Share via


Wat zijn risicodetecties?

Microsoft Entra ID Protection biedt organisaties informatie over verdachte activiteiten in hun tenant en stelt hen in staat snel te reageren om verdere risico's te voorkomen. Risicodetecties zijn een krachtige resource die verdachte of afwijkende activiteiten met betrekking tot een gebruikersaccount in de directory kan bevatten. Id Protection-risicodetecties kunnen worden gekoppeld aan een afzonderlijke gebruiker of aanmeldingsgebeurtenis en bijdragen aan de algehele gebruikersrisicoscore in het rapport Riskante gebruikers.

Detecties van gebruikersrisico's kunnen een legitiem gebruikersaccount als risico markeren, wanneer een potentiële bedreigingsacteur toegang krijgt tot een account door hun referenties in gevaar te brengen of wanneer ze een bepaald type afwijkende gebruikersactiviteit detecteren. Aanmeldingsrisicodetecties geven de kans aan dat een bepaalde verificatieaanvraag niet de geautoriseerde eigenaar van het account is. De mogelijkheid om risico's op gebruikers- en aanmeldingsniveau te identificeren, is essentieel voor klanten om hun tenant te beveiligen.

Risiconiveaus

Id Protection categoriseert het risico in drie lagen: laag, gemiddeld en hoog. Risiconiveaus die worden berekend door onze machine learning-algoritmen en geven aan hoe zeker Microsoft is dat een of meer van de referenties van de gebruiker bekend zijn door een niet-geautoriseerde entiteit.

  • Een risicodetectie met risiconiveau Hoog geeft aan dat Microsoft zeer zeker weet dat het account is aangetast.
  • Een risicodetectie met risiconiveau Laag geeft aan dat er afwijkingen aanwezig zijn in de aanmelding of de referenties van een gebruiker, maar we zijn er minder zeker van dat deze afwijkingen betekenen dat het account is aangetast.

Veel detecties kunnen worden geactiveerd op meer dan een van onze risiconiveaus, afhankelijk van het aantal of de ernst van de gedetecteerde afwijkingen. Zo kunnen niet-bekende aanmeldingseigenschappen worden geactiveerd op hoog, gemiddeld of laag op basis van het vertrouwen in de signalen. Sommige detecties, zoals gelekte referenties en het IP-adres van de geverifieerde bedreigingsacteur, worden altijd geleverd als een hoog risico.

Dit risiconiveau is belangrijk bij het bepalen welke detecties prioriteit moeten krijgen, onderzoeken en herstellen. Ze spelen ook een belangrijke rol bij het configureren van beleid voor voorwaardelijke toegang op basis van risico's, omdat elk beleid kan worden ingesteld op trigger voor laag, gemiddeld, hoog of geen risico gedetecteerd. Op basis van de risicotolerantie van uw organisatie kunt u beleidsregels maken waarvoor MFA of wachtwoordherstel is vereist wanneer ID Protection een bepaald risiconiveau voor een van uw gebruikers detecteert. Deze beleidsregels kunnen de gebruiker helpen zelf te herstellen om het risico op te lossen.

Belangrijk

Alle "lage" detecties op risiconiveau en gebruikers blijven gedurende 6 maanden in het product aanwezig, waarna ze automatisch worden verouderd om een schonere onderzoekservaring te bieden. Het gemiddelde en hoge risiconiveau blijven behouden totdat ze zijn hersteld of gesloten.

Op basis van de risicotolerantie van uw organisatie kunt u beleidsregels maken waarvoor MFA of wachtwoordherstel is vereist wanneer ID Protection een bepaald risiconiveau detecteert. Met deze beleidsregels kan de gebruiker het risico of de blokkering zelf oplossen, afhankelijk van uw toleranties.

