Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Microsoft Entra ID Protection może zapewnić szeroką gamę wykrywania ryzyka, które mogą służyć do identyfikowania podejrzanych działań w organizacji. Tabele zawarte w tym artykule zawierają podsumowanie listy wykrywania ryzyka logowania i użytkownika, w tym wymagań dotyczących licencji lub wykrycia w czasie rzeczywistym lub offline. Dalsze szczegółowe informacje na temat każdego wykrywania ryzyka można znaleźć w tabelach.
- Pełne szczegóły dotyczące większości wykryć ryzyka wymagają identyfikatora P2 firmy Microsoft.
- Klienci bez licencji microsoft Entra ID P2 otrzymują wykrycia zatytułowane Dodatkowe ryzyko wykryte bez szczegółów wykrywania ryzyka.
- For more information, see the license requirements.
- Aby uzyskać informacje na temat wykrywania ryzyka tożsamości obciążenia, zobacz Zabezpieczanie tożsamości obciążeń.
Note
Aby uzyskać szczegółowe informacje na temat wykrywania w czasie rzeczywistym i poziomów ryzyka w trybie offline, zobacz Typy i poziomy wykrywania ryzyka.
Wykrycia ryzyka logowania mapowane na riskEventType
Wybierz wykrywanie ryzyka z listy, aby wyświetlić opis wykrywania ryzyka, jego działania i wymagania licencyjne. In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license.
Nonpremium indicates the detection is available with Microsoft Entra ID Free. Kolumna riskEventType wskazuje wartość wyświetlaną w zapytaniach interfejsu API programu Microsoft Graph.
| Wykrywanie ryzyka logowania | Detection type | Typ | riskEventType |
|---|---|---|---|
| Działanie z anonimowego adresu IP | Offline | Premium | riskyIPAddress |
| Wykryto dodatkowe ryzyko (logowanie) | W czasie rzeczywistym lub w trybie offline | Nonpremium | generic ^ |
| Administrator potwierdził naruszenie zabezpieczeń użytkownika | Offline | Nonpremium | adminConfirmedUserCompromised |
| Nietypowy token autoryzacyjny (logowanie) | W czasie rzeczywistym lub w trybie offline | Premium | anomalousToken |
| Anonimowy adres IP | Real-time | Nonpremium | anonymizedIPAddress |
| Atypical travel | Offline | Premium | unlikelyTravel |
| Impossible travel | Offline | Premium | mcasImpossibleTravel |
| Złośliwy adres IP | Offline | Premium | maliciousIPAddress |
| Masowy dostęp do poufnych plików | Offline | Premium | mcasFinSuspiciousFileAccess |
| Microsoft Entra informacje o zagrożeniach (logowanie) | W czasie rzeczywistym lub w trybie offline | Nonpremium | investigationsThreatIntelligence |
| New country | Offline | Premium | newCountry |
| Password spray | W czasie rzeczywistym lub w trybie offline | Premium | passwordSpray |
| Suspicious browser | Offline | Premium | suspiciousBrowser |
| Podejrzane przekazywanie wiadomości | Offline | Premium | suspiciousInboxForwarding |
| Podejrzane reguły manipulowania skrzynką odbiorczą | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| Anomalia wystawcy tokenu | Offline | Premium | tokenIssuerAnomaly |
| Nieznane właściwości logowania | Real-time | Premium | unfamiliarFeatures |
| Zweryfikowany adres IP aktora zagrożeń | Real-time | Premium | nationStateIP |
^ Typ riskEventType dla wykrytego dodatkowego ryzyka jest ogólny dla dzierżaw z microsoft Entra ID Free lub Microsoft Entra ID P1. Wykryliśmy coś ryzykownego, ale szczegóły nie są dostępne bez licencji Microsoft Entra ID P2.
