Megosztás a következőn keresztül:


A kockázatok kivizsgálásának módja

Microsoft Entra ID-védelem jelentéskészítést biztosít a szervezeteknek az identitáskockázatok vizsgálatához a környezetükben. Ezek a jelentések közé tartoznak a kockázatos felhasználók, a kockázatos bejelentkezések, a kockázatos számítási feladatok identitásai és a kockázatészlelések. Az események vizsgálata kulcsfontosságú a biztonsági stratégia gyenge pontjainak jobb megértéséhez és azonosításához. Ezek a jelentések lehetővé teszik az események letöltését. CSV formátuma vagy integrációja más biztonsági megoldásokkal, például egy dedikált biztonsági információ- és eseménykezelési (SIEM) eszközzel a további elemzéshez. A szervezetek a Microsoft Defender és a Microsoft Graph API-integráció előnyeit is kihasználhatják az adatok más forrásokkal való összesítéséhez.

A kockázati jelentések a Microsoft Entra Felügyeleti központban, a Protection>Identity Protection alatt találhatók. Közvetlenül a jelentésekhez navigálhat, vagy megtekintheti a fontos megállapítások összegzését az irányítópult nézetben, és onnan navigálhat a megfelelő jelentésekhez.

Képernyőkép a magas kockázatú felhasználók számáról az ID Protection irányítópultján.

Minden jelentés elindul a jelentés tetején látható időszakra vonatkozó összes észlelés listájával. A rendszergazdák igény szerint szűrhetnek és adhatnak hozzá vagy távolíthatnak el oszlopokat. A rendszergazdák letölthetik az adatokat a következő helyen: . CSV vagy . JSON formátum további feldolgozáshoz.

Ha a rendszergazdák kiválasztanak egy vagy több bejegyzést, a kockázatok megerősítésére vagy elvetésére vonatkozó beállítások a jelentés tetején jelennek meg. Ha kiválaszt egy egyéni kockázati eseményt, megnyílik egy panel, amely további részleteket tartalmaz a vizsgálatokhoz való segítségnyújtáshoz.

Képernyőkép a Kockázatos felhasználók jelentés fejlécéről, amelyen a rendszergazdák számára elérhető lehetőségek láthatók.

A kockázatos felhasználók jelentése

A kockázatos felhasználók jelentése magában foglalja az összes olyan felhasználót, akinek a fiókja jelenleg vagy veszélyeztetettnek minősült. A kockázatos felhasználókat ki kell vizsgálni és orvosolni kell az erőforrásokhoz való jogosulatlan hozzáférés megakadályozása érdekében. Javasoljuk, hogy a magas kockázatú felhasználókkal kezdjen, mert nagy a megbízhatósága a kompromisszumnak. További információ arról, hogy a szintek mit jeleznek

Mitől kockázatos egy felhasználó?

A felhasználó kockázatos felhasználóvá válik, ha:

  • Legalább egy kockázatos bejelentkezésük van.
  • Egy vagy több kockázatot észlelnek a fiókjukban, például a kiszivárgott hitelesítő adatokat.

Hogyan vizsgálhatja meg a kockázatos felhasználókat?

A kockázatos felhasználók megtekintéséhez és vizsgálatához lépjen a Kockázatos felhasználók jelentéshez, és használja a szűrőket az eredmények kezeléséhez. Az oldal tetején lehetőség van további oszlopok hozzáadására, például kockázati szint, állapot és kockázat részleteinek hozzáadására.

Képernyőkép a Kockázatos felhasználók jelentésről, amely példákat jelenít meg a veszélyeztetett felhasználókról.

Amikor a rendszergazdák kiválasztanak egy felhasználót, megjelenik a Kockázatos felhasználó részletei panel. A kockázatos felhasználói adatok a következő információkat adják meg: felhasználói azonosító, irodai hely, legutóbbi kockázatos bejelentkezés, nem egy előzményhez kapcsolódó észlelések és kockázati előzmények. A Kockázatelőzmények lapon láthatók azok az események, amelyek az elmúlt 90 nap felhasználói kockázati változásához vezettek. Ez a lista olyan kockázatészleléseket tartalmaz, amelyek növelik a felhasználó kockázatát. Olyan felhasználói vagy rendszergazdai szervizelési műveleteket is tartalmazhat, amelyek csökkentik a felhasználó kockázatát; például egy felhasználó alaphelyzetbe állítja a jelszavát, vagy egy rendszergazda elveti a kockázatot.