Realtime en offline detecties

ID Protection maakt gebruik van technieken om de precisie van de detectie van gebruikers- en aanmeldingsrisico's te verhogen door enkele risico's in realtime of offline te berekenen na verificatie. Het detecteren van risico's in realtime bij het aanmelden biedt het voordeel van het vroegtijdig identificeren van risico's, zodat klanten het potentiële compromis snel kunnen onderzoeken. Bij detecties die risico's offline berekenen, kunnen ze meer inzicht geven in hoe de bedreigingsacteur toegang heeft verkregen tot het account en de impact op de legitieme gebruiker. Sommige detecties kunnen zowel offline als tijdens het aanmelden worden geactiveerd, waardoor het vertrouwen in het nauwkeurig zijn van de inbreuk toeneemt.

Detecties die in realtime worden geactiveerd, duren 5-10 minuten om details in de rapporten weer te geven. Het duurt maximaal 48 uur voordat offlinedetecties in de rapporten worden weergegeven, omdat het tijd kost om eigenschappen van het potentiële risico te evalueren.

Notitie

Ons systeem kan detecteren dat de risicogebeurtenis die heeft bijgedragen aan de risicoscore van de gebruiker:

  • Een fout-positief
  • Het gebruikersrisico is opgelost door beleid door:
    • Meervoudige verificatie voltooien
    • Wachtwoordwijziging beveiligen

Ons systeem negeert de risicostatus en er wordt een risicodetails van ai bevestigd dat aanmeldingsveilige ai wordt weergegeven en niet langer bijdraagt aan het algehele risico van de gebruiker.

Op risico-gedetailleerde gegevens registreert Tijddetectie het exacte moment waarop een risico wordt geïdentificeerd tijdens de aanmelding van een gebruiker, waardoor realtime risicoanalyse en onmiddellijke beleidstoepassing de gebruiker en organisatie kunnen beschermen. Detectie laatst bijgewerkt toont de meest recente update voor een risicodetectie, die kan worden veroorzaakt door nieuwe informatie, wijzigingen op risiconiveau of beheeracties, en zorgt voor up-to-date risicobeheer.

Deze velden zijn essentieel voor realtime bewaking, reactie op bedreigingen en het onderhouden van veilige toegang tot organisatieresources.

Risicodetecties die zijn toegewezen aan riskEventType

Risicodetectie Detectietype Type riskEventType
Detectie van aanmeldingsrisico's
Activiteit van anoniem IP-adres Offline Premium riskyIPAddress
Extra risico gedetecteerd (aanmelding) Realtime of offline Niet-premium generic = Premium-detectieclassificatie voor niet-P2-tenants
Beheerder heeft bevestigd dat de gebruiker is gecompromitteerd Offline Niet-premium adminConfirmedUserCompromised
Afwijkend token Realtime of offline Premium afwijkendToken
Anoniem IP-adres Real-time Niet-premium geanonimiseerdIPAddress
Atypisch reizen Offline Premium onwaarschijnlijklyTravel
Onmogelijke reis Offline Premium mcasImpossibleTravel
Schadelijk IP-adres Offline Premium maliciousIPAddress
Massatoegang tot gevoelige bestanden Offline Premium mcasFinSuspiciousFileAccess
Bedreigingsinformatie van Microsoft Entra (aanmelden) Realtime of offline Niet-premium onderzoekenThreatIntelligence
Nieuw land Offline Premium newCountry
Wachtwoordspray Offline Premium passwordSpray
Verdachte browser Offline Premium suspiciousBrowser
Suspicious inbox forwarding ( Offline Premium suspiciousInboxForwarding
Verdachte regels voor manipulatie van Postvak IN Offline Premium mcasSuspiciousInboxManipulationRules
Afwijking van tokenverlener Offline Premium tokenIssuerAnomaly
Onbekende aanmeldingseigenschappen Real-time Premium unfamiliarFeatures
Ip-adres van geverifieerde bedreigingsacteur Real-time Premium nationStateIP
Detectie van gebruikersrisico's
Extra risico gedetecteerd (gebruiker) Realtime of offline Niet-premium generic = Premium-detectieclassificatie voor niet-P2-tenants
Afwijkende gebruikersactiviteit Offline Premium afwijkendeUserActivity
Aanvaller in het midden Offline Premium aanvallerinTheMiddle
Gelekte referenties Offline Niet-premium gelekteCredentials
Bedreigingsinformatie van Microsoft Entra (gebruiker) Realtime of offline Niet-premium onderzoekenThreatIntelligence
Mogelijke poging om toegang te krijgen tot het primaire vernieuwingstoken (PRT) Offline Premium geprobeerdPrtAccess
Verdacht API-verkeer Offline Premium suspiciousAPITraffic
Verdachte verzendpatronen Offline Premium suspiciousSendingPatterns
Gebruiker heeft verdachte activiteiten gerapporteerd Offline Premium userReportedSuspiciousActivity