Wykrycia ryzyka związanego z użytkownikiem mapowane na ryzykoEventType
Wybierz wykrywanie ryzyka z listy, aby wyświetlić opis wykrywania ryzyka, jego działania i wymagania licencyjne.
| Wykrywanie ryzyka związanego z użytkownikiem | Detection type | Typ | riskEventType |
|---|---|---|---|
| Wykryto dodatkowe ryzyko (użytkownik) | W czasie rzeczywistym lub w trybie offline | Nonpremium | generic ^ |
| Nieprawidłowy Token (użytkownik) | W czasie rzeczywistym lub w trybie offline | Premium | anomalousToken |
| Nietypowe działanie użytkownika | Offline | Premium | anomalousUserActivity |
| Atakujący pośrodku | Offline | Premium | attackerinTheMiddle |
| Leaked credentials | Offline | Nonpremium | leakedCredentials |
| Microsoft Entra Threat Intelligence (użytkownik) | W czasie rzeczywistym lub w trybie offline | Nonpremium | investigationsThreatIntelligence |
| Możliwa próba uzyskania dostępu do podstawowego tokenu odświeżania (PRT) | Offline | Premium | attemptedPrtAccess |
| Podejrzany ruch interfejsu API | Offline | Premium | suspiciousAPITraffic |
| Podejrzane wzorce wysyłania | Offline | Premium | suspiciousSendingPatterns |
| Zgłoszona przez użytkownika podejrzana aktywność | Offline | Premium | userReportedSuspiciousActivity |
^ Typ riskEventType dla wykrytego dodatkowego ryzyka jest ogólny dla dzierżaw z microsoft Entra ID Free lub Microsoft Entra ID P1. Wykryliśmy coś ryzykownego, ale szczegóły nie są dostępne bez licencji Microsoft Entra ID P2.
Wykrywanie ryzyka logowania
Aktywność z anonimowego adresu IP
Ta detekcja jest odkrywana przy użyciu informacji dostarczonych przez Microsoft Defender dla aplikacji w chmurze. To wykrywanie identyfikuje, że użytkownicy byli aktywni z adresu IP zidentyfikowanego jako anonimowy adres IP serwera proxy.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Wykryto dodatkowe ryzyko (logowanie)
To wykrywanie wskazuje, że wykryto jedno z wykryć w warstwie Premium. Ponieważ wykrycia w warstwie Premium są widoczne tylko dla klientów microsoft Entra ID P2, są one zatytułowane Dodatkowe ryzyko wykryte dla klientów bez licencji microsoft Entra ID P2.
- Obliczane w czasie rzeczywistym lub w trybie offline
- Wymaganie licencyjne: Microsoft Entra ID Free lub Microsoft Entra ID P1
Potwierdzone przez administratora naruszenie zabezpieczeń użytkownika
To wykrywanie wskazuje, że administrator wybrał pozycję Potwierdź, że użytkownik został naruszony w interfejsie użytkownika dla ryzykownych użytkowników lub przy użyciu interfejsu API dla ryzykownych użytkowników. Aby sprawdzić, który administrator potwierdził kompromitację tego użytkownika, sprawdź historię ryzyka użytkownika (za pośrednictwem interfejsu użytkownika lub interfejsu API).
- Calculated offline
- Wymaganie licencyjne: Microsoft Entra ID Free lub Microsoft Entra ID P1
Nietypowy token (logowanie)
To wykrywanie wskazuje nietypowe cechy tokenu, takie jak nietypowy okres istnienia lub token odtwarzany z nieznanej lokalizacji. To wykrywanie obejmuje "Tokeny sesji" i "Odśwież tokeny".
Nietypowy token jest dostrojony, aby generować więcej zakłóceń niż inne wykrycia na tym samym poziomie ryzyka. Ten kompromis jest wybierany w celu zwiększenia prawdopodobieństwa wykrycia powtórzonych tokenów, które w przeciwnym razie mogłyby pozostać niezauważone. Istnieje prawdopodobieństwo większe niż normalne, że niektóre sesje oflagowane przez to wykrycie są fałszywie dodatnie. Zalecamy zbadanie sesji oflagowanych przez to wykrywanie w kontekście innych logowań użytkownika. Jeśli lokalizacja, aplikacja, adres IP, agent użytkownika lub inne cechy są nieoczekiwane dla użytkownika, administrator powinien rozważyć to ryzyko jako wskaźnik potencjalnego odtwarzania tokenu.
- Obliczane w czasie rzeczywistym lub w trybie offline
- Wymaganie licencyjne: Microsoft Entra ID P2
- Porady dotyczące badania nietypowych wykryć tokenów.
