass das Token ungewöhnliche Merkmale aufweist, z. B. eine ungewöhnliche Tokenlebensdauer oder ein Token, das von einem unbekannten Ort aus ausgeführt wurde. Diese Erkennung deckt "Sitzungstoken" und "Aktualisierungstoken" ab.
Ein anomales Token wird optimiert, um mehr Rauschen als andere Erkennungen auf derselben Risikostufe zu generieren. Dieser Kompromiss wird gewählt, um die Wahrscheinlichkeit zu erhöhen, dass wiedergegebene Token erkannt werden, die andernfalls möglicherweise unbemerkt bleiben. Es gibt eine erhöhte Wahrscheinlichkeit, dass einige der von dieser Erkennung gekennzeichneten Sitzungen False Positive-Ergebnisse sind. Wir empfehlen, die von dieser Erkennung gekennzeichneten Sitzungen im Kontext anderer Anmeldungen des Benutzers zu untersuchen. Wenn der Standort, die Anwendung, die IP-Adresse, der Benutzer-Agent oder andere Merkmale für die Benutzenden ungewöhnlich sind, sollte das Mandantenadministratorteam dieses Risiko als Indikator für eine potenzielle Tokenwiederverwendung betrachten.
- Berechnet in Echtzeit oder offline
- Lizenzanforderung: Microsoft Entra ID P2
- Tipps zur Untersuchung von anomalen Token-Erkennungen.
Anonyme IP-Adresse
Dieser Risikoerkennungstyp gibt Anmeldungen über eine anonyme IP-Adresse (z.B. Tor-Browser oder ein anonymisiertes VPN) an. Diese IP-Adressen werden in der Regel von Akteuren verwendet, die ihre Anmeldetelemetrie (IP-Adresse, Standort, Gerät usw.) für mögliche böswillige Absichten verbergen wollen.
- Berechnet in Echtzeit
- Lizenzanforderung: Microsoft Entra ID Free oder Microsoft Entra ID P1
Atypical travel
Mit diesem Risikoerkennungstyp werden zwei Anmeldungen identifiziert, die von weit entfernten Orten durchgeführt wurden und bei denen mindestens einer der Orte aufgrund des bisherigen Verhaltens atypisch für eine Benutzer*in sein kann. Der Algorithmus berücksichtigt mehrere Faktoren wie etwa die Zeit zwischen zwei Anmeldungen und die Zeit, die ein*e Benutzer*in benötigen würde, um vom ersten zum zweiten Ort zu gelangen. Dieses Risiko könnte darauf hindeuten, dass ein*e anderer Benutzer*in die gleichen Anmeldeinformationen verwendet.
Bei diesem Algorithmus werden offensichtliche falsch positive Ergebnisse ignoriert, die zu den unmöglichen Ortswechselbedingungen beitragen. Hierzu zählen etwa VPNs und regelmäßig von anderen Benutzern der Organisation verwendete Standorte. Das System verfügt über einen anfänglichen Lernzeitraum von 14 Tagen oder 10 Anmeldungen (je nachdem, welcher Punkt früher erreicht wird), in dem das Anmeldeverhalten des neuen Benutzers erlernt wird.
- Calculated offline
- Lizenzanforderung: Microsoft Entra ID P2
- Tipps für die Untersuchung von ungewöhnlichen Ortswechseln.
Impossible travel
Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Es wurden zwei Benutzeraktivitäten (in einer einzelnen Sitzung oder in mehreren Sitzungen) festgestellt, die von unterschiedlichen geografischen Standorten stammen und in einem Zeitraum liegen, der kürzer ist als die Zeit, die Benutzende benötigen, um von dem einen Ort zum anderen zu gelangen. Dieses Risiko könnte darauf hindeuten, dass ein*e anderer Benutzer*in die gleichen Anmeldeinformationen verwendet.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Schädliche IP-Adresse
Diese Erkennung gibt eine Anmeldung über eine schädliche IP-Adresse an. Eine IP-Adresse wird wegen hoher Fehlerraten aufgrund von ungültige Anmeldeinformationen, die von der IP-Adresse oder anderen IP-Zuverlässigkeitsquellen empfangen wurden, als schädlich eingestuft. In einigen Fällen löst diese Erkennung bei früheren bösartigen Aktivitäten aus.
- Calculated offline
- Lizenzanforderung: Microsoft Entra ID P2
- Tipps für die Untersuchung von Erkennungen bösartiger IP-Adressen.