De premium-detecties

De volgende Premium-detecties zijn alleen zichtbaar voor Klanten van Microsoft Entra ID P2.

Detectie aanmeldingsrisico's

Activiteit vanaf anoniem IP-adres

Offline berekend. Deze detectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Cloud Apps. Deze detectie identificeert dat gebruikers actief waren vanaf een IP-adres dat is geïdentificeerd als een anoniem proxy-IP-adres.

Afwijkend token

Wordt in realtime of offline berekend. Deze detectie geeft abnormale kenmerken in het token aan, zoals een ongebruikelijke levensduur of een token dat wordt afgespeeld vanaf een onbekende locatie. Deze detectie omvat sessie- en vernieuwingstokens.

Afwijkend token is afgestemd op meer ruis dan andere detecties op hetzelfde risiconiveau. Deze afweging wordt gekozen om de kans op het detecteren van opnieuw afgespeelde tokens te vergroten die anders onopgemerkt kunnen blijven. Er is een hogere kans dan normaal dat sommige sessies die door deze detectie zijn gemarkeerd, fout-positieven zijn. Wij raden u aan om de sessies te onderzoeken die door deze detectie zijn gemarkeerd in de context van andere aanmeldingen van de gebruiker. Als de locatie, toepassing, IP-adres, gebruikersagent of andere kenmerken onverwacht zijn voor de gebruiker, moet de beheerder dit risico beschouwen als een indicator van mogelijke tokenherplay.

Tips voor het onderzoeken van afwijkende tokendetecties.

Ongewoon traject

Offline berekend. Dit type risicodetectie identificeert twee aanmeldingen die afkomstig zijn van geografisch verre locaties, waarbij ten minste één van de locaties ook atypisch kan zijn voor de gebruiker, gezien het eerdere gedrag. Het algoritme houdt rekening met meerdere factoren, waaronder de tijd tussen de twee aanmeldingen en de tijd die de gebruiker nodig heeft om van de eerste locatie naar de tweede te reizen. Dit risico kan erop wijzen dat een andere gebruiker dezelfde referenties gebruikt.

Het algoritme dat overduidelijke "fout-positieven" negeert die bijdragen aan onmogelijke trajecten, zoals VPN's en locaties die regelmatig door andere gebruikers in de organisatie worden gebruikt. Het systeem heeft een aanvankelijke leerperiode van de eerste 14 dagen of 10 aanmeldingen, waarbij dat systeem aanmeldingsgedrag van een nieuwe gebruiker leert.

Tips voor het onderzoeken van atypische reisdetecties.

Onmogelijk traject

Offline berekend. Deze detectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Cloud Apps. Deze detectie identificeert gebruikersactiviteiten (in één of meerdere sessies) die afkomstig zijn van geografisch verre locaties binnen een periode die korter is dan de tijd die nodig is om van de eerste locatie naar de tweede te reizen. Dit risico kan erop wijzen dat een andere gebruiker dezelfde referenties gebruikt.

Schadelijk IP-adres

Offline berekend. Deze detectie geeft de indicatie dat u zich aanmeldt vanaf een schadelijk IP-adres. Een IP-adres wordt als schadelijk beschouwd op basis van hoge foutpercentages vanwege ongeldige aanmeldingsgegevens die zijn ontvangen van het IP-adres of andere IP-reputatiebronnen. In sommige gevallen wordt deze detectie geactiveerd voor eerdere schadelijke activiteiten.

