Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Microsoft Entra ID Protection számos olyan kockázatészlelést biztosít, amelyek a szervezet gyanús tevékenységeinek azonosítására használhatók. A cikkben szereplő táblázatok összefoglalják a bejelentkezési és felhasználói kockázatészlelések listáját, beleértve a licenckövetelményeket, illetve azt, hogy az észlelés valós időben vagy offline állapotban történik-e. Az egyes kockázatészlelésekkel kapcsolatos további részletek a táblákat követve találhatók.
- A legtöbb kockázatészlelés részletes adataihoz p2 Microsoft Entra-azonosító szükséges.
- A Microsoft Entra ID P2-licenccel nem rendelkező ügyfelek a kockázatészlelés részletei nélkül észlelt további kockázat észlelése címmel kapnak észlelést.
- For more information, see the license requirements.
- A számítási feladatok identitásának kockázatészlelésével kapcsolatos információkért lásd a számítási feladatok identitásainak biztonságossá tételét ismertető témakört.
Note
A valós idejű és az offline észlelésekről és a kockázati szintekről további információt a kockázatészlelési típusok és szintek című témakörben talál.
A riskEventType-ra leképezett bejelentkezési kockázatészlelések
Válasszon ki egy kockázatészlelést a listából a kockázatészlelés leírásának, működésének és a licenckövetelményeknek a megtekintéséhez. In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license.
Nonpremium indicates the detection is available with Microsoft Entra ID Free. Az riskEventType oszlop a Microsoft Graph API-lekérdezésekben megjelenő értéket jelzi.
| Bejelentkezési kockázatészlelés | Detection type | Típus | riskEventType |
|---|---|---|---|
| Tevékenység névtelen IP-címről | Offline | prémium | riskyIPAddress |
| További kockázat észlelhető (bejelentkezés) | Valós idejű vagy offline | Nonpremium | generic ^ |
| A rendszergazda megerősítette, hogy a felhasználó sérült | Offline | Nonpremium | adminConfirmedUserCompromised |
| Rendellenes bejelentkezési token | Valós idejű vagy offline | prémium | anomalousToken |
| Névtelen IP-cím | Real-time | Nonpremium | anonymizedIPAddress |
| Atypical travel | Offline | prémium | unlikelyTravel |
| Impossible travel | Offline | prémium | mcasImpossibleTravel |
| Rosszindulatú IP-cím | Offline | prémium | maliciousIPAddress |
| Bizalmas fájlok tömeges elérése | Offline | prémium | mcasFinSuspiciousFileAccess |
| Microsoft Entra fenyegetésfelderítés (bejelentkezés) | Valós idejű vagy offline | Nonpremium | investigationsThreatIntelligence |
| New country | Offline | prémium | newCountry |
| Password spray | Valós idejű vagy offline | prémium | passwordSpray |
| Suspicious browser | Offline | prémium | suspiciousBrowser |
| Gyanús beérkezett üzenetek továbbítása | Offline | prémium | suspiciousInboxForwarding |
| Gyanús beérkezett üzenetek kezelésének szabályai | Offline | prémium | mcasSuspiciousInboxManipulationRules |
| Tokenkibocsátó anomáliája | Offline | prémium | tokenIssuerAnomaly |
| Ismeretlen bejelentkezési tulajdonságok | Real-time | prémium | unfamiliarFeatures |
| Ellenőrzött fenyegetés-szereplő IP-címe | Real-time | prémium | nationStateIP |
^ A riskEventType for Additional risk detected detection általános a Microsoft Entra ID Free vagy a P1 Microsoft Entra ID azonosítójú bérlők esetében. Kockázatos dolgot észleltünk, de a részletek nem érhetők el Microsoft Entra ID P2-licenc nélkül.
