Co to są wykrycia ryzyka?
Ochrona tożsamości Microsoft Entra dostarcza organizacjom informacje o podejrzanych działaniach w dzierżawie i pozwala im szybko reagować, aby zapobiec wystąpieniu dalszego ryzyka. Wykrywanie ryzyka to zaawansowany zasób, który może obejmować wszelkie podejrzane lub nietypowe działania związane z kontem użytkownika w katalogu. Wykrywanie ryzyka ochrony identyfikatorów może być połączone z indywidualnym użytkownikiem lub zdarzeniem logowania i przyczynić się do ogólnego wyniku ryzyka związanego z użytkownikiem znalezionego w raporcie Ryzykowni użytkownicy.
Wykrycia ryzyka użytkowników mogą oznaczać wiarygodne konto użytkownika jako zagrożone, gdy potencjalny aktor zagrożeń uzyskuje dostęp do konta, zagrażając poświadczeniu lub wykryciu nietypowej aktywności użytkownika. Wykrycia ryzyka logowania reprezentują prawdopodobieństwo, że dane żądanie uwierzytelniania nie jest autoryzowanym właścicielem konta. Możliwość identyfikowania ryzyka na poziomie użytkownika i logowania ma kluczowe znaczenie dla klientów mających możliwość zabezpieczenia dzierżawy.
Poziomy ryzyka
Usługa ID Protection kategoryzuje ryzyko na trzy warstwy: niski, średni i wysoki. Poziomy ryzyka obliczane przez nasze algorytmy uczenia maszynowego i reprezentują pewność, że firma Microsoft ma pewność, że co najmniej jedno z poświadczeń użytkownika jest znane przez nieautoryzowaną jednostkę.
- Wykrywanie ryzyka z wysokim poziomem ryzyka oznacza, że firma Microsoft jest bardzo pewna, że konto zostało naruszone.
- Wykrywanie ryzyka z poziomem ryzyka Niski oznacza, że istnieją anomalie występujące w logowaniu lub poświadczeniu użytkownika, ale jesteśmy mniej pewni, że te anomalie oznaczają, że konto zostało naruszone.
Wiele wykryć może być uruchamianych na więcej niż jednym z naszych poziomów ryzyka w zależności od liczby lub ważności wykrytych anomalii. Na przykład nieznane właściwości logowania mogą być uruchamiane na wysokim, średnim lub niskim poziomie na podstawie zaufania do sygnałów. Niektóre wykrycia, takie jak ujawnione poświadczenia i zweryfikowany adres IP aktora zagrożeń, są zawsze dostarczane jako wysokie ryzyko.
Ten poziom ryzyka jest ważny podczas podejmowania decyzji, które wykrycia mają priorytet, zbadać i skorygować. Odgrywają one również kluczową rolę w konfigurowaniu zasad dostępu warunkowego opartego na ryzyku, ponieważ dla każdej zasady można ustawić wyzwalanie dla niskich, średnich, wysokich lub nie wykrytych ryzyka. Na podstawie tolerancji ryzyka organizacji można utworzyć zasady wymagające uwierzytelniania wieloskładnikowego lub resetowania hasła, gdy usługa ID Protection wykryje określony poziom ryzyka dla jednego z użytkowników. Te zasady mogą kierować użytkownika do samodzielnego korygowania w celu rozwiązania ryzyka.
Ważne
Wszystkie "niskie" wykrycia na poziomie ryzyka i użytkownicy będą utrzymywać się w produkcie przez 6 miesięcy, po czym będą automatycznie przestarzali w celu zapewnienia czystszego środowiska badania. Średni i wysoki poziom ryzyka będzie utrzymywany do czasu skorygowania lub odrzucenia.
Na podstawie tolerancji ryzyka w organizacji można utworzyć zasady wymagające uwierzytelniania wieloskładnikowego lub resetowania hasła, gdy usługa ID Protection wykryje określony poziom ryzyka. Te zasady mogą kierować użytkownika do samodzielnego korygowania i rozwiązywania ryzyka lub blokowania w zależności od tolerancji.