Tips voor het onderzoeken van schadelijke IP-adresdetecties.

Massatoegang tot gevoelige bestanden

Offline berekend. Deze detectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Cloud Apps. Deze detectie kijkt naar uw omgeving en activeert waarschuwingen wanneer gebruikers toegang hebben tot meerdere bestanden vanuit Microsoft Office SharePoint Online of Microsoft OneDrive. Een waarschuwing wordt alleen geactiveerd als het aantal geopende bestanden ongebruikelijk is voor de gebruiker en de bestanden mogelijk gevoelige informatie bevatten.

Nieuw land

Offline berekend. Deze detectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Cloud Apps. Deze detectie bekijkt eerdere activiteitlocaties om nieuwe en niet-frequente locaties vast te stellen. De engine voor de detectie van afwijkingen slaat informatie op over eerdere locaties die worden gebruikt door gebruikers in de organisatie.

Wachtwoordspray

Offline berekend. Een wachtwoordspray-aanval is waarbij meerdere identiteiten worden aangevallen met behulp van algemene wachtwoorden op een uniforme brute force-manier. De risicodetectie wordt geactiveerd wanneer het wachtwoord van een account geldig is en zich heeft geprobeerd aan te melden. Deze detectie geeft aan dat het wachtwoord van de gebruiker correct is geïdentificeerd via een wachtwoordspray-aanval, niet dat de aanvaller toegang heeft tot alle resources.

Tips voor het onderzoeken van schadelijke IP-adresdetecties.

Verdachte browser

Offline berekend. Met de verdachte browserdetectie wordt afwijkend gedrag gemarkeerd op basis van verdachte aanmeldactiviteit in meerdere tenants uit verschillende landen in dezelfde browser.

Tips voor het onderzoeken van verdachte browserdetecties.

Verdachte doorstuuractiviteit voor Postvak IN

Offline berekend. Deze detectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Cloud Apps. Met die detectie wordt gezocht naar regels voor het doorsturen van verdachte e-mail, bijvoorbeeld wanneer een gebruiker een regel voor het postvak IN heeft gemaakt die een kopie van alle e-mails doorstuurt naar een extern adres.

Verdachte bewerkingsregels voor het Postvak IN

Offline berekend. Deze detectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Cloud Apps. Deze detectie kijkt naar uw omgeving en activeert waarschuwingen wanneer verdachte regels voor het verwijderen of verplaatsen van berichten of mappen zijn ingesteld op het Postvak IN van een gebruiker. Deze detectie kan erop wijzen: het account van een gebruiker is aangetast, berichten worden opzettelijk verborgen en het postvak wordt gebruikt om spam of malware in uw organisatie te distribueren.

Afwijking van tokenverlener

Offline berekend. Deze risicodetectie geeft aan dat de verlener van het SAML-token voor het bijbehorende SAML-token mogelijk is gecompromitteerd. De claims die in het token zijn opgenomen, zijn ongebruikelijk of ze komen overeen met bekende aanvallerpatronen.

Tips voor het onderzoeken van anomaliedetecties voor tokenverleners.

Onbekende aanmeldingseigenschappen

In realtime berekend. Dit type risicodetectie beschouwt de geschiedenis van eerdere aanmeldingen om te zoeken naar afwijkende aanmeldingen. Het systeem slaat informatie op over eerdere aanmeldingen en activeert een risicodetectie wanneer er een aanmelding plaatsvindt met eigenschappen die onbekend zijn voor de gebruiker. Deze eigenschappen kunnen IP-, ASN-, locatie-, apparaat-, browser- en tenant-IP-subnet omvatten. Nieuw gemaakte gebruikers bevinden zich in een 'leermodus'-periode waarbij de risicodetectie van onbekende aanmeldingseigenschappen is uitgeschakeld terwijl onze algoritmen het gedrag van de gebruiker leren kennen. De duur van de leermodus is dynamisch en hangt af de tijd die het algoritme nodig heeft om voldoende informatie te verzamelen over de aanmeldingspatronen van de gebruiker. De minimale duur is vijf dagen. Een gebruiker kan teruggaan naar de leermodus na een lange periode van inactiviteit.

