Co to jest ryzyko?
Wykrycia ryzyka w usłudze Azure AD Identity Protection obejmują wszelkie zidentyfikowane podejrzane akcje związane z kontami użytkowników w katalogu. Wykrycia ryzyka (połączone z użytkownikiem i logowaniem) przyczyniają się do ogólnego wyniku ryzyka związanego z użytkownikiem znalezionego w raporcie Ryzykowni użytkownicy.
Usługa Identity Protection zapewnia organizacjom dostęp do zaawansowanych zasobów, aby szybko wyświetlać podejrzane akcje i reagować na nie.
Uwaga
Usługa Identity Protection generuje wykrywanie ryzyka tylko wtedy, gdy są używane poprawne poświadczenia. Jeśli podczas logowania są używane nieprawidłowe poświadczenia, nie stanowi to ryzyka naruszenia poświadczeń.
Typy ryzyka i wykrywanie
Ryzyko można wykryć na poziomie użytkownik i logowanie oraz dwa typy wykrywania lub obliczania w czasie rzeczywistym i offline. Niektóre czynniki ryzyka są uważane za premium dostępne tylko dla Azure AD — wersja Premium P2 klientów, podczas gdy inne są dostępne dla klientów w warstwie Bezpłatna i Azure AD — wersja Premium P1.
Ryzyko logowania oznacza prawdopodobieństwo, że dane żądanie uwierzytelniania nie zostało autoryzowane przez właściciela tożsamości. Ryzykowne działanie można wykryć dla użytkownika, który nie jest połączony z określonym złośliwym logowaniem, ale z samym użytkownikiem.
Wykrycia w czasie rzeczywistym mogą nie być wyświetlane w raportowaniu przez 5 do 10 minut. Wykrycia w trybie offline mogą nie być wyświetlane w raportach przez 48 godzin.
Uwaga
Nasz system może wykryć, że zdarzenie ryzyka, które przyczyniło się do oceny ryzyka związanego z użytkownikiem, było albo:
- Wynik fałszywie dodatni
- Ryzyko związane z użytkownikiem zostało skorygowane przez zasady przez:
- Kończenie uwierzytelniania wieloskładnikowego
- Bezpieczna zmiana hasła.
Nasz system odrzuci stan ryzyka i zostanie wyświetlony szczegółowy opis ryzyka "Potwierdzono bezpieczne logowanie za pomocą sztucznej inteligencji" i nie będzie już przyczyniać się do ogólnego ryzyka użytkownika.
Wykrywanie w warstwie Premium
Wykrycia w warstwie Premium są widoczne tylko dla Azure AD — wersja Premium P2 klientów. Klienci bez Azure AD — wersja Premium P2 licencji nadal otrzymują wykrycia w warstwie Premium, ale zostaną nazwani "wykryte dodatkowe ryzyko".
Ryzyko związane z logowaniem
Wykrycia ryzyka związanego z logowaniem w warstwie Premium
| Wykrywanie ryzyka | Typ wykrywania | Opis |
|---|---|---|
| Nietypowa podróż | Tryb offline | Ten typ wykrywania ryzyka identyfikuje dwa logowania pochodzące z odległych geograficznie lokalizacji, gdzie co najmniej jedna z lokalizacji może być również nietypowa dla użytkownika, biorąc pod uwagę wcześniejsze zachowanie. Algorytm uwzględnia wiele czynników, w tym czas między dwoma logowaniami a czasem potrzebnym użytkownikowi na podróż z pierwszej lokalizacji do drugiej. To ryzyko może wskazywać, że inny użytkownik używa tych samych poświadczeń. Algorytm ignoruje oczywiste "fałszywie dodatnie" czynniki przyczyniające się do niemożliwych warunków podróży, takich jak sieci VPN i lokalizacje regularnie używane przez innych użytkowników w organizacji. System ma początkowy okres uczenia się najwcześniejszy od 14 dni lub 10 logowań, podczas którego uczy się zachowania logowania nowego użytkownika. |
