Udostępnij za pośrednictwem


Co to są wykrycia ryzyka?

Usługa Microsoft Entra ID Protection może zapewnić szeroką gamę wykrywania ryzyka, które mogą służyć do identyfikowania podejrzanych działań w organizacji. Tabele zawarte w tym artykule zawierają podsumowanie listy wykrywania ryzyka logowania i użytkownika, w tym wymagań dotyczących licencji lub wykrycia w czasie rzeczywistym lub offline. Dalsze szczegółowe informacje na temat każdego wykrywania ryzyka można znaleźć w tabelach.

  • Pełne szczegóły dotyczące większości wykryć ryzyka wymagają identyfikatora P2 firmy Microsoft.
    • Klienci bez licencji microsoft Entra ID P2 otrzymują wykrycia zatytułowane Dodatkowe ryzyko wykryte bez szczegółów wykrywania ryzyka.
    • For more information, see the license requirements.
  • Aby uzyskać informacje na temat wykrywania ryzyka tożsamości obciążenia, zobacz Zabezpieczanie tożsamości obciążeń.

Note

Aby uzyskać szczegółowe informacje na temat wykrywania w czasie rzeczywistym i poziomów ryzyka w trybie offline, zobacz Typy i poziomy wykrywania ryzyka.

Wykrycia ryzyka logowania mapowane na riskEventType

Wybierz wykrywanie ryzyka z listy, aby wyświetlić opis wykrywania ryzyka, jego działania i wymagania licencyjne. In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license. Nonpremium indicates the detection is available with Microsoft Entra ID Free. Kolumna riskEventType wskazuje wartość wyświetlaną w zapytaniach interfejsu API programu Microsoft Graph.

Wykrywanie ryzyka logowania Detection type Typ riskEventType
Działanie z anonimowego adresu IP Offline Premium riskyIPAddress
Wykryto dodatkowe ryzyko (logowanie) W czasie rzeczywistym lub w trybie offline Nonpremium generic ^
Administrator potwierdził naruszenie zabezpieczeń użytkownika Offline Nonpremium adminConfirmedUserCompromised
Nietypowy token autoryzacyjny (logowanie) W czasie rzeczywistym lub w trybie offline Premium anomalousToken
Anonimowy adres IP Real-time Nonpremium anonymizedIPAddress
Atypical travel Offline Premium unlikelyTravel
Impossible travel Offline Premium mcasImpossibleTravel
Złośliwy adres IP Offline Premium maliciousIPAddress
Masowy dostęp do poufnych plików Offline Premium mcasFinSuspiciousFileAccess
Microsoft Entra informacje o zagrożeniach (logowanie) W czasie rzeczywistym lub w trybie offline Nonpremium investigationsThreatIntelligence
New country Offline Premium newCountry
Password spray W czasie rzeczywistym lub w trybie offline Premium passwordSpray
Suspicious browser Offline Premium suspiciousBrowser
Podejrzane przekazywanie wiadomości Offline Premium suspiciousInboxForwarding
Podejrzane reguły manipulowania skrzynką odbiorczą Offline Premium mcasSuspiciousInboxManipulationRules
Anomalia wystawcy tokenu Offline Premium tokenIssuerAnomaly
Nieznane właściwości logowania Real-time Premium unfamiliarFeatures
Zweryfikowany adres IP aktora zagrożeń Real-time Premium nationStateIP

^ Typ riskEventType dla wykrytego dodatkowego ryzyka jest ogólny dla dzierżaw z microsoft Entra ID Free lub Microsoft Entra ID P1. Wykryliśmy coś ryzykownego, ale szczegóły nie są dostępne bez licencji Microsoft Entra ID P2.

Wykrycia ryzyka związanego z użytkownikiem mapowane na ryzykoEventType

Wybierz wykrywanie ryzyka z listy, aby wyświetlić opis wykrywania ryzyka, jego działania i wymagania licencyjne.

