Udostępnij za pośrednictwem


Co to są wykrycia ryzyka?

Ochrona tożsamości Microsoft Entra dostarcza organizacjom informacje o podejrzanych działaniach w dzierżawie i pozwala im szybko reagować, aby zapobiec wystąpieniu dalszego ryzyka. Wykrywanie ryzyka to zaawansowany zasób, który może obejmować wszelkie podejrzane lub nietypowe działania związane z kontem użytkownika w katalogu. Wykrywanie ryzyka ochrony identyfikatorów może być połączone z indywidualnym użytkownikiem lub zdarzeniem logowania i przyczynić się do ogólnego wyniku ryzyka związanego z użytkownikiem znalezionego w raporcie Ryzykowni użytkownicy.

Wykrycia ryzyka użytkowników mogą oznaczać wiarygodne konto użytkownika jako zagrożone, gdy potencjalny aktor zagrożeń uzyskuje dostęp do konta, zagrażając poświadczeniu lub wykryciu nietypowej aktywności użytkownika. Wykrycia ryzyka logowania reprezentują prawdopodobieństwo, że dane żądanie uwierzytelniania nie jest autoryzowanym właścicielem konta. Możliwość identyfikowania ryzyka na poziomie użytkownika i logowania ma kluczowe znaczenie dla klientów mających możliwość zabezpieczenia dzierżawy.

Poziomy ryzyka

Usługa ID Protection kategoryzuje ryzyko na trzy warstwy: niski, średni i wysoki. Poziomy ryzyka obliczane przez nasze algorytmy uczenia maszynowego i reprezentują pewność, że firma Microsoft ma pewność, że co najmniej jedno z poświadczeń użytkownika jest znane przez nieautoryzowaną jednostkę.

  • Wykrywanie ryzyka z wysokim poziomem ryzyka oznacza, że firma Microsoft jest bardzo pewna, że konto zostało naruszone.
  • Wykrywanie ryzyka z poziomem ryzyka Niski oznacza, że istnieją anomalie występujące w logowaniu lub poświadczeniu użytkownika, ale jesteśmy mniej pewni, że te anomalie oznaczają, że konto zostało naruszone.

Wiele wykryć może być uruchamianych na więcej niż jednym z naszych poziomów ryzyka w zależności od liczby lub ważności wykrytych anomalii. Na przykład nieznane właściwości logowania mogą być uruchamiane na wysokim, średnim lub niskim poziomie na podstawie zaufania do sygnałów. Niektóre wykrycia, takie jak ujawnione poświadczenia i zweryfikowany adres IP aktora zagrożeń, są zawsze dostarczane jako wysokie ryzyko.

Ten poziom ryzyka jest ważny podczas podejmowania decyzji, które wykrycia mają priorytet, zbadać i skorygować. Odgrywają one również kluczową rolę w konfigurowaniu zasad dostępu warunkowego opartego na ryzyku, ponieważ dla każdej zasady można ustawić wyzwalanie dla niskich, średnich, wysokich lub nie wykrytych ryzyka. Na podstawie tolerancji ryzyka organizacji można utworzyć zasady wymagające uwierzytelniania wieloskładnikowego lub resetowania hasła, gdy usługa ID Protection wykryje określony poziom ryzyka dla jednego z użytkowników. Te zasady mogą kierować użytkownika do samodzielnego korygowania w celu rozwiązania ryzyka.

Ważne

Wszystkie "niskie" wykrycia na poziomie ryzyka i użytkownicy będą utrzymywać się w produkcie przez 6 miesięcy, po czym będą automatycznie przestarzali w celu zapewnienia czystszego środowiska badania. Średni i wysoki poziom ryzyka będzie utrzymywany do czasu skorygowania lub odrzucenia.

Na podstawie tolerancji ryzyka w organizacji można utworzyć zasady wymagające uwierzytelniania wieloskładnikowego lub resetowania hasła, gdy usługa ID Protection wykryje określony poziom ryzyka. Te zasady mogą kierować użytkownika do samodzielnego korygowania i rozwiązywania ryzyka lub blokowania w zależności od tolerancji.