Wykrywanie w czasie rzeczywistym i offline
Usługa ID Protection wykorzystuje techniki zwiększania dokładności wykrywania ryzyka związanego z użytkownikiem i logowaniem przez obliczenie niektórych zagrożeń w czasie rzeczywistym lub offline po uwierzytelnieniu. Wykrywanie ryzyka w czasie rzeczywistym podczas logowania daje możliwość wczesnego identyfikowania ryzyka, dzięki czemu klienci mogą szybko zbadać potencjalne naruszenie. W przypadku wykrywania, które obliczają ryzyko w trybie offline, mogą one zapewnić lepszy wgląd w sposób, w jaki aktor zagrożeń uzyskał dostęp do konta i wpływ na uprawnionego użytkownika. Niektóre wykrycia mogą być wyzwalane zarówno w trybie offline, jak i podczas logowania, co zwiększa pewność, że bezpieczeństwo jest precyzyjne.
Wykrywanie wyzwalane w czasie rzeczywistym może potrwać od 5 do 10 minut, aby wyświetlić szczegóły w raportach. Wykrywanie w trybie offline może potrwać do 48 godzin w raportach, ponieważ ocena właściwości potencjalnego ryzyka zajmuje trochę czasu.
Uwaga
Nasz system może wykryć, że zdarzenie ryzyka, które przyczyniło się do oceny ryzyka związanego z użytkownikiem ryzyka, było albo:
- Wynik fałszywie dodatni
- Ryzyko użytkownika zostało skorygowane przez zasady przez:
- Kończenie uwierzytelniania wieloskładnikowego
- Bezpieczna zmiana hasła
Nasz system odrzuci stan ryzyka, a szczegóły ryzyka potwierdzonego bezpiecznego logowania w sztucznej inteligencji będą widoczne i nie będą już przyczyniać się do ogólnego ryzyka użytkownika.
Wykrycia ryzyka mapowane na riskEventType
| Wykrywanie ryzyka | Typ wykrywania | Typ | riskEventType |
|---|---|---|---|
| Wykrywanie ryzyka logowania | |||
| Działanie z anonimowego adresu IP | W trybie offline | Premium | riskyIPAddress |
| Wykryto dodatkowe ryzyko (logowanie) | W czasie rzeczywistym lub w trybie offline | Niepremium | generic = Klasyfikacja wykrywania w warstwie Premium dla dzierżaw innych niż P2 |
| Administracja potwierdzono naruszenie zabezpieczeń użytkownika | W trybie offline | Niepremium | adminConfirmedUserCompromised |
| Nietypowy token | W czasie rzeczywistym lub w trybie offline | Premium | anomalousToken |
| Anonimowy adres IP | W czasie rzeczywistym | Niepremium | anonymizedIPAddress |
| Nietypowe podróże | W trybie offline | Premium | mało prawdopodobneTravel |
| Niemożliwa podróż | W trybie offline | Premium | mcasImpossibleTravel |
| Złośliwy adres IP | W trybie offline | Premium | maliciousIPAddress |
| Masowy dostęp do poufnych plików | W trybie offline | Premium | mcasFinSuspiciousFileAccess |
| Microsoft Entra threat Intelligence (logowanie) | W czasie rzeczywistym lub w trybie offline | Niepremium | dochodzeniaThreatIntelligence |
| Nowy kraj | W trybie offline | Premium | newCountry |
| Spray haseł | W trybie offline | Premium | passwordSpray |
| Podejrzana przeglądarka | W trybie offline | Premium | suspiciousBrowser |
| Podejrzane przekazywanie skrzynki odbiorczej | W trybie offline | Premium | suspiciousInboxForwarding |
| Podejrzane reguły manipulowania skrzynką odbiorczą | W trybie offline | Premium | mcasSuspiciousInboxManipulationRules |
| Anomalia wystawcy tokenu | W trybie offline | Premium | tokenIssuerAnomaly |
| Nieznane właściwości logowania | W czasie rzeczywistym | Premium | unfamiliarFeatures |
| Zweryfikowany adres IP aktora zagrożeń | W czasie rzeczywistym | Premium | nationStateIP |
| Wykrywanie ryzyka związanego z użytkownikiem | |||
| Wykryto dodatkowe ryzyko (użytkownik) | W czasie rzeczywistym lub w trybie offline | Niepremium | generic = Klasyfikacja wykrywania w warstwie Premium dla dzierżaw innych niż P2 |
| Nietypowe działanie użytkownika | W trybie offline | Premium | anomalousUserActivity |
| Atakujący w środku | W trybie offline | Premium | attackerinTheMiddle |
| Ujawnione poświadczenia | W trybie offline | Niepremium | leakedCredentials |
| Microsoft Entra threat Intelligence (użytkownik) | W czasie rzeczywistym lub w trybie offline | Niepremium | dochodzeniaThreatIntelligence |
| Możliwa próba uzyskania dostępu do podstawowego tokenu odświeżania (PRT) | W trybie offline | Premium | attemptedPrtAccess |
| Podejrzany ruch interfejsu API | W trybie offline | Premium | suspiciousAPITraffic |
| Podejrzane wzorce wysyłania | W trybie offline | Premium | suspiciousSendingPatterns |
| Zgłoszona przez użytkownika podejrzana aktywność | W trybie offline | Premium | userReportedSuspiciousActivity |
Wykrywanie w warstwie Premium
Następujące wykrycia w warstwie Premium są widoczne tylko dla klientów firmy Microsoft Entra ID P2.