Képernyőkép a Kockázatos felhasználó adatai úszó panelről a kockázati előzmények mintáival.

Ha rendelkezik a Copilot for Security szolgáltatással, hozzáférhet egy természetes nyelven elérhető összefoglaláshoz, amely tartalmazza a felhasználói kockázati szint emelt szintű szintjét, útmutatást ad az enyhítéshez és a válaszadáshoz, valamint más hasznos elemekre vagy dokumentációkra mutató hivatkozásokat.

Képernyőkép a Copilot által a Kockázatos felhasználók részletei úszó panelen megadott kockázat összegzéséről.

A Kockázatos felhasználók jelentés által biztosított információk birtokában a rendszergazdák a következő információkat tekinthetik meg:

  • A szervizelt, elvetett vagy jelenleg veszélyben lévő felhasználói kockázat kivizsgálása szükséges
  • Az észlelések részletei
  • Egy adott felhasználóhoz társított kockázatos bejelentkezések
  • Kockázati előzmények

A felhasználói szinten végzett műveletek az adott felhasználóhoz jelenleg társított összes észlelésre vonatkoznak. A rendszergazdák műveletet végezhetnek a felhasználókon, és a következő lehetőségek közül választhatnak:

  • Jelszó alaphelyzetbe állítása – Ez a művelet visszavonja a felhasználó aktuális munkameneteit.
  • Ellenőrizze, hogy a felhasználó sérült-e – Ez a művelet valódi pozitív eredményt ad . Az ID Protection magasra állítja a felhasználói kockázatot, és új észlelést ad hozzá, a rendszergazda megerősítette, hogy a felhasználó sérült. A felhasználót a szervizelési lépések végrehajtásáig kockázatosnak tekintjük.
  • A felhasználó biztonságának megerősítése – Ez a művelet hamis pozitív értéken történik. Ezzel eltávolítja a felhasználóra vonatkozó kockázatokat és észleléseket, és tanulási módban helyezi el a használati tulajdonságok újratanulásához. Ezzel a beállítással hamis pozitív értékeket jelölhet meg.
  • Felhasználói kockázat elvetése – Ez a művelet jóindulatú pozitív felhasználói kockázattal jár. Ez a felhasználói kockázat, amit észleltünk, valós, de nem rosszindulatú, mint egy ismert behatolási teszt. A kockázat továbbhaladásáért a hasonló felhasználókat továbbra is értékelni kell.
  • Felhasználó letiltása – Ez a művelet megakadályozza, hogy a felhasználó bejelentkezhessen, ha a támadó hozzáfér a jelszóhoz, vagy képes az MFA végrehajtására.
  • Vizsgálat a Microsoft 365 Defenderrel – Ez a művelet a rendszergazdákat a Microsoft Defender portálra viszi, hogy a rendszergazdák tovább vizsgálhassanak.

Képernyőkép a Kockázatos felhasználók adatai úszó panelről és a rendszergazda által végrehajtandó további műveletekről.

Kockázatos bejelentkezések jelentés

A kockázatos bejelentkezések jelentés az elmúlt 30 napra (egy hónapra) szűrhető adatokat tartalmaz. Az ID Protection kiértékeli az összes hitelesítési folyamat kockázatát, függetlenül attól, hogy interaktív vagy nem interaktív. A Kockázatos bejelentkezések jelentés az interaktív és a nem interaktív bejelentkezéseket is megjeleníti. A nézet módosításához használja a "bejelentkezési típus" szűrőt.

Képernyőkép a Kockázatos bejelentkezések jelentésről.