| Nietypowy token | Tryb offline | To wykrywanie wskazuje, że w tokenie istnieją nietypowe cechy, takie jak nietypowy okres istnienia tokenu lub token odtwarzany z nieznanej lokalizacji. To wykrywanie obejmuje tokeny sesji i tokeny odświeżania. UWAGA: Nietypowy token jest dostrojony w celu ponoszenia większej ilości szumu niż inne wykrycia na tym samym poziomie ryzyka. Ta kompromis jest wybierana w celu zwiększenia prawdopodobieństwa wykrycia odtwarzanych tokenów, które w przeciwnym razie mogą być niezauważone. Ponieważ jest to wykrywanie wysokiego szumu, istnieje większa niż normalna szansa, że niektóre sesje oflagowane przez to wykrywanie są fałszywie dodatnie. Zalecamy zbadanie sesji oflagowanych przez to wykrywanie w kontekście innych logów od użytkownika. Jeśli lokalizacja, aplikacja, adres IP, agent użytkownika lub inne cechy są nieoczekiwane dla użytkownika, administrator dzierżawy powinien rozważyć to ryzyko jako wskaźnik potencjalnego odtwarzania tokenu. |
| Anomalia wystawcy tokenu | Tryb offline | To wykrywanie ryzyka wskazuje, że wystawca tokenu SAML dla skojarzonego tokenu SAML jest potencjalnie naruszony. Oświadczenia zawarte w tokenie są nietypowe lub pasują do znanych wzorców atakujących. |
| Połączony adres IP złośliwego oprogramowania | Tryb offline | Ten typ wykrywania ryzyka wskazuje logowania z adresów IP zainfekowanych złośliwym oprogramowaniem, które jest znane do aktywnego komunikowania się z serwerem botów. To wykrywanie pasuje do adresów IP urządzenia użytkownika względem adresów IP, które były w kontakcie z serwerem bota, gdy serwer bota był aktywny. To wykrywanie zostało uznane za przestarzałe. Usługa Identity Protection nie będzie już generować nowych wykryć "połączonego adresu IP złośliwego oprogramowania". Klienci, którzy obecnie mają wykrycie "połączony adres IP złośliwego oprogramowania" w swojej dzierżawie, nadal będą mogli wyświetlać, korygować lub odrzucać je do czasu osiągnięcia 90-dniowego czasu przechowywania wykrywania. |
| Podejrzana przeglądarka | Tryb offline | Podejrzane wykrywanie przeglądarki wskazuje na nietypowe zachowanie na podstawie podejrzanego działania logowania w wielu dzierżawach z różnych krajów w tej samej przeglądarce. |
| Nieznane właściwości logowania | Przesyłanie w czasie rzeczywistym | Ten typ wykrywania ryzyka uwzględnia historię wcześniejszego logowania, aby wyszukać nietypowe logowania. System przechowuje informacje o poprzednich logowaniach i wyzwala wykrywanie ryzyka po wystąpieniu logowania z właściwościami nieznanymi dla użytkownika. Te właściwości mogą obejmować adres IP, nazwę ASN, lokalizację, urządzenie, przeglądarkę i podsieć IP dzierżawy. Nowo utworzeni użytkownicy będą w "trybie uczenia", w którym nieznane właściwości logowania zostaną wyłączone, podczas gdy nasze algorytmy uczą się zachowania użytkownika. Czas trwania trybu uczenia jest dynamiczny i zależy od tego, ile czasu zajmuje algorytmowi zebranie wystarczającej ilości informacji o wzorcach logowania użytkownika. Minimalny czas trwania wynosi pięć dni. Użytkownik może wrócić do trybu nauki po długim okresie braku aktywności. Uruchamiamy również to wykrywanie dla uwierzytelniania podstawowego (lub starszych protokołów). Ponieważ te protokoły nie mają nowoczesnych właściwości, takich jak identyfikator klienta, istnieją ograniczone dane telemetryczne w celu zmniejszenia liczby wyników fałszywie dodatnich. Zalecamy naszym klientom przejście do nowoczesnego uwierzytelniania. Nieznane właściwości logowania można wykryć zarówno w przypadku logowania interakcyjnego, jak i nieinterakcyjnego. Po wykryciu tego wykrywania podczas logowania nieinterakcyjnego zasługuje na zwiększoną kontrolę ze względu na ryzyko ataków ponownego odtwarzania tokenu. |
| Złośliwy adres IP | Tryb offline | To wykrywanie wskazuje logowanie ze złośliwego adresu IP. Adres IP jest uznawany za złośliwy na podstawie wysokich współczynników niepowodzeń z powodu nieprawidłowych poświadczeń otrzymanych z adresu IP lub innych źródeł reputacji adresów IP. |
