Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Microsoft Entra ID Protection dapat menyediakan berbagai deteksi risiko yang dapat digunakan untuk mengidentifikasi aktivitas mencurigakan di organisasi Anda. Tabel yang disertakan dalam artikel ini meringkas daftar deteksi risiko masuk dan pengguna, termasuk persyaratan lisensi atau jika deteksi terjadi secara real time atau offline. Detail lebih lanjut tentang setiap deteksi risiko dapat ditemukan mengikuti tabel.
- Detail lengkap tentang sebagian besar deteksi risiko memerlukan Microsoft Entra ID P2.
- Pelanggan tanpa lisensi Microsoft Entra ID P2 menerima deteksi berjudul Risiko tambahan yang terdeteksi tanpa detail deteksi risiko.
- For more information, see the license requirements.
- Untuk informasi tentang deteksi risiko identitas beban kerja, lihat Mengamankan identitas beban kerja.
Note
Untuk detail tentang deteksi real time vs offline dan tingkat risiko, lihat Jenis dan tingkat deteksi risiko.
Deteksi risiko masuk dipetakan ke riskEventType
Pilih deteksi risiko dari daftar untuk melihat deskripsi deteksi risiko, cara kerjanya, dan persyaratan lisensi. In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license.
Nonpremium indicates the detection is available with Microsoft Entra ID Free. Kolom riskEventType menunjukkan nilai yang muncul di kueri Microsoft Graph API.
| Deteksi risiko masuk | Detection type | Type | riskEventType |
|---|---|---|---|
| Aktivitas dari alamat IP anonim | Offline | Premium | riskyIPAddress |
| Risiko tambahan terdeteksi (saat masuk) | Real-time atau Offline | Nonpremium | generic ^ |
| Admin mengonfirmasi pengguna disusupi | Offline | Nonpremium | adminConfirmedUserCompromised |
| Token Anomali (masuk) | Real-time atau Offline | Premium | anomalousToken |
| Alamat IP anonim | Real-time | Nonpremium | anonymizedIPAddress |
| Atypical travel | Offline | Premium | unlikelyTravel |
| Impossible travel | Offline | Premium | mcasImpossibleTravel |
| Alamat IP berbahaya | Offline | Premium | maliciousIPAddress |
| Akses Massal ke File Sensitif | Offline | Premium | mcasFinSuspiciousFileAccess |
| Intelijen ancaman Microsoft Entra (masuk) | Real-time atau Offline | Nonpremium | investigationsThreatIntelligence |
| New country | Offline | Premium | newCountry |
| Password spray | Real-time atau Offline | Premium | passwordSpray |
| Suspicious browser | Offline | Premium | suspiciousBrowser |
| Penerusan kotak masuk yang mencurigakan | Offline | Premium | suspiciousInboxForwarding |
| Aturan manipulasi kotak masuk yang mencurigakan | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| Anomali penerbit token | Offline | Premium | tokenIssuerAnomaly |
| Properti masuk yang tidak dikenal | Real-time | Premium | unfamiliarFeatures |
| IP pelaku ancaman terverifikasi | Real-time | Premium | nationStateIP |
^ RiskEventType untuk Deteksi risiko tambahan yang terdeteksiumum untuk penyewa dengan Microsoft Entra ID Free atau Microsoft Entra ID P1. Kami mendeteksi sesuatu yang berisiko, tetapi detailnya tidak tersedia tanpa lisensi Microsoft Entra ID P2.
Deteksi risiko pengguna dipetakan ke riskEventType
Pilih deteksi risiko dari daftar untuk melihat deskripsi deteksi risiko, cara kerjanya, dan persyaratan lisensi.
| Deteksi risiko pengguna | Detection type | Type | riskEventType |
|---|---|---|---|
| Risiko tambahan terdeteksi (pengguna) | Real-time atau Offline | Nonpremium | generic ^ |
| Token Anomali (pengguna) | Real-time atau Offline | Premium | anomalousToken |
| Aktivitas pengguna anomali | Offline | Premium | anomalousUserActivity |
| Penyerang di Tengah | Offline | Premium | attackerinTheMiddle |
| Leaked credentials | Offline | Nonpremium | leakedCredentials |
| Intelijen ancaman Microsoft Entra (pengguna) | Real-time atau Offline | Nonpremium | investigationsThreatIntelligence |
| Kemungkinan upaya untuk mengakses Token Refresh Utama (PRT) | Offline | Premium | attemptedPrtAccess |
| Lalu Lintas API yang Mencurigakan | Offline | Premium | suspiciousAPITraffic |
| Pola pengiriman yang mencurigakan | Offline | Premium | suspiciousSendingPatterns |
| Pengguna melaporkan aktivitas mencurigakan | Offline | Premium | userReportedSuspiciousActivity |
^ RiskEventType untuk Deteksi risiko tambahan yang terdeteksiumum untuk penyewa dengan Microsoft Entra ID Free atau Microsoft Entra ID P1. Kami mendeteksi sesuatu yang berisiko, tetapi detailnya tidak tersedia tanpa lisensi Microsoft Entra ID P2.