Wykrywanie ryzyka związanego z użytkownikiem Detection type Typ riskEventType
Wykryto dodatkowe ryzyko (użytkownik) W czasie rzeczywistym lub w trybie offline Nonpremium generic ^
Nieprawidłowy Token (użytkownik) W czasie rzeczywistym lub w trybie offline Premium anomalousToken
Nietypowe działanie użytkownika Offline Premium anomalousUserActivity
Atakujący pośrodku Offline Premium attackerinTheMiddle
Leaked credentials Offline Nonpremium leakedCredentials
Microsoft Entra Threat Intelligence (użytkownik) W czasie rzeczywistym lub w trybie offline Nonpremium investigationsThreatIntelligence
Możliwa próba uzyskania dostępu do podstawowego tokenu odświeżania (PRT) Offline Premium attemptedPrtAccess
Podejrzany ruch interfejsu API Offline Premium suspiciousAPITraffic
Podejrzane wzorce wysyłania Offline Premium suspiciousSendingPatterns
Zgłoszona przez użytkownika podejrzana aktywność Offline Premium userReportedSuspiciousActivity

^ Typ riskEventType dla wykrytego dodatkowego ryzyka jest ogólny dla dzierżaw z microsoft Entra ID Free lub Microsoft Entra ID P1. Wykryliśmy coś ryzykownego, ale szczegóły nie są dostępne bez licencji Microsoft Entra ID P2.

Wykrywanie ryzyka logowania

Aktywność z anonimowego adresu IP

Ta detekcja jest odkrywana przy użyciu informacji dostarczonych przez Microsoft Defender dla aplikacji w chmurze. To wykrywanie identyfikuje, że użytkownicy byli aktywni z adresu IP zidentyfikowanego jako anonimowy adres IP serwera proxy.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Wykryto dodatkowe ryzyko (logowanie)

To wykrywanie wskazuje, że wykryto jedno z wykryć w warstwie Premium. Ponieważ wykrycia w warstwie Premium są widoczne tylko dla klientów microsoft Entra ID P2, są one zatytułowane Dodatkowe ryzyko wykryte dla klientów bez licencji microsoft Entra ID P2.

  • Obliczane w czasie rzeczywistym lub w trybie offline
  • Wymaganie licencyjne: Microsoft Entra ID Free lub Microsoft Entra ID P1

Potwierdzone przez administratora naruszenie zabezpieczeń użytkownika

To wykrywanie wskazuje, że administrator wybrał pozycję Potwierdź, że użytkownik został naruszony w interfejsie użytkownika dla ryzykownych użytkowników lub przy użyciu interfejsu API dla ryzykownych użytkowników. Aby sprawdzić, który administrator potwierdził kompromitację tego użytkownika, sprawdź historię ryzyka użytkownika (za pośrednictwem interfejsu użytkownika lub interfejsu API).

  • Calculated offline
  • Wymaganie licencyjne: Microsoft Entra ID Free lub Microsoft Entra ID P1

Nietypowy token (logowanie)

To wykrywanie wskazuje nietypowe cechy tokenu, takie jak nietypowy okres istnienia lub token odtwarzany z nieznanej lokalizacji. To wykrywanie obejmuje "Tokeny sesji" i "Odśwież tokeny".

Nietypowy token jest dostrojony, aby generować więcej zakłóceń niż inne wykrycia na tym samym poziomie ryzyka. Ten kompromis jest wybierany w celu zwiększenia prawdopodobieństwa wykrycia powtórzonych tokenów, które w przeciwnym razie mogłyby pozostać niezauważone. Istnieje prawdopodobieństwo większe niż normalne, że niektóre sesje oflagowane przez to wykrycie są fałszywie dodatnie. Zalecamy zbadanie sesji oflagowanych przez to wykrywanie w kontekście innych logowań użytkownika. Jeśli lokalizacja, aplikacja, adres IP, agent użytkownika lub inne cechy są nieoczekiwane dla użytkownika, administrator powinien rozważyć to ryzyko jako wskaźnik potencjalnego odtwarzania tokenu.