A riskEventType-ra leképezett felhasználói kockázatészlelések
Válasszon ki egy kockázatészlelést a listából a kockázatészlelés leírásának, működésének és a licenckövetelményeknek a megtekintéséhez.
| Felhasználói kockázatészlelés | Detection type | Típus | riskEventType |
|---|---|---|---|
| További kockázat észlelhető (felhasználó) | Valós idejű vagy offline | Nonpremium | generic ^ |
| Anomális Token (felhasználó) | Valós idejű vagy offline | prémium | anomalousToken |
| Rendellenes felhasználói tevékenység | Offline | prémium | anomalousUserActivity |
| Támadó középen | Offline | prémium | attackerinTheMiddle |
| Leaked credentials | Offline | Nonpremium | leakedCredentials |
| Microsoft Entra fenyegetésfelderítés (felhasználó) | Valós idejű vagy offline | Nonpremium | investigationsThreatIntelligence |
| Az elsődleges frissítési jogkivonat (PRT) elérésének lehetséges kísérlete | Offline | prémium | attemptedPrtAccess |
| Gyanús API-forgalom | Offline | prémium | suspiciousAPITraffic |
| Gyanús küldési minták | Offline | prémium | suspiciousSendingPatterns |
| A felhasználó gyanús tevékenységről számolt be | Offline | prémium | userReportedSuspiciousActivity |
^ A riskEventType for Additional risk detected detection általános a Microsoft Entra ID Free vagy a P1 Microsoft Entra ID azonosítójú bérlők esetében. Kockázatos dolgot észleltünk, de a részletek nem érhetők el Microsoft Entra ID P2-licenc nélkül.
Bejelentkezési kockázatészlelések
névtelen IP-címről indított tevékenység
Ezt az észlelést a Microsoft Defender for Cloud Apps által biztosított információk alapján észlelik. Ez az észlelés azt azonosítja, hogy a felhasználók egy névtelen proxy IP-címként azonosított IP-címről voltak aktívak.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
További kockázat észlelhető (bejelentkezés)
Ez az észlelés azt jelzi, hogy a rendszer az egyik prémium szintű észlelést észlelte. Mivel a prémium észlelések csak a Microsoft Entra ID P2-ügyfelek számára láthatók, a Microsoft Entra ID P2-licenccel nem rendelkező ügyfeleknél további kockázattal rendelkeznek .
- Számítás valós időben vagy offline állapotban
- Licenckövetelmény: Ingyenes Microsoft Entra-azonosító vagy P1 Microsoft Entra-azonosító
rendszergazda által megerősített fiókfeltörés
Ez az észlelés azt jelzi, hogy egy rendszergazda kiválasztotta a Kockázatos felhasználók felhasználói felületén vagy a RiskyUsers API használatával a felhasználó kompromittálásának megerősítését. Ha ellenőrizni szeretné, hogy melyik rendszergazda megerősítette a felhasználó biztonságát, ellenőrizze a felhasználó kockázati előzményeit (felhasználói felületen vagy API-n keresztül).
- Calculated offline
- Licenckövetelmény: Ingyenes Microsoft Entra-azonosító vagy P1 Microsoft Entra-azonosító
Rendellenes token (bejelentkezés)
Ez az észlelés rendellenes jellemzőket jelez a jogkivonatban, például szokatlan élettartamot vagy ismeretlen helyről lejátszott jogkivonatot. Ez az észlelés a "Munkamenet-jogkivonatokat" és a "Tokenek frissítését" ismerteti.
A rendellenes token úgy van beállítva, hogy több zajt okoz, mint az azonos kockázati szinten lévő többi észlelés. Ez a kompromisszum a valószínűségének növelésére van kiválasztva, hogy észleljük az olyan újrajátszott tokeneket, amelyek egyébként észrevétlenek maradhatnak. A normálnál nagyobb az esélye annak, hogy az észlelés által megjelölt munkamenetek egy része hamis pozitív. Javasoljuk, hogy vizsgálja meg az észlelés által megjelölt munkameneteket a felhasználó egyéb bejelentkezéseinek kontextusában. Ha a hely, az alkalmazás, az IP-cím, a felhasználói ügynök vagy más jellemzők váratlanok a felhasználó számára, a rendszergazdának ezt a kockázatot a lehetséges token-visszajátszás jeleként kell figyelembe vennie.
- Számítás valós időben vagy offline állapotban
- Licenckövetelmény: Microsoft Entra ID P2
- Tippek a rendellenes tokenészlelések vizsgálatához.
névtelen IP-cím
Ez a kockázatészlelési típus névtelen IP-címről (például Tor böngészőből vagy névtelen VPN-ből) érkező bejelentkezéseket jelez. Ezeket az IP-címeket általában olyan szereplők használják, akik el szeretnék rejteni bejelentkezési adataikat (IP-cím, hely, eszköz stb.) a potenciálisan rosszindulatú szándék érdekében.