A Kockázatos bejelentkezések jelentés által biztosított információk birtokában a rendszergazdák megtekinthetik a következőt:

  • Veszélyben lévő, megerősített, biztonságos, elutasított vagy szervizelt bejelentkezések.
  • A bejelentkezési kísérletekhez kapcsolódó valós idejű és összesített kockázati szintek.
  • Aktivált észlelési típusok
  • Feltételes hozzáférési szabályzatok alkalmazása
  • MFA részletei
  • Eszközadatok
  • Application information (Alkalmazásadatok)
  • Helyadatok

A rendszergazdák műveletet végezhetnek a kockázatos bejelentkezési eseményeken, és a következő lehetőségek közül választhatnak:

  • Győződjön meg arról, hogy a bejelentkezés sérült – Ez a művelet megerősíti, hogy a bejelentkezés valódi pozitív. A bejelentkezés kockázatosnak minősül, amíg meg nem történik a szervizelési lépések végrehajtása. 
  • Erősítse meg a biztonságos bejelentkezést – Ez a művelet megerősíti, hogy a bejelentkezés hamis pozitív. A hasonló bejelentkezések a jövőben nem tekinthetők kockázatosnak. 
  • Bejelentkezési kockázat elvetése – Ezt a műveletet jóindulatú valódi pozitív értékre használja a rendszer. Az észlelt bejelentkezési kockázat valós, de nem rosszindulatú, mint egy ismert behatolási teszt vagy egy jóváhagyott alkalmazás által létrehozott ismert tevékenység. A kockázat továbbhaladása érdekében a hasonló bejelentkezéseket továbbra is értékelni kell.

Ha többet szeretne megtudni arról, hogy mikor érdemes elvégezni ezeket a műveleteket, olvassa el a Microsoft kockázattal kapcsolatos visszajelzéseinek használatát ismertető témakört .

Kockázatészlelési jelentés

A kockázatészlelési jelentés az elmúlt 90 napra (három hónapra) szűrhető adatokat tartalmaz.

Képernyőkép a Kockázatészlelések jelentésről.

A Kockázatészlelési jelentés által biztosított információk alapján a rendszergazdák a következő információkat találják:

  • Információk az egyes kockázatészlelésekről
  • Támadás típusa a MITRE ATT&CK-keretrendszer alapján
  • Egyidejűleg kiváltott egyéb kockázatok
  • Bejelentkezési kísérlet helye
  • A Felhőhöz készült Microsoft Defender-alkalmazások további részleteire mutató hivatkozás.

A rendszergazdák ezután dönthetnek úgy, hogy visszatérnek a felhasználó kockázati vagy bejelentkezési jelentéséhez, hogy műveleteket hajtsanak végre az összegyűjtött információk alapján.

Feljegyzés

Rendszerünk azt észlelheti, hogy a felhasználói kockázati pontszámhoz hozzájáruló kockázati esemény hamis pozitív volt, vagy a felhasználói kockázat elhárítása szabályzatkényszerítéssel történt, például MFA-kérés végrehajtása vagy jelszó biztonságos módosítása. Ezért a rendszerünk elutasítja a kockázati állapotot, és a "AI által megerősített bejelentkezés biztonságos" kockázati részlete felszínre kerül, és a továbbiakban nem járul hozzá a felhasználó kockázatához.

Kezdeti osztályozás

A kezdeti osztályozás indításakor a következő műveleteket javasoljuk:

  1. Tekintse át az ID Protection irányítópultot a támadások számának, a magas kockázatú felhasználók számának és más fontos metrikáknak a környezetbeli észlelések alapján történő megjelenítéséhez.
  2. Tekintse át a hatáselemzési munkafüzetet, és ismerje meg azokat a forgatókönyveket, amelyekben a kockázat nyilvánvaló a környezetben, és a kockázatalapú hozzáférési szabályzatokat engedélyezni kell a magas kockázatú felhasználók és bejelentkezések kezeléséhez.
  3. Adjon hozzá vállalati VPN-eket és IP-címtartományokat nevesített helyekhez a hamis pozitív értékek csökkentése érdekében.
  4. Érdemes lehet létrehozni egy ismert utazóadatbázist a frissített szervezeti utazási jelentésekhez, és használni azt az utazási tevékenységek kereszthivatkozására.
  5. Tekintse át a naplókat az azonos jellemzőkkel rendelkező hasonló tevékenységek azonosításához. Ez a tevékenység több feltört fiókra utalhat.
    1. Ha vannak olyan gyakori jellemzők, mint az IP-cím, a földrajzi hely, a sikeresség/hiba stb., érdemes lehet letiltani őket egy feltételes hozzáférési szabályzattal.
    2. Tekintse át, hogy mely erőforrások kerülhetnek veszélybe, beleértve a lehetséges adatletöltéseket vagy a felügyeleti módosításokat.
    3. Önkiszolgáló szervizelési szabályzatok engedélyezése feltételes hozzáféréssel
  6. Ellenőrizze, hogy a felhasználó más kockázatos tevékenységeket hajtott-e végre, például nagy mennyiségű fájlt tölt le egy új helyről. Ez a viselkedés erős jelzése egy lehetséges kompromisszumnak.