Anonimowy adres IP

Ten typ wykrywania ryzyka wskazuje logowania z anonimowego adresu IP (na przykład przeglądarki Tor lub anonimowej sieci VPN). Te adresy IP są zwykle używane przez aktorów, którzy chcą ukryć informacje logowania (adres IP, lokalizacja, urządzenie itd.) w celu potencjalnie złośliwych intencji.

  • Obliczane w czasie rzeczywistym
  • Wymaganie licencyjne: Microsoft Entra ID Free lub Microsoft Entra ID P1

Nietypowa podróż

Ten typ wykrywania ryzyka identyfikuje dwa logowania pochodzące z odległych geograficznie lokalizacji, w których co najmniej jedna z lokalizacji może być również nietypowa dla użytkownika, biorąc pod uwagę wcześniejsze zachowanie. Algorytm uwzględnia wiele czynników, w tym czas między dwoma logowaniami i czas potrzebny użytkownikowi na podróż z pierwszej lokalizacji do drugiej. To ryzyko może wskazywać, że inny użytkownik używa tych samych poświadczeń.

Algorytm ignoruje oczywiste "fałszywie dodatnie" przyczyniające się do niemożliwych warunków podróży, takich jak sieci VPN i lokalizacje regularnie używane przez innych użytkowników w organizacji. System ma początkowy okres nauki trwający do 14 dni lub 10 logowań się, w zależności od tego, co nastąpi wcześniej, podczas którego poznaje zachowania logowania nowego użytkownika.

niemożliwa podróż

Ta detekcja jest odkrywana przy użyciu informacji dostarczonych przez Microsoft Defender dla aplikacji w chmurze. To wykrywanie identyfikuje działania użytkownika (w jednej lub wielu sesjach) pochodzące z odległych geograficznie lokalizacji w okresie krótszym niż czas potrzebny do podróży z pierwszej lokalizacji do drugiej. To ryzyko może wskazywać, że inny użytkownik używa tych samych poświadczeń.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Złośliwy adres IP

To wykrywanie wskazuje logowanie ze złośliwego adresu IP. Adres IP jest uważany za złośliwy ze względu na wysokie współczynniki niepowodzeń z powodu nieprawidłowych danych uwierzytelniających otrzymanych z adresu IP lub innych źródeł oceny reputacji adresów IP. W niektórych przypadkach to wykrywanie wyzwala poprzednie złośliwe działanie.

Masowy dostęp do poufnych plików

Ta detekcja jest odkrywana przy użyciu informacji dostarczonych przez Microsoft Defender dla aplikacji w chmurze. To wykrywanie sprawdza środowisko i wyzwala alerty, gdy użytkownicy uzyskują dostęp do wielu plików z Microsoft Office SharePoint Online lub Microsoft OneDrive. Alert jest wyzwalany tylko wtedy, gdy liczba używanych plików jest rzadkością dla użytkownika, a pliki mogą zawierać poufne informacje.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Microsoft Entra - inteligencja zagrożeń (logowanie)

Ten typ wykrywania ryzyka wskazuje na aktywność użytkownika, która jest nietypowa dla użytkownika lub jest zgodna ze znanymi wzorcami ataków. Ta funkcja wykrywania jest oparta na wewnętrznych i zewnętrznych źródłach analizy zagrożeń firmy Microsoft.

Nowy kraj

Ta detekcja jest odkrywana przy użyciu informacji dostarczonych przez Microsoft Defender dla aplikacji w chmurze. To wykrywanie uwzględnia wcześniejsze lokalizacje działań w celu określenia nowych i rzadkich lokalizacji. Aparat wykrywania anomalii przechowuje informacje o poprzednich lokalizacjach używanych przez użytkowników w organizacji.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Atak rozproszony na hasła

Atak z użyciem sprayu haseł polega na tym, że wiele tożsamości jest atakowanych przy użyciu typowych haseł w ujednolicony sposób siłowy. Wykrywanie ryzyka jest wyzwalane, gdy hasło konta jest poprawne i ktoś próbuje się zalogować. To wykrywanie sygnalizuje, że hasło użytkownika zostało prawidłowo zidentyfikowane za pośrednictwem ataku sprayu haseł, a nie, że osoba atakująca mogła uzyskać dostęp do żadnych zasobów.