Anonimowy adres IP
Ten typ wykrywania ryzyka wskazuje logowania z anonimowego adresu IP (na przykład przeglądarki Tor lub anonimowej sieci VPN). Te adresy IP są zwykle używane przez aktorów, którzy chcą ukryć informacje logowania (adres IP, lokalizacja, urządzenie itd.) w celu potencjalnie złośliwych intencji.
- Obliczane w czasie rzeczywistym
- Wymaganie licencyjne: Microsoft Entra ID Free lub Microsoft Entra ID P1
Nietypowa podróż
Ten typ wykrywania ryzyka identyfikuje dwa logowania pochodzące z odległych geograficznie lokalizacji, w których co najmniej jedna z lokalizacji może być również nietypowa dla użytkownika, biorąc pod uwagę wcześniejsze zachowanie. Algorytm uwzględnia wiele czynników, w tym czas między dwoma logowaniami i czas potrzebny użytkownikowi na podróż z pierwszej lokalizacji do drugiej. To ryzyko może wskazywać, że inny użytkownik używa tych samych poświadczeń.
Algorytm ignoruje oczywiste "fałszywie dodatnie" przyczyniające się do niemożliwych warunków podróży, takich jak sieci VPN i lokalizacje regularnie używane przez innych użytkowników w organizacji. System ma początkowy okres nauki trwający do 14 dni lub 10 logowań się, w zależności od tego, co nastąpi wcześniej, podczas którego poznaje zachowania logowania nowego użytkownika.
- Calculated offline
- Wymaganie licencyjne: Microsoft Entra ID P2
- Porady dotyczące analizy nietypowych zdarzeń podróży.
niemożliwa podróż
Ta detekcja jest odkrywana przy użyciu informacji dostarczonych przez Microsoft Defender dla aplikacji w chmurze. To wykrywanie identyfikuje działania użytkownika (w jednej lub wielu sesjach) pochodzące z odległych geograficznie lokalizacji w okresie krótszym niż czas potrzebny do podróży z pierwszej lokalizacji do drugiej. To ryzyko może wskazywać, że inny użytkownik używa tych samych poświadczeń.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Złośliwy adres IP
To wykrywanie wskazuje logowanie ze złośliwego adresu IP. Adres IP jest uważany za złośliwy ze względu na wysokie współczynniki niepowodzeń z powodu nieprawidłowych danych uwierzytelniających otrzymanych z adresu IP lub innych źródeł oceny reputacji adresów IP. W niektórych przypadkach to wykrywanie wyzwala poprzednie złośliwe działanie.
- Calculated offline
- Wymaganie licencyjne: Microsoft Entra ID P2
- Porady dotyczące badania wykrywania złośliwych adresów IP.
Masowy dostęp do poufnych plików
Ta detekcja jest odkrywana przy użyciu informacji dostarczonych przez Microsoft Defender dla aplikacji w chmurze. To wykrywanie sprawdza środowisko i wyzwala alerty, gdy użytkownicy uzyskują dostęp do wielu plików z Microsoft Office SharePoint Online lub Microsoft OneDrive. Alert jest wyzwalany tylko wtedy, gdy liczba używanych plików jest rzadkością dla użytkownika, a pliki mogą zawierać poufne informacje.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Microsoft Entra - inteligencja zagrożeń (logowanie)
Ten typ wykrywania ryzyka wskazuje na aktywność użytkownika, która jest nietypowa dla użytkownika lub jest zgodna ze znanymi wzorcami ataków. Ta funkcja wykrywania jest oparta na wewnętrznych i zewnętrznych źródłach analizy zagrożeń firmy Microsoft.
- Obliczane w czasie rzeczywistym lub w trybie offline
- Wymaganie licencyjne: Microsoft Entra ID Free lub Microsoft Entra ID P1
- Porady dotyczące badania wykrywania analizy zagrożeń firmy Microsoft w usłudze Entra.
Nowy kraj
Ta detekcja jest odkrywana przy użyciu informacji dostarczonych przez Microsoft Defender dla aplikacji w chmurze. To wykrywanie uwzględnia wcześniejsze lokalizacje działań w celu określenia nowych i rzadkich lokalizacji. Aparat wykrywania anomalii przechowuje informacje o poprzednich lokalizacjach używanych przez użytkowników w organizacji.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Atak rozproszony na hasła
Atak z użyciem sprayu haseł polega na tym, że wiele tożsamości jest atakowanych przy użyciu typowych haseł w ujednolicony sposób siłowy. Wykrywanie ryzyka jest wyzwalane, gdy hasło konta jest poprawne i ktoś próbuje się zalogować. To wykrywanie sygnalizuje, że hasło użytkownika zostało prawidłowo zidentyfikowane za pośrednictwem ataku sprayu haseł, a nie, że osoba atakująca mogła uzyskać dostęp do żadnych zasobów.