Wykrywanie ryzyka logowania w warstwie Premium
Działanie z anonimowego adresu IP
Obliczane w trybie offline. Ta funkcja wykrywania jest wykrywana przy użyciu informacji dostarczonych przez usługę Microsoft Defender dla Chmury Apps. To wykrywanie identyfikuje, że użytkownicy byli aktywni z adresu IP zidentyfikowanego jako anonimowy adres IP serwera proxy.
Nietypowy token
Obliczane w czasie rzeczywistym lub offline. To wykrywanie wskazuje nietypowe cechy tokenu, takie jak nietypowy okres istnienia lub token odtwarzany z nieznanej lokalizacji. To wykrywanie obejmuje tokeny sesji i tokeny odświeżania.
Nietypowy token jest dostrojony w celu ponoszenia większej ilości szumu niż inne wykrycia na tym samym poziomie ryzyka. Ta kompromis jest wybierana w celu zwiększenia prawdopodobieństwa wykrycia ponownie odtwarzanych tokenów, które w przeciwnym razie mogą być niezauważone. Istnieje większe niż normalne prawdopodobieństwo, że niektóre sesje oflagowane przez to wykrywanie są fałszywie dodatnie. Zalecamy zbadanie sesji oflagowanych przez to wykrywanie w kontekście innych logów od użytkownika. Jeśli lokalizacja, aplikacja, adres IP, agent użytkownika lub inne cechy są nieoczekiwane dla użytkownika, administrator powinien rozważyć to ryzyko jako wskaźnik potencjalnego odtwarzania tokenu.
Nietypowa podróż
Obliczane w trybie offline. Ten typ wykrywania ryzyka identyfikuje dwa logowania pochodzące z odległych geograficznie lokalizacji, w których co najmniej jedna z lokalizacji może być również nietypowa dla użytkownika, biorąc pod uwagę wcześniejsze zachowanie. Algorytm uwzględnia wiele czynników, w tym czas między dwoma logowaniami i czas potrzebny użytkownikowi na podróż z pierwszej lokalizacji do drugiej. To ryzyko może wskazywać, że inny użytkownik używa tych samych poświadczeń.
Algorytm ignoruje oczywiste "fałszywie dodatnie" przyczyniające się do niemożliwych warunków podróży, takich jak sieci VPN i lokalizacje regularnie używane przez innych użytkowników w organizacji. System ma początkowy okres szkoleniowy najwcześniejszy od 14 dni do 10 logowań, podczas którego uczy się zachowania logowania nowego użytkownika.
Niemożliwa podróż
Obliczane w trybie offline. Ta funkcja wykrywania jest wykrywana przy użyciu informacji dostarczonych przez usługę Microsoft Defender dla Chmury Apps. To wykrywanie identyfikuje działania użytkownika (w jednej lub wielu sesjach) pochodzące z odległych geograficznie lokalizacji w okresie krótszym niż czas potrzebny do podróży z pierwszej lokalizacji do drugiej. To ryzyko może wskazywać, że inny użytkownik używa tych samych poświadczeń.
Złośliwy adres IP
Obliczane w trybie offline. To wykrywanie wskazuje logowanie ze złośliwego adresu IP. Adres IP jest uważany za złośliwy na podstawie wysokich współczynników niepowodzeń z powodu nieprawidłowych poświadczeń otrzymanych z adresu IP lub innych źródeł reputacji adresów IP.
