Bagikan melalui


Apa itu deteksi risiko?

Microsoft Entra ID Protection memberi organisasi informasi untuk aktivitas mencurigakan di penyewa mereka dan memungkinkan mereka merespons dengan cepat untuk mencegah risiko lebih lanjut terjadi. Deteksi risiko adalah sumber daya kuat yang dapat mencakup aktivitas mencurigakan atau anomali yang terkait dengan akun pengguna di direktori. Deteksi risiko Perlindungan ID dapat ditautkan ke pengguna individu atau peristiwa masuk dan berkontribusi pada skor risiko pengguna keseluruhan yang ditemukan dalam laporan Pengguna Berisiko.

Deteksi risiko pengguna mungkin menandai akun pengguna yang sah sebagai berisiko, ketika pelaku ancaman potensial mendapatkan akses ke akun dengan membahmi kredensial mereka atau ketika mereka mendeteksi beberapa jenis aktivitas pengguna yang anomali. Deteksi risiko masuk mewakili probabilitas bahwa permintaan autentikasi tertentu bukan pemilik akun yang berwenang. Memiliki kemampuan untuk mengidentifikasi risiko pada pengguna dan tingkat masuk sangat penting bagi pelanggan untuk diberdayakan untuk mengamankan penyewa mereka.

Tingkat risiko

PERLINDUNGAN ID mengategorikan risiko menjadi tiga tingkatan: rendah, sedang, dan tinggi. Tingkat risiko yang dihitung oleh algoritma pembelajaran mesin kami dan mewakili seberapa yakin Microsoft bahwa satu atau beberapa kredensial pengguna diketahui oleh entitas yang tidak sah.

  • Deteksi risiko dengan tingkat risiko Tinggi menandakan bahwa Microsoft sangat yakin bahwa akun tersebut disusupi.
  • Deteksi risiko dengan tingkat risiko Rendah menandakan bahwa ada anomali yang ada dalam info masuk atau kredensial pengguna, tetapi kami kurang yakin bahwa anomali ini berarti akun disusupi.

Banyak deteksi dapat menembak di lebih dari salah satu tingkat risiko kita tergantung pada jumlah atau tingkat keparahan anomali yang terdeteksi. Misalnya, Properti masuk yang tidak dikenal mungkin diaktifkan pada tinggi, sedang, atau rendah berdasarkan keyakinan pada sinyal. Beberapa deteksi, seperti Kredensial Bocor dan IP Pelaku Ancaman Terverifikasi selalu disampaikan sebagai risiko tinggi.

Tingkat risiko ini penting ketika memutuskan deteksi mana yang akan diprioritaskan, diselidiki, dan diperbaiki. Mereka juga memainkan peran utama dalam mengonfigurasi kebijakan Akses Bersyarkat berbasis risiko karena setiap kebijakan dapat diatur untuk memicu rendah, sedang, tinggi, atau tidak ada risiko yang terdeteksi. Berdasarkan toleransi risiko organisasi, Anda dapat membuat kebijakan yang memerlukan MFA atau reset kata sandi saat Perlindungan ID mendeteksi tingkat risiko tertentu untuk salah satu pengguna Anda. Kebijakan ini dapat memandu pengguna untuk memulihkan diri untuk menyelesaikan risiko.

Penting

Semua deteksi tingkat risiko "rendah" dan pengguna akan bertahan di produk selama 6 bulan, setelah itu mereka akan secara otomatis berusia di luar untuk memberikan pengalaman investigasi yang lebih bersih. Tingkat risiko sedang dan tinggi akan bertahan hingga diperbaiki atau diberhentikan.

Berdasarkan toleransi risiko organisasi, Anda dapat membuat kebijakan yang memerlukan MFA atau reset kata sandi saat Perlindungan ID mendeteksi tingkat risiko tertentu. Kebijakan ini dapat memandu pengguna untuk memulihkan diri dan menyelesaikan risiko atau memblokir tergantung pada toleransi Anda.