- Obliczane w czasie rzeczywistym lub w trybie offline
- Wymaganie licencyjne: Microsoft Entra ID P2
- Porady dotyczące badania ataków typu password spray.
Suspicious browser
Wykrycie podejrzanej przeglądarki sygnalizuje anomalne zachowanie na podstawie podejrzanych działań logowania w wielu dzierżawach z różnych krajów i regionów w tej samej przeglądarce.
- Calculated offline
- Wymaganie licencyjne: Microsoft Entra ID P2
- Porady dotyczące badania podejrzanych wykryć przeglądarki.
Podejrzane przesyłanie dalej wiadomości ze skrzynki odbiorczej
Ta detekcja jest odkrywana przy użyciu informacji dostarczonych przez Microsoft Defender dla aplikacji w chmurze. To wykrywanie wyszukuje podejrzane reguły przekazywania wiadomości e-mail, na przykład jeśli użytkownik utworzył regułę skrzynki odbiorczej, która przekazuje kopię wszystkich wiadomości e-mail na adres zewnętrzny.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Podejrzane reguły obsługi skrzynki odbiorczej
Ta detekcja jest odkrywana przy użyciu informacji dostarczonych przez Microsoft Defender dla aplikacji w chmurze. To wykrywanie sprawdza środowisko i wyzwala alerty, gdy podejrzane reguły usuwające lub przenoszące komunikaty lub foldery są ustawiane w skrzynce odbiorczej użytkownika. To wykrywanie może wskazywać: konto użytkownika zostało naruszone, wiadomości są celowo ukryte, a skrzynka pocztowa jest używana do rozpowszechniania spamu lub złośliwego oprogramowania w organizacji.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Anomalia wystawcy tokenu
To wykrywanie ryzyka wskazuje, że wystawca skojarzonego tokenu SAML jest potencjalnie zagrożony. Twierdzenia zawarte w tokenie są nietypowe lub odpowiadają znanym wzorcom atakujących.
- Calculated offline
- Wymaganie licencyjne: Microsoft Entra ID P2
- Porady dotyczące badania wykrycia anomalii związanych z wystawcą tokenu.
Nieznane właściwości logowania
Ten typ wykrywania ryzyka uwzględnia poprzednią historię logowania, aby wyszukać nietypowe logowania. System przechowuje informacje o poprzednich logowaniach i wyzwala wykrywanie ryzyka w przypadku wystąpienia logowania przy użyciu właściwości nieznanych użytkownikowi. Te właściwości mogą obejmować adresy IP, ASN, lokalizację, podsieć IP najemcy, urządzenie i przeglądarkę. Nowo utworzeni użytkownicy są w okresie "trybu uczenia", w którym wykrywanie ryzyka związanego z nieznanymi właściwościami logowania jest wyłączone, podczas gdy nasze algorytmy uczą się zachowania użytkownika. Czas trwania trybu uczenia jest dynamiczny i zależy od tego, ile czasu zajmuje algorytmowi zebranie wystarczającej ilości informacji o wzorcach logowania użytkownika. Minimalny czas trwania wynosi pięć dni. Użytkownik może wrócić do trybu uczenia po długim okresie braku aktywności.
Uruchamiamy również to wykrywanie na potrzeby uwierzytelniania podstawowego (lub starszych protokołów). Ponieważ te protokoły nie mają nowoczesnych właściwości, takich jak identyfikator klienta, istnieją ograniczone dane, aby zmniejszyć liczbę wyników fałszywie dodatnich. Zalecamy naszym klientom przejście do nowoczesnego uwierzytelniania.
Nieznane właściwości logowania można wykryć zarówno przy logowaniu interaktywnym, jak i nieinteraktywnym. Jeśli zostanie to wykryte przy logowaniu nieinteraktywnym, wymaga to zwiększonej kontroli ze względu na ryzyko ataków odtworzeniowych z tokenem.