Suspicious browser

Wykrycie podejrzanej przeglądarki sygnalizuje anomalne zachowanie na podstawie podejrzanych działań logowania w wielu dzierżawach z różnych krajów i regionów w tej samej przeglądarce.

Podejrzane przesyłanie dalej wiadomości ze skrzynki odbiorczej

Ta detekcja jest odkrywana przy użyciu informacji dostarczonych przez Microsoft Defender dla aplikacji w chmurze. To wykrywanie wyszukuje podejrzane reguły przekazywania wiadomości e-mail, na przykład jeśli użytkownik utworzył regułę skrzynki odbiorczej, która przekazuje kopię wszystkich wiadomości e-mail na adres zewnętrzny.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Podejrzane reguły obsługi skrzynki odbiorczej

Ta detekcja jest odkrywana przy użyciu informacji dostarczonych przez Microsoft Defender dla aplikacji w chmurze. To wykrywanie sprawdza środowisko i wyzwala alerty, gdy podejrzane reguły usuwające lub przenoszące komunikaty lub foldery są ustawiane w skrzynce odbiorczej użytkownika. To wykrywanie może wskazywać: konto użytkownika zostało naruszone, wiadomości są celowo ukryte, a skrzynka pocztowa jest używana do rozpowszechniania spamu lub złośliwego oprogramowania w organizacji.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Anomalia wystawcy tokenu

To wykrywanie ryzyka wskazuje, że wystawca skojarzonego tokenu SAML jest potencjalnie zagrożony. Twierdzenia zawarte w tokenie są nietypowe lub odpowiadają znanym wzorcom atakujących.

Nieznane właściwości logowania

Ten typ wykrywania ryzyka uwzględnia poprzednią historię logowania, aby wyszukać nietypowe logowania. System przechowuje informacje o poprzednich logowaniach i wyzwala wykrywanie ryzyka w przypadku wystąpienia logowania przy użyciu właściwości nieznanych użytkownikowi. Te właściwości mogą obejmować adresy IP, ASN, lokalizację, podsieć IP najemcy, urządzenie i przeglądarkę. Nowo utworzeni użytkownicy są w okresie "trybu uczenia", w którym wykrywanie ryzyka związanego z nieznanymi właściwościami logowania jest wyłączone, podczas gdy nasze algorytmy uczą się zachowania użytkownika. Czas trwania trybu uczenia jest dynamiczny i zależy od tego, ile czasu zajmuje algorytmowi zebranie wystarczającej ilości informacji o wzorcach logowania użytkownika. Minimalny czas trwania wynosi pięć dni. Użytkownik może wrócić do trybu uczenia po długim okresie braku aktywności.

Uruchamiamy również to wykrywanie na potrzeby uwierzytelniania podstawowego (lub starszych protokołów). Ponieważ te protokoły nie mają nowoczesnych właściwości, takich jak identyfikator klienta, istnieją ograniczone dane, aby zmniejszyć liczbę wyników fałszywie dodatnich. Zalecamy naszym klientom przejście do nowoczesnego uwierzytelniania.

Nieznane właściwości logowania można wykryć zarówno przy logowaniu interaktywnym, jak i nieinteraktywnym. Jeśli zostanie to wykryte przy logowaniu nieinteraktywnym, wymaga to zwiększonej kontroli ze względu na ryzyko ataków odtworzeniowych z tokenem.

Wybranie ryzyka związanego z nietypowymi właściwościami logowania umożliwia wyświetlenie bardziej szczegółowych informacji o tym, dlaczego to ryzyko zostało uruchomione.