Deteksi real time dan offline

PERLINDUNGAN ID menggunakan teknik untuk meningkatkan presisi pengguna dan deteksi risiko masuk dengan menghitung beberapa risiko secara real time atau offline setelah autentikasi. Mendeteksi risiko secara real time saat masuk memberikan keuntungan mengidentifikasi risiko lebih awal sehingga pelanggan dapat dengan cepat menyelidiki potensi kompromi. Pada deteksi yang menghitung risiko offline, mereka dapat memberikan lebih banyak wawasan tentang bagaimana pelaku ancaman mendapatkan akses ke akun dan dampaknya pada pengguna yang sah. Beberapa deteksi dapat dipicu baik offline maupun selama masuk, yang meningkatkan kepercayaan diri pada penyusupan yang tepat.

Deteksi yang dipicu secara real time membutuhkan waktu 5-10 menit untuk memunculkan detail dalam laporan. Deteksi offline membutuhkan waktu hingga 48 jam untuk muncul dalam laporan, karena membutuhkan waktu untuk mengevaluasi properti dari potensi risiko.

Catatan

Sistem kami mungkin mendeteksi bahwa peristiwa risiko yang berkontribusi pada skor risiko pengguna risiko adalah:

  • Positif palsu
  • Risiko pengguna diperbaiki oleh kebijakan dengan:
    • Melengkapi autentikasi multifaktor
    • Perubahan kata sandi aman

Sistem kami akan menutup status risiko dan detail risiko aman masuk yang dikonfirmasi AI akan ditampilkan dan tidak lagi berkontribusi pada risiko keseluruhan pengguna.

Pada data terperinci risiko, Deteksi Waktu mencatat saat yang tepat risiko diidentifikasi selama masuk pengguna, yang memungkinkan penilaian risiko real time dan aplikasi kebijakan segera untuk melindungi pengguna dan organisasi. Deteksi terakhir diperbarui menunjukkan pembaruan terbaru untuk deteksi risiko, yang dapat disebabkan oleh informasi baru, perubahan tingkat risiko, atau tindakan administratif, dan memastikan manajemen risiko terbaru.

Bidang-bidang ini sangat penting untuk pemantauan real-time, respons ancaman, dan mempertahankan akses aman ke sumber daya organisasi.

Deteksi risiko dipetakan ke riskEventType

Deteksi risiko Jenis deteksi Jenis riskEventType
Deteksi risiko masuk
Aktivitas dari alamat IP anonim Offline Premium riskyIPAddress
Risiko tambahan terdeteksi (masuk) Real-time atau Offline Nonpremium generik = Klasifikasi deteksi premium untuk penyewa non-P2
Admin mengonfirmasi pengguna disusupi Offline Nonpremium adminConfirmedUserCompromised
Token Anomali Real-time atau Offline Premium anomalousToken
Alamat IP anonim Real time Nonpremium anonimizedIPAddress
Perjalanan atipikal Offline Premium tidak mungkinTravel
Perjalanan yang tidak memungkinkan Offline Premium mcasImpossibleTravel
Alamat IP berbahaya Offline Premium maliciousIPAddress
Akses Massal ke File Sensitif Offline Premium mcasFinSuspiciousFileAccess
Inteligensi ancaman Microsoft Entra (masuk) Real-time atau Offline Nonpremium investigationsThreatIntelligence
Negara baru Offline Premium newCountry
Semprotan kata sandi Offline Premium passwordSpray
Browser mencurigakan Offline Premium suspiciousBrowser
Penerusan kotak masuk yang mencurigakan Offline Premium suspiciousInboxForwarding
Aturan manipulasi kotak masuk yang mencurigakan Offline Premium mcasSuspiciousInboxManipulationRules
Anomali penerbit token Offline Premium tokenIssuerAnomaly
Properti masuk yang tidak dikenal Real time Premium unfamiliarFeatures
IP pelaku ancaman terverifikasi Real time Premium nationStateIP
Deteksi risiko pengguna
Risiko tambahan terdeteksi (pengguna) Real-time atau Offline Nonpremium generik = Klasifikasi deteksi premium untuk penyewa non-P2
Aktivitas pengguna anomali Offline Premium anomalousUserActivity
Penyerang di Tengah Offline Premium attackerinTheMiddle
Info masuk yang bocor Offline Nonpremium leakedCredentials
Inteligensi ancaman Microsoft Entra (pengguna) Real-time atau Offline Nonpremium investigationsThreatIntelligence
Kemungkinan upaya untuk mengakses Token Refresh Utama (PRT) Offline Premium attemptedPrtAccess
Lalu Lintas API yang Mencurigakan Offline Premium suspiciousAPITraffic
Pola pengiriman yang mencurigakan Offline Premium suspiciousSendingPatterns
Pengguna melaporkan aktivitas mencurigakan Offline Premium userReportedSuspiciousActivity

