Apa itu risiko?

Deteksi risiko di Perlindungan Identitas Azure AD mencakup tindakan mencurigakan yang diidentifikasi terkait dengan akun pengguna di direktori. Deteksi risiko (baik pengguna maupun rincian masuk tertaut) berkontribusi pada skor risiko pengguna secara keseluruhan yang ditemukan dalam laporan Pengguna Berisiko.

Perlindungan Identitas memberi organisasi akses ke sumber daya yang kuat untuk melihat dan merespons tindakan mencurigakan ini dengan cepat.

Gambaran umum keamanan memperlihatkan pengguna dan masuk berisiko

Catatan

Perlindungan Identitas menghasilkan deteksi risiko hanya ketika kredensial yang benar digunakan. Jika kredensial yang salah digunakan pada masuk, itu tidak mewakili risiko kredensial disusupi.

Jenis risiko dan deteksi

Risiko dapat dideteksi pada tingkat Pengguna dan Masuk serta dua jenis deteksi atau perhitungan Real time dan Offline. Beberapa risiko dianggap premium dan hanya tersedia untuk Azure AD Premium P2 pelanggan, sementara yang lainnya tersedia untuk pelanggan Gratis dan Azure AD Premium P1.

Risiko proses masuk menunjukkan ada kemungkinan bahwa permintaan autentikasi tertentu tidak diizinkan oleh pemilik identitas. Aktivitas berisiko dapat dideteksi untuk pengguna yang tidak terkait dengan proses masuk berbahaya tertentu tetapi untuk pengguna itu sendiri.

Deteksi real-time mungkin tidak muncul dalam pelaporan selama lima 5 hingga 10 menit. Deteksi offline mungkin tidak muncul dalam pelaporan selama 48 jam.

Catatan

Sistem kami dapat mendeteksi bahwa peristiwa risiko yang berkontribusi pada skor risiko adalah:

  • Positif palsu
  • Risiko pengguna diperbaiki oleh kebijakan dengan:
    • Melengkapi autentikasi multifaktor
    • Perubahan kata sandi yang aman.

Sistem kami akan mengabaikan status risiko dan detail risiko dari “Keamanan kredensial masuk yang dikonfirmasi AI” akan muncul dan tidak lagi berkontribusi pada risiko pengguna.

Deteksi Premium

Deteksi Premium hanya terlihat oleh pelanggan Azure AD Premium P2. Pelanggan yang tidak memiliki lisensi Azure AD Premium P2 masih menerima deteksi premium tetapi mereka akan diberi judul "risiko tambahan terdeteksi".

Risiko masuk

Deteksi risiko kredensial masuk Premium

Deteksi risiko Jenis deteksi Deskripsi
Travel atipikal Offline Jenis deteksi risiko ini mengidentifikasi dua rincian masuk yang berasal dari lokasi yang jauh secara geografis, yang setidaknya salah satu lokasi mungkin juga atipikal bagi pengguna, berdasarkan perilaku masa lalu. Algoritme memperhitungkan beberapa faktor termasuk waktu antara dua proses masuk dan waktu yang diperlukan pengguna untuk melakukan perjalanan dari lokasi pertama ke lokasi kedua. Risiko ini dapat menunjukkan bahwa pengguna berbeda menggunakan informasi masuk yang sama.

Algoritme ini mengabaikan "false positive" yang jelas berkontribusi pada kondisi perjalanan yang tidak mungkin, seperti VPN dan lokasi yang secara teratur digunakan oleh pengguna lain dalam organisasi. Sistem ini memiliki periode pembelajaran awal paling awal dari 14 hari atau 10 masuk, yang mempelajari perilaku masuk pengguna baru.
Token Anomali Offline Deteksi ini menunjukkan bahwa ada karakteristik abnormal dalam token seperti masa pakai token yang tidak biasa atau token yang dimainkan dari lokasi yang tidak dikenal. Deteksi ini mencakup Token Sesi dan Token Refresh.