  • Obliczane w czasie rzeczywistym
  • Wymaganie licencyjne: Microsoft Entra ID P2

Zweryfikowany adres IP aktora zagrożeń

Obliczane w czasie rzeczywistym. Ten typ wykrywania ryzyka wskazuje na aktywność logowania zgodną ze znanymi adresami IP skojarzonymi z podmiotami państwowymi lub grupami cyberprzestępców na podstawie danych z Centrum analizy zagrożeń firmy Microsoft (MSTIC).

  • Obliczane w czasie rzeczywistym
  • Wymaganie licencyjne: Microsoft Entra ID P2

Wykrywanie ryzyka związanego z użytkownikiem

Wykryto dodatkowe ryzyko (użytkownik)

To wykrywanie wskazuje, że wykryto jedno z wykryć w warstwie Premium. Ponieważ wykrycia w warstwie Premium są widoczne tylko dla klientów microsoft Entra ID P2, są one zatytułowane Dodatkowe ryzyko wykryte dla klientów bez licencji microsoft Entra ID P2.

  • Obliczane w czasie rzeczywistym lub w trybie offline
  • Wymaganie licencyjne: Microsoft Entra ID Free lub Microsoft Entra ID P1

Nietypowy token (użytkownik)

To wykrywanie wskazuje nietypowe cechy tokenu, takie jak nietypowy okres istnienia lub token odtwarzany z nieznanej lokalizacji. To wykrywanie obejmuje "Tokeny sesji" i "Odśwież tokeny".

Nietypowy token jest dostrojony, aby generować więcej zakłóceń niż inne wykrycia na tym samym poziomie ryzyka. Ten kompromis jest wybierany w celu zwiększenia prawdopodobieństwa wykrycia powtórzonych tokenów, które w przeciwnym razie mogłyby pozostać niezauważone. Istnieje prawdopodobieństwo większe niż normalne, że niektóre sesje oflagowane przez to wykrycie są fałszywie dodatnie. Zalecamy zbadanie sesji oflagowanych przez to wykrywanie w kontekście innych logowań użytkownika. Jeśli lokalizacja, aplikacja, adres IP, agent użytkownika lub inne cechy są nieoczekiwane dla użytkownika, administrator powinien rozważyć to ryzyko jako wskaźnik potencjalnego odtwarzania tokenu.

Nietypowe działanie użytkownika

To wykrywanie ryzyka określa normalne zachowanie użytkownika administracyjnego w identyfikatorze Entra firmy Microsoft i wykrywa nietypowe wzorce zachowania, takie jak podejrzane zmiany w katalogu. Wykrywanie jest uruchamiane wobec administratora, który dokonuje zmiany lub obiektu, który został zmieniony.

  • Calculated offline
  • Wymaganie licencyjne: Microsoft Entra ID P2

Atakujący w środku

Nazywane również przeciwnikiem w środku, to wykrywanie o wysokiej precyzji jest wyzwalane, gdy sesja uwierzytelniania jest połączona ze złośliwym zwrotnym serwerem proxy. W takim ataku atakujący może przechwycić poświadczenia użytkownika, w tym tokeny wystawione dla użytkownika. The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. Zalecamy administratorom przeprowadzenie ręcznej analizy użytkownika, gdy to wykrycie zostanie uruchomione, aby upewnić się, że ryzyko zostało usunięte. Wyczyszczenie tego ryzyka może wymagać bezpiecznego resetowania hasła lub odwoływania istniejących sesji.