Deteksi Premium

Deteksi premium berikut hanya terlihat oleh pelanggan Microsoft Entra ID P2.

Deteksi risiko kredensial masuk Premium

Aktivitas dari alamat IP anonim

Dihitung offline. Deteksi ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Cloud Apps. Deteksi ini mengidentifikasi bahwa pengguna aktif dari alamat IP yang diidentifikasi sebagai alamat IP proksi anonim.

Token anomali

Dihitung secara real time atau offline. Deteksi ini menunjukkan karakteristik abnormal dalam token, seperti masa pakai yang tidak biasa atau token yang dimainkan dari lokasi yang tidak dikenal. Deteksi ini mencakup Token Sesi dan Token Refresh.

Token anomali disetel untuk menimbulkan lebih banyak kebisingan daripada deteksi lain pada tingkat risiko yang sama. Tradeoff ini dipilih untuk meningkatkan kemungkinan mendeteksi token yang diputar ulang yang mungkin luput dari pemberitahuan. Ada kemungkinan yang lebih tinggi dari biasanya bahwa beberapa sesi yang ditandai oleh deteksi ini adalah positif palsu. Sebaiknya selidiki sesi yang ditandai oleh deteksi ini dalam konteks masuk lain dari pengguna. Jika lokasi, aplikasi, alamat IP, Agen Pengguna, atau karakteristik lain tidak terduga bagi pengguna, administrator harus mempertimbangkan risiko ini sebagai indikator potensi pemutaran ulang token.

Tips untuk menyelidiki deteksi token anomali.

Perjalanan tidak normal

Dihitung offline. Jenis deteksi risiko ini mengidentifikasi dua rincian masuk yang berasal dari lokasi yang jauh secara geografis, di mana setidaknya salah satu lokasi mungkin juga atipikal bagi pengguna, mengingat perilaku sebelumnya. Algoritma memperhitungkan beberapa faktor termasuk waktu antara dua rincian masuk dan waktu yang diperlukan pengguna untuk melakukan perjalanan dari lokasi pertama ke yang kedua. Risiko ini mungkin menunjukkan bahwa pengguna yang berbeda menggunakan kredensial yang sama.

Algoritme ini mengabaikan "false positive" yang jelas berkontribusi pada kondisi perjalanan yang tidak mungkin, seperti VPN dan lokasi yang secara teratur digunakan oleh pengguna lain dalam organisasi. Sistem ini memiliki periode pembelajaran awal paling awal dari 14 hari atau 10 masuk, yang mempelajari perilaku masuk pengguna baru.

Tips untuk menyelidiki deteksi perjalanan atipikal.

Perjalanan tidak memungkinkan

Dihitung offline. Deteksi ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Cloud Apps. Deteksi ini mengidentifikasi aktivitas pengguna (dalam satu atau beberapa sesi) yang berasal dari lokasi yang jauh secara geografis dalam jangka waktu yang lebih singkat dari waktu yang diperlukan untuk melakukan perjalanan dari lokasi pertama ke yang kedua. Risiko ini mungkin menunjukkan bahwa pengguna yang berbeda menggunakan kredensial yang sama.