CATATAN: Token anomali disetel untuk menimbulkan lebih banyak kebisingan daripada deteksi lain pada tingkat risiko yang sama. Tradeoff ini dipilih untuk meningkatkan kemungkinan mendeteksi token yang diputar ulang yang mungkin tidak diperhatikan. Karena ini adalah deteksi kebisingan yang tinggi, ada kemungkinan yang lebih tinggi dari biasanya bahwa beberapa sesi yang ditandai oleh deteksi ini adalah positif palsu. Sebaiknya selidiki sesi yang ditandai oleh deteksi ini dalam konteks masuk lain dari pengguna. Jika lokasi, aplikasi, alamat IP, Agen Pengguna, atau karakteristik lain tidak terduga bagi pengguna, admin penyewa harus mempertimbangkan risiko ini sebagai indikator potensi pemutaran ulang token.
Anomali Penerbit Token Offline Deteksi risiko ini menunjukkan bahwa penerbit token SAML untuk token SAML terkait berpotensi dikompromikan. Klaim yang termasuk dalam token tidak biasa atau cocok dengan pola penyerang yang dikenal.
Alamat IP tertaut malware Offline Jenis deteksi risiko ini menunjukkan rincian dari alamat IP yang terinfeksi malware yang diketahui aktif berkomunikasi dengan server bot. Deteksi ini mencocokkan alamat IP perangkat pengguna dengan alamat IP yang berhubungan dengan server bot saat server bot aktif.

Deteksi ini tidak digunakan lagi . Perlindungan Identitas tidak akan lagi membuat deteksi "Alamat IP tertaut malware" baru. Pelanggan yang saat ini memiliki deteksi "Alamat IP tertaut malware" di penyewa mereka masih dapat melihat, memulihkan, atau menutupnya hingga waktu retensi deteksi 90 hari tercapai.
Browser yang mencurigakan Offline Deteksi browser yang mencurigakan menunjukkan perilaku anomali berdasarkan aktivitas masuk yang mencurigakan di beberapa penyewa dari berbagai negara di browser yang sama.
Properti rincian masuk yang tidak dikenal Real time Jenis deteksi risiko ini mempertimbangkan riwayat masuk sebelumnya untuk mencari rincian masuk anomali. Sistem menyimpan informasi tentang rincian masuk sebelumnya, dan memicu deteksi risiko ketika masuk terjadi dengan properti yang tidak dikenal oleh pengguna. Properti ini dapat mencakup IP, ASN, lokasi, perangkat, browser, dan subnet IP penyewa. Pengguna yang baru dibuat akan berada dalam "mode pembelajaran" untuk sementara waktu di mana deteksi risiko properti masuk yang tidak dikenal akan dimatikan sementara algoritme kami mempelajari perilaku pengguna. Durasi mode pembelajaran bersifat dinamis dan bergantung pada berapa banyak waktu yang dibutuhkan algoritme untuk mengumpulkan informasi yang cukup tentang pola masuk pengguna. Durasi minimum adalah lima hari. Pengguna dapat kembali ke mode pembelajaran setelah tidak aktif dalam jangka waktu yang lama.

Kami juga menjalankan deteksi ini untuk autentikasi dasar (atau protokol warisan). Karena protokol ini tidak memiliki properti modern seperti ID klien, ada telemetri terbatas untuk mengurangi false positive. Kami merekomendasikan pelanggan kami untuk pindah ke autentikasi modern.