Deteksi risiko masuk
Aktivitas dari alamat IP anonim
Deteksi ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Cloud Apps. Deteksi ini mengidentifikasi bahwa pengguna aktif dari alamat IP yang diidentifikasi sebagai alamat IP proksi anonim.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Risiko tambahan terdeteksi saat masuk
Deteksi ini menunjukkan bahwa salah satu deteksi premium telah terdeteksi. Karena deteksi premium hanya terlihat oleh pelanggan Microsoft Entra ID P2, mereka berjudul Risiko tambahan yang terdeteksi bagi pelanggan tanpa lisensi Microsoft Entra ID P2.
- Dihitung secara real time atau offline
- Persyaratan lisensi: Microsoft Entra ID Free atau Microsoft Entra ID P1
Admin mengonfirmasi bahwa pengguna disusupi
Deteksi ini menunjukkan administrator yang memilih Konfirmasi pengguna disusupi di antarmuka pengguna berisiko atau menggunakan API riskyUsers. Untuk melihat administrator mana yang mengonfirmasi pengguna ini disusupi, periksa riwayat risiko pengguna (melalui UI atau API).
- Calculated offline
- Persyaratan lisensi: Microsoft Entra ID Free atau Microsoft Entra ID P1
Token tidak biasa (log masuk)
Deteksi ini menunjukkan karakteristik abnormal dalam token, seperti masa pakai yang tidak biasa atau token yang dimainkan dari lokasi yang tidak dikenal. Deteksi ini mencakup "Token Sesi" dan "Refresh Token."
Token anomali disetel untuk menimbulkan lebih banyak kebisingan daripada deteksi lain pada tingkat risiko yang sama. Kompromi ini dipilih untuk meningkatkan kemungkinan mendeteksi token yang diputar ulang yang mungkin tidak terdeteksi. Ada kemungkinan lebih tinggi dari biasanya bahwa beberapa sesi yang ditandai oleh deteksi ini adalah hasil positif yang salah. Sebaiknya selidiki sesi yang ditandai oleh deteksi ini dalam konteks masuk lain dari pengguna. Jika lokasi, aplikasi, alamat IP, Agen Pengguna, atau karakteristik lain tidak terduga bagi pengguna, administrator harus mempertimbangkan risiko ini sebagai indikator potensi pemutaran ulang token.
- Dihitung secara real time atau offline
- Persyaratan lisensi: Microsoft Entra ID P2
- Tips untuk menyelidiki deteksi token anomali.
Alamat IP anonim
Jenis deteksi risiko ini menunjukkan login dari alamat IP anonim (misalnya, browser Tor, atau VPN anonim). Alamat IP ini biasanya digunakan oleh pelaku yang ingin menyembunyikan informasi kredensial masuk mereka (alamat IP, lokasi, perangkat, dll.) untuk niat yang berpotensi berbahaya.
- Dihitung secara real-time
- Persyaratan lisensi: Microsoft Entra ID Free atau Microsoft Entra ID P1
Atypical travel
Jenis deteksi risiko ini mengidentifikasi dua rincian masuk yang berasal dari lokasi yang jauh secara geografis, di mana setidaknya salah satu lokasi mungkin juga atipikal bagi pengguna, mengingat perilaku sebelumnya. Algoritma memperhitungkan beberapa faktor, termasuk waktu antara dua login dan waktu yang diperlukan bagi pengguna untuk melakukan perjalanan dari lokasi pertama ke lokasi kedua. Risiko ini mungkin menunjukkan bahwa pengguna yang berbeda menggunakan kredensial yang sama.
Algoritme ini mengabaikan "positif palsu" yang jelas yang berkontribusi pada kondisi perjalanan yang tidak masuk akal, seperti VPN dan lokasi yang digunakan secara teratur oleh pengguna lain dalam organisasi. Sistem ini memiliki periode pembelajaran awal yang paling cepat antara 14 hari atau 10 kali masuk, selama waktu tersebut sistem mempelajari perilaku masuk pengguna baru.