Ha azt gyanítja, hogy egy támadó megszemélyesítheti a felhasználót, akkor a felhasználónak vissza kell állítania a jelszavát, el kell végeznie az MFA-t, vagy le kell tiltani a felhasználót, és vissza kell vonnia az összes frissítési és hozzáférési jogkivonatot.

Vizsgálati és kockázat-szervizelési keretrendszer

A szervezetek a következő keretrendszer használatával kezdhetik meg a gyanús tevékenységek vizsgálatát. Az ajánlott első lépés az önműködő szervizelés, ha ez egy lehetőség. Az önjavítás történhet önkiszolgáló jelszó-visszaállítással vagy egy kockázatalapú feltételes hozzáférési szabályzat szervizelési folyamatával.

Ha az önkiszolgáló szervizelés nem megoldás, a rendszergazdának orvosolnia kell a kockázatot. A szervizelés egy jelszó-visszaállítás meghívásával történik, amely megköveteli a felhasználótól, hogy regisztrálja újra az MFA-t, blokkolja a felhasználót, vagy állítsa vissza a felhasználói munkameneteket a forgatókönyvtől függően. Az alábbi folyamatábra a kockázat észlelése után javasolt folyamatot mutatja be:

A kockázatkezelés folyamatát bemutató ábra.

A kockázat megfékezése után további vizsgálatra lehet szükség a kockázat biztonságosként való megjelöléséhez, feltöréséhez vagy elutasításához. Ahhoz, hogy biztos következtetést vonjon le, szükség lehet a következőre: beszélgetésre van szükség a szóban forgó felhasználóval, áttekinteni a bejelentkezési naplókat, áttekinteni az auditnaplókat, vagy lekérdezni a kockázati naplókat a Log Analyticsben. A vizsgálat ezen szakaszában az alábbi javasolt műveleteket vázolja fel:

  1. Ellenőrizze a naplókat, és ellenőrizze, hogy a tevékenység normális-e az adott felhasználó számára.
    1. Tekintse meg a felhasználó korábbi tevékenységeit, beleértve a következő tulajdonságokat, hogy megállapítsa, az adott felhasználó esetében normálisak-e.
      1. Alkalmazás
      2. Eszköz – Regisztrálva van vagy megfelel az eszköznek?
      3. Hely – A felhasználó más helyre utazik, vagy több helyről fér hozzá az eszközökhöz?
      4. IP-cím
      5. Felhasználói ügynök sztringje
    2. Ha rendelkezik hozzáféréssel más biztonsági eszközökhöz, például a Microsoft Sentinelhez, ellenőrizze a megfelelő riasztásokat, amelyek nagyobb problémát jelezhetnek.
    3. A Microsoft 365 Defenderhez hozzáféréssel rendelkező szervezetek más kapcsolódó riasztásokkal, incidensekkel és a MITRE ATT&CK-láncgal követhetik a felhasználói kockázati eseményeket.
      1. A Kockázatos felhasználók jelentésből való navigáláshoz jelölje ki a felhasználót a Kockázatos felhasználók jelentésben, és válassza ki a három pontot (...) az eszköztáron, majd válassza a Vizsgálat a Microsoft 365 Defenderrel lehetőséget.
  2. Lépjen kapcsolatba a felhasználóval, és ellenőrizze, hogy felismeri-e a bejelentkezést; azonban fontolja meg, hogy az olyan módszerek, mint az e-mail vagy a Teams biztonsága sérülhet.
    1. Győződjön meg az ön által megadott adatokról, például:
      1. Időbélyegző
      2. Alkalmazás
      3. Eszköz
      4. Hely
      5. IP-cím
  3. A vizsgálat eredményeitől függően jelölje meg a felhasználót vagy a bejelentkezést igazoltan sérültnek, biztonságosnak, vagy zárja be a kockázatot.
  4. Állítson be kockázatalapú feltételes hozzáférési szabályzatokat a hasonló támadások megelőzése vagy a lefedettség hiányosságainak elhárítása érdekében.