Deze detectie wordt ook uitgevoerd voor basisverificatie (of verouderde protocollen). Omdat deze protocollen geen moderne eigenschappen hebben, zoals client-id, zijn er beperkte gegevens om fout-positieven te verminderen. Wij raden onze klanten aan om over te stappen op moderne verificatie.

Onbekende aanmeldingseigenschappen kunnen bij zowel interactieve als niet-interactieve aanmeldingen worden gedetecteerd. Als deze detectie wordt gedetecteerd bij niet-interactieve aanmeldingen, verdient deze meer controle vanwege het risico op aanvallen door opnieuw afspelen van tokens.

Als u een niet-bekende aanmeldingseigenschappen selecteert, kunt u meer informatie weergeven over waarom dit risico is geactiveerd.

Ip-adres van geverifieerde bedreigingsacteur

In realtime berekend. Dit type risicodetectie geeft aanmeldingsactiviteiten aan die consistent zijn met bekende IP-adressen die zijn gekoppeld aan nationale staatsactoren of cybercriminaliteitsgroepen, op basis van gegevens van het Microsoft Threat Intelligence Center (MSTIC).

Premium-detecties van gebruikersrisico's

Afwijkende gebruikersactiviteit

Offline berekend. Deze risicodetectiebasislijnen zijn normaal gedrag van gebruikers met beheerdersrechten in Microsoft Entra ID en krijgt afwijkende gedragspatronen te zien, zoals verdachte wijzigingen in de map. De detectie wordt geactiveerd voor de beheerder die de wijziging aanbrengt of het object dat is gewijzigd.

Aanvaller in het midden

Offline berekend. Deze hoge precisiedetectie wordt ook wel adversary in het midden genoemd wanneer een verificatiesessie is gekoppeld aan een schadelijke omgekeerde proxy. In dit soort aanvallen kan de aanvaller de referenties van de gebruiker onderscheppen, inclusief tokens die aan de gebruiker zijn uitgegeven. Het Microsoft Security Research-team maakt gebruik van Microsoft 365 Defender om het geïdentificeerde risico vast te leggen en de gebruiker te verhogen naar hoog risico. Beheerders raden beheerders aan de gebruiker handmatig te onderzoeken wanneer deze detectie wordt geactiveerd om ervoor te zorgen dat het risico wordt gewist. Als u dit risico wist, kan het veilig opnieuw instellen van wachtwoorden of het intrekken van bestaande sessies vereist zijn.

Mogelijke poging om toegang te krijgen tot primaire vernieuwingstoken (PRT)

Offline berekend. Dit type risicodetectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Eindpunt (MDE). Een primair vernieuwingstoken (PRT) is een belangrijk artefact van Microsoft Entra-verificatie op Windows 10-, Windows Server 2016- en latere versies, iOS- en Android-apparaten. Een PRT is een JSON Web Token (JWT) dat is uitgegeven aan Microsoft first party token brokers om eenmalige aanmelding (SSO) in te schakelen voor de toepassingen die op deze apparaten worden gebruikt. Aanvallers kunnen proberen om toegang te krijgen tot deze resource om zich lateraal naar een organisatie te verplaatsen of diefstal van referenties uit te voeren. Met deze detectie worden gebruikers verplaatst naar een hoog risico en worden ze alleen geactiveerd in organisaties die MDE implementeren. Deze detectie is een hoog risico en we raden u aan om deze gebruikers te herstellen. Het lijkt zelden in de meeste organisaties vanwege het lage volume.

Verdacht API-verkeer

Offline berekend. Deze risicodetectie wordt gerapporteerd wanneer abnormaal GraphAPI-verkeer of directory-inventarisatie wordt waargenomen. Verdacht API-verkeer kan suggereren dat een gebruiker wordt aangetast en reconnaissance uitvoert in de omgeving.