Alamat IP berbahaya

Dihitung offline. Deteksi ini menunjukkan masuk dari alamat IP berbahaya. Alamat IP dianggap berbahaya berdasarkan tingkat kegagalan tinggi karena kredensial yang tidak valid yang diterima dari alamat IP atau sumber reputasi IP lainnya. Dalam beberapa kasus, deteksi ini memicu aktivitas berbahaya sebelumnya.

Tips untuk menyelidiki deteksi alamat IP berbahaya.

Akses massal ke file sensitif

Dihitung offline. Deteksi ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Cloud Apps. Deteksi ini melihat lingkungan Anda dan memicu pemberitahuan saat pengguna mengakses beberapa file dari Microsoft SharePoint Online atau Microsoft OneDrive. Pemberitahuan dipicu hanya jika jumlah file yang diakses jarang untuk pengguna dan file mungkin berisi informasi sensitif.

Negara baru

Dihitung offline. Deteksi ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Cloud Apps. Deteksi ini mempertimbangkan lokasi aktivitas sebelumnya untuk menentukan lokasi baru dan jarang. Mesin deteksi anomali menyimpan informasi tentang lokasi sebelumnya yang digunakan oleh pengguna dalam organisasi.

Pembobolan kata sandi

Dihitung offline. Serangan semprotan kata sandi adalah tempat beberapa identitas diserang menggunakan kata sandi umum dengan cara brute force terpadu. Deteksi risiko dipicu ketika kata sandi akun valid dan memiliki upaya masuk. Deteksi ini menandakan bahwa kata sandi pengguna telah diidentifikasi dengan benar melalui serangan semprotan kata sandi, bukan berarti penyerang dapat mengakses sumber daya apa pun.

Tips untuk menyelidiki deteksi alamat IP berbahaya.

Browser yang mencurigakan

Dihitung offline. Deteksi browser yang mencurigakan menunjukkan perilaku anomali berdasarkan aktivitas masuk yang mencurigakan di beberapa penyewa dari berbagai negara di browser yang sama.

Tips untuk menyelidiki deteksi browser yang mencurigakan.

Penerusan kotak masuk yang mencurigakan

Dihitung offline. Deteksi ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Cloud Apps. Deteksi ini mencari aturan penerusan email yang mencurigakan, misalnya, jika pengguna membuat aturan kotak masuk yang meneruskan salinan semua email ke alamat eksternal.

Aturan manipulasi kotak masuk mencurigakan

Dihitung offline. Deteksi ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Cloud Apps. Deteksi ini melihat lingkungan Anda dan memicu peringatan saat aturan mencurigakan yang menghapus atau memindahkan pesan atau folder diatur pada kotak masuk pengguna. Deteksi ini mungkin menunjukkan: akun pengguna disusupi, pesan sengaja disembunyikan, dan kotak surat sedang digunakan untuk mendistribusikan spam atau malware di organisasi Anda.

Anomali penerbit token

Dihitung offline. Deteksi risiko ini menunjukkan bahwa penerbit token SAML untuk token SAML terkait berpotensi dikompromikan. Klaim yang termasuk dalam token tidak biasa atau cocok dengan pola penyerang yang dikenal.

Tips untuk menyelidiki deteksi anomali penerbit token.

Properti masuk yang tidak dikenal

Dihitung secara real time. Jenis deteksi risiko ini mempertimbangkan riwayat masuk sebelumnya untuk mencari rincian masuk anomali. Sistem menyimpan informasi tentang rincian masuk sebelumnya, dan memicu deteksi risiko ketika masuk terjadi dengan properti yang tidak dikenal oleh pengguna. Properti ini dapat mencakup IP, ASN, lokasi, perangkat, browser, dan subnet IP penyewa. Pengguna yang baru dibuat berada dalam periode "mode pembelajaran" di mana deteksi risiko properti masuk yang tidak dikenal dinonaktifkan saat algoritma kami mempelajari perilaku pengguna. Durasi mode pembelajaran bersifat dinamis dan bergantung pada berapa banyak waktu yang dibutuhkan algoritme untuk mengumpulkan informasi yang cukup tentang pola masuk pengguna. Durasi minimum adalah lima hari. Pengguna dapat kembali ke mode pembelajaran setelah tidak aktif dalam jangka waktu yang lama.