Wykrywanie w czasie rzeczywistym i offline

Usługa ID Protection wykorzystuje techniki zwiększania dokładności wykrywania ryzyka związanego z użytkownikiem i logowaniem przez obliczenie niektórych zagrożeń w czasie rzeczywistym lub offline po uwierzytelnieniu. Wykrywanie ryzyka w czasie rzeczywistym podczas logowania daje możliwość wczesnego identyfikowania ryzyka, dzięki czemu klienci mogą szybko zbadać potencjalne naruszenie. W przypadku wykrywania, które obliczają ryzyko w trybie offline, mogą one zapewnić lepszy wgląd w sposób, w jaki aktor zagrożeń uzyskał dostęp do konta i wpływ na uprawnionego użytkownika. Niektóre wykrycia mogą być wyzwalane zarówno w trybie offline, jak i podczas logowania, co zwiększa pewność, że bezpieczeństwo jest precyzyjne.

Wykrywanie wyzwalane w czasie rzeczywistym może potrwać od 5 do 10 minut, aby wyświetlić szczegóły w raportach. Wykrywanie w trybie offline może potrwać do 48 godzin w raportach, ponieważ ocena właściwości potencjalnego ryzyka zajmuje trochę czasu.

Uwaga

Nasz system może wykryć, że zdarzenie ryzyka, które przyczyniło się do oceny ryzyka związanego z użytkownikiem ryzyka, było albo:

  • Wynik fałszywie dodatni
  • Ryzyko użytkownika zostało skorygowane przez zasady przez:
    • Kończenie uwierzytelniania wieloskładnikowego
    • Bezpieczna zmiana hasła

Nasz system odrzuci stan ryzyka, a szczegóły ryzyka potwierdzonego bezpiecznego logowania w sztucznej inteligencji będą widoczne i nie będą już przyczyniać się do ogólnego ryzyka użytkownika.

W przypadku szczegółowych danych dotyczących ryzyka wykrywanie czasu rejestruje dokładny moment identyfikowania ryzyka podczas logowania użytkownika, co umożliwia ocenę ryzyka w czasie rzeczywistym i natychmiastową aplikację zasad w celu ochrony użytkownika i organizacji. Ostatnia aktualizacja wykrywania pokazuje najnowszą aktualizację wykrywania ryzyka, która może być spowodowana nowymi informacjami, zmianami na poziomie ryzyka lub działaniami administracyjnymi oraz zapewnia aktualne zarządzanie ryzykiem.

Te pola są niezbędne do monitorowania w czasie rzeczywistym, reagowania na zagrożenia i utrzymywania bezpiecznego dostępu do zasobów organizacji.