- Valós idejű számítás
- Licenckövetelmény: Ingyenes Microsoft Entra-azonosító vagy P1 Microsoft Entra-azonosító
szokatlan utazás
Ez a kockázatészlelési típus két, földrajzilag távoli helyről származó bejelentkezést azonosít, ahol a korábbi viselkedés miatt legalább az egyik hely atipikus lehet a felhasználó számára. Az algoritmus több tényezőt is figyelembe vesz, beleértve a két bejelentkezés közötti időt és azt az időt, ahová a felhasználó az első helyről a másodikra utazik. Ez a kockázat azt jelezheti, hogy egy másik felhasználó ugyanazt a hitelesítő adatokat használja.
Az algoritmus figyelmen kívül hagyja a nyilvánvaló "hamis pozitív" tényezőket, amelyek hozzájárulnak a lehetetlen utazási feltételekhez, például a VPN-ekhez és a szervezet más felhasználói által rendszeresen használt helyekhez. A rendszer kezdeti tanulási időszaka legkorábban 14 nap vagy 10 bejelentkezés, amely során megtanulja az új felhasználó bejelentkezési viselkedését.
- Calculated offline
- Licenckövetelmény: Microsoft Entra ID P2
- Tippek az atipikus utazási észlelések vizsgálatához.
Lehetetlen utazás
Ezt az észlelést a Microsoft Defender for Cloud Apps által biztosított információk alapján észlelik. Ez az észlelés azonosítja a földrajzilag távoli helyekről származó felhasználói tevékenységeket (egy vagy több munkamenetben) az első helyről a másodikra való utazáshoz szükséges időnél rövidebb időtartamon belül. Ez a kockázat azt jelezheti, hogy egy másik felhasználó ugyanazt a hitelesítő adatokat használja.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
rosszindulatú IP-cím
Ez az észlelés rosszindulatú IP-címről való bejelentkezést jelez. Az IP-címek a magas hibaarányok alapján rosszindulatúnak minősülnek, mert az IP-címről vagy más IP-hírforrásokból kapott hitelesítő adatok érvénytelenek. Bizonyos esetekben ez az észlelés a korábbi rosszindulatú tevékenységeknél aktiválódik.
- Calculated offline
- Licenckövetelmény: Microsoft Entra ID P2
- Tippek a rosszindulatú IP-címek észlelésének vizsgálatához.
Bizalmas fájlok tömeges elérése
Ezt az észlelést a Microsoft Defender for Cloud Apps által biztosított információk alapján észlelik. Ez az észlelés megvizsgálja a környezetet, és riasztásokat aktivál, amikor a felhasználók több fájlt érnek el Microsoft Office SharePoint Online vagy a Microsoft OneDrive-ról. A riasztás csak akkor aktiválódik, ha a felhasználó számára nem gyakori a megnyitott fájlok száma, és a fájlok bizalmas információkat tartalmazhatnak.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Microsoft Entra fenyegetésfelderítés (bejelentkezés)
Ez a kockázatészlelési típus a felhasználó számára szokatlan vagy ismert támadási mintákkal konzisztens felhasználói tevékenységet jelez. Ez az észlelés a Microsoft belső és külső fenyegetésfelderítési forrásain alapul.
- Számítás valós időben vagy offline állapotban
- Licenckövetelmény: Ingyenes Microsoft Entra-azonosító vagy P1 Microsoft Entra-azonosító
- Tippek a Microsoft Entra fenyegetésintelligencia-észlelések vizsgálatához.
új ország
Ezt az észlelést a Microsoft Defender for Cloud Apps által biztosított információk alapján észlelik. Ez az észlelés figyelembe veszi a korábbi tevékenységi helyeket az új és ritka helyek meghatározásához. Az anomáliadetektálási motor információkat tárol a szervezet felhasználói által használt korábbi helyekről.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
szórásos jelszófeltörés
A jelszóspray-támadás során több felhasználói fiókot is megtámadnak gyakori jelszavak alkalmazásával, egységes, rendszerszintű brute force módszerrel. A kockázatészlelés akkor aktiválódik, ha egy fiók jelszava érvényes, és bejelentkezett. Ez az észlelés azt jelzi, hogy a felhasználó jelszava helyesen lett azonosítva jelszóspray-támadással, nem pedig arról, hogy a támadó bármilyen erőforráshoz hozzáférhetett.