Adott észlelések vizsgálata

Microsoft Entra fenyegetésintelligencia

A Microsoft Entra Threat Intelligence kockázatészlelésének vizsgálatához kövesse az alábbi lépéseket a Kockázatészlelés részletei panel "további információ" mezőjében megadott információk alapján:

  1. A bejelentkezés gyanús IP-címről történt:
    1. Ellenőrizze, hogy az IP-cím gyanús viselkedést mutat-e a környezetben.
    2. Az IP-cím sok hibát okoz a felhasználó vagy a címtárban lévő felhasználók számára?
    3. Az IP-cím forgalma váratlan protokollból vagy alkalmazásból származik, például az Exchange örökölt protokolljaiból?
    4. Ha az IP-cím egy felhőszolgáltatónak felel meg, zárja ki, hogy nincsenek ugyanabból az IP-címből futó megbízható vállalati alkalmazások.
  2. Ez a fiók jelszópermetes támadás áldozata volt:
    1. Ellenőrizze, hogy a címtárban lévő többi felhasználó nem azonos támadás célpontja-e.
    2. Vannak-e olyan bejelentkezések, amelyek hasonló atipikus mintákkal rendelkeznek az észlelt bejelentkezés során ugyanazon az időkereten belül? A jelszóspray-támadások szokatlan mintázatokat jelenhetnek meg a következő esetekben:
      1. Felhasználói ügynök sztringje
      2. Alkalmazás
      3. Protokoll
      4. IP-címek/ASN-tartományok
      5. Bejelentkezések időpontja és gyakorisága
  3. Ezt az észlelést egy valós idejű szabály aktiválta:
    1. Ellenőrizze, hogy a címtárban lévő többi felhasználó nem azonos támadás célpontja-e. Ezek az információk a szabályhoz rendelt TI_RI_#### számmal találhatók.
    2. A valós idejű szabályok védelmet nyújtanak a Microsoft fenyegetésfelderítése által azonosított új támadások ellen. Ha a címtárban több felhasználó is ugyanannak a támadásnak a célpontja volt, vizsgálja meg a bejelentkezés egyéb attribútumainak szokatlan mintáit.

Atipikus utazási észlelések vizsgálata

  1. Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre:
    1. Javasolt művelet: Jelölje meg a bejelentkezést sérültként, és hívjon meg egy jelszó-visszaállítást, ha még nem végzett önjavítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához és a jelszó alaphelyzetbe állításához.
  2. Ha egy felhasználó ismert, hogy a feladatai körében használja az IP-címet:
    1. Ajánlott művelet: Ellenőrizze, hogy a bejelentkezés biztonságos-e.
  3. Ha meg tudja erősíteni, hogy a felhasználó nemrég a riasztásban részletezett célhelyre utazott:
    1. Ajánlott művelet: Ellenőrizze, hogy a bejelentkezés biztonságos-e.
  4. Ha meg tudja erősíteni, hogy az IP-címtartomány egy engedélyezett VPN-ből származik.
    1. Javasolt művelet: Győződjön meg arról, hogy a bejelentkezés biztonságos, és adja hozzá a VPN IP-címtartományt a Microsoft Entra id és Felhőhöz készült Microsoft Defender Apps névvel ellátott helyekhez.