Wykrycia ryzyka mapowane na riskEventType

Wykrywanie ryzyka Typ wykrywania Typ riskEventType
Wykrywanie ryzyka logowania
Działanie z anonimowego adresu IP W trybie offline Premium riskyIPAddress
Wykryto dodatkowe ryzyko (logowanie) W czasie rzeczywistym lub w trybie offline Niepremium generic = Klasyfikacja wykrywania w warstwie Premium dla dzierżaw innych niż P2
Administrator potwierdził naruszenie zabezpieczeń użytkownika W trybie offline Niepremium adminConfirmedUserCompromised
Nietypowy token W czasie rzeczywistym lub w trybie offline Premium anomalousToken
Anonimowy adres IP W czasie rzeczywistym Niepremium anonymizedIPAddress
Nietypowe podróże W trybie offline Premium mało prawdopodobneTravel
Niemożliwa podróż W trybie offline Premium mcasImpossibleTravel
Złośliwy adres IP W trybie offline Premium maliciousIPAddress
Masowy dostęp do poufnych plików W trybie offline Premium mcasFinSuspiciousFileAccess
Microsoft Entra threat Intelligence (logowanie) W czasie rzeczywistym lub w trybie offline Niepremium dochodzeniaThreatIntelligence
Nowy kraj W trybie offline Premium newCountry
Spray haseł W trybie offline Premium passwordSpray
Podejrzana przeglądarka W trybie offline Premium suspiciousBrowser
Podejrzane przekazywanie skrzynki odbiorczej W trybie offline Premium suspiciousInboxForwarding
Podejrzane reguły manipulowania skrzynką odbiorczą W trybie offline Premium mcasSuspiciousInboxManipulationRules
Anomalia wystawcy tokenu W trybie offline Premium tokenIssuerAnomaly
Nieznane właściwości logowania W czasie rzeczywistym Premium unfamiliarFeatures
Zweryfikowany adres IP aktora zagrożeń W czasie rzeczywistym Premium nationStateIP
Wykrywanie ryzyka związanego z użytkownikiem
Wykryto dodatkowe ryzyko (użytkownik) W czasie rzeczywistym lub w trybie offline Niepremium generic = Klasyfikacja wykrywania w warstwie Premium dla dzierżaw innych niż P2
Nietypowe działanie użytkownika W trybie offline Premium anomalousUserActivity
Atakujący w środku W trybie offline Premium attackerinTheMiddle
Ujawnione poświadczenia W trybie offline Niepremium leakedCredentials
Microsoft Entra threat Intelligence (użytkownik) W czasie rzeczywistym lub w trybie offline Niepremium dochodzeniaThreatIntelligence
Możliwa próba uzyskania dostępu do podstawowego tokenu odświeżania (PRT) W trybie offline Premium attemptedPrtAccess
Podejrzany ruch interfejsu API W trybie offline Premium suspiciousAPITraffic
Podejrzane wzorce wysyłania W trybie offline Premium suspiciousSendingPatterns
Zgłoszona przez użytkownika podejrzana aktywność W trybie offline Premium userReportedSuspiciousActivity

Wykrywanie w warstwie Premium

Następujące wykrycia w warstwie Premium są widoczne tylko dla klientów firmy Microsoft Entra ID P2.

Wykrywanie ryzyka logowania w warstwie Premium

Działanie z anonimowego adresu IP

Obliczane w trybie offline. Ta funkcja wykrywania jest wykrywana przy użyciu informacji dostarczonych przez usługę Microsoft Defender dla Chmury Apps. To wykrywanie identyfikuje, że użytkownicy byli aktywni z adresu IP zidentyfikowanego jako anonimowy adres IP serwera proxy.

Nietypowy token

Obliczane w czasie rzeczywistym lub offline. To wykrywanie wskazuje nietypowe cechy tokenu, takie jak nietypowy okres istnienia lub token odtwarzany z nieznanej lokalizacji. To wykrywanie obejmuje tokeny sesji i tokeny odświeżania.

Nietypowy token jest dostrojony w celu ponoszenia większej ilości szumu niż inne wykrycia na tym samym poziomie ryzyka. Ta kompromis jest wybierana w celu zwiększenia prawdopodobieństwa wykrycia ponownie odtwarzanych tokenów, które w przeciwnym razie mogą być niezauważone. Istnieje większe niż normalne prawdopodobieństwo, że niektóre sesje oflagowane przez to wykrywanie są fałszywie dodatnie. Zalecamy zbadanie sesji oflagowanych przez to wykrywanie w kontekście innych logów od użytkownika. Jeśli lokalizacja, aplikacja, adres IP, agent użytkownika lub inne cechy są nieoczekiwane dla użytkownika, administrator powinien rozważyć to ryzyko jako wskaźnik potencjalnego odtwarzania tokenu.

Porady dotyczące badania nietypowych wykryć tokenów.

