リスク検出とは
Microsoft Entra ID 保護のリスク検出には、ディレクトリ内のユーザー アカウントに関して識別された疑わしいアクションが含まれます。 リスクの検出 (ユーザーとサインイン関連の両方) は、危険なユーザーのレポートに含まれるユーザー リスク スコア全体に影響を与えます。
Identity Protection は、これらの疑わしいアクションを素早く確認して対応するための強力なリソースへのアクセスを組織に提供します。
Note
Identity Protection は、正しい資格情報が使用されている場合にのみ、リスク検出を生成します。 サインイン時に間違った資格情報が使用されている場合に、資格情報の侵害のリスクを示すものではありません。
リスクの種類と検出
リスクは、ユーザーとサインイン レベルで検出でき、2 種類の検出または計算方法 (リアルタイムとオフライン) があります。 一部のリスクは、Microsoft Entra ID Premium P2 のお客様のみが検出できるプレミアムと見なされ、その他は Free および Microsoft Entra ID Premium P1 のお客様が検出できます。
サインイン リスクは、特定の認証要求が承認された ID 所有者によって行われていない可能性ああることを表します。 ユーザー関連の危険なアクティビティでは、特定の悪意のあるサインインではなく、ユーザーそのものに関連するものを検出します。
リアルタイム検出は、5 から 10 分間レポートに表示されない場合があります。 オフライン検出は、48 時間レポートに表示されない場合があります。
注意
リスクのあるユーザーのリスク スコアに影響を与えたリスク イベントが次のいずれかであったことがシステムによって検出される場合があります。
- 偽陽性
- 次のいずれかによって、ポリシーでユーザー リスクが修復されました。
- 多要素認証の完了
- セキュリティで保護されたパスワード文字列。
リスクの状態は無視され、「AI によってサインインが安全であることが確認されました」というリスクの詳細が表示されます。また、ユーザーの全体的なリスクには影響しなくなります。
サインイン リスク検出
| リスク検出 | 検出の種類 | Type |
|---|---|---|
| 特殊な移動 | オフライン | Premium |
| 異常なトークン | オフライン | Premium |
| トークン発行者異常 | オフライン | Premium |
| マルウェアにリンクした IP アドレス | オフライン | Premium この検出は非推奨になりました。 |
| 疑わしいブラウザー | オフライン | Premium |
| 通常とは異なるサインイン プロパティ | リアルタイム | Premium |
| 悪意のある IP アドレス | オフライン | Premium |
| 受信トレイに対する疑わしい操作ルール | オフライン | Premium |
| パスワード スプレー | オフライン | Premium |
| あり得ない移動 | オフライン | Premium |
| 新しい国/地域 | オフライン | Premium |
| 匿名 IP アドレスからのアクティビティ | オフライン | Premium |
| 受信トレイからの疑わしい転送 | オフライン | Premium |
| 機密ファイルへの大量アクセス | オフライン | Premium |
| 検証済み脅威アクター IP | リアルタイム | Premium |
| 検出された追加のリスク | リアルタイムまたはオフライン | Nonpremium |
| 匿名 IP アドレス | リアルタイム | Nonpremium |
| ユーザーに対するセキュリティ侵害を管理者が確認しました | オフライン | Nonpremium |
| Microsoft Entra の脅威インテリジェンス | リアルタイムまたはオフライン | Nonpremium |
ユーザー リスク検出
| リスク検出 | 検出の種類 | Type |
|---|---|---|
| プライマリ更新トークン (PRT) へのアクセス試行の可能性 | オフライン | Premium |
| 異常なユーザー アクティビティ | オフライン | Premium |
| ユーザーからの疑わしいアクティビティの報告 | オフライン | Premium |
| 検出された追加のリスク | リアルタイムまたはオフライン | Nonpremium |
| 漏洩した資格情報 | オフライン | Nonpremium |
| Microsoft Entra の脅威インテリジェンス | オフライン | Nonpremium |
Premium 検出
次の Premium 検出は、Microsoft Entra ID Premium P2 のお客様にのみ表示されます。