Masowy dostęp do poufnych plików
Obliczane w trybie offline. Ta funkcja wykrywania jest wykrywana przy użyciu informacji dostarczonych przez usługę Microsoft Defender dla Chmury Apps. To wykrywanie sprawdza środowisko i wyzwala alerty, gdy użytkownicy uzyskują dostęp do wielu plików z Microsoft Office SharePoint Online lub Microsoft OneDrive. Alert jest wyzwalany tylko wtedy, gdy liczba używanych plików jest rzadkością dla użytkownika, a pliki mogą zawierać poufne informacje.
Nowy kraj
Obliczane w trybie offline. Ta funkcja wykrywania jest wykrywana przy użyciu informacji dostarczonych przez usługę Microsoft Defender dla Chmury Apps. To wykrywanie uwzględnia wcześniejsze lokalizacje działań w celu określenia nowych i rzadkich lokalizacji. Aparat wykrywania anomalii przechowuje informacje o poprzednich lokalizacjach używanych przez użytkowników w organizacji.
Spray haseł
Obliczane w trybie offline. Atak sprayu haseł polega na tym, że wiele nazw użytkowników jest atakowanych przy użyciu typowych haseł w ujednolicony sposób siłowy w celu uzyskania nieautoryzowanego dostępu. To wykrywanie ryzyka jest wyzwalane po wykonaniu ataku w sprayu haseł. Na przykład osoba atakująca została pomyślnie uwierzytelniona w wykrytym wystąpieniu.
Podejrzana przeglądarka
Obliczane w trybie offline. Podejrzane wykrywanie przeglądarki wskazuje nietypowe zachowanie na podstawie podejrzanego działania logowania w wielu dzierżawach z różnych krajów w tej samej przeglądarce.
Podejrzane przekazywanie skrzynki odbiorczej
Obliczane w trybie offline. Ta funkcja wykrywania jest wykrywana przy użyciu informacji dostarczonych przez usługę Microsoft Defender dla Chmury Apps. To wykrywanie wyszukuje podejrzane reguły przekazywania wiadomości e-mail, na przykład jeśli użytkownik utworzył regułę skrzynki odbiorczej, która przekazuje kopię wszystkich wiadomości e-mail na adres zewnętrzny.
Podejrzane reguły manipulowania skrzynką odbiorczą
Obliczane w trybie offline. Ta funkcja wykrywania jest wykrywana przy użyciu informacji dostarczonych przez usługę Microsoft Defender dla Chmury Apps. To wykrywanie sprawdza środowisko i wyzwala alerty, gdy podejrzane reguły usuwające lub przenoszące komunikaty lub foldery są ustawiane w skrzynce odbiorczej użytkownika. To wykrywanie może wskazywać: konto użytkownika zostało naruszone, wiadomości są celowo ukryte, a skrzynka pocztowa jest używana do rozpowszechniania spamu lub złośliwego oprogramowania w organizacji.
Anomalia wystawcy tokenu
Obliczane w trybie offline. To wykrywanie ryzyka wskazuje, że wystawca tokenu SAML dla skojarzonego tokenu SAML jest potencjalnie naruszony. Oświadczenia zawarte w tokenie są nietypowe lub pasują do znanych wzorców atakujących.
Nieznane właściwości logowania
Obliczane w czasie rzeczywistym. Ten typ wykrywania ryzyka uwzględnia poprzednią historię logowania, aby wyszukać nietypowe logowania. System przechowuje informacje o poprzednich logowaniach i wyzwala wykrywanie ryzyka w przypadku wystąpienia logowania przy użyciu właściwości nieznanych użytkownikowi. Te właściwości mogą obejmować adresy IP, ASN, lokalizację, urządzenie, przeglądarkę i podsieć IP dzierżawy. Nowo utworzeni użytkownicy są w "trybie uczenia", w którym nieznane właściwości logowania są wyłączone, podczas gdy nasze algorytmy uczą się zachowania użytkownika. Czas trwania trybu uczenia jest dynamiczny i zależy od tego, ile czasu zajmuje algorytmowi zebranie wystarczającej ilości informacji o wzorcach logowania użytkownika. Minimalny czas trwania wynosi pięć dni. Użytkownik może wrócić do trybu uczenia po długim okresie braku aktywności.