- Számítás valós időben vagy offline állapotban
- Licenckövetelmény: Microsoft Entra ID P2
- Tippek a jelszavas támadások (jelszóspray) észlelésének vizsgálatához.
Suspicious browser
A gyanús böngészőészlelés rendellenes viselkedést jelez, amely gyanús bejelentkezési tevékenységen alapul az ugyanazon böngészőben található különböző országokból/régiókból származó több bérlőn.
- Calculated offline
- Licenckövetelmény: Microsoft Entra ID P2
- Tippek gyanús böngészőészlelések vizsgálatához.
gyanús üzenettovábbítás
Ezt az észlelést a Microsoft Defender for Cloud Apps által biztosított információk alapján észlelik. Ez az észlelés gyanús e-mail-továbbítási szabályokat keres, például ha egy felhasználó létrehozott egy levelezési szabályt, amely az összes e-mail másolatát továbbítja egy külső címre.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
gyanús üzenetkezelési szabályok
Ezt az észlelést a Microsoft Defender for Cloud Apps által biztosított információk alapján észlelik. Ez az észlelés megvizsgálja a környezetet, és riasztásokat aktivál, ha az üzeneteket vagy mappákat törlő vagy áthelyező gyanús szabályok be vannak állítva a felhasználó postaládájába. Ez az észlelés azt jelezheti, hogy a felhasználó fiókja sérült, az üzenetek szándékosan el vannak rejtve, és a postaládát a levélszemét vagy kártevők terjesztésére használják a szervezetben.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Tokenkibocsátó anomáliája
Ez a kockázatészlelés azt jelzi, hogy a társított SAML-jogkivonat kiállítója potenciálisan kompromittálódott. A tokenban szereplő adott információk szokatlanok, vagy megfelelnek az ismert támadói mintáknak.
- Calculated offline
- Licenckövetelmény: Microsoft Entra ID P2
- Tippek a tokenkibocsátó anomáliadetektálásának vizsgálatához.
szokatlan bejelentkezési tulajdonságok
Ez a kockázatészlelési típus úgy véli, hogy a korábbi bejelentkezések előzményei rendellenes bejelentkezéseket keresnek. A rendszer tárolja a korábbi bejelentkezésekkel kapcsolatos információkat, és kockázatészlelést indít el, ha a bejelentkezés olyan tulajdonságokkal történik, amelyek nem ismertek a felhasználó számára. Ezek a tulajdonságok tartalmazhatnak IP-címet, ASN-t, helyet, eszközt, böngészőt és bérlői IP-alhálózatot. Az újonnan létrehozott felhasználók olyan "tanulási módban" vannak, ahol a nem ismert bejelentkezési tulajdonságok kockázatészlelése ki van kapcsolva, miközben az algoritmusaink megtanulják a felhasználó viselkedését. A tanulási mód időtartama dinamikus, és attól függ, hogy az algoritmus mennyi időt vesz igénybe ahhoz, hogy elegendő információt gyűjtsön a felhasználó bejelentkezési mintáiról. A minimális időtartam öt nap. A felhasználó hosszú inaktivitás után visszatérhet a tanulási módba.
Ezt az észlelést az alapszintű hitelesítéshez (vagy örökölt protokollokhoz) is futtatjuk. Mivel ezek a protokollok nem rendelkeznek modern tulajdonságokkal, például ügyfélazonosítóval, korlátozott adatokkal csökkenthetők a hamis pozitív értékek. Javasoljuk ügyfeleinknek, hogy térjenek át a modern hitelesítésre.
Az ismeretlen bejelentkezési tulajdonságok az interaktív és a nem interaktív bejelentkezéseken egyaránt észlelhetők. Ha ezt az észlelést nem interaktív bejelentkezések esetén észleli, akkor fokozott ellenőrzést érdemel a token-visszajátszási támadások kockázata miatt.