- Calculated offline
- Persyaratan lisensi: Microsoft Entra ID P2
- Tips untuk menyelidiki deteksi perjalanan atipikal.
Perjalanan tidak memungkinkan
Deteksi ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Cloud Apps. Deteksi ini mengidentifikasi aktivitas pengguna (dalam satu atau beberapa sesi) yang berasal dari lokasi yang jauh secara geografis dalam jangka waktu yang lebih singkat dari waktu yang diperlukan untuk melakukan perjalanan dari lokasi pertama ke yang kedua. Risiko ini mungkin menunjukkan bahwa pengguna yang berbeda menggunakan kredensial yang sama.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Alamat IP berbahaya
Deteksi ini menunjukkan masuk dari alamat IP berbahaya. Alamat IP dianggap berbahaya berdasarkan tingkat kegagalan tinggi karena kredensial yang tidak valid yang diterima dari alamat IP atau sumber reputasi IP lainnya. Dalam beberapa kasus, deteksi ini memicu aktivitas berbahaya sebelumnya.
- Calculated offline
- Persyaratan lisensi: Microsoft Entra ID P2
- Tips untuk menyelidiki deteksi alamat IP berbahaya.
Akses massal ke file sensitif
Deteksi ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Cloud Apps. Deteksi ini melihat lingkungan Anda dan memicu pemberitahuan saat pengguna mengakses beberapa file dari Microsoft SharePoint Online atau Microsoft OneDrive. Pemberitahuan dipicu hanya jika jumlah file yang diakses jarang untuk pengguna dan file mungkin berisi informasi sensitif.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Kecerdasan ancaman Microsoft Entra (login)
Jenis deteksi risiko ini menunjukkan aktivitas pengguna yang tidak biasa bagi pengguna tertentu atau konsisten dengan pola serangan yang diketahui. Deteksi ini berdasarkan pada sumber inteligensi ancaman internal dan eksternal Microsoft.
- Dihitung secara real time atau offline
- Persyaratan lisensi: Microsoft Entra ID Free atau Microsoft Entra ID P1
- Tips untuk menyelidiki deteksi inteligensi ancaman Microsoft Entra.
New country
Deteksi ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Cloud Apps. Deteksi ini mempertimbangkan lokasi aktivitas sebelumnya untuk menentukan lokasi baru dan jarang. Mesin deteksi anomali menyimpan informasi tentang lokasi sebelumnya yang digunakan oleh pengguna dalam organisasi.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Password spray
Serangan semprotan kata sandi adalah serangan terhadap banyak identitas menggunakan kata sandi umum dengan metode brute force terpadu. Deteksi risiko dipicu ketika kata sandi akun valid dan memiliki upaya masuk. Deteksi ini menandakan bahwa kata sandi pengguna diidentifikasi dengan benar melalui serangan semprotan kata sandi, bukan berarti penyerang dapat mengakses sumber daya apa pun.
- Dihitung secara real time atau offline
- Persyaratan lisensi: Microsoft Entra ID P2
- Tips untuk menyelidiki deteksi semprotan kata sandi.
Suspicious browser
Deteksi browser yang mencurigakan menunjukkan perilaku anomali berdasarkan aktivitas masuk yang mencurigakan di beberapa penyewa dari berbagai negara/wilayah di browser yang sama.
- Calculated offline
- Persyaratan lisensi: Microsoft Entra ID P2
- Tips untuk menyelidiki deteksi browser yang mencurigakan.
Penerusan email yang mencurigakan
Deteksi ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Cloud Apps. Deteksi ini mencari aturan penerusan email yang mencurigakan, misalnya, jika pengguna membuat aturan kotak masuk yang meneruskan salinan semua email ke alamat eksternal.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Aturan manipulasi kotak masuk mencurigakan
Deteksi ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Cloud Apps. Deteksi ini melihat lingkungan Anda dan memicu peringatan saat aturan mencurigakan yang menghapus atau memindahkan pesan atau folder diatur pada kotak masuk pengguna. Deteksi ini mungkin menunjukkan: akun pengguna disusupi, pesan sengaja disembunyikan, dan kotak surat sedang digunakan untuk mendistribusikan spam atau malware di organisasi Anda.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Anomali penerbit token
Deteksi risiko ini menunjukkan bahwa penerbit token SAML untuk token SAML terkait berpotensi dikompromikan. Klaim yang termasuk dalam token tidak biasa atau cocok dengan pola penyerang yang dikenal.
- Calculated offline
- Persyaratan lisensi: Microsoft Entra ID P2
- Tips untuk menyelidiki deteksi anomali penerbit token.