Properti masuk yang tidak dikenal dapat dideteksi pada masuk interaktif dan non-interaktif. Ketika deteksi ini terdeteksi pada sign-in non-interaktif, itu layak meningkatkan pengawasan karena risiko serangan replay token.
Alamat IP berbahaya Offline Deteksi ini menunjukkan masuk dari alamat IP berbahaya. Alamat IP dianggap berbahaya berdasarkan tingkat kegagalan tinggi karena kredensial yang tidak valid yang diterima dari alamat IP atau sumber reputasi IP lainnya.
Aturan manipulasi kotak masuk mencurigakan Offline Deteksi ini ditemukan oleh Aplikasi Pertahanan Microsoft untuk Cloud. Deteksi ini melihat lingkungan Anda dan memicu peringatan saat aturan mencurigakan yang menghapus atau memindahkan pesan atau folder diatur pada kotak masuk pengguna. Deteksi ini dapat mengindikasikan bahwa akun pengguna disusupi, bahwa pesan sengaja disembunyikan, dan bahwa kotak surat digunakan untuk mendistribusikan spam atau malware di organisasi Anda.
Pembobolan kata sandi Offline Serangan pebobolan kata sandi adalah ketika beberapa nama pengguna diserang menggunakan kata sandi umum dengan cara brute force untuk mendapatkan akses yang tidak sah. Deteksi risiko ini terpicu ketika serangan pembobolan kata sandi telah dilakukan. Misalnya, penyerang berhasil diautentikasi, dalam instans yang terdeteksi.
Perjalanan tidak memungkinkan Offline Deteksi ini ditemukan oleh Aplikasi Pertahanan Microsoft untuk Cloud. Deteksi ini mengidentifikasi aktivitas pengguna (sesi tunggal atau beberapa) yang berasal dari lokasi geografis yang jauh dalam periode waktu yang lebih pendek dari waktu yang dibutuhkan pengguna untuk melakukan perjalanan dari lokasi satu ke lokasi dua. Risiko ini dapat menunjukkan bahwa pengguna berbeda menggunakan informasi masuk yang sama.
Negara baru Offline Deteksi ini ditemukan oleh Aplikasi Pertahanan Microsoft untuk Cloud. Deteksi ini mempertimbangkan lokasi aktivitas sebelumnya untuk menentukan lokasi baru dan jarang. Mesin deteksi anomali menyimpan informasi tentang lokasi sebelumnya yang digunakan oleh pengguna dalam organisasi.
Aktivitas dari alamat IP anonim Offline Deteksi ini ditemukan oleh Aplikasi Pertahanan Microsoft untuk Cloud. Deteksi ini mengidentifikasi bahwa pengguna aktif dari alamat IP yang telah diidentifikasi sebagai alamat IP proksi anonim.
Penerusan kotak masuk yang mencurigakan Offline Deteksi ini ditemukan oleh Aplikasi Pertahanan Microsoft untuk Cloud. Deteksi ini mencari aturan penerusan email yang mencurigakan, misalnya, jika pengguna membuat aturan kotak masuk yang meneruskan salinan semua email ke alamat eksternal.
Akses Massal ke File Sensitif Offline Deteksi ini ditemukan oleh Aplikasi Pertahanan Microsoft untuk Cloud. Deteksi ini melihat lingkungan Anda dan memicu peringatan saat pengguna mengakses beberapa file dari Microsoft SharePoint atau Microsoft OneDrive. Peringatan dipicu hanya jika jumlah file yang diakses jarang terjadi pada pengguna dan file mungkin berisi informasi sensitif