Massenzugriff auf vertrauliche Dateien
Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn Benutzende auf mehrere Dateien von Microsoft SharePoint Online oder Microsoft OneDrive zugreifen. Eine Warnung wird nur ausgelöst, wenn die Anzahl der abgerufenen Dateien für die Benutzenden ungewöhnlich ist und die Dateien vertrauliche Informationen enthalten könnten.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Threat Intelligence von Microsoft Entra (Anmeldung)
Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den angegebenen Benutzer ungewöhnlich sind oder bekannten Angriffsmustern entsprechen. Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert.
- Berechnet in Echtzeit oder offline
- Lizenzanforderung: Microsoft Entra ID Free oder Microsoft Entra ID P1
- Tipps für die Untersuchung von Microsoft Entra Threat Intelligence Erkennungen.
New country
Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Bei dieser Erkennungsmethode werden anhand von in der Vergangenheit verwendeten Aktivitätsstandorten neue und selten verwendete Standorte ermittelt. Die Anomalieerkennungsengine speichert Informationen zu Standorten, die Benutzer der Organisation in der Vergangenheit verwendet haben.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Password spray
Bei einem Kennwortspray-Angriff werden mehrere Identitäten unter Verwendung gängiger Kennwörter im Rahmen eines koordinierten Brute-Force-Angriffs angegriffen. Die Risikoerkennung wird ausgelöst, wenn das Passwort eines Kontos gültig ist und ein Anmeldeversuch vorliegt. Diese Erkennung signalisiert, dass das Kennwort des Benutzers durch einen Kennwortsprühangriff korrekt identifiziert wurde, nicht dass der Angreifer auf Ressourcen zugreifen konnte.
- Berechnet in Echtzeit oder offline
- Lizenzanforderung: Microsoft Entra ID P2
- Tipps zum Untersuchen von Erkennungen von Kennwortsprays
Suspicious browser
Die Erkennung „Verdächtiger Browser“ weist auf ein anomales Verhalten hin, das auf verdächtigen Anmeldeaktivitäten mehrerer Mandanten aus verschiedenen Ländern/Regionen im selben Browser beruht.
- Calculated offline
- Lizenzanforderung: Microsoft Entra ID P2
- Tipps zur Untersuchung von verdächtigen Browser-Erkennungen.
Verdächtige Weiterleitung des Posteingangs
Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Durch diese Erkennungsmethode werden verdächtige Regeln zur E-Mail-Weiterleitung erkannt. Hierzu gehört beispielsweise die Erstellung einer Posteingangsregel, die eine Kopie aller E-Mails an eine externe Adresse weiterleitet.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Verdächtige Regeln zur Posteingangsänderung
Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn verdächtige Regeln zum Löschen oder Verschieben von Nachrichten oder Ordnern für den Posteingang eines Benutzers festgelegt werden. Diese Erkennung kann darauf hinweisen, dass ein Benutzerkonto kompromittiert ist, dass Nachrichten absichtlich ausgeblendet werden und das Postfach zum Verteilen von Spam und Schadsoftware in Ihrer Organisation verwendet wird.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Anomalie beim Tokenaussteller
Diese Risikoerkennung gibt an, dass der SAML-Tokenaussteller für das zugeordnete SAML-Token möglicherweise kompromittiert ist. Die im Token enthaltenen Ansprüche sind ungewöhnlich oder stimmen mit bekannten Angriffsmustern überein.
- Calculated offline
- Lizenzanforderung: Microsoft Entra ID P2
- Tipps zur Untersuchung von Anomalie-Erkennungen bei Token- Herausgebern.
Ungewöhnliche Anmeldeeigenschaften
Dieser Risikoerkennungstyp betrachtet den Anmeldungsverlauf, um nach anomalen Anmeldungen zu suchen. Das System speichert Informationen zu früheren Anmeldungen und löst eine Risikoerkennung aus, wenn eine Anmeldung mit Eigenschaften auftritt, die dem Benutzer nicht vertraut sind. Zu diesen Eigenschaften zählen IP, ASN, Standort, Gerät, Browser und Mandanten-IP-Subnetz. Neu erstellte Benutzende befinden sich im „Lernmodus“, in dem die Risikoerkennung für unbekannte Anmeldeeigenschaften ausgeschaltet ist, während unsere Algorithmen das Verhalten der Benutzenden erlernen. Die Dauer des Lernmodus ist dynamisch und hängt davon ab, wie lange es dauert, bis der Algorithmus genügend Informationen über die Anmeldemuster des Benutzers gesammelt hat. Die Mindestdauer beträgt fünf Tage. Ein Benutzer kann nach einer langen Zeit der Inaktivität erneut in den Lernmodus wechseln.