Uruchamiamy również to wykrywanie na potrzeby uwierzytelniania podstawowego (lub starszych protokołów). Ponieważ te protokoły nie mają nowoczesnych właściwości, takich jak identyfikator klienta, istnieją ograniczone dane, aby zmniejszyć liczbę wyników fałszywie dodatnich. Zalecamy naszym klientom przejście do nowoczesnego uwierzytelniania.
Nieznane właściwości logowania można wykryć zarówno w przypadku logowania interakcyjnego, jak i nieinterakcyjnego. Po wykryciu tego wykrywania podczas logowania nieinterakcyjnego zasługuje na zwiększoną kontrolę ze względu na ryzyko ataków powtarzania tokenu.
Wybranie nieznanego ryzyka związanego z logowaniem pozwala wyświetlić dodatkowe informacje pokazujące więcej szczegółów na temat przyczyn wyzwolenia tego ryzyka.
Zweryfikowany adres IP aktora zagrożeń
Obliczane w czasie rzeczywistym. Ten typ wykrywania ryzyka wskazuje na aktywność logowania zgodną ze znanymi adresami IP skojarzonymi z podmiotami państwowymi lub grupami cyberprzestępców na podstawie danych z Centrum analizy zagrożeń firmy Microsoft (MSTIC).
Wykrywanie ryzyka użytkowników w warstwie Premium
Nietypowe działanie użytkownika
Obliczane w trybie offline. To wykrywanie ryzyka określa normalne zachowanie użytkownika administracyjnego w identyfikatorze Entra firmy Microsoft i wykrywa nietypowe wzorce zachowania, takie jak podejrzane zmiany w katalogu. Wykrywanie jest wyzwalane przez administratora, który wprowadza zmianę lub obiekt, który został zmieniony.
Atakujący w środku
Obliczane w trybie offline. Znany również jako przeciwnik w środku, to wykrywanie o wysokiej precyzji jest wyzwalane, gdy sesja uwierzytelniania jest połączona ze złośliwym zwrotnym serwerem proxy. W takim ataku atakujący może przechwycić poświadczenia użytkownika, w tym tokeny wystawione dla użytkownika. Zespół ds. badań nad zabezpieczeniami firmy Microsoft wykorzystuje usługę Microsoft 365 Defender do przechwytywania zidentyfikowanych zagrożeń i podnosi użytkownika do wysokiego ryzyka. Zalecamy administratorom ręczne badanie użytkownika po wyzwoleniu tego wykrywania, aby upewnić się, że ryzyko zostało wyczyszczone. Wyczyszczenie tego ryzyka może wymagać bezpiecznego resetowania hasła lub odwoływania istniejących sesji.
Możliwa próba uzyskania dostępu do podstawowego tokenu odświeżania (PRT)
Obliczane w trybie offline. Ten typ wykrywania ryzyka jest wykrywany przy użyciu informacji dostarczonych przez Ochrona punktu końcowego w usłudze Microsoft Defender (MDE). Podstawowy token odświeżania (PRT) to kluczowy artefakt uwierzytelniania firmy Microsoft Entra w systemach Windows 10, Windows Server 2016 i nowszych wersjach, iOS i Android. PrT to token internetowy JSON (JWT) wystawiony dla brokerów tokenów firmy Microsoft, aby umożliwić logowanie jednokrotne (SSO) w aplikacjach używanych na tych urządzeniach. Osoby atakujące mogą próbować uzyskać dostęp do tego zasobu, aby przenieść się później do organizacji lub przeprowadzić kradzież poświadczeń. To wykrywanie przenosi użytkowników do wysokiego ryzyka i uruchamia je tylko w organizacjach wdrażających rozwiązanie MDE. To wykrywanie jest wysokie ryzyko i zalecamy monit o skorygowanie tych użytkowników. Występuje rzadko w większości organizacji ze względu na małą ilość.
Podejrzany ruch interfejsu API
Obliczane w trybie offline. To wykrywanie ryzyka jest zgłaszane, gdy zaobserwowano nietypowy ruch w interfejsie GraphAPI lub wyliczenie katalogu. Podejrzany ruch interfejsu API może sugerować, że bezpieczeństwo użytkownika zostało naruszone i przeprowadzenie rekonesansu w środowisku.