Egy ismeretlen bejelentkezési tulajdonság kockázatának kiválasztásával további információkat jeleníthet meg a kockázat kiváltó okáról.
- Valós idejű számítás
- Licenckövetelmény: Microsoft Entra ID P2
Ellenőrzött fenyegetés-szereplő IP-címe
Valós időben kiszámítva. Ez a kockázatészlelési típus olyan bejelentkezési tevékenységet jelez, amely a Microsoft Threat Intelligence Center (MSTIC) adatai alapján összhangban áll a nemzetállami szereplőkkel vagy a kiberbűnözési csoportokkal társított ismert IP-címekkel.
- Valós idejű számítás
- Licenckövetelmény: Microsoft Entra ID P2
Felhasználói kockázatészlelések
További kockázat észlelhető (felhasználó)
Ez az észlelés azt jelzi, hogy a rendszer az egyik prémium szintű észlelést észlelte. Mivel a prémium észlelések csak a Microsoft Entra ID P2-ügyfelek számára láthatók, a Microsoft Entra ID P2-licenccel nem rendelkező ügyfeleknél további kockázattal rendelkeznek .
- Számítás valós időben vagy offline állapotban
- Licenckövetelmény: Ingyenes Microsoft Entra-azonosító vagy P1 Microsoft Entra-azonosító
Rendellenes azonosító (felhasználó)
Ez az észlelés rendellenes jellemzőket jelez a jogkivonatban, például szokatlan élettartamot vagy ismeretlen helyről lejátszott jogkivonatot. Ez az észlelés a "Munkamenet-jogkivonatokat" és a "Tokenek frissítését" ismerteti.
A rendellenes token úgy van beállítva, hogy több zajt okoz, mint az azonos kockázati szinten lévő többi észlelés. Ez a kompromisszum a valószínűségének növelésére van kiválasztva, hogy észleljük az olyan újrajátszott tokeneket, amelyek egyébként észrevétlenek maradhatnak. A normálnál nagyobb az esélye annak, hogy az észlelés által megjelölt munkamenetek egy része hamis pozitív. Javasoljuk, hogy vizsgálja meg az észlelés által megjelölt munkameneteket a felhasználó egyéb bejelentkezéseinek kontextusában. Ha a hely, az alkalmazás, az IP-cím, a felhasználói ügynök vagy más jellemzők váratlanok a felhasználó számára, a rendszergazdának ezt a kockázatot a lehetséges token-visszajátszás jeleként kell figyelembe vennie.
- Számítás valós időben vagy offline állapotban
- Licenckövetelmény: Microsoft Entra ID P2
- Tippek a rendellenes tokenészlelések vizsgálatához.
Rendellenes felhasználói tevékenység
Ez a kockázatészlelés az alapozza meg a rendszergazdai felhasználók szokásos viselkedését a Microsoft Entra ID-ban, és észreveszi a szokatlan viselkedésmintákat, például a gyanús változásokat a címtárban. Az észlelés a módosítást kezdeményező rendszergazda vagy a módosított objektum ellen aktiválódik.
- Calculated offline
- Licenckövetelmény: Microsoft Entra ID P2
Támadó középen
Ezt a nagy pontosságú észlelést akkor aktiválja a rendszer, ha egy hitelesítési munkamenet rosszindulatú fordított proxyhoz van csatolva. Ilyen típusú támadás esetén a támadó elfoghatja a felhasználó hitelesítő adatait, beleértve a felhasználónak kibocsátott jogkivonatokat is. The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. Javasoljuk, hogy a rendszergazdák manuálisan vizsgálják meg a felhasználót, amikor az észlelés aktiválódik, hogy a kockázat ki legyen ürítve. A kockázat megszüntetéséhez biztonságos jelszó-visszaállításra vagy a meglévő munkamenetek visszavonására lehet szükség.