Deteksi risiko masuk Nonpremium

Deteksi risiko Jenis deteksi Deskripsi
Risiko tambahan terdeteksi Real-time atau Offline Deteksi ini menunjukkan bahwa salah satu deteksi premium telah terdeteksi. Karena deteksi premium hanya terlihat oleh pelanggan Azure AD Premium P2, mereka diberi judul "risiko tambahan terdeteksi" untuk pelanggan tanpa lisensi Azure AD Premium P2.
Alamat IP anonim Real time Jenis deteksi risiko ini menunjukkan login dari alamat IP anonim (misalnya, browser Tor, atau VPN anonim). Alamat IP ini biasanya digunakan oleh pelaku yang ingin menyembunyikan informasi kredensial masuk mereka (alamat IP, lokasi, perangkat, dll.) untuk niat yang berpotensi berbahaya.
Admin mengonfirmasi bahwa pengguna disusupi Offline Deteksi ini menunjukkan admin telah memilih 'Konfirmasi pengguna disusupi' di UI pengguna Berisiko atau menggunakan API RiskyUsers. Untuk melihat admin mana yang telah mengonfirmasi pengguna ini disusupi, periksa riwayat risiko pengguna (melalui UI atau API).
Inteligensi ancaman Azure Active Directory Offline Jenis deteksi risiko ini menunjukkan aktivitas pengguna yang tidak biasa bagi pengguna tertentu atau konsisten dengan pola serangan yang diketahui. Deteksi ini berdasarkan pada sumber inteligensi ancaman internal dan eksternal Microsoft.

Deteksi tertaut pengguna

Deteksi risiko pengguna Premium

Deteksi risiko Jenis deteksi Deskripsi
Kemungkinan upaya untuk mengakses Primary Refresh Token (PRT) Offline Jenis deteksi risiko ini terdeteksi oleh Pertahanan Microsoft untuk Titik Akhir (MDE). Primary Refresh Token (PRT) adalah artefak utama autentikasi Azure AD pada perangkat Windows 10, Windows Server 2016, dan versi yang lebih baru, iOS, dan Android. Ini adalah JSON Web Token (JWT) yang secara khusus dikeluarkan untuk broker token pihak pertama Microsoft untuk mengaktifkan akses menyeluruh (SSO) di seluruh aplikasi yang digunakan pada perangkat tersebut. Penyerang dapat mencoba mengakses sumber daya ini untuk bergerak secara lateral ke dalam organisasi atau melakukan pencurian info masuk. Deteksi ini akan memindahkan pengguna ke risiko tinggi dan hanya akan diaktifkan di organisasi yang telah menyebarkan MDE. Deteksi ini bervolume rendah dan jarang terlihat oleh sebagian besar organisasi. Namun, ketika deteksi itu muncul, artinya ada risiko tinggi dan pengguna harus diperbaiki.
Aktivitas pengguna anomali Offline Deteksi risiko ini mendasarkan perilaku pengguna administratif normal dalam Azure AD, dan menemukan pola perilaku anomali seperti perubahan mencurigakan pada direktori. Deteksi dipicu terhadap administrator yang membuat perubahan atau objek yang diubah.

Deteksi risiko pengguna Nonpremium

Deteksi risiko Jenis deteksi Deskripsi
Risiko tambahan terdeteksi Real-time atau Offline Deteksi ini menunjukkan bahwa salah satu deteksi premium telah terdeteksi. Karena deteksi premium hanya terlihat oleh pelanggan Azure AD Premium P2, mereka diberi judul "risiko tambahan terdeteksi" untuk pelanggan tanpa lisensi Azure AD Premium P2.
Info masuk yang bocor Offline Jenis deteksi risiko ini menunjukkan bahwa kredensial pengguna yang valid telah bocor. Ketika penjahat cyber menyusupi kata sandi yang valid dari pengguna yang sah, mereka sering berbagi kredensial tersebut. Berbagi ini biasanya dilakukan dengan memposting secara publik di web gelap, paste site, atau dengan memperdagangkan dan menjual kredensial di pasar gelap. Ketika layanan kredensial bocor, Microsoft memperoleh kredensial pengguna dari web gelap, paste site, atau sumber lain, mereka dicentang terhadap kredensial valid pengguna Azure AD saat ini untuk menemukan kecocokan yang valid. Untuk informasi selengkapnya tentang kredensial yang bocor, lihat Pertanyaan umum.
Inteligensi ancaman Azure Active Directory Offline Jenis deteksi risiko ini menunjukkan aktivitas pengguna yang tidak biasa bagi pengguna tertentu atau konsisten dengan pola serangan yang diketahui. Deteksi ini berdasarkan pada sumber inteligensi ancaman internal dan eksternal Microsoft.