Podejrzane wzorce wysyłania
Obliczane w trybie offline. Ten typ wykrywania ryzyka jest wykrywany przy użyciu informacji dostarczonych przez Ochrona usługi Office 365 w usłudze Microsoft Defender (MDO). Ten alert jest generowany, gdy ktoś w organizacji wysłał podejrzaną wiadomość e-mail i jest zagrożony wysyłaniem wiadomości e-mail lub jest ograniczony. To wykrywanie przenosi użytkowników na średnie ryzyko i uruchamia je tylko w organizacjach wdrażających MDO. To wykrywanie jest małe i występuje rzadko w większości organizacji.
Zgłoszona przez użytkownika podejrzana aktywność
Obliczane w trybie offline. To wykrywanie ryzyka jest zgłaszane, gdy użytkownik odmawia monitu uwierzytelniania wieloskładnikowego (MFA) i zgłasza go jako podejrzane działanie. Monit uwierzytelniania wieloskładnikowego nie zainicjowany przez użytkownika może oznaczać, że jego poświadczenia zostaną naruszone.
Wykrywanie niepremium
Klienci bez licencji microsoft Entra ID P2 otrzymują wykrycia o nazwie Dodatkowe ryzyko wykryte bez szczegółowych informacji dotyczących wykrywania, które robią klienci z licencjami P2. Aby uzyskać więcej informacji, zobacz wymagania dotyczące licencji.
Wykrywanie ryzyka związanego z logowaniem niepremium
Wykryto dodatkowe ryzyko (logowanie)
Obliczane w czasie rzeczywistym lub offline. To wykrywanie wskazuje, że wykryto jedno z wykryć w warstwie Premium. Ponieważ wykrycia w warstwie Premium są widoczne tylko dla klientów microsoft Entra ID P2, są one zatytułowane Dodatkowe ryzyko wykryte dla klientów bez licencji microsoft Entra ID P2.
Administracja potwierdzono naruszenie zabezpieczeń użytkownika
Obliczane w trybie offline. To wykrywanie wskazuje, że administrator wybrał pozycję Potwierdź naruszenie zabezpieczeń użytkownika w interfejsie użytkownika ryzykownych użytkowników lub przy użyciu interfejsu API ryzykownych użytkowników. Aby sprawdzić, który administrator potwierdził bezpieczeństwo tego użytkownika, sprawdź historię ryzyka użytkownika (za pośrednictwem interfejsu użytkownika lub interfejsu API).
Anonimowy adres IP
Obliczane w czasie rzeczywistym. Ten typ wykrywania ryzyka wskazuje logowania z anonimowego adresu IP (na przykład przeglądarki Tor lub anonimowej sieci VPN). Te adresy IP są zwykle używane przez aktorów, którzy chcą ukryć informacje logowania (adres IP, lokalizacja, urządzenie itd.) w celu potencjalnie złośliwych intencji.
Microsoft Entra threat Intelligence (logowanie)
Obliczane w czasie rzeczywistym lub offline. Ten typ wykrywania ryzyka wskazuje na aktywność użytkownika, która jest nietypowa dla użytkownika lub jest zgodna ze znanymi wzorcami ataków. Ta funkcja wykrywania jest oparta na wewnętrznych i zewnętrznych źródłach analizy zagrożeń firmy Microsoft.
Wykrywanie ryzyka związanego z użytkownikiem niepremium
Wykryto dodatkowe ryzyko (użytkownik)
Obliczane w czasie rzeczywistym lub offline. To wykrywanie wskazuje, że wykryto jedno z wykryć w warstwie Premium. Ponieważ wykrycia w warstwie Premium są widoczne tylko dla klientów microsoft Entra ID P2, są one zatytułowane Dodatkowe ryzyko wykryte dla klientów bez licencji microsoft Entra ID P2.
Ujawnione poświadczenia
Obliczane w trybie offline. Ten typ wykrywania ryzyka wskazuje, że wyciekły prawidłowe poświadczenia użytkownika. Gdy cyberprzestępcy naruszyli prawidłowe hasła uprawnionych użytkowników, często udostępniają te zebrane poświadczenia. Jest to zwykle wykonywane poprzez publikowanie poświadczeń w ciemnej sieci, za pośrednictwem fałszywych witryn lub poprzez handlowanie i sprzedawanie poświadczeń na czarnym rynku. Gdy usługa poświadczeń wyciekła przez firmę Microsoft, uzyskuje poświadczenia użytkownika z ciemnej sieci Web, wkleja witryny lub inne źródła, są sprawdzane względem bieżących prawidłowych poświadczeń użytkowników firmy Microsoft Entra w celu znalezienia prawidłowych dopasowań. Aby uzyskać więcej informacji na temat wycieku poświadczeń, zobacz typowe pytania.