Nietypowa podróż

Obliczane w trybie offline. Ten typ wykrywania ryzyka identyfikuje dwa logowania pochodzące z odległych geograficznie lokalizacji, w których co najmniej jedna z lokalizacji może być również nietypowa dla użytkownika, biorąc pod uwagę wcześniejsze zachowanie. Algorytm uwzględnia wiele czynników, w tym czas między dwoma logowaniami i czas potrzebny użytkownikowi na podróż z pierwszej lokalizacji do drugiej. To ryzyko może wskazywać, że inny użytkownik używa tych samych poświadczeń.

Algorytm ignoruje oczywiste "fałszywie dodatnie" przyczyniające się do niemożliwych warunków podróży, takich jak sieci VPN i lokalizacje regularnie używane przez innych użytkowników w organizacji. System ma początkowy okres szkoleniowy najwcześniejszy od 14 dni do 10 logowań, podczas którego uczy się zachowania logowania nowego użytkownika.

Porady dotyczące badania nietypowych wykryć podróży.

Niemożliwa podróż

Obliczane w trybie offline. Ta funkcja wykrywania jest wykrywana przy użyciu informacji dostarczonych przez usługę Microsoft Defender dla Chmury Apps. To wykrywanie identyfikuje działania użytkownika (w jednej lub wielu sesjach) pochodzące z odległych geograficznie lokalizacji w okresie krótszym niż czas potrzebny do podróży z pierwszej lokalizacji do drugiej. To ryzyko może wskazywać, że inny użytkownik używa tych samych poświadczeń.

Złośliwy adres IP

Obliczane w trybie offline. To wykrywanie wskazuje logowanie ze złośliwego adresu IP. Adres IP jest uważany za złośliwy na podstawie wysokich współczynników niepowodzeń z powodu nieprawidłowych poświadczeń otrzymanych z adresu IP lub innych źródeł reputacji adresów IP. W niektórych przypadkach to wykrywanie wyzwala poprzednie złośliwe działanie.

Porady dotyczące badania wykrywania złośliwych adresów IP.

Masowy dostęp do poufnych plików

Obliczane w trybie offline. Ta funkcja wykrywania jest wykrywana przy użyciu informacji dostarczonych przez usługę Microsoft Defender dla Chmury Apps. To wykrywanie sprawdza środowisko i wyzwala alerty, gdy użytkownicy uzyskują dostęp do wielu plików z Microsoft Office SharePoint Online lub Microsoft OneDrive. Alert jest wyzwalany tylko wtedy, gdy liczba używanych plików jest rzadkością dla użytkownika, a pliki mogą zawierać poufne informacje.

Nowy kraj

Obliczane w trybie offline. Ta funkcja wykrywania jest wykrywana przy użyciu informacji dostarczonych przez usługę Microsoft Defender dla Chmury Apps. To wykrywanie uwzględnia wcześniejsze lokalizacje działań w celu określenia nowych i rzadkich lokalizacji. Aparat wykrywania anomalii przechowuje informacje o poprzednich lokalizacjach używanych przez użytkowników w organizacji.

Spray haseł

Obliczane w trybie offline. Atak z użyciem sprayu haseł polega na tym, że wiele tożsamości jest atakowanych przy użyciu typowych haseł w ujednolicony sposób siłowy. Wykrywanie ryzyka jest wyzwalane, gdy hasło konta jest prawidłowe i ma próbę zalogowania. To wykrywanie sygnalizuje, że hasło użytkownika zostało prawidłowo zidentyfikowane za pośrednictwem ataku sprayu haseł, a nie, że osoba atakująca mogła uzyskać dostęp do żadnych zasobów.

Porady dotyczące badania wykrywania złośliwych adresów IP.

Podejrzana przeglądarka

Obliczane w trybie offline. Podejrzane wykrywanie przeglądarki wskazuje nietypowe zachowanie na podstawie podejrzanego działania logowania w wielu dzierżawach z różnych krajów w tej samej przeglądarce.

Porady dotyczące badania podejrzanych wykryć przeglądarki.