Diese Erkennung wird auch für die Standardauthentifizierung (bzw. ältere Protokolle) ausgeführt. Da diese Protokolle nicht über moderne Eigenschaften wie die Client-ID verfügen, gibt es nur begrenzte Daten, um Fehlalarme zu reduzieren. Wir empfehlen unseren Kunden, auf eine moderne Authentifizierung umzusteigen.
Unbekannte Anmeldungseigenschaften können sowohl bei interaktiven als auch bei nicht-interaktiven Anmeldungen erkannt werden. Wenn diese Erkennung bei nicht-interaktiven Anmeldungen festgestellt wird, sollte sie aufgrund des Risikos von Token-Wiederholungsangriffen besonders sorgfältig geprüft werden.
Wenn Sie ein Risiko mit unbekannten Anmeldeeigenschaften auswählen, erhalten Sie weitere Informationen darüber, warum dieses Risiko ausgelöst wurde.
- Berechnet in Echtzeit
- Lizenzanforderung: Microsoft Entra ID P2
Überprüfte Bedrohungsakteur-IP
In Echtzeit berechnet. Dieser Risikoerkennungstyp weist auf eine Anmeldeaktivität hin, die mit bekannten IP-Adressen konsistent ist, welche nationalen Zustandsakteuren oder Gruppen zur Bekämpfung der Internetkriminalität zugeordnet sind, basierend auf Daten von Microsoft Threat Intelligence Center (MSTIC).
- Berechnet in Echtzeit
- Lizenzanforderung: Microsoft Entra ID P2
Erkennung von Benutzerrisiken
Zusätzliches Risiko erkannt (Benutzer)
Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Kundinnen und Kunden mit Microsoft Entra ID P2-Lizenz sichtbar sind, werden sie für Kundinnen und Kunden ohne Microsoft Entra ID P2-Lizenz als Zusätzliches Risiko erkannt bezeichnet.
- Berechnet in Echtzeit oder offline
- Lizenzanforderung: Microsoft Entra ID Free oder Microsoft Entra ID P1
Anomales Token (Benutzende)
Diese Erkennung weist darauf hin, dass das Token ungewöhnliche Merkmale aufweist, z. B. eine ungewöhnliche Tokenlebensdauer oder ein Token, das von einem unbekannten Ort aus ausgeführt wurde. Diese Erkennung deckt "Sitzungstoken" und "Aktualisierungstoken" ab.
Ein anomales Token wird optimiert, um mehr Rauschen als andere Erkennungen auf derselben Risikostufe zu generieren. Dieser Kompromiss wird gewählt, um die Wahrscheinlichkeit zu erhöhen, dass wiedergegebene Token erkannt werden, die andernfalls möglicherweise unbemerkt bleiben. Es gibt eine erhöhte Wahrscheinlichkeit, dass einige der von dieser Erkennung gekennzeichneten Sitzungen False Positive-Ergebnisse sind. Wir empfehlen, die von dieser Erkennung gekennzeichneten Sitzungen im Kontext anderer Anmeldungen des Benutzers zu untersuchen. Wenn der Standort, die Anwendung, die IP-Adresse, der Benutzer-Agent oder andere Merkmale für die Benutzenden ungewöhnlich sind, sollte das Mandantenadministratorteam dieses Risiko als Indikator für eine potenzielle Tokenwiederverwendung betrachten.
- Berechnet in Echtzeit oder offline
- Lizenzanforderung: Microsoft Entra ID P2
- Tipps zur Untersuchung von anomalen Token-Erkennungen.
Anomale Benutzeraktivität
Bei dieser Risikoerkennung wird das normale Verhalten administrativer Benutzer*innen in Microsoft Entra ID zugrunde gelegt, und es werden anomale Verhaltensmuster wie beispielsweise verdächtige Änderungen am Verzeichnis erkannt. Die Erkennung wird für den Administrator, der die Änderung vornimmt, oder für das Objekt ausgelöst, das geändert wurde.
- Calculated offline
- Lizenzanforderung: Microsoft Entra ID P2
Angreifer-in-the-Middle
Auch als Gegner in der Mitte bezeichnet, wird diese Erkennung mit hoher Genauigkeit ausgelöst, wenn eine Authentifizierungssitzung mit einem bösartigen Reverseproxy verknüpft ist. Bei diesem Angriffstyp können Angreifende die Anmeldeinformationen von Benutzenden abfangen, einschließlich Token, die für die Benutzenden ausgestellt wurden. The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. Es wird empfohlen, dass das Administratorteam die Benutzenden manuell untersucht, wenn diese Erkennung ausgelöst wird, um sicherzustellen, dass das Risiko behoben wird. Das Beheben dieses Risikos erfordert möglicherweise eine sichere Kennwortzurücksetzung oder die Sperrung bestehender Sitzungen.