Premium のサインイン リスク検出
特殊な移動
オフラインで計算されます。 このリスク検出の種類では、地理的に離れた場所で行われた 2 つのサインインを識別します。少なくとも 1 つの場所は、ユーザーの過去の行動から考えて、ユーザーにそぐわない可能性がある場所でもあります。 このアルゴリズムでは、2 回のサインインの間隔や、最初の場所から 2 回目の場所にユーザーが移動するのに要する時間など、複数の要因が考慮されます。 このリスクは、別のユーザーが同じ資格情報を使用していることを示している場合があります。
このアルゴリズムは、組織内の他のユーザーによって普通に使用される VPN や場所など、不可能な移動状況の原因になる明らかな "誤検知" を無視します。 システムには、最短で 14 日間または 10 回のログインの初期学習期間があり、その間に新しいユーザーのサインイン行動が学習されます。
通常とは異なる移動の調査
- アクティビティが正当なユーザーによって実行されたものではないことを確認できる場合:
- 推奨されるアクション: サインインを侵害有りとしてマークし、パスワード リセットを呼び出します (自己修復によってまだ実行されていない場合)。 攻撃者がパスワードをリセットしたり、MFA を実行してパスワードをリセットするためのアクセス権を持っている場合は、ユーザーをブロックします。
- ユーザーが職務の範囲内で IP アドレスを使用していることがわかっている場合:
- 推奨されるアクション: アラートを無視します
- ユーザーがアラート内に詳しく記載されている宛先に最近移動したことを確認できる場合:
- 推奨されるアクション: アラートを無視します。
- IP アドレス範囲が承認された VPN のものであることを確認できる場合。
- 推奨されるアクション: サインインを安全としてマークし、VPN IP アドレス範囲を Azure AD と Microsoft Defender for Cloud Apps のネームド ロケーションに追加します。
異常なトークン
オフラインで計算されます。 これが検出されたことは、通常とは異なるトークンの有効期間や、これまでと違う場所から再生されるトークンなど、トークンに異常な特性があることを示しています。 この検出には、セッション トークンと更新トークンが含まれます。
注意
異常なトークンは、同じリスク レベルの他の検出よりも多くのノイズが発生するように調整されます。 このトレードオフは、他の方法では見過ごされる可能性のある再生されたトークンを検出する可能性を高めるために選択されています。 これは高ノイズの検出なので、この検出によってフラグが設定されたセッションの一部が誤検知である可能性が通常よりも高くなります。 この検出によってフラグが設定されたセッションを、ユーザーからの他のサインインのコンテキストで調査することをお勧めします。 場所、アプリケーション、IP アドレス、ユーザー エージェント、またはその他の特性が、ユーザーにとって予期しないものである場合、テナント管理者はこのリスクを潜在的なトークン再生のインジケーターと見なす必要があります。
異常なトークンの検出の調査
- リスク アラート、場所、アプリケーション、IP アドレス、ユーザー エージェント、そのユーザーからは予想されないその他の特徴の組み合わせを使用して、アクティビティが正当なユーザーによって実行されたものではないことを確認できる場合:
- 推奨されるアクション: サインインを侵害有りとしてマークし、パスワード リセットを呼び出します (自己修復によってまだ実行されていない場合)。 攻撃者がパスワードをリセットしたり、MFA を実行してパスワードをリセットしすべてのトークンを取り消すためのアクセス権を持っている場合は、ユーザーをブロックします。
- 場所、アプリケーション、IP アドレス、ユーザー エージェント、またはその他の特徴がユーザーから期待されるものであり、他に侵害の兆候がないことを確認できる場合:
- 推奨されるアクション: ユーザーが条件付きアクセス リスク ポリシーを使用して自己修復することを許可するか、管理者にサインインを安全と確認させます。
トークン ベースの検出の詳細な調査については、「トークンの戦術: クラウド トークンの盗難の防止、検出、対応を行う方法」の記事と「トークン盗難の調査プレイブック」を参照してください。
トークン発行者異常
オフラインで計算されます。 このリスクの検出は、関連する SAML トークンの SAML トークン発行者が侵害された恐れがあることを意味しています。 トークンに含まれるクレームが、通常とは異なるか、既知の攻撃者パターンと一致しています。
トークン発行者異常の検出の調査
- アクティビティが正当なユーザーによって実行されたものではないことを確認できる場合:
- 推奨されるアクション: サインインを侵害有りとしてマークし、パスワード リセットを呼び出します (自己修復によってまだ実行されていない場合)。 攻撃者がパスワードをリセットしたり、MFA を実行してパスワードをリセットしすべてのトークンを取り消すためのアクセス権を持っている場合は、ユーザーをブロックします。
- ユーザーがこのアクションが自分によって実行されたことを確認し、他に侵害の兆候がない場合:
- 推奨されるアクション: ユーザーが条件付きアクセス リスク ポリシーを使用して自己修復することを許可するか、管理者にサインインを安全と確認させます。
トークン ベースの検出の詳細な調査については、「トークンの戦術: クラウド トークンの盗難の防止、検出、対応を行う方法」の記事を参照してください。
マルウェアにリンクした IP アドレス (非推奨)
オフラインで計算されます。 このリスク検出の種類は、ボット サーバーと活発に通信していることが判明している、マルウェアに感染した IP アドレスからのサインインを示します。 この検出により、ユーザーのデバイスの IP アドレスが、ボット サーバーがアクティブなときにボット サーバーと接触していた IP アドレスと照合されます。 この検出は非推奨になりました 。 ID Protection は、新しい "マルウェアにリンクされた IP アドレス" 検出を生成しなくなりました。 現在、テナントに "マルウェアにリンクした IP アドレス" の検出が設定されているお客様は、90 日の検出データ保有期間に達するまで、それらを表示、修復、または無視することができます。
疑わしいブラウザー
オフラインで計算されます。 不審なブラウザー検出は、同じブラウザー内の異なる国の複数のテナントにわたる疑わしいサインイン アクティビティに基づく異常な動作を示します。
疑わしいブラウザーの検出の調査
- ブラウザーはユーザーによって通常使用されていないか、ブラウザー内のアクティビティがユーザーの通常の振舞いと一致しません。
- 推奨されるアクション: サインインを侵害有りとしてマークし、パスワード リセットを呼び出します (自己修復によってまだ実行されていない場合)。 攻撃者がパスワードをリセットしたり、MFA を実行してパスワードをリセットしすべてのトークンを取り消すためのアクセス権を持っている場合は、ユーザーをブロックします。
通常とは異なるサインイン プロパティ
リアルタイムで計算されます。 このリスク検出の種類では、過去のサインイン履歴を考慮して異常なサインインを探します。システムによって、以前のサインインに関する情報が保存され、そのユーザーになじみのないプロパティでサインインが発生したときにリスク検出がトリガーされます。 これらのプロパティには、IP、ASN、場所、デバイス、ブラウザー、テナント IP サブネットが含まれます。 新しく作成されたユーザーは、"学習モード" 期間に置かれ、そのユーザーの行動がアルゴリズムによって学習される間、見慣れないサインイン プロパティのリスク検出は停止されます。 学習モードの期間は動的であり、ユーザーのサインイン パターンに関する十分な情報をアルゴリズムが収集するためにかかる時間によって決まります。 最小期間は 5 日です。 無活動状態が長期間続いた場合、ユーザーは学習モードに戻る可能性があります。
この検出は、基本認証 (または従来のプロトコル) に対しても実行されます。 これらのプロトコルには、クライアント ID などの最新のプロパティがないため、誤検知を減らすためのテレメトリが限られています。 お客様には、最新の認証に移行することをお勧めしています。
通常とは異なるサインイン プロパティは、対話型サインインと非対話型サインインの両方で検出できます。この検出が非対話型サインインで行われた場合、トークン リプレイ攻撃のリスクがあるため精査を増やす必要があります。
見慣れないサインイン プロパティのリスクを選択すると、このリスクがトリガーされた理由の詳細を示す追加情報を表示できます。 次のスクリーンショットは、これらの詳細の例を示しています。
悪意のある IP アドレス
オフラインで計算されます。 この検出は、悪意のある IP アドレスからのサインインを示します。 IP アドレスは、その IPアドレスまたはその他の IP 評価ソースから受信した無効な資格情報によるエラー率の高さに基づいて、悪意があるとみなされます。
悪意のある IP アドレス検出の調査
- アクティビティが正当なユーザーによって実行されたものではないことを確認できる場合:
- 推奨されるアクション: サインインを侵害有りとしてマークし、パスワード リセットを呼び出します (自己修復によってまだ実行されていない場合)。 攻撃者がパスワードをリセットしたり、MFA を実行してパスワードをリセットしすべてのトークンを取り消すためのアクセス権を持っている場合は、ユーザーをブロックします。