Podejrzane przekazywanie skrzynki odbiorczej

Obliczane w trybie offline. Ta funkcja wykrywania jest wykrywana przy użyciu informacji dostarczonych przez usługę Microsoft Defender dla Chmury Apps. To wykrywanie wyszukuje podejrzane reguły przekazywania wiadomości e-mail, na przykład jeśli użytkownik utworzył regułę skrzynki odbiorczej, która przekazuje kopię wszystkich wiadomości e-mail na adres zewnętrzny.

Podejrzane reguły manipulowania skrzynką odbiorczą

Obliczane w trybie offline. Ta funkcja wykrywania jest wykrywana przy użyciu informacji dostarczonych przez usługę Microsoft Defender dla Chmury Apps. To wykrywanie sprawdza środowisko i wyzwala alerty, gdy podejrzane reguły usuwające lub przenoszące komunikaty lub foldery są ustawiane w skrzynce odbiorczej użytkownika. To wykrywanie może wskazywać: konto użytkownika zostało naruszone, wiadomości są celowo ukryte, a skrzynka pocztowa jest używana do rozpowszechniania spamu lub złośliwego oprogramowania w organizacji.

Anomalia wystawcy tokenu

Obliczane w trybie offline. To wykrywanie ryzyka wskazuje, że wystawca tokenu SAML dla skojarzonego tokenu SAML jest potencjalnie naruszony. Oświadczenia zawarte w tokenie są nietypowe lub pasują do znanych wzorców atakujących.

Porady dotyczące badania wykrywania anomalii wystawcy tokenu.

Nieznane właściwości logowania

Obliczane w czasie rzeczywistym. Ten typ wykrywania ryzyka uwzględnia poprzednią historię logowania, aby wyszukać nietypowe logowania. System przechowuje informacje o poprzednich logowaniach i wyzwala wykrywanie ryzyka w przypadku wystąpienia logowania przy użyciu właściwości nieznanych użytkownikowi. Te właściwości mogą obejmować adresy IP, ASN, lokalizację, urządzenie, przeglądarkę i podsieć IP dzierżawy. Nowo utworzeni użytkownicy są w "trybie uczenia", w którym nieznane właściwości logowania są wyłączone, podczas gdy nasze algorytmy uczą się zachowania użytkownika. Czas trwania trybu uczenia jest dynamiczny i zależy od tego, ile czasu zajmuje algorytmowi zebranie wystarczającej ilości informacji o wzorcach logowania użytkownika. Minimalny czas trwania wynosi pięć dni. Użytkownik może wrócić do trybu uczenia po długim okresie braku aktywności.

Uruchamiamy również to wykrywanie na potrzeby uwierzytelniania podstawowego (lub starszych protokołów). Ponieważ te protokoły nie mają nowoczesnych właściwości, takich jak identyfikator klienta, istnieją ograniczone dane, aby zmniejszyć liczbę wyników fałszywie dodatnich. Zalecamy naszym klientom przejście do nowoczesnego uwierzytelniania.

Nieznane właściwości logowania można wykryć zarówno w przypadku logowania interakcyjnego, jak i nieinterakcyjnego. Po wykryciu tego wykrywania podczas logowania nieinterakcyjnego zasługuje na zwiększoną kontrolę ze względu na ryzyko ataków powtarzania tokenu.

Wybranie nieznanego ryzyka związanego z logowaniem umożliwia wyświetlenie dodatkowych informacji o przyczynie wyzwolenia tego ryzyka.

Zweryfikowany adres IP aktora zagrożeń

Obliczane w czasie rzeczywistym. Ten typ wykrywania ryzyka wskazuje na aktywność logowania zgodną ze znanymi adresami IP skojarzonymi z podmiotami państwowymi lub grupami cyberprzestępców na podstawie danych z Centrum analizy zagrożeń firmy Microsoft (MSTIC).