Kami juga menjalankan deteksi ini untuk autentikasi dasar (atau protokol warisan). Karena protokol ini tidak memiliki properti modern seperti ID klien, ada data terbatas untuk mengurangi positif palsu. Kami merekomendasikan pelanggan kami untuk pindah ke autentikasi modern.

Properti masuk yang tidak dikenal dapat dideteksi pada masuk interaktif dan non-interaktif. Ketika deteksi ini terdeteksi pada sign-in non-interaktif, itu layak meningkatkan pengawasan karena risiko serangan replay token.

Memilih risiko properti masuk yang tidak dikenal memungkinkan Anda melihat info selengkapnya yang menunjukkan detail selengkapnya tentang mengapa risiko ini dipicu.

IP pelaku ancaman terverifikasi

Dihitung secara real time. Jenis deteksi risiko ini menunjukkan aktivitas masuk yang konsisten dengan alamat IP yang diketahui yang terkait dengan aktor negara bagian atau kelompok kejahatan cyber negara, berdasarkan data dari Microsoft Threat Intelligence Center (MSTIC).

Deteksi risiko pengguna Premium

Aktivitas pengguna anomali

Dihitung offline. Deteksi risiko ini menggaris bawahi perilaku pengguna administratif normal di ID Microsoft Entra, dan menemukan pola perilaku anomali seperti perubahan mencurigakan pada direktori. Deteksi dipicu terhadap administrator yang membuat perubahan atau objek yang diubah.

Penyerang di Tengah

Dihitung offline. Juga dikenal sebagai Adversary di Tengah, deteksi presisi tinggi ini dipicu ketika sesi autentikasi ditautkan ke proksi terbalik berbahaya. Dalam serangan semacam ini, musuh dapat mencegat kredensial pengguna, termasuk token yang dikeluarkan untuk pengguna. Tim Penelitian Keamanan Microsoft menggunakan Pertahanan Microsoft 365 untuk menangkap risiko yang diidentifikasi dan meningkatkan pengguna ke Risiko tinggi . Sebaiknya administrator menyelidiki pengguna secara manual ketika deteksi ini dipicu untuk memastikan risiko dihapus. Menghapus risiko ini mungkin memerlukan pengaturan ulang kata sandi yang aman atau pencabutan sesi yang ada.

Kemungkinan upaya untuk mengakses Primary Refresh Token (PRT)

Dihitung offline. Jenis deteksi risiko ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Titik Akhir (MDE). Token Refresh Utama (PRT) adalah artefak utama autentikasi Microsoft Entra pada perangkat Windows 10, Windows Server 2016, dan versi yang lebih baru, iOS, dan Android. PRT adalah JSON Web Token (JWT) yang dikeluarkan untuk broker token pihak pertama Microsoft untuk mengaktifkan akses menyeluruh (SSO) di seluruh aplikasi yang digunakan pada perangkat tersebut. Penyerang dapat mencoba mengakses sumber daya ini untuk bergerak secara lateral ke dalam organisasi atau melakukan pencurian info masuk. Deteksi ini memindahkan pengguna ke risiko tinggi dan hanya kebakaran di organisasi yang menyebarkan MDE. Deteksi ini berisiko tinggi dan kami sarankan remediasi cepat pengguna ini. Ini jarang muncul di sebagian besar organisasi karena volumenya yang rendah.

Lalu lintas API yang mencurigakan

Dihitung offline. Deteksi risiko ini dilaporkan ketika lalu lintas GraphAPI abnormal atau enumerasi direktori diamati. Lalu lintas API yang mencurigakan mungkin menunjukkan bahwa pengguna disusupi dan melakukan pengintaian di lingkungan.