| Podejrzane reguły manipulowania skrzynką odbiorczą | Tryb offline | To wykrywanie jest wykrywane przez Microsoft Defender for Cloud Apps. To wykrywanie sprawdza środowisko i wyzwala alerty, gdy podejrzane reguły, które usuwają lub przenoszą komunikaty lub foldery są ustawiane w skrzynce odbiorczej użytkownika. Wykrywanie może wskazywać, że bezpieczeństwo konta użytkownika zostało naruszone, wiadomości są celowo ukryte, a skrzynka pocztowa jest używana do rozpowszechniania spamu lub złośliwego oprogramowania w organizacji. |
| Spray haseł | Tryb offline | Atak rozpytowy haseł polega na atakach na wiele nazw użytkowników przy użyciu typowych haseł w ujednolicony sposób siłowy w celu uzyskania nieautoryzowanego dostępu. To wykrywanie ryzyka jest wyzwalane po pomyślnym wykonaniu ataku w sprayu haseł. Na przykład osoba atakująca została pomyślnie uwierzytelniona w wykrytym wystąpieniu. |
| Niemożliwa podróż | Tryb offline | To wykrywanie jest wykrywane przez Microsoft Defender for Cloud Apps. To wykrywanie identyfikuje działania użytkownika (jest jedną lub wieloma sesjami) pochodzące z odległych geograficznie lokalizacji w okresie krótszym niż czas potrzebny do podróży z pierwszej lokalizacji do drugiej. To ryzyko może wskazywać, że inny użytkownik używa tych samych poświadczeń. |
| Nowy kraj | Tryb offline | To wykrywanie jest wykrywane przez Microsoft Defender for Cloud Apps. To wykrywanie uwzględnia wcześniejsze lokalizacje działań w celu określenia nowych i rzadkich lokalizacji. Aparat wykrywania anomalii przechowuje informacje o poprzednich lokalizacjach używanych przez użytkowników w organizacji. |
| Działanie z anonimowego adresu IP | Tryb offline | To wykrywanie jest wykrywane przez Microsoft Defender for Cloud Apps. To wykrywanie identyfikuje, że użytkownicy byli aktywni z adresu IP, który został zidentyfikowany jako anonimowy adres IP serwera proxy. |
| Podejrzane przekazywanie skrzynki odbiorczej | Tryb offline | To wykrywanie jest wykrywane przez Microsoft Defender for Cloud Apps. To wykrywanie wyszukuje podejrzane reguły przekazywania wiadomości e-mail, na przykład jeśli użytkownik utworzył regułę skrzynki odbiorczej, która przekazuje kopię wszystkich wiadomości e-mail na adres zewnętrzny. |
| Masowy dostęp do poufnych plików | Tryb offline | To wykrywanie jest wykrywane przez Microsoft Defender for Cloud Apps. To wykrywanie analizuje środowisko i wyzwala alerty, gdy użytkownicy uzyskują dostęp do wielu plików z programu Microsoft SharePoint lub Microsoft OneDrive. Alert jest wyzwalany tylko wtedy, gdy liczba plików, do których jest rzadko używany użytkownik, a pliki mogą zawierać poufne informacje |
Wykrywanie ryzyka związanego z logowaniem niepremium
| Wykrywanie ryzyka | Typ wykrywania | Opis |
|---|---|---|
| Wykryto dodatkowe ryzyko | W czasie rzeczywistym lub w trybie offline | To wykrywanie wskazuje, że wykryto jedno z wykryć w warstwie Premium. Ponieważ wykrycia w warstwie Premium są widoczne tylko dla Azure AD — wersja Premium P2 klientów, są one zatytułowane "wykryte dodatkowe ryzyko" dla klientów bez licencji Azure AD — wersja Premium P2. |
| Anonimowy adres IP | Przesyłanie w czasie rzeczywistym | Ten typ wykrywania ryzyka wskazuje logowania z anonimowego adresu IP (na przykład przeglądarki Tor lub anonimowej sieci VPN). Te adresy IP są zwykle używane przez aktorów, którzy chcą ukryć swoje informacje logowania (adres IP, lokalizacja, urządzenie itd.) w celu potencjalnie złośliwych intencji. |
| Administracja potwierdzono naruszenie zabezpieczeń użytkownika | Tryb offline | To wykrywanie wskazuje, że administrator wybrał pozycję "Potwierdź naruszenie zabezpieczeń użytkownika" w interfejsie użytkownika ryzykownych użytkowników lub przy użyciu interfejsu API ryzykownych użytkowników. Aby sprawdzić, który administrator potwierdził bezpieczeństwo tego użytkownika, sprawdź historię ryzyka użytkownika (za pośrednictwem interfejsu użytkownika lub interfejsu API). |