Wykrywanie ryzyka użytkowników w warstwie Premium

Nietypowe działanie użytkownika

Obliczane w trybie offline. To wykrywanie ryzyka określa normalne zachowanie użytkownika administracyjnego w identyfikatorze Entra firmy Microsoft i wykrywa nietypowe wzorce zachowania, takie jak podejrzane zmiany w katalogu. Wykrywanie jest wyzwalane przez administratora, który wprowadza zmianę lub obiekt, który został zmieniony.

Atakujący w środku

Obliczane w trybie offline. Znany również jako przeciwnik w środku, to wykrywanie o wysokiej precyzji jest wyzwalane, gdy sesja uwierzytelniania jest połączona ze złośliwym zwrotnym serwerem proxy. W takim ataku atakujący może przechwycić poświadczenia użytkownika, w tym tokeny wystawione dla użytkownika. Zespół ds. badań nad zabezpieczeniami firmy Microsoft używa usługi Microsoft 365 Defender do przechwytywania zidentyfikowanych ryzyka i podnosi użytkownika do wysokiego ryzyka. Zalecamy administratorom ręczne badanie użytkownika po wyzwoleniu tego wykrywania, aby upewnić się, że ryzyko zostało wyczyszczone. Wyczyszczenie tego ryzyka może wymagać bezpiecznego resetowania hasła lub odwoływania istniejących sesji.

Możliwa próba uzyskania dostępu do podstawowego tokenu odświeżania (PRT)

Obliczane w trybie offline. Ten typ wykrywania ryzyka jest wykrywany przy użyciu informacji dostarczonych przez Ochrona punktu końcowego w usłudze Microsoft Defender (MDE). Podstawowy token odświeżania (PRT) to kluczowy artefakt uwierzytelniania firmy Microsoft Entra w systemach Windows 10, Windows Server 2016 i nowszych wersjach, iOS i Android. PrT to token internetowy JSON (JWT) wystawiony dla brokerów tokenów firmy Microsoft, aby umożliwić logowanie jednokrotne (SSO) w aplikacjach używanych na tych urządzeniach. Osoby atakujące mogą próbować uzyskać dostęp do tego zasobu, aby przenieść się później do organizacji lub przeprowadzić kradzież poświadczeń. To wykrywanie przenosi użytkowników do wysokiego ryzyka i uruchamia je tylko w organizacjach wdrażających rozwiązanie MDE. To wykrywanie jest wysokie ryzyko i zalecamy monit o skorygowanie tych użytkowników. Występuje rzadko w większości organizacji ze względu na małą ilość.

Podejrzany ruch interfejsu API

Obliczane w trybie offline. To wykrywanie ryzyka jest zgłaszane, gdy zaobserwowano nietypowy ruch w interfejsie GraphAPI lub wyliczenie katalogu. Podejrzany ruch interfejsu API może sugerować, że bezpieczeństwo użytkownika zostało naruszone i przeprowadzenie rekonesansu w środowisku.

Podejrzane wzorce wysyłania

Obliczane w trybie offline. Ten typ wykrywania ryzyka jest wykrywany przy użyciu informacji dostarczonych przez Ochrona usługi Office 365 w usłudze Microsoft Defender (MDO). Ten alert jest generowany, gdy ktoś w organizacji wysłał podejrzaną wiadomość e-mail i jest zagrożony wysyłaniem wiadomości e-mail lub jest ograniczony. To wykrywanie przenosi użytkowników na średnie ryzyko i uruchamia je tylko w organizacjach wdrażających MDO. To wykrywanie jest małe i występuje rzadko w większości organizacji.

Zgłoszona przez użytkownika podejrzana aktywność

Obliczane w trybie offline. To wykrywanie ryzyka jest zgłaszane, gdy użytkownik odmawia monitu uwierzytelniania wieloskładnikowego (MFA) i zgłasza go jako podejrzane działanie. Monit uwierzytelniania wieloskładnikowego nie zainicjowany przez użytkownika może oznaczać, że jego poświadczenia zostaną naruszone.