- Calculated offline
- Licenckövetelmény: Microsoft Entra ID P2
kiszivárgott hitelesítő adatok
Ez a kockázatészlelési típus azt jelzi, hogy a felhasználó érvényes hitelesítő adatai kiszivárogtak. Amikor a kiberbűnözők feltörik a megbízható felhasználók érvényes jelszavát, gyakran megosztják ezeket az összegyűjtött hitelesítő adatokat. Ez a megosztás általában a sötét weben való nyilvános közzétételt, vagy a hitelesítő adatok feketepiaci adásvételét jelenti. Amikor a Microsoft kiszivárogtatott hitelesítő adatokat kezelő szolgáltatása megszerez felhasználói hitelesítő adatokat a sötét webből, beillesztő oldalakról vagy más forrásokból, a rendszer ezeket összehasonlítja a Microsoft Entra felhasználók jelenlegi érvényes hitelesítő adataival az érvényes egyezések megtalálása érdekében. For more information about leaked credentials, see FAQs.
- Calculated offline
- Licenckövetelmény: Ingyenes Microsoft Entra-azonosító vagy P1 Microsoft Entra-azonosító
- Tippek a kiszivárgott hitelesítő adatok észlelésének vizsgálatához.
Microsoft Entra fenyegetésfelderítés (felhasználó)
Ez a kockázatészlelési típus a felhasználó számára szokatlan vagy ismert támadási mintákkal konzisztens felhasználói tevékenységet jelez. Ez az észlelés a Microsoft belső és külső fenyegetésfelderítési forrásain alapul.
- Calculated offline
- Licenckövetelmény: Ingyenes Microsoft Entra-azonosító vagy P1 Microsoft Entra-azonosító
- Tippek a Microsoft Entra fenyegetésintelligencia-észlelések vizsgálatához.
Az elsődleges frissítési jogkivonat (PRT) elérésének lehetséges kísérlete
Ezt a kockázatészlelési típust a Végponthoz készült Microsoft Defender (MDE) által biztosított információk alapján deríti fel a rendszer. Az elsődleges frissítési jogkivonat (PRT) a Microsoft Entra-hitelesítés kulcsösszetevője Windows 10, Windows Server 2016 és újabb verziók, iOS és Android rendszerű eszközökön. A PRT egy JSON webes jogkivonat (JWT), amelyet a Microsoft belső jogkivonat-közvetítőinek bocsátanak ki, hogy lehetővé tegyék az egyszeri bejelentkezést (SSO) az ezeken az eszközökön használt alkalmazásokon. A támadók megpróbálhatják elérni ezt az erőforrást, hogy később áthelyeződjenek egy szervezetbe, vagy hitelesítő adatokat lopjanak el. Ez az észlelés magas kockázatúra helyezi át a felhasználókat, és csak az MDE-t üzembe helyező szervezetekben aktiválódik. Ez az észlelés nagy kockázattal jár, ezért javasoljuk, hogy azonnal szervizelje ezeket a felhasználókat. A legtöbb szervezetben ritkán jelenik meg, mivel alacsony a mennyisége.
- Calculated offline
- Licenckövetelmény: Microsoft Entra ID P2
Gyanús API-forgalom
Ezt a kockázatészlelést akkor jelenti a rendszer, ha rendellenes GraphAPI-forgalmat vagy címtár-számbavételt figyel meg. A gyanús API-forgalom arra utalhat, hogy a felhasználó megsérül, és felderítést végez a környezetben.
- Calculated offline
- Licenckövetelmény: Microsoft Entra ID P2
Gyanús küldési minták
Ezt a kockázatészlelési típust a Office 365-höz készült Microsoft Defender (MDO) által biztosított információk alapján deríti fel a rendszer. Ez a riasztás akkor jön létre, ha a szervezet egyik tagja gyanús e-mailt küldött, és fennáll a veszélye, hogy korlátozzák, vagy már korlátozva van az e-mailek küldésében. Ez az észlelés közepes kockázatúra helyezi át a felhasználókat, és csak az MDO-t üzembe helyező szervezetekben aktiválódik. Ez az észlelés alacsony gyakoriságú, és ritkán fordul elő a legtöbb szervezetben.
- Calculated offline
- Licenckövetelmény: Microsoft Entra ID P2
A felhasználó gyanús tevékenységről számolt be
Ez a kockázatészlelés akkor jelenik meg, ha egy felhasználó tagad egy többtényezős hitelesítést (MFA), és gyanús tevékenységként jelenti be. A felhasználó által nem kezdeményezett MFA-kérések azt jelenthetik, hogy a hitelesítő adataik sérülnek.
- Calculated offline
- Licenckövetelmény: Microsoft Entra ID P2