| Analiza zagrożeń w usłudze Azure AD | Tryb offline | Ten typ wykrywania ryzyka wskazuje działanie użytkownika, które jest nietypowe dla użytkownika lub zgodne ze znanymi wzorcami ataków. To wykrywanie jest oparte na wewnętrznych i zewnętrznych źródłach analizy zagrożeń firmy Microsoft. |
Wykrywanie połączone przez użytkownika
Wykrywanie ryzyka użytkowników w warstwie Premium
| Wykrywanie ryzyka | Typ wykrywania | Opis |
|---|---|---|
| Możliwa próba uzyskania dostępu do podstawowego tokenu odświeżania (PRT) | Tryb offline | Ten typ wykrywania ryzyka jest wykrywany przez Ochrona punktu końcowego w usłudze Microsoft Defender (MDE). Podstawowy token odświeżania (PRT) to kluczowy artefakt uwierzytelniania Azure AD na urządzeniach Windows 10, Windows Server 2016 i nowszych, iOS i Android. PrT to token internetowy JSON (JWT), który jest specjalnie wystawiony dla brokerów tokenów pierwszej firmy Microsoft w celu włączenia logowania jednokrotnego (SSO) w aplikacjach używanych na tych urządzeniach. Osoby atakujące mogą próbować uzyskać dostęp do tego zasobu, aby przejść później do organizacji lub przeprowadzić kradzież poświadczeń. To wykrywanie spowoduje przeniesienie użytkowników na wysokie ryzyko i będzie uruchamiane tylko w organizacjach, które wdrożyły rozwiązanie MDE. Ta funkcja wykrywania jest niska i będzie widoczna rzadko przez większość organizacji. Jednak w przypadku wystąpienia wysokiego ryzyka należy skorygować użytkowników. |
| Nietypowe działanie użytkownika | Tryb offline | To wykrywanie ryzyka wskazuje, że wykryto podejrzane wzorce aktywności dla uwierzytelnionego użytkownika. Zachowanie po uwierzytelnieniu użytkowników jest oceniane pod kątem anomalii. To zachowanie jest oparte na akcjach występujących dla konta wraz z wykrytym ryzykiem logowania. |
Wykrywanie ryzyka związanego z niepremium użytkownika
| Wykrywanie ryzyka | Typ wykrywania | Opis |
|---|---|---|
| Wykryto dodatkowe ryzyko | W czasie rzeczywistym lub w trybie offline | To wykrywanie wskazuje, że wykryto jedno z wykryć w warstwie Premium. Ponieważ wykrycia w warstwie Premium są widoczne tylko dla Azure AD — wersja Premium P2 klientów, są one zatytułowane "wykryte dodatkowe ryzyko" dla klientów bez licencji Azure AD — wersja Premium P2. |
| Ujawnione poświadczenia | Tryb offline | Ten typ wykrycia ryzyka wskazuje, że ujawniono prawidłowe poświadczenia użytkownika. Gdy cyberprzestępcy uzyskują dostęp do prawidłowych haseł uprawnionych użytkowników, często przekazują te poświadczenia innym osobom. Jest to zwykle wykonywane poprzez publikowanie poświadczeń w ciemnej sieci, za pośrednictwem fałszywych witryn lub poprzez handlowanie i sprzedawanie poświadczeń na czarnym rynku. Gdy usługa poświadczeń firmy Microsoft wyciekła, uzyskuje poświadczenia użytkownika z ciemnej sieci Web, wkleja witryny lub inne źródła, są sprawdzane względem bieżących prawidłowych poświadczeń użytkowników Azure AD w celu znalezienia prawidłowych dopasowań. Aby uzyskać więcej informacji na temat wycieku poświadczeń, zobacz Typowe pytania. |
| Analiza zagrożeń w usłudze Azure AD | Tryb offline | Ten typ wykrywania ryzyka wskazuje działanie użytkownika, które jest nietypowe dla użytkownika lub zgodne ze znanymi wzorcami ataków. To wykrywanie jest oparte na wewnętrznych i zewnętrznych źródłach analizy zagrożeń firmy Microsoft. |
Często zadawane pytania
Poziomy ryzyka
Usługa Identity Protection kategoryzuje ryzyko w ramach trzech warstw: niskie, średnie i wysokie. Podczas konfigurowania zasad ochrony tożsamości można ją również skonfigurować tak, aby była wyzwalana na poziomie bez ryzyka . Brak ryzyka oznacza, że tożsamość użytkownika nie została naruszona.