Wybranie ryzyka związanego z nietypowymi właściwościami logowania umożliwia wyświetlenie bardziej szczegółowych informacji o tym, dlaczego to ryzyko zostało uruchomione.
- Obliczane w czasie rzeczywistym
- Wymaganie licencyjne: Microsoft Entra ID P2
Zweryfikowany adres IP aktora zagrożeń
Obliczane w czasie rzeczywistym. Ten typ wykrywania ryzyka wskazuje na aktywność logowania zgodną ze znanymi adresami IP skojarzonymi z podmiotami państwowymi lub grupami cyberprzestępców na podstawie danych z Centrum analizy zagrożeń firmy Microsoft (MSTIC).
- Obliczane w czasie rzeczywistym
- Wymaganie licencyjne: Microsoft Entra ID P2
Wykrywanie ryzyka związanego z użytkownikiem
Wykryto dodatkowe ryzyko (użytkownik)
To wykrywanie wskazuje, że wykryto jedno z wykryć w warstwie Premium. Ponieważ wykrycia w warstwie Premium są widoczne tylko dla klientów microsoft Entra ID P2, są one zatytułowane Dodatkowe ryzyko wykryte dla klientów bez licencji microsoft Entra ID P2.
- Obliczane w czasie rzeczywistym lub w trybie offline
- Wymaganie licencyjne: Microsoft Entra ID Free lub Microsoft Entra ID P1
Nietypowy token (użytkownik)
To wykrywanie wskazuje nietypowe cechy tokenu, takie jak nietypowy okres istnienia lub token odtwarzany z nieznanej lokalizacji. To wykrywanie obejmuje "Tokeny sesji" i "Odśwież tokeny".
Nietypowy token jest dostrojony, aby generować więcej zakłóceń niż inne wykrycia na tym samym poziomie ryzyka. Ten kompromis jest wybierany w celu zwiększenia prawdopodobieństwa wykrycia powtórzonych tokenów, które w przeciwnym razie mogłyby pozostać niezauważone. Istnieje prawdopodobieństwo większe niż normalne, że niektóre sesje oflagowane przez to wykrycie są fałszywie dodatnie. Zalecamy zbadanie sesji oflagowanych przez to wykrywanie w kontekście innych logowań użytkownika. Jeśli lokalizacja, aplikacja, adres IP, agent użytkownika lub inne cechy są nieoczekiwane dla użytkownika, administrator powinien rozważyć to ryzyko jako wskaźnik potencjalnego odtwarzania tokenu.
- Obliczane w czasie rzeczywistym lub w trybie offline
- Wymaganie licencyjne: Microsoft Entra ID P2
- Porady dotyczące badania nietypowych wykryć tokenów.
Nietypowe działanie użytkownika
To wykrywanie ryzyka określa normalne zachowanie użytkownika administracyjnego w identyfikatorze Entra firmy Microsoft i wykrywa nietypowe wzorce zachowania, takie jak podejrzane zmiany w katalogu. Wykrywanie jest uruchamiane wobec administratora, który dokonuje zmiany lub obiektu, który został zmieniony.
- Calculated offline
- Wymaganie licencyjne: Microsoft Entra ID P2
Atakujący w środku
Nazywane również przeciwnikiem w środku, to wykrywanie o wysokiej precyzji jest wyzwalane, gdy sesja uwierzytelniania jest połączona ze złośliwym zwrotnym serwerem proxy. W takim ataku atakujący może przechwycić poświadczenia użytkownika, w tym tokeny wystawione dla użytkownika. The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. Zalecamy administratorom przeprowadzenie ręcznej analizy użytkownika, gdy to wykrycie zostanie uruchomione, aby upewnić się, że ryzyko zostało usunięte. Wyczyszczenie tego ryzyka może wymagać bezpiecznego resetowania hasła lub odwoływania istniejących sesji.