Pola pengiriman yang mencurigakan

Dihitung offline. Jenis deteksi risiko ini ditemukan menggunakan informasi yang disediakan oleh Microsoft Defender untuk Office 365 (MDO). Pemberitahuan ini dihasilkan saat seseorang di organisasi Anda mengirim email mencurigakan dan berisiko berada atau dibatasi untuk mengirim email. Deteksi ini memindahkan pengguna ke risiko sedang dan hanya menembak di organisasi yang menyebarkan MDO. Deteksi ini bervoluma rendah dan jarang terlihat di sebagian besar organisasi.

Pengguna melaporkan aktivitas mencurigakan

Dihitung offline. Deteksi risiko ini dilaporkan ketika pengguna menolak permintaan autentikasi multifaktor (MFA) dan melaporkannya sebagai aktivitas yang mencurigakan. Permintaan MFA yang tidak dimulai oleh pengguna mungkin berarti kredensial mereka disusupi.

Deteksi nonpremium

Pelanggan tanpa lisensi Microsoft Entra ID P2 menerima deteksi berjudul Risiko tambahan yang terdeteksi tanpa informasi terperinci mengenai deteksi yang dilakukan pelanggan dengan lisensi P2. Untuk informasi selengkapnya, lihat persyaratan lisensi.

Deteksi risiko masuk Nonpremium

Risiko tambahan terdeteksi (masuk)

Dihitung secara real time atau offline. Deteksi ini menunjukkan bahwa salah satu deteksi premium telah terdeteksi. Karena deteksi premium hanya terlihat oleh pelanggan Microsoft Entra ID P2, mereka berjudul Risiko tambahan yang terdeteksi bagi pelanggan tanpa lisensi Microsoft Entra ID P2.

Admin mengonfirmasi bahwa pengguna disusupi

Dihitung offline. Deteksi ini menunjukkan administrator yang dipilih Konfirmasi pengguna disusupi di UI pengguna berisiko atau menggunakan RISKYUsers API. Untuk melihat administrator mana yang mengonfirmasi pengguna ini disusupi, periksa riwayat risiko pengguna (melalui UI atau API).

Alamat IP anonim

Dihitung secara real time. Jenis deteksi risiko ini menunjukkan login dari alamat IP anonim (misalnya, browser Tor, atau VPN anonim). Alamat IP ini biasanya digunakan oleh pelaku yang ingin menyembunyikan informasi kredensial masuk mereka (alamat IP, lokasi, perangkat, dll.) untuk niat yang berpotensi berbahaya.

Inteligensi ancaman Microsoft Entra (masuk)

Dihitung secara real time atau offline. Jenis deteksi risiko ini menunjukkan aktivitas pengguna yang tidak biasa bagi pengguna tertentu atau konsisten dengan pola serangan yang diketahui. Deteksi ini berdasarkan pada sumber inteligensi ancaman internal dan eksternal Microsoft.

Tips untuk menyelidiki deteksi inteligensi ancaman Microsoft Entra.

Deteksi risiko pengguna Nonpremium

Risiko tambahan terdeteksi (pengguna)

Dihitung secara real time atau offline. Deteksi ini menunjukkan bahwa salah satu deteksi premium telah terdeteksi. Karena deteksi premium hanya terlihat oleh pelanggan Microsoft Entra ID P2, mereka berjudul Risiko tambahan yang terdeteksi bagi pelanggan tanpa lisensi Microsoft Entra ID P2.

Info masuk yang bocor

Dihitung offline. Jenis deteksi risiko ini menunjukkan bahwa kredensial pengguna yang valid bocor. Ketika penjahat cyber membahayakan kata sandi yang valid dari pengguna yang sah, mereka sering berbagi kredensial yang dikumpulkan ini. Berbagi ini biasanya dilakukan dengan memposting secara publik di web gelap, paste site, atau dengan memperdagangkan dan menjual kredensial di pasar gelap. Ketika layanan kredensial yang bocor microsoft memperoleh kredensial pengguna dari web gelap, tempel situs, atau sumber lain, mereka diperiksa terhadap kredensial valid pengguna Microsoft Entra saat ini untuk menemukan kecocokan yang valid. Untuk informasi selengkapnya tentang kredensial yang bocor, lihat pertanyaan umum.