- Calculated offline
- Lizenzanforderung: Microsoft Entra ID P2
Leaked credentials
Dieser Risikoerkennungstyp gibt an, dass die gültigen Anmeldeinformationen der Benutzenden kompromittiert wurden. Wenn Cyberkriminelle gültige Passwörter von rechtmäßigen Nutzern kompromittieren, geben sie diese gesammelten Anmeldeinformationen oft weiter. Diese Freigabe erfolgt in der Regel durch eine Veröffentlichung im Darknet oder auf Paste Sites oder durch den Handel und Verkauf der Anmeldeinformationen auf dem Schwarzmarkt. Wenn der Microsoft-Dienst für durchgesickerte Anmeldedaten Benutzeranmeldedaten aus dem Dark Web, von Paste-Sites oder anderen Quellen erhält, werden diese mit den aktuellen gültigen Anmeldedaten der Microsoft Entra-Benutzer abgeglichen, um gültige Übereinstimmungen zu finden. For more information about leaked credentials, see FAQs.
- Calculated offline
- Lizenzanforderung: Microsoft Entra ID Free oder Microsoft Entra ID P1
- Tipps für die Untersuchung von Entdeckungen von kompromittierten Anmeldeinformationen.
Threat Intelligence von Microsoft Entra (Benutzer*in)
Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den angegebenen Benutzer ungewöhnlich sind oder bekannten Angriffsmustern entsprechen. Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert.
- Calculated offline
- Lizenzanforderung: Microsoft Entra ID Free oder Microsoft Entra ID P1
- Tipps für die Untersuchung von Microsoft Entra Threat Intelligence Erkennungen.
Möglicher Versuch, auf primäres Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen
Dieser Risikoerkennungstyp wird mittels von durch Microsoft Defender for Endpoint (MDE) bereitgestellten Informationen erkannt. Ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) ist ein Schlüsselartefakt der Microsoft Entra-Authentifizierung auf Geräten unter Windows 10, Windows Server 2016 und höheren Versionen, iOS und Android. Ein PRT ist ein JSON Web Token (JWT), das für Microsoft-Erstanbieter-Tokenbroker ausgestellt wird, um einmaliges Anmelden (Single Sign-On, SSO) für die Anwendungen zu ermöglichen, die auf diesen Geräten verwendet werden. Angreifer können versuchen, auf diese Ressource zuzugreifen, um sich im gesamten Netzwerk zu bewegen oder Anmeldeinformationen zu stehlen. Diese Erkennung legt die Risikostufe von Benutzenden auf „Hoch“ fest. Sie wird nur in Organisationen ausgelöst, die MDE bereitgestellt haben. Diese Erkennung stellt ein hohes Risiko dar, für das eine umgehende Behebung der zugehörigen Benutzenden empfohlen wird. Sie tritt aufgrund seines geringen Volumens in den meisten Organisationen nur selten auf.
- Calculated offline
- Lizenzanforderung: Microsoft Entra ID P2
Verdächtiger API-Datenverkehr
Diese Risikoerkennung wird gemeldet, wenn ungewöhnlicher Graph-Datenverkehr oder eine ungewöhnliche Verzeichnisenumeration erkannt wird. Verdächtiger API-Datenverkehr kann darauf hindeuten, dass Benutzende kompromittiert wurden und Aufklärung in ihren Umgebungen durchführen.
- Calculated offline
- Lizenzanforderung: Microsoft Entra ID P2
Verdächtiges Senden von Mustern
Dieser Risikoerkennungstyp wird mithilfe von durch Microsoft Defender for Office 365 (MDO) bereitgestellten Informationen erkannt. Diese Warnung wird generiert, wenn jemand in Ihrer Organisation verdächtige E-Mails gesendet hat und entweder als riskant eingestuft ist oder keine E-Mails senden darf. Diese Erkennung stuft das Risiko von Benutzenden als „Mittel“ ein. Sie wird nur in Organisationen ausgelöst, die MDO bereitgestellt haben. Diese Erkennung erfolgt nur in geringem Umfang und wird in den meisten Organisationen nur selten beobachtet.
- Calculated offline
- Lizenzanforderung: Microsoft Entra ID P2
Der Benutzer hat verdächtige Aktivitäten gemeldet
Diese Risikoerkennung wird gemeldet, wenn ein Benutzer eine MFA (Multi-Faktor-Authentifizierung)-Eingabeaufforderung verweigert und dies als verdächtige Aktivität meldet. Eine MFA-Eingabeaufforderung, die nicht von Benutzer*innen initiiert wird, kann bedeuten, dass deren Anmeldeinformationen kompromittiert sind.
- Calculated offline
- Lizenzanforderung: Microsoft Entra ID P2