Microsoft Entra threat Intelligence (użytkownik)
Obliczane w trybie offline. Ten typ wykrywania ryzyka wskazuje na aktywność użytkownika, która jest nietypowa dla użytkownika lub jest zgodna ze znanymi wzorcami ataków. Ta funkcja wykrywania jest oparta na wewnętrznych i zewnętrznych źródłach analizy zagrożeń firmy Microsoft.
Często zadawane pytania
Co zrobić, jeśli do próby zalogowania się użyto nieprawidłowych poświadczeń?
Usługa ID Protection generuje wykrywanie ryzyka tylko wtedy, gdy są używane poprawne poświadczenia. Jeśli podczas logowania są używane nieprawidłowe poświadczenia, nie stanowi to ryzyka naruszenia poświadczeń.
Czy wymagana jest synchronizacja skrótów haseł?
Wykrycia ryzyka, takie jak ujawnione poświadczenia, wymagają obecności skrótów haseł w celu wykrycia. Aby uzyskać więcej informacji na temat synchronizacji skrótów haseł, zobacz artykuł Implementowanie synchronizacji skrótów haseł za pomocą usługi Microsoft Entra Połączenie Sync.
Dlaczego wykrywanie ryzyka jest generowane dla wyłączonych kont?
Konta użytkowników w stanie wyłączonym można ponownie włączyć. Jeśli poświadczenia wyłączonego konta zostaną naruszone, a konto zostanie ponownie włączone, źli aktorzy mogą użyć tych poświadczeń, aby uzyskać dostęp. Usługa ID Protection generuje wykrywanie ryzyka podejrzanych działań na tych wyłączonych kontach w celu powiadamiania klientów o potencjalnym naruszeniu zabezpieczeń konta. Jeśli konto nie jest już używane i nie zostanie ponownie włączone, klienci powinni rozważyć usunięcie go, aby zapobiec naruszeniu zabezpieczeń. Nie są generowane żadne wykrycia ryzyka dla usuniętych kont.
Typowe pytania dotyczące ujawnionych poświadczeń
Gdzie firma Microsoft znajduje ujawnione poświadczenia?
Firma Microsoft znajduje ujawnione poświadczenia w różnych miejscach, w tym:
- Publiczne witryny wklejania, w których zły aktorzy zazwyczaj publikują takie materiały.
- Ścigania.
- Inne grupy w firmie Microsoft wykonują ciemne badania internetowe.
Dlaczego nie widzę żadnych ujawnionych poświadczeń?
Ujawnione poświadczenia są przetwarzane za każdym razem, gdy firma Microsoft znajdzie nową, publicznie dostępną partię. Ze względu na poufny charakter ujawnione poświadczenia są usuwane wkrótce po przetworzeniu. Tylko nowe ujawnione poświadczenia odnalezione po włączeniu synchronizacji skrótów haseł (PHS) są przetwarzane względem dzierżawy. Nie można zweryfikować wcześniej znalezionych par poświadczeń.
Nie widzę żadnych ujawnionych zdarzeń ryzyka poświadczeń
Jeśli nie widzisz żadnych zdarzeń ryzyka związanego z wyciekiem poświadczeń, jest to spowodowane następującymi przyczynami:
- Nie masz włączonego phS dla dzierżawy.
- Firma Microsoft nie znalazła żadnych ujawnionych par poświadczeń, które są zgodne z użytkownikami.
Jak często firma Microsoft przetwarza nowe poświadczenia?
Poświadczenia są przetwarzane natychmiast po ich znalezieniu, zwykle w wielu partiach dziennie.
Lokalizacje
Lokalizacja w wykrywaniu ryzyka jest określana przy użyciu wyszukiwania adresów IP. Logowania z zaufanych nazwanych lokalizacji zwiększają dokładność obliczania ryzyka Ochrona tożsamości Microsoft Entra, obniżając ryzyko logowania użytkownika podczas uwierzytelniania z lokalizacji oznaczonej jako zaufana.