Tips untuk menyelidiki deteksi kredensial yang bocor.

Inteligensi ancaman Microsoft Entra (pengguna)

Dihitung offline. Jenis deteksi risiko ini menunjukkan aktivitas pengguna yang tidak biasa bagi pengguna tertentu atau konsisten dengan pola serangan yang diketahui. Deteksi ini berdasarkan pada sumber inteligensi ancaman internal dan eksternal Microsoft.

Tips untuk menyelidiki deteksi inteligensi ancaman Microsoft Entra.

Pertanyaan umum

Bagaimana jika kredensial yang salah digunakan untuk mencoba masuk?

Perlindungan ID menghasilkan deteksi risiko hanya ketika kredensial yang benar digunakan. Jika kredensial yang salah digunakan pada proses masuk, kredensial tersebut tidak mewakili risiko penyusupan kredensial.

Apakah sinkronisasi hash kata sandi diperlukan?

Deteksi risiko seperti kredensial yang bocor memerlukan adanya hash kata sandi agar deteksi terjadi. Untuk informasi selengkapnya tentang sinkronisasi hash kata sandi, lihat artikel, Menerapkan sinkronisasi hash kata sandi dengan Sinkronisasi Microsoft Entra Connect.

Mengapa deteksi risiko dihasilkan untuk akun yang dinonaktifkan?

Akun pengguna dalam status dinonaktifkan dapat diaktifkan kembali. Jika kredensial akun yang dinonaktifkan disusupi, dan akun diaktifkan kembali, pelaku kejahatan mungkin menggunakan kredensial ini untuk mendapatkan akses. Perlindungan ID menghasilkan deteksi risiko untuk aktivitas mencurigakan terhadap akun yang dinonaktifkan ini untuk memperingatkan pelanggan tentang potensi penyusupan akun. Jika akun tidak lagi digunakan dan tidak akan diaktifkan kembali, pelanggan harus mempertimbangkan untuk menghapusnya untuk mencegah penyusupan. Tidak ada deteksi risiko yang dibuat untuk akun yang dihapus.

Pertanyaan kredensial umum yang bocor

Di mana Microsoft menemukan kredensial yang bocor?

Microsoft menemukan kredensial yang bocor di berbagai tempat, termasuk:

  • Situs tempel publik tempat pelaku jahat biasanya memposting materi tersebut.
  • Lembaga penegak hukum.
  • Grup lain di Microsoft melakukan penelitian web gelap.

Mengapa saya tidak melihat informasi masuk yang bocor?

Kredensial yang bocor diproses kapan saja ketika Microsoft menemukan batch baru yang tersedia untuk umum. Karena sifatnya sensitif, maka kredensial yang bocor dihapus tak lama setelah diproses. Hanya kredensial bocor baru yang ditemukan setelah Anda mengaktifkan sinkronisasi hash kata sandi (PHS) yang diproses terhadap penyewa Anda. Verifikasi terhadap pasangan kredensial yang ditemukan sebelumnya tidak dilakukan.

Saya tidak melihat peristiwa risiko kredensial yang bocor

Jika Anda tidak melihat peristiwa risiko kredensial yang bocor, itu karena alasan berikut:

  • Anda tidak mengaktifkan PHS untuk tenant Anda.
  • Microsoft tidak menemukan pasangan kredensial bocor yang cocok dengan pengguna Anda.

Seberapa sering Microsoft memproses kredensial baru?

Kredensial diproses segera setelah ditemukan, biasanya dalam beberapa batch per hari.

Lokasi

Lokasi dalam deteksi risiko ditentukan menggunakan pencarian alamat IP. Masuk dari lokasi bernama tepercaya meningkatkan akurasi perhitungan risiko Microsoft Entra ID Protection, menurunkan risiko masuk pengguna saat mereka mengautentikasi dari lokasi yang ditandai sebagai tepercaya.