  • Calculated offline
  • Wymaganie licencyjne: Microsoft Entra ID P2

Ujawnione poświadczenia

Ten typ wykrywania ryzyka wskazuje, że wyciekły prawidłowe poświadczenia użytkownika. Gdy cyberprzestępcy naruszyli prawidłowe hasła uprawnionych użytkowników, często udostępniają te zebrane poświadczenia. Jest to zwykle wykonywane poprzez publiczne publikowanie na ciemnej sieci, na stronach w rodzaju paste sites lub poprzez wymianę i sprzedaż danych uwierzytelniających na czarnym rynku. Gdy usługa firmy Microsoft zajmująca się wyciekami poświadczeń uzyskuje poświadczenia użytkowników z ciemnej sieci, witryn typu pastebin lub innych źródeł, są one porównywane z bieżącymi prawidłowymi poświadczeniami użytkowników Microsoft Entra w celu odnalezienia zgodności. For more information about leaked credentials, see FAQs.

Microsoft Entra analiza zagrożeń (użytkownik)

Ten typ wykrywania ryzyka wskazuje na aktywność użytkownika, która jest nietypowa dla użytkownika lub jest zgodna ze znanymi wzorcami ataków. Ta funkcja wykrywania jest oparta na wewnętrznych i zewnętrznych źródłach analizy zagrożeń firmy Microsoft.

Możliwa próba uzyskania dostępu do tokenu odświeżania podstawowego (PRT)

Ten typ wykrywania ryzyka jest odkrywany na podstawie informacji dostarczonych przez Microsoft Defender for Endpoint (MDE). Podstawowy token odświeżania (PRT) to główny element uwierzytelniania Microsoft Entra na systemach Windows 10, Windows Server 2016 i nowszych wersjach, oraz na urządzeniach iOS i Android. PrT to token internetowy JSON (JWT) wystawiony dla brokerów tokenów firmy Microsoft, aby umożliwić logowanie jednokrotne (SSO) w aplikacjach używanych na tych urządzeniach. Osoby atakujące mogą próbować uzyskać dostęp do tego zasobu, aby przenieść się później do organizacji lub przeprowadzić kradzież poświadczeń. To wykrywanie powoduje, że użytkownicy są klasyfikowani jako zagrożeni wysokiego ryzyka i jest aktywne tylko w organizacjach wdrażających rozwiązanie MDE. To wykrycie wiąże się z wysokim ryzykiem, i zalecamy szybką naprawę związanych z tymi użytkownikami problemów. Występuje rzadko w większości organizacji ze względu na niską częstotliwość.

  • Calculated offline
  • Wymaganie licencyjne: Microsoft Entra ID P2

Podejrzany ruch interfejsu API

Wykrywanie tego ryzyka jest zgłaszane, gdy zaobserwuje się nietypowy ruch w interfejsie GraphAPI lub wyliczanie katalogu. Podejrzany ruch interfejsu API może sugerować, że użytkownik został przejęty i prowadzi rekonesans w środowisku.

  • Calculated offline
  • Wymaganie licencyjne: Microsoft Entra ID P2

Podejrzane wzorce wysyłania

Ten typ wykrywania ryzyka jest odkrywany przy użyciu informacji dostarczonych przez Microsoft Defender dla Office 365 (MDO). Ten alert jest generowany, gdy ktoś w organizacji wysłał podejrzaną wiadomość e-mail i jest zagrożony ograniczeniem lub już został ograniczony w wysyłaniu wiadomości e-mail. To wykrywanie klasyfikuje użytkowników jako średnie ryzyko i aktywuje się tylko w organizacjach wdrażających MDO. To wykrywanie jest małe i występuje rzadko w większości organizacji.

  • Calculated offline
  • Wymaganie licencyjne: Microsoft Entra ID P2

Zgłoszona przez użytkownika podejrzana aktywność

To wykrywanie ryzyka jest zgłaszane, gdy użytkownik odmawia monitu uwierzytelniania wieloskładnikowego (MFA) i zgłasza go jako podejrzane działanie. Powiadomienie o uwierzytelnianiu wieloskładnikowym nie zainicjowane przez użytkownika może sugerować, że jego poświadczenia mogą być naruszone.

  • Calculated offline
  • Wymaganie licencyjne: Microsoft Entra ID P2