Firma Microsoft nie udostępnia szczegółowych informacji o sposobie obliczania ryzyka. Każdy poziom ryzyka zapewnia większą pewność, że użytkownik lub logowanie zostało naruszone. Na przykład coś takiego jak jedno wystąpienie nieznanych właściwości logowania dla użytkownika może nie być tak groźne, jak wyciekły poświadczenia dla innego użytkownika.
Synchronizacja skrótów haseł
Wykrycia ryzyka, takie jak wyciekły poświadczenia, wymagają obecności skrótów haseł w celu wykrycia. Aby uzyskać więcej informacji na temat synchronizacji skrótów haseł, zobacz artykuł Implementowanie synchronizacji skrótów haseł za pomocą synchronizacji Azure AD Connect.
Dlaczego są generowane wykrycia ryzyka dla wyłączonych kont użytkowników?
Wyłączone konta użytkowników można ponownie włączyć. Jeśli poświadczenia wyłączonego konta zostaną naruszone, a konto zostanie ponownie włączone, nieprawidłowe aktorzy mogą użyć tych poświadczeń, aby uzyskać dostęp. Usługa Identity Protection generuje wykrywanie ryzyka dla podejrzanych działań przed wyłączonymi kontami użytkowników w celu powiadamiania klientów o potencjalnym naruszeniu zabezpieczeń konta. Jeśli konto nie jest już używane i nie zostanie ponownie włączone, klienci powinni rozważyć usunięcie go, aby zapobiec naruszeniu zabezpieczeń. Nie są generowane żadne wykrycia ryzyka dla usuniętych kont.
Ujawnione poświadczenia
Gdzie firma Microsoft znajdzie ujawnione poświadczenia?
Firma Microsoft znajduje wyciekły poświadczenia w różnych miejscach, w tym:
- Publiczne witryny wklejania, takie jak pastebin.com i paste.ca, w których złe aktorzy zazwyczaj publikują takie materiały. Ta lokalizacja jest najbardziej złym przystankiem aktorów na ich polowaniu, aby znaleźć skradzione poświadczenia.
- Ścigania.
- Inne grupy w firmie Microsoft wykonują ciemne badania internetowe.
Dlaczego nie widzę żadnych wyciekłych poświadczeń?
Ujawnione poświadczenia są przetwarzane za każdym razem, gdy firma Microsoft znajdzie nową, publicznie dostępną partię. Ze względu na poufny charakter wyciekły poświadczenia są usuwane wkrótce po przetworzeniu. Tylko nowe ujawnione poświadczenia znalezione po włączeniu synchronizacji skrótów haseł (PHS) będą przetwarzane względem dzierżawy. Sprawdzanie, czy w przypadku poprzednio znalezionych par poświadczeń nie zostało zrobione.
Nie widziałem żadnych wyciekłych zdarzeń ryzyka poświadczeń od dłuższego czasu?
Jeśli nie zaobserwowano żadnych zdarzeń o podwyższonym ryzyku wycieku poświadczeń, przyczyną są następujące przyczyny:
- Nie masz włączonego phS dla dzierżawy.
- Firma Microsoft nie odnalazła żadnych ujawnionych par poświadczeń zgodnych z użytkownikami.
Jak często firma Microsoft przetwarza nowe poświadczenia?
Poświadczenia są przetwarzane natychmiast po ich znalezieniu, zwykle w wielu partiach dziennie.
Lokalizacje
Lokalizacja wykrywania ryzyka jest określana przez wyszukiwanie adresów IP.