Verdachte verzendpatronen

Offline berekend. Dit type risicodetectie wordt gedetecteerd met behulp van informatie van Microsoft Defender voor Office 365 (MDO). Deze waarschuwing wordt gegenereerd wanneer iemand in uw organisatie verdachte e-mail heeft verzonden en risico loopt op het verzenden van e-mail of het verzenden van e-mail wordt beperkt. Met deze detectie worden gebruikers naar gemiddeld risico verplaatst en worden ze alleen geactiveerd in organisaties die MDO implementeren. Deze detectie is laag volume en wordt zelden in de meeste organisaties gezien.

Gebruiker heeft verdachte activiteiten gerapporteerd

Offline berekend. Deze risicodetectie wordt gerapporteerd wanneer een gebruiker een meervoudige verificatieprompt (MFA) weigert en rapporteert als verdachte activiteit. Een MFA-prompt die niet door een gebruiker wordt geïnitieerd, kan betekenen dat hun referenties zijn aangetast.

Niet-premiumdetecties

Klanten zonder Microsoft Entra ID P2-licenties ontvangen detecties met de titel Extra risico gedetecteerd zonder gedetailleerde informatie over de detectie die klanten met P2-licenties doen. Zie de licentievereisten voor meer informatie.

Detectie van niet-Premium-aanmeldingsrisico's

Extra risico gedetecteerd (aanmelding)

Wordt in realtime of offline berekend. Deze detectie wijst erop dat een van de Premium-detecties is gedetecteerd. Omdat de Premium-detecties alleen zichtbaar zijn voor Microsoft Entra ID P2-klanten, hebben ze de titel Extra risico gedetecteerd voor klanten zonder Microsoft Entra ID P2-licenties.

Door beheerder bevestigd misbruik van gebruiker

Offline berekend. Deze detectie geeft aan dat een beheerder heeft geselecteerd : gebruiker bevestigen die is gecompromitteerd in de gebruikersinterface van riskante gebruikers of het gebruik van riskante Gebruikers-API. Als u wilt zien welke beheerder deze gebruiker heeft bevestigd dat deze gebruiker is gecompromitteerd, controleert u de risicogeschiedenis van de gebruiker (via de gebruikersinterface of API).

Anoniem IP-adres

In realtime berekend. Dit type risicodetectie wijst op aanmeldingen vanaf een anoniem IP-adres (bijvoorbeeld Tor-browser of anonieme VPN). Deze IP-adressen worden doorgaans gebruikt door actoren die hun aanmeldingsgegevens (IP-adres, locatie, apparaat, enzovoort) willen verbergen voor mogelijk schadelijke bedoelingen.

Bedreigingsinformatie van Microsoft Entra (aanmelden)

Wordt in realtime of offline berekend. Dit type risicodetectie geeft gebruikersactiviteit aan die ongebruikelijk is voor de gebruiker of consistent is met bekende aanvalspatronen. Deze detectie is gebaseerd op de interne en externe bedreigingsinformatiebronnen van Microsoft.

Tips voor het onderzoeken van detecties van bedreigingsinformatie van Microsoft Entra.

Niet-Premium-detecties van gebruikersrisico's

Extra risico gedetecteerd (gebruiker)

Wordt in realtime of offline berekend. Deze detectie wijst erop dat een van de Premium-detecties is gedetecteerd. Omdat de Premium-detecties alleen zichtbaar zijn voor Microsoft Entra ID P2-klanten, hebben ze de titel Extra risico gedetecteerd voor klanten zonder Microsoft Entra ID P2-licenties.

Gelekte referenties

Offline berekend. Dit type risicodetectie geeft aan dat de geldige referenties van de gebruiker zijn gelekt. Wanneer cybercriminelen inbreuk maken op geldige wachtwoorden van legitieme gebruikers, delen ze vaak deze verzamelde referenties. Dit delen wordt doorgaans gedaan door openbare plaatsing op het dark web, op plaksites of door de referenties te verkopen op de zwarte markt. Wanneer de Microsoft-service voor gelekte referenties gebruikersreferenties verkrijgt van het donkere web, sites of andere bronnen, worden ze gecontroleerd op de huidige geldige referenties van Microsoft Entra-gebruikers om geldige overeenkomsten te vinden. Zie algemene vragen voor meer informatie over gelekte referenties.