Properti login yang tidak dikenal
Jenis deteksi risiko ini mempertimbangkan riwayat masuk sebelumnya untuk mencari rincian masuk anomali. Sistem menyimpan informasi tentang rincian masuk sebelumnya, dan memicu deteksi risiko ketika masuk terjadi dengan properti yang tidak dikenal oleh pengguna. Properti ini dapat mencakup IP, ASN, lokasi, perangkat, browser, dan subnet IP penyewa. Pengguna yang baru dibuat berada dalam periode "mode pembelajaran" di mana deteksi risiko properti masuk yang tidak dikenal dinonaktifkan saat algoritma kami mempelajari perilaku pengguna. Durasi mode pembelajaran bersifat dinamis dan bergantung pada berapa banyak waktu yang dibutuhkan algoritme untuk mengumpulkan informasi yang cukup tentang pola masuk pengguna. Durasi minimum adalah lima hari. Pengguna dapat kembali ke mode pembelajaran setelah tidak aktif dalam jangka waktu yang lama.
Kami juga menjalankan deteksi ini untuk autentikasi dasar (atau protokol warisan). Karena protokol ini tidak memiliki properti modern seperti ID klien, ada data terbatas untuk mengurangi positif palsu. Kami merekomendasikan pelanggan kami untuk pindah ke autentikasi modern.
Properti masuk yang tidak dikenal dapat dideteksi pada masuk interaktif dan non-interaktif. Ketika hal ini terdeteksi pada masuk non-interaktif, itu memerlukan peningkatan pengawasan karena risiko serangan pemutaran ulang token.
Memilih risiko properti masuk yang tidak biasa memungkinkan Anda melihat informasi lebih lanjut yang menunjukkan dengan lebih mendetail mengapa risiko ini dipicu.
- Dihitung secara real-time
- Persyaratan lisensi: Microsoft Entra ID P2
IP pelaku ancaman terverifikasi
Dihitung secara real time. Jenis deteksi risiko ini menunjukkan aktivitas masuk yang konsisten dengan alamat IP yang diketahui terkait dengan aktor negara atau kelompok kejahatan siber, berdasarkan data dari Microsoft Threat Intelligence Center (MSTIC).
- Dihitung secara real-time
- Persyaratan lisensi: Microsoft Entra ID P2
Deteksi risiko pengguna
Risiko tambahan terdeteksi (pengguna)
Deteksi ini menunjukkan bahwa salah satu deteksi premium telah terdeteksi. Karena deteksi premium hanya terlihat oleh pelanggan Microsoft Entra ID P2, mereka berjudul Risiko tambahan yang terdeteksi bagi pelanggan tanpa lisensi Microsoft Entra ID P2.
- Dihitung secara real time atau offline
- Persyaratan lisensi: Microsoft Entra ID Free atau Microsoft Entra ID P1
Token anomali (pengguna)
Deteksi ini menunjukkan karakteristik abnormal dalam token, seperti masa pakai yang tidak biasa atau token yang dimainkan dari lokasi yang tidak dikenal. Deteksi ini mencakup "Token Sesi" dan "Refresh Token."
Token anomali disetel untuk menimbulkan lebih banyak kebisingan daripada deteksi lain pada tingkat risiko yang sama. Kompromi ini dipilih untuk meningkatkan kemungkinan mendeteksi token yang diputar ulang yang mungkin tidak terdeteksi. Ada kemungkinan lebih tinggi dari biasanya bahwa beberapa sesi yang ditandai oleh deteksi ini adalah hasil positif yang salah. Sebaiknya selidiki sesi yang ditandai oleh deteksi ini dalam konteks masuk lain dari pengguna. Jika lokasi, aplikasi, alamat IP, Agen Pengguna, atau karakteristik lain tidak terduga bagi pengguna, administrator harus mempertimbangkan risiko ini sebagai indikator potensi pemutaran ulang token.
- Dihitung secara real time atau offline
- Persyaratan lisensi: Microsoft Entra ID P2
- Tips untuk menyelidiki deteksi token anomali.
Aktivitas pengguna anomali
Deteksi risiko ini menggaris bawahi perilaku pengguna administratif normal di ID Microsoft Entra, dan menemukan pola perilaku anomali seperti perubahan mencurigakan pada direktori. Deteksi dipicu terhadap administrator yang membuat perubahan atau objek yang diubah.