- ユーザーが職務の範囲内で IP アドレスを使用していることがわかっている場合:
- 推奨されるアクション: アラートを無視します
受信トレイに対する疑わしい操作ルール
オフラインで計算されます。 この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 ユーザーの受信トレイでメッセージまたはフォルダーを削除または移動する疑わしいルールが設定されている場合、この検出によって環境が調べられ、アラートがトリガーされます。 この検出は、ユーザー アカウントが侵害されていること、メッセージが意図的に非表示にされていること、組織内でスパムまたはマルウェアを配信するためにメールボックスが使用されていることを示唆している可能性があります。
パスワード スプレー
オフラインで計算されます。 パスワード スプレー攻撃とは、複数のユーザー名に対し、よく使われるパスワードを片っ端から試して不正アクセスしようとする攻撃です。 このリスク検出は、パスワード スプレー攻撃が成功したときにトリガーされます。 たとえば、攻撃者は検出されたインスタンスで正常に認証されます。
パスワード スプレーの検出の調査
- アクティビティが正当なユーザーによって実行されたものではないことを確認できる場合:
- 推奨されるアクション: サインインを侵害有りとしてマークし、パスワード リセットを呼び出します (自己修復によってまだ実行されていない場合)。 攻撃者がパスワードをリセットしたり、MFA を実行してパスワードをリセットしすべてのトークンを取り消すためのアクセス権を持っている場合は、ユーザーをブロックします。
- ユーザーが職務の範囲内で IP アドレスを使用していることがわかっている場合:
- 推奨されるアクション: アラートを無視します
- アカウントが侵害されていないことを確認でき、アカウントに対するブルート フォースやパスワード スプレーの兆候が確認できない場合。
- 推奨されるアクション: ユーザーが条件付きアクセス リスク ポリシーを使用して自己修復することを許可するか、管理者にサインインを安全と確認させます。
パスワード スプレーのリスク検出の詳細な調査については、「パスワード スプレー攻撃の特定と調査に関するガイダンス」の記事を参照してください。
あり得ない移動
オフラインで計算されます。 この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 この検出では、地理的に離れている場所で、最初の場所から 2 番目の場所に移動するのに要する時間より短い時間内に発生したユーザー アクティビティ (単一または複数のセッションにおける) を特定します。 このリスクは、別のユーザーが同じ資格情報を使用していることを示している場合があります。
新しい国/地域
オフラインで計算されます。 この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 この検出では、新しい場所や頻度の低い場所を判断する際に、過去にアクティビティが発生した場所が考慮されます。 異常検出エンジンにより、組織内のユーザーが以前に使用したことのある場所に関する情報が格納されます。
匿名 IP アドレスからのアクティビティ
オフラインで計算されます。 この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 この検出は、匿名プロキシ IP アドレスとして識別された IP アドレスからユーザーがアクティブだったことを示します。
受信トレイからの疑わしい転送
オフラインで計算されます。 この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 この検出は、ユーザーがすべてのメールのコピーを外部のアドレスに転送する受信トレイ ルールを作成した場合などの疑わしいメール転送ルールを探します。
機密ファイルへの大量アクセス
オフラインで計算されます。 この検出は、Microsoft Defender for Cloud Apps によって提供される情報を使用して検出されます。 この検出は、ユーザーが Microsoft SharePoint または Microsoft OneDrive から複数のファイルにアクセスするときに、環境を調べて、アラートをトリガーします。 アラートがトリガーされるのは、アクセスされるファイルの数がこのユーザーにとって一般的ではなく、ファイルに機密情報が含まれている可能性がある場合のみです。
検証済み脅威アクター IP
リアルタイムで計算されます。 この種類のリスク検出では、Microsoft Threat Intelligence Center (MSTIC) に基づいて、国家的なアクターまたはサイバー犯罪グループに関連付けられている既知の IP アドレスと一致するサインイン アクティビティが示されます。