Pertanyaan umum

Tingkat risiko

Perlindungan Identitas mengategorikan risiko ke dalam tiga tingkatan: rendah, sedang, dan tinggi. Saat mengonfigurasi kebijakan perlindungan Identitas, Anda juga dapat mengonfigurasinya untuk memicu pada tingkat Tanpa risiko . Tidak Ada Risiko berarti tidak ada indikasi aktif bahwa identitas pengguna telah disusupi.

Microsoft tidak memberikan detail spesifik mengenai bagaimana risiko dihitung. Setiap tingkat risiko menghasilkan keyakinan yang lebih tinggi bahwa pengguna atau rincian masuk disusupi. Misalnya, sesuatu seperti satu instans properti masuk yang tidak dikenal untuk pengguna mungkin tidak mengancam seperti kredensial yang bocor untuk pengguna lain.

Sinkronisasi hash kata sandi

Deteksi risiko seperti kredensial yang bocor memerlukan adanya hash kata sandi agar deteksi terjadi. Untuk informasi selengkapnya tentang sinkronisasi hash kata sandi, lihat Menerapkan sinkronisasi hash kata sandi dengan sinkronisasi Azure AD Connect.

Mengapa ada deteksi risiko yang dihasilkan untuk akun pengguna yang dinonaktifkan?

Akun pengguna yang dinonaktifkan dapat diaktifkan kembali. Jika kredensial akun yang dinonaktifkan disusupi, dan akun diaktifkan kembali, pelaku kejahatan mungkin menggunakan kredensial ini untuk mendapatkan akses. Perlindungan Identitas membuat deteksi risiko untuk aktivitas mencurigakan terhadap akun pengguna yang dinonaktifkan untuk memperingatkan pelanggan tentang potensi penyusupan akun. Jika akun tidak lagi digunakan dan tidak akan diaktifkan kembali, pelanggan harus mempertimbangkan untuk menghapusnya untuk mencegah penyusupan. Tidak ada deteksi risiko yang dibuat untuk akun yang dihapus.

Info masuk yang bocor

Di mana Microsoft menemukan kredensial yang bocor?

Microsoft menemukan kredensial yang bocor di berbagai tempat, termasuk:

  • Paste site publik seperti pastebin.com dan paste.ca tempat pelaku jahat biasanya memposting materi tersebut. Lokasi ini adalah pemberhentian pertama pelaku paling jahat dalam perburuan mereka untuk menemukan kredensial yang dicuri.
  • Lembaga penegak hukum.
  • Grup lain di Microsoft melakukan penelitian web gelap.

Mengapa saya tidak melihat informasi masuk yang bocor?

Kredensial yang bocor diproses kapan saja ketika Microsoft menemukan batch baru yang tersedia untuk umum. Karena sifatnya sensitif, maka kredensial yang bocor dihapus tak lama setelah diproses. Hanya mandat baru yang bocor yang ditemukan setelah Anda mengaktifkan sinkronisasi hash kata sandi (PHS) yang akan diproses terhadap tenant Anda. Verifikasi terhadap pasangan kredensial yang ditemukan sebelumnya tidak dilakukan.

Saya belum melihat adanya kebocoran peristiwa risiko kredensial untuk beberapa waktu?

Jika Anda belum melihat peristiwa risiko kredensial yang bocor, penyebabnya adalah:

  • Anda tidak mengaktifkan PHS untuk tenant Anda.
  • Microsoft belum menemukan pasangan kredensial yang bocor yang cocok dengan pengguna Anda.

Seberapa sering Microsoft memproses kredensial baru?

Kredensial diproses segera setelah ditemukan, biasanya dalam beberapa batch per hari.

Lokasi

Lokasi dalam deteksi risiko ditentukan oleh pencarian alamat IP.

Langkah berikutnya