- Calculated offline
- Persyaratan lisensi: Microsoft Entra ID P2
Penyerang di Tengah
Juga disebut sebagai Adversary di Tengah, deteksi presisi tinggi ini dipicu ketika sesi autentikasi ditautkan ke proksi terbalik berbahaya. Dalam serangan semacam ini, musuh dapat mencegat kredensial pengguna, termasuk token yang dikeluarkan untuk pengguna. The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. Sebaiknya administrator menyelidiki pengguna secara manual ketika deteksi ini dipicu untuk memastikan risiko dihapus. Menghapus risiko ini mungkin memerlukan pengaturan ulang kata sandi yang aman atau pencabutan sesi yang ada.
- Calculated offline
- Persyaratan lisensi: Microsoft Entra ID P2
Leaked credentials
Jenis deteksi risiko ini menunjukkan bahwa kredensial pengguna yang valid bocor. Ketika penjahat cyber membahayakan kata sandi yang valid dari pengguna yang sah, mereka sering berbagi kredensial yang dikumpulkan ini. Berbagi ini biasanya dilakukan dengan memposting secara publik di web gelap, paste site, atau dengan memperdagangkan dan menjual kredensial di pasar gelap. Ketika layanan Kebocoran Kredensial Microsoft memperoleh kredensial pengguna dari web gelap, situs penempelan, atau sumber lain, kredensial tersebut diperiksa terhadap kredensial valid pengguna Microsoft Entra saat ini untuk menemukan kecocokan yang valid. For more information about leaked credentials, see FAQs.
- Calculated offline
- Persyaratan lisensi: Microsoft Entra ID Free atau Microsoft Entra ID P1
- Tips dalam menyelidiki deteksi kredensial yang bocor.
Inteligensi ancaman Microsoft Entra (pengguna)
Jenis deteksi risiko ini menunjukkan aktivitas pengguna yang tidak biasa bagi pengguna tertentu atau konsisten dengan pola serangan yang diketahui. Deteksi ini berdasarkan pada sumber inteligensi ancaman internal dan eksternal Microsoft.
- Calculated offline
- Persyaratan lisensi: Microsoft Entra ID Free atau Microsoft Entra ID P1
- Tips untuk menyelidiki deteksi inteligensi ancaman Microsoft Entra.
Kemungkinan upaya untuk mengakses Primary Refresh Token (PRT)
Jenis deteksi risiko ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Titik Akhir (MDE). Token Refresh Utama (PRT) adalah artefak utama autentikasi Microsoft Entra pada perangkat Windows 10, Windows Server 2016, dan versi yang lebih baru, iOS, dan Android. PRT adalah JSON Web Token (JWT) yang dikeluarkan untuk broker token pihak pertama Microsoft untuk mengaktifkan akses menyeluruh (SSO) di seluruh aplikasi yang digunakan pada perangkat tersebut. Penyerang dapat mencoba mengakses sumber daya ini untuk bergerak secara menyamping ke dalam organisasi atau melakukan pencurian kredensial. Deteksi ini memindahkan pengguna ke risiko tinggi dan hanya aktif di organisasi yang menerapkan MDE. Deteksi ini berisiko tinggi dan kami sarankan penanganan cepat para pengguna ini. Ini jarang muncul di sebagian besar organisasi karena volumenya yang rendah.
- Calculated offline
- Persyaratan lisensi: Microsoft Entra ID P2
Lalu lintas API yang mencurigakan
Deteksi risiko ini dilaporkan ketika lalu lintas GraphAPI abnormal atau enumerasi direktori diamati. Lalu lintas API yang mencurigakan mungkin menunjukkan bahwa pengguna disusupi dan melakukan pengintaian di lingkungan.
- Calculated offline
- Persyaratan lisensi: Microsoft Entra ID P2
Pola pengiriman yang mencurigakan
Jenis deteksi risiko ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Office 365 (MDO). Peringatan ini dibuat saat seseorang di organisasi Anda mengirimkan email yang mencurigakan dan berisiko dibatasi atau sudah dibatasi untuk mengirim email. Deteksi ini memindahkan pengguna ke risiko sedang dan hanya menembak di organisasi yang menyebarkan MDO. Deteksi ini bervoluma rendah dan jarang terlihat di sebagian besar organisasi.
- Calculated offline
- Persyaratan lisensi: Microsoft Entra ID P2
Pengguna melaporkan aktivitas mencurigakan
Deteksi risiko ini dilaporkan ketika pengguna menolak permintaan autentikasi multifaktor (MFA) dan melaporkannya sebagai aktivitas yang mencurigakan. Permintaan MFA yang tidak dimulai oleh pengguna mungkin berarti kredensial mereka disusupi.
- Calculated offline
- Persyaratan lisensi: Microsoft Entra ID P2