Wykrywanie niepremium

Klienci bez licencji microsoft Entra ID P2 otrzymują wykrycia o nazwie Dodatkowe ryzyko wykryte bez szczegółowych informacji dotyczących wykrywania, które robią klienci z licencjami P2. Aby uzyskać więcej informacji, zobacz wymagania dotyczące licencji.

Wykrywanie ryzyka związanego z logowaniem niepremium

Wykryto dodatkowe ryzyko (logowanie)

Obliczane w czasie rzeczywistym lub offline. To wykrywanie wskazuje, że wykryto jedno z wykryć w warstwie Premium. Ponieważ wykrycia w warstwie Premium są widoczne tylko dla klientów microsoft Entra ID P2, są one zatytułowane Dodatkowe ryzyko wykryte dla klientów bez licencji microsoft Entra ID P2.

Administrator potwierdził naruszenie zabezpieczeń użytkownika

Obliczane w trybie offline. To wykrywanie wskazuje, że administrator wybrał pozycję Potwierdź naruszenie zabezpieczeń użytkownika w interfejsie użytkownika ryzykownych użytkowników lub przy użyciu interfejsu API ryzykownych użytkowników. Aby sprawdzić, który administrator potwierdził bezpieczeństwo tego użytkownika, sprawdź historię ryzyka użytkownika (za pośrednictwem interfejsu użytkownika lub interfejsu API).

Anonimowy adres IP

Obliczane w czasie rzeczywistym. Ten typ wykrywania ryzyka wskazuje logowania z anonimowego adresu IP (na przykład przeglądarki Tor lub anonimowej sieci VPN). Te adresy IP są zwykle używane przez aktorów, którzy chcą ukryć informacje logowania (adres IP, lokalizacja, urządzenie itd.) w celu potencjalnie złośliwych intencji.

Microsoft Entra threat Intelligence (logowanie)

Obliczane w czasie rzeczywistym lub offline. Ten typ wykrywania ryzyka wskazuje na aktywność użytkownika, która jest nietypowa dla użytkownika lub jest zgodna ze znanymi wzorcami ataków. Ta funkcja wykrywania jest oparta na wewnętrznych i zewnętrznych źródłach analizy zagrożeń firmy Microsoft.

Porady dotyczące badania wykrywania analizy zagrożeń firmy Microsoft w usłudze Entra.

Wykrywanie ryzyka związanego z użytkownikiem niepremium

Wykryto dodatkowe ryzyko (użytkownik)

Obliczane w czasie rzeczywistym lub offline. To wykrywanie wskazuje, że wykryto jedno z wykryć w warstwie Premium. Ponieważ wykrycia w warstwie Premium są widoczne tylko dla klientów microsoft Entra ID P2, są one zatytułowane Dodatkowe ryzyko wykryte dla klientów bez licencji microsoft Entra ID P2.

Ujawnione poświadczenia

Obliczane w trybie offline. Ten typ wykrywania ryzyka wskazuje, że wyciekły prawidłowe poświadczenia użytkownika. Gdy cyberprzestępcy naruszyli prawidłowe hasła uprawnionych użytkowników, często udostępniają te zebrane poświadczenia. Jest to zwykle wykonywane poprzez publikowanie poświadczeń w ciemnej sieci, za pośrednictwem fałszywych witryn lub poprzez handlowanie i sprzedawanie poświadczeń na czarnym rynku. Gdy usługa poświadczeń wyciekła przez firmę Microsoft, uzyskuje poświadczenia użytkownika z ciemnej sieci Web, wkleja witryny lub inne źródła, są sprawdzane względem bieżących prawidłowych poświadczeń użytkowników firmy Microsoft Entra w celu znalezienia prawidłowych dopasowań. Aby uzyskać więcej informacji na temat wycieku poświadczeń, zobacz typowe pytania.

Porady dotyczące badania wykrytych poświadczeń, które wyciekły.