Premium のユーザー リスク検出
プライマリ更新トークン (PRT) へのアクセス試行の可能性
オフラインで計算されます。 このリスク検出の種類は、Microsoft Defender for Endpoint (MDE) によって提供される情報を使用して検出されます。 プライマリ更新トークン (PRT) は、Windows 10、Windows Server 2016 以降のバージョン、iOS、および Android デバイスでの Microsoft Entra 認証のキー アーティファクトです。 PRT は、それらのデバイスで使用されるアプリケーション間でシングル サインオン (SSO) を有効にするために、Microsoft のファースト パーティ トークン ブローカーに対して特別に発行される JSON Web トークン (JWT) です。 攻撃者は、このリソースにアクセスして、組織への侵入や資格情報の盗難を試みる可能性があります。 これが検出されると、ユーザーは高いリスクに移行されます。これは DE が展開されている組織でのみ実行されます。 この検出は頻度が低く、ほとんどの組織ではあまり見られません。 この検出が表示された場合はリスクが高く、ユーザーを修復する必要があります。
異常なユーザー アクティビティ
オフラインで計算されます。 このリスク検出により、Microsoft Entra ID の通常の管理ユーザーの行動をベースラインとして設定し、ディレクトリに対する疑わしい変更などの異常な行動パターンを検出することができます。 検出は、変更を行った管理者または変更されたオブジェクトに対してトリガーされます。
ユーザーからの疑わしいアクティビティの報告
オフラインで計算されます。 このリスク検出は、ユーザーが多要素認証 (MFA) のプロンプトを拒否し、それを疑わしいアクティビティと報告した場合に報告されます。 ユーザーによって開始されていない MFA プロンプトは、資格情報が侵害されていることを意味する可能性があります。
Nonpremium 検出
Microsoft Entra ID Premium P2 ライセンスを持っていないお客様は、P2 ライセンスを持っているお客様のような検出に関する詳細情報のない、"検出された追加のリスク" というタイトルの検出を受け取ります。
Premium 以外のサインイン リスク検出
検出された追加のリスク (サインイン)
リアルタイムまたはオフラインで計算されます。 この検出は、Premium 検出のいずれかが検出されたことを示します。 Premium 検出は Microsoft Entra ID Premium P2 のお客様にのみ表示されるため、Microsoft Entra ID P2 ライセンスをお持ちでないお客様には [検出された追加のリスク] というタイトルが付けられます。
匿名 IP アドレス
リアルタイムで計算されます。 このリスク検出の種類は、匿名の IP アドレス (Tor ブラウザーや Anonymizer VPN など) からのサインインを示します。 これらの IP アドレスは、一般に、悪意のある可能性がある意図のためにサインイン情報 (IP アドレス、場所、デバイスなど) を隠したいアクターによって使用されます。
ユーザーに対するセキュリティ侵害を管理者が確認しました
オフラインで計算されます。 この検出は、管理者が "危険なユーザー" UI で、または riskyUsers API を使用して、[ユーザーに対するセキュリティ侵害を確認しますか?] を選択したことを示します。 このユーザーに対するセキュリティが侵害されたことを確認した管理者を調べるには、ユーザーのリスク履歴を (UI または API 経由で) 確認します。
Microsoft Entra の脅威インテリジェンス (サインイン)
リアルタイムまたはオフラインで計算されます。 このリスク検出の種類は、ユーザーにとって通常とは異なる、または既知の攻撃パターンと一致する、ユーザー アクティビティを示します。 この検出は、Microsoft の内部および外部の脅威インテリジェンス ソースに基づきます。
Premium 以外のユーザー リスク検出
検出された追加のリスク (ユーザー)
リアルタイムまたはオフラインで計算されます。 この検出は、Premium 検出のいずれかが検出されたことを示します。 Premium 検出は Microsoft Entra ID Premium P2 のお客様にのみ表示されるため、Microsoft Entra ID P2 ライセンスをお持ちでないお客様には [検出された追加のリスク] というタイトルが付けられます。
漏洩した資格情報