Rendellenes jogkivonat és tokenkibocsátó anomáliadetektálásának vizsgálata

  1. Ha meg tudja erősíteni, hogy a tevékenységet nem egy megbízható felhasználó hajtotta végre a kockázati riasztások, a hely, az alkalmazás, az IP-cím, a felhasználói ügynök vagy más, a felhasználó számára váratlan jellemzők kombinációjával:
    1. Javasolt művelet: Jelölje meg a bejelentkezést sérültként, és hívjon meg egy jelszó-visszaállítást, ha még nem végzett önjavítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy végrehajtásához.
    2. Javasolt művelet: Kockázati alapú feltételes hozzáférési szabályzatok beállítása jelszó-visszaállítás, MFA végrehajtása vagy hozzáférés letiltása minden magas kockázatú bejelentkezéshez.
  2. Ha meg tudja erősíteni a helyet, az alkalmazást, az IP-címet, a felhasználói ügynököt vagy más jellemzőket a felhasználó számára, és nincsenek más biztonsági jelek:
    1. Javasolt művelet: Lehetővé teszi a felhasználó számára, hogy önműködően szervizeljen egy kockázatalapú feltételes hozzáférési szabályzatot, vagy hogy a rendszergazda biztonságosként erősítse meg a bejelentkezést.
  3. A jogkivonat-alapú észlelések további vizsgálatához tekintse meg a jogkivonat-taktikákat ismertető blogbejegyzést : Hogyan előzheti meg, észlelheti és válaszolhatja meg a felhőbeli tokenlopásokat a tokenlopási vizsgálati forgatókönyvben.

Gyanús böngészőészlelések vizsgálata

  • A böngészőt gyakran nem használja a felhasználó vagy a böngészőn belüli tevékenység nem egyezik a felhasználók szokásos viselkedésével.
    • Javasolt művelet: Ellenőrizze, hogy a bejelentkezés sérült-e, és ha még nem hajtotta végre önművelettel, hívja meg a jelszó-visszaállítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához.
    • Javasolt művelet: Kockázati alapú feltételes hozzáférési szabályzatok beállítása jelszó-visszaállítás, MFA végrehajtása vagy hozzáférés letiltása minden magas kockázatú bejelentkezéshez.

Rosszindulatú IP-címek észlelésének vizsgálata

  1. Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre:
    1. Javasolt művelet: Ellenőrizze, hogy a bejelentkezés sérült-e, és ha még nem hajtotta végre önművelettel, hívja meg a jelszó-visszaállítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához, valamint a jelszó alaphelyzetbe állításához és az összes jogkivonat visszavonásához.
    2. Javasolt művelet: Kockázati alapú feltételes hozzáférési szabályzatok beállítása jelszó-visszaállítás megköveteléséhez vagy az MFA végrehajtásához minden magas kockázatú bejelentkezéshez.
  2. Ha egy felhasználó ismert, hogy a feladatai körében használja az IP-címet:
    1. Ajánlott művelet: Ellenőrizze, hogy a bejelentkezés biztonságos-e.

Jelszópermet-észlelések vizsgálata

  1. Ha meg tudja erősíteni, hogy a tevékenységet nem egy jogos felhasználó hajtotta végre:
    1. Javasolt művelet: Jelölje meg a bejelentkezést sérültként, és hívjon meg egy jelszó-visszaállítást, ha még nem végzett önjavítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához, valamint a jelszó alaphelyzetbe állításához és az összes jogkivonat visszavonásához.
  2. Ha egy felhasználó ismert, hogy a feladatai körében használja az IP-címet:
    1. Ajánlott művelet: Erősítse meg a biztonságos bejelentkezést.
  3. Ha meg tudja erősíteni, hogy a fiók nem sérült, és nem lát találgatásos vagy jelszópermet jelzőt a fiókon.
    1. Javasolt művelet: Lehetővé teszi a felhasználó számára, hogy önműködően szervizeljen egy kockázatalapú feltételes hozzáférési szabályzatot, vagy hogy a rendszergazda biztonságosként erősítse meg a bejelentkezést.

A jelszóspray-kockázat észlelésének további vizsgálatához tekintse meg a Jelszóspray-vizsgálat című cikket.

Kiszivárgott hitelesítő adatok észlelésének vizsgálata

  • Ha ez az észlelés kiszivárgott hitelesítő adatot talált egy felhasználó számára:
    • Javasolt művelet: Ellenőrizze, hogy a felhasználó sérült-e, és ha még nem hajtotta végre önjavítással, hívja meg a jelszó-visszaállítást. Tiltsa le a felhasználót, ha a támadónak hozzáférése van a jelszó alaphelyzetbe állításához vagy az MFA végrehajtásához, valamint a jelszó alaphelyzetbe állításához és az összes jogkivonat visszavonásához.

Következő lépések