Tips voor het onderzoeken van detecties van gelekte referenties.

Bedreigingsinformatie van Microsoft Entra (gebruiker)

Offline berekend. Dit type risicodetectie geeft gebruikersactiviteit aan die ongebruikelijk is voor de gebruiker of consistent is met bekende aanvalspatronen. Deze detectie is gebaseerd op de interne en externe bedreigingsinformatiebronnen van Microsoft.

Tips voor het onderzoeken van detecties van bedreigingsinformatie van Microsoft Entra.

Veelgestelde vragen

Wat gebeurt er als onjuiste referenties zijn gebruikt om u aan te melden?

Id Protection genereert alleen risicodetecties wanneer de juiste referenties worden gebruikt. Als er onjuiste referenties worden gebruikt bij een aanmelding, is er geen risico op inbreuk op referenties.

Is wachtwoord-hashsynchronisatie vereist?

Risicodetecties, zoals gelekte referenties, vereisen aanwezigheid van wachtwoordhashes voor detectie. Zie het artikel Wachtwoord-hashsynchronisatie implementeren met Microsoft Entra Connect Sync voor meer informatie over wachtwoord-hashsynchronisatie.

Waarom worden risicodetecties gegenereerd voor uitgeschakelde accounts?

Gebruikersaccounts met een uitgeschakelde status kunnen opnieuw worden ingeschakeld. Als de referenties van een uitgeschakeld account worden gecompromitteerd en het account opnieuw wordt ingeschakeld, kunnen slechte actoren deze referenties gebruiken om toegang te krijgen. Id Protection genereert risicodetecties voor verdachte activiteiten tegen deze uitgeschakelde accounts om klanten te waarschuwen over mogelijke inbreuk op accounts. Als een account niet meer wordt gebruikt en niet opnieuw wordt ingeschakeld, moeten klanten overwegen het account te verwijderen om inbreuk te voorkomen. Voor verwijderde accounts worden geen risicodetecties gegenereerd.

Veelvoorkomende vragen over gelekte referenties

Waar vindt Microsoft eventueel gelekte referenties?

Microsoft vindt gelekte referenties op verschillende plekken, waaronder:

  • Openbare plaksites waarbij slechte actoren meestal dergelijk materiaal plaatsen.
  • Instanties voor wetshandhaving.
  • Andere groepen bij Microsoft die onderzoek op het dark web uitvoeren.

Waarom kan ik geen gelekte referenties zien?

Gelekte referenties worden verwerkt op elk moment dat Microsoft een nieuwe, openbaar beschikbare batch vindt. Vanwege de gevoelige aard worden de gelekte referenties kort na de verwerking verwijderd. Alleen nieuwe gelekte referenties gevonden nadat u wachtwoord-hashsynchronisatie (PHS) hebt ingeschakeld, worden verwerkt voor uw tenant. Verificatie van eerder gevonden referentieparen is niet uitgevoerd.

Ik zie geen gelekte referentierisicogebeurtenissen

Als u geen gelekte referentierisicogebeurtenissen ziet, heeft dit de volgende oorzaken:

  • PHS is niet ingeschakeld voor uw tenant.
  • Microsoft heeft geen gelekte referentieparen gevonden die overeenkomen met uw gebruikers.

Hoe regelmatig verwerkt Microsoft nieuwe referenties?

Referenties worden onmiddellijk verwerkt nadat ze zijn gevonden, normaal gesproken in meerdere batches per dag.

Locaties

Locatie in risicodetecties wordt bepaald met behulp van IP-adreszoekacties. Aanmeldingen van vertrouwde benoemde locaties verbeteren de nauwkeurigheid van de risicoberekening van Microsoft Entra ID Protection, waardoor het aanmeldingsrisico van een gebruiker wordt verlaagd wanneer deze zich verifieert vanaf een locatie die is gemarkeerd als vertrouwd.