オフラインで計算されます。 このリスク検出の種類は、ユーザーの有効な資格情報が漏洩したことを示します。 サイバー犯罪者が正規ユーザーの有効なパスワードを侵害すると、多くの場合、これらの収集した認証情報を共有します。 この共有は、一般に、闇サイトや貼り付けサイトに公開したり、資格情報を闇市場で取引したり販売したりすることで行われます。 Microsoft の漏洩した資格情報サービスで、ダーク ウェブ、貼り付けサイト、またはその他のソースからユーザー資格情報が取得された場合は、有効な一致を見つけるために Microsoft Entra ユーザーの現在の有効な資格情報に対してチェックされます。 漏洩した資格情報の詳細については、「一般的な質問」を参照してください。
漏洩した資格情報の検出の調査
- この検出シグナルが、ユーザーの漏洩した資格情報に対する警告を行った場合:
- 推奨されるアクション: サインインを侵害有りとしてマークし、パスワード リセットを呼び出します (自己修復によってまだ実行されていない場合)。 攻撃者がパスワードをリセットしたり、MFA を実行してパスワードをリセットしすべてのトークンを取り消すためのアクセス権を持っている場合は、ユーザーをブロックします。
Microsoft Entra の脅威インテリジェンス (ユーザー)
オフラインで計算されます。 このリスク検出の種類は、ユーザーにとって通常とは異なる、または既知の攻撃パターンと一致する、ユーザー アクティビティを示します。 この検出は、Microsoft の内部および外部の脅威インテリジェンス ソースに基づきます。
一般的な質問
リスク レベル
Identity Protection は、リスクを低、中、高の 3 つのレベルに分類します。 ID Protection ポリシーの構成時には、リスクなしレベルでトリガーされるように構成することもできます。 リスクなしは、ユーザーの ID が侵害されたことを示すアクティブな通知がないことを意味します。
Microsoft では、リスクの計算方法に関する具体的な詳細は提供していません。 リスクのレベルごとに、ユーザーまたはサインインがセキュリティ侵害されているという信頼度が高くなります。 たとえば、見慣れないサインイン プロパティのインスタンスが 1 つあるといったことは、資格情報の漏洩ほど脅威的ではない可能性があります。
パスワード ハッシュの同期
資格情報漏洩などのリスク検出では、検出を行うため、パスワード ハッシュが存在する必要があります。 パスワード ハッシュ同期について詳しくは、「Microsoft Entra Connect 同期を使用したパスワード ハッシュ同期の実装」の記事をご覧ください。
無効なユーザー アカウントに対してリスク検出が生成されるのはなぜですか?
無効になっているユーザー アカウントは、再び有効にすることができます。 無効になっているアカウントの資格情報が侵害され、そのアカウントが再度有効になった場合、不正なアクターがアクセス権を取得するためにそれらの資格情報を使用する可能性があります。 ID Protection は、アカウント侵害の可能性があることをお客様に警告するために、無効なユーザー アカウントに対する不審なアクティビティのリスク検出を生成します。 アカウントが使用されなくなり、再度有効にすることがない場合は、セキュリティ侵害を防ぐために、アカウントを削除することを検討してください。 削除されたアカウントに対してリスク検出は生成されません。
Microsoft は、漏洩した資格情報をどこで検出するのですか?
Microsoft では、次のようなさまざまな場所で、漏洩した資格情報を探します。
- 悪意のあるアクターが通常このような素材を投稿する pastebin.com や paste.ca などのパブリック貼り付けサイト。 この場所は、悪意のあるアクターの大半が盗まれた資格情報を探すために最初にアクセスするところです。
- 法執行機関。
- 闇サイトのリサーチを行っている Microsoft の他のグループ。
漏洩した資格情報が表示されないのはなぜですか?
漏洩した資格情報は、Microsoft が公開されている新しいバッチを検出するたびに処理されます。 その機密性のため、漏洩した資格情報は、処理の直後に削除されます。 お客様がパスワード ハッシュの同期 (PHS) を有効にした後で検出された、新たに漏洩した資格情報のみが、テナントに対して処理されます。 前に検出されていた資格情報ペアに対する検証は実行されません。
かなり長い間、漏洩した資格情報リスク イベントを見ていません
漏洩した資格情報リスク イベントが確認されていない場合、次のような理由が原因です。
- お客様がご自身のテナントに対して PHS を有効にしていません。
- お客様のユーザーと一致する、漏洩した資格情報のペアを Microsoft が見つけていません。
Microsoft では、どのくらいの頻度で新しい資格情報を処理していますか?
資格情報は、通常は 1 日に複数のバッチで検出された直後に処理されます。
場所
リスク検出の場所は、IP アドレス検索を使用して特定されます。