- Calculated offline
- Wymaganie licencyjne: Microsoft Entra ID P2
Ujawnione poświadczenia
Ten typ wykrywania ryzyka wskazuje, że wyciekły prawidłowe poświadczenia użytkownika. Gdy cyberprzestępcy naruszyli prawidłowe hasła uprawnionych użytkowników, często udostępniają te zebrane poświadczenia. Jest to zwykle wykonywane poprzez publiczne publikowanie na ciemnej sieci, na stronach w rodzaju paste sites lub poprzez wymianę i sprzedaż danych uwierzytelniających na czarnym rynku. Gdy usługa firmy Microsoft zajmująca się wyciekami poświadczeń uzyskuje poświadczenia użytkowników z ciemnej sieci, witryn typu pastebin lub innych źródeł, są one porównywane z bieżącymi prawidłowymi poświadczeniami użytkowników Microsoft Entra w celu odnalezienia zgodności. For more information about leaked credentials, see FAQs.
- Calculated offline
- Wymaganie licencyjne: Microsoft Entra ID Free lub Microsoft Entra ID P1
- Porady dotyczące badania wykrycia wyciekłych poświadczeń.
Microsoft Entra analiza zagrożeń (użytkownik)
Ten typ wykrywania ryzyka wskazuje na aktywność użytkownika, która jest nietypowa dla użytkownika lub jest zgodna ze znanymi wzorcami ataków. Ta funkcja wykrywania jest oparta na wewnętrznych i zewnętrznych źródłach analizy zagrożeń firmy Microsoft.
- Calculated offline
- Wymaganie licencyjne: Microsoft Entra ID Free lub Microsoft Entra ID P1
- Porady dotyczące badania wykrywania analizy zagrożeń firmy Microsoft w usłudze Entra.
Możliwa próba uzyskania dostępu do tokenu odświeżania podstawowego (PRT)
Ten typ wykrywania ryzyka jest odkrywany na podstawie informacji dostarczonych przez Microsoft Defender for Endpoint (MDE). Podstawowy token odświeżania (PRT) to główny element uwierzytelniania Microsoft Entra na systemach Windows 10, Windows Server 2016 i nowszych wersjach, oraz na urządzeniach iOS i Android. PrT to token internetowy JSON (JWT) wystawiony dla brokerów tokenów firmy Microsoft, aby umożliwić logowanie jednokrotne (SSO) w aplikacjach używanych na tych urządzeniach. Osoby atakujące mogą próbować uzyskać dostęp do tego zasobu, aby przenieść się później do organizacji lub przeprowadzić kradzież poświadczeń. To wykrywanie powoduje, że użytkownicy są klasyfikowani jako zagrożeni wysokiego ryzyka i jest aktywne tylko w organizacjach wdrażających rozwiązanie MDE. To wykrycie wiąże się z wysokim ryzykiem, i zalecamy szybką naprawę związanych z tymi użytkownikami problemów. Występuje rzadko w większości organizacji ze względu na niską częstotliwość.
- Calculated offline
- Wymaganie licencyjne: Microsoft Entra ID P2
Podejrzany ruch interfejsu API
Wykrywanie tego ryzyka jest zgłaszane, gdy zaobserwuje się nietypowy ruch w interfejsie GraphAPI lub wyliczanie katalogu. Podejrzany ruch interfejsu API może sugerować, że użytkownik został przejęty i prowadzi rekonesans w środowisku.
- Calculated offline
- Wymaganie licencyjne: Microsoft Entra ID P2
Podejrzane wzorce wysyłania
Ten typ wykrywania ryzyka jest odkrywany przy użyciu informacji dostarczonych przez Microsoft Defender dla Office 365 (MDO). Ten alert jest generowany, gdy ktoś w organizacji wysłał podejrzaną wiadomość e-mail i jest zagrożony ograniczeniem lub już został ograniczony w wysyłaniu wiadomości e-mail. To wykrywanie klasyfikuje użytkowników jako średnie ryzyko i aktywuje się tylko w organizacjach wdrażających MDO. To wykrywanie jest małe i występuje rzadko w większości organizacji.
- Calculated offline
- Wymaganie licencyjne: Microsoft Entra ID P2
Zgłoszona przez użytkownika podejrzana aktywność
To wykrywanie ryzyka jest zgłaszane, gdy użytkownik odmawia monitu uwierzytelniania wieloskładnikowego (MFA) i zgłasza go jako podejrzane działanie. Powiadomienie o uwierzytelnianiu wieloskładnikowym nie zainicjowane przez użytkownika może sugerować, że jego poświadczenia mogą być naruszone.
- Calculated offline
- Wymaganie licencyjne: Microsoft Entra ID P2