Microsoft Entra threat Intelligence (użytkownik)

Obliczane w trybie offline. Ten typ wykrywania ryzyka wskazuje na aktywność użytkownika, która jest nietypowa dla użytkownika lub jest zgodna ze znanymi wzorcami ataków. Ta funkcja wykrywania jest oparta na wewnętrznych i zewnętrznych źródłach analizy zagrożeń firmy Microsoft.

Porady dotyczące badania wykrywania analizy zagrożeń firmy Microsoft w usłudze Entra.

Często zadawane pytania

Co zrobić, jeśli do próby zalogowania się użyto nieprawidłowych poświadczeń?

Usługa ID Protection generuje wykrywanie ryzyka tylko wtedy, gdy są używane poprawne poświadczenia. Jeśli podczas logowania są używane nieprawidłowe poświadczenia, nie stanowi to ryzyka naruszenia poświadczeń.

Czy wymagana jest synchronizacja skrótów haseł?

Wykrycia ryzyka, takie jak ujawnione poświadczenia, wymagają obecności skrótów haseł w celu wykrycia. Aby uzyskać więcej informacji na temat synchronizacji skrótów haseł, zobacz artykuł Implementowanie synchronizacji skrótów haseł za pomocą programu Microsoft Entra Connect Sync.

Dlaczego wykrywanie ryzyka jest generowane dla wyłączonych kont?

Konta użytkowników w stanie wyłączonym można ponownie włączyć. Jeśli poświadczenia wyłączonego konta zostaną naruszone, a konto zostanie ponownie włączone, źli aktorzy mogą użyć tych poświadczeń, aby uzyskać dostęp. Usługa ID Protection generuje wykrywanie ryzyka podejrzanych działań na tych wyłączonych kontach w celu powiadamiania klientów o potencjalnym naruszeniu zabezpieczeń konta. Jeśli konto nie jest już używane i nie zostanie ponownie włączone, klienci powinni rozważyć usunięcie go, aby zapobiec naruszeniu zabezpieczeń. Nie są generowane żadne wykrycia ryzyka dla usuniętych kont.

Typowe pytania dotyczące ujawnionych poświadczeń

Gdzie firma Microsoft znajduje ujawnione poświadczenia?

Firma Microsoft znajduje ujawnione poświadczenia w różnych miejscach, w tym:

  • Publiczne witryny wklejania, w których zły aktorzy zazwyczaj publikują takie materiały.
  • Organy ścigania.
  • Inne grupy w firmie Microsoft wykonują ciemne badania internetowe.

Dlaczego nie widzę żadnych ujawnionych poświadczeń?

Ujawnione poświadczenia są przetwarzane za każdym razem, gdy firma Microsoft znajdzie nową, publicznie dostępną partię. Ze względu na poufny charakter ujawnione poświadczenia są usuwane wkrótce po przetworzeniu. Tylko nowe ujawnione poświadczenia odnalezione po włączeniu synchronizacji skrótów haseł (PHS) są przetwarzane względem dzierżawy. Nie można zweryfikować wcześniej znalezionych par poświadczeń.

Nie widzę żadnych ujawnionych zdarzeń ryzyka poświadczeń

Jeśli nie widzisz żadnych zdarzeń ryzyka związanego z wyciekiem poświadczeń, jest to spowodowane następującymi przyczynami:

  • Nie masz włączonego phS dla dzierżawy.
  • Firma Microsoft nie znalazła żadnych ujawnionych par poświadczeń, które są zgodne z użytkownikami.

Jak często firma Microsoft przetwarza nowe poświadczenia?

Poświadczenia są przetwarzane natychmiast po ich znalezieniu, zwykle w wielu partiach dziennie.

Lokalizacje

Lokalizacja w wykrywaniu ryzyka jest określana przy użyciu wyszukiwania adresów IP. Logowania z zaufanych nazwanych lokalizacji zwiększają dokładność obliczania ryzyka Ochrona tożsamości Microsoft Entra, obniżając ryzyko logowania użytkownika podczas uwierzytelniania z lokalizacji oznaczonej jako zaufana.