Что такое риск?
Обнаружения рисков в защите идентификации Azure Active Directory включают все выявленные подозрительные действия, связанные с учетными записями пользователей в каталоге. Обнаружения рисков (связанных с пользователем и входом) влияют на общую оценку риска пользователя в отчете о пользователях, совершающих рискованные действия.
Защита идентификации предоставляет организациям доступ к мощным ресурсам для просмотра и быстрого реагирования на эти подозрительные действия.
Примечание
Защита идентификации создает обнаружения рисков только при использовании правильных учетных данных. Если при входе в систему используются неверные учетные данные, это не представляет риск компрометации учетных данных.
Типы и обнаружение рисков
Существует два типа риска: Пользователь и Вход, а также два типа обнаружения или вычисления В реальном времени и Автономно. Некоторые риски считаются относящимися к уровню "Премиум", доступному только клиентам Azure AD Premium P2, а другие доступны клиентам уровня "Бесплатный" и Azure AD Premium P1.
Риск при входе представляет вероятность того, что данный запрос проверки подлинности отправлен не владельцем удостоверения. Обнаруженные рискованные действия могут быть связаны не с конкретным злонамеренным входом, а с самим пользователем.
Данные обнаружения в реальном времени могут не отображаться в отчетах в течение 5–10 минут. Данные обнаружения в автономном режиме могут не отображаться в отчетах в течение 48 часов.
Примечание
Наша система может обнаружить, что событие риска, из-за которого повысилась оценка рисков пользователя, было одним из следующих:
- Ложноположительный результат.
- Риск пользователя был устранен политикой одним из следующих способов:
- выполнение многофакторной проверки подлинности;
- безопасная смена пароля.
Наша система закроет состояние риска, отобразятся сведения о риске "ИИ подтвердил безопасный вход", которые больше не будут вноситься в общий риск пользователя.
Обнаружение рисков уровня "Премиум"
Обнаруженные риски уровня "Премиум" видны только клиентам Azure AD Premium P2. Клиенты, не имеющие лицензий Azure AD Premium P2, также получают сведения об обнаружении рисков уровня "Премиум", но они будут названы "дополнительными обнаруженными рисками".
Риск при входе
Обнаружение рисков при входе для уровня "Премиум"
| Обнаружение риска | Тип обнаружения | Описание |
|---|---|---|
| Необычный переход | Автономная миграция | Обнаружения риска этого типа возникают, когда выполнено две попытки входа из географически отдаленных расположений, из которых по крайней мере одно расположение нетипично для пользователя с учетом его поведения в прошлом. При применении алгоритма учитывается несколько факторов, в частности время, прошедшее между двумя операциями входа, и время которое бы потребовалось пользователю для перемещения из первого расположения во второе. Этот риск может означать, что другой пользователь использует те же учетные данные. Этот алгоритм игнорирует очевидные ложные срабатывания, такие как VPN и расположения, которые постоянно используют другие пользователи в организации, и позволяет получить результаты, соответствующие невозможным условиям перемещения. В системе предусмотрен первоначальный период обучения — 14 дней или 10 входов в систему, в течение которых она изучает поведение нового пользователя при входе. |
| Аномальный маркер | Автономная миграция | Это обнаружение указывает на наличие аномальных характеристик маркера, таких как необычное время существования или воспроизведение из незнакомого расположения. Это обнаружение охватывает маркеры сеансов и маркеры обновления. Примечание. Обнаружение аномальных маркеров настроено так, что создает больше шума, чем другие обнаружения на том же уровне риска. Это вынужденный компромисс для повышения вероятности обнаружения воспроизводимых маркеров, которые в противном случае могут остаться незамеченными. Так как это обнаружение создает много шума, вероятность ложных срабатываний по сеансам, отмеченным этим обнаружением, выше обычного. Мы рекомендуем расследовать сеансы, отмеченные этим обнаружением, только в контексте других входов того же пользователя. Если расположение, приложение, IP-адрес, агент пользователя или другие характеристики нетипичны для этого пользователя, администратор клиента может считать этот риск признаком потенциального воспроизведения маркеров. |
| Аномалия поставщика маркера | Автономная миграция | Это обнаружение риска указывает на то, что издатель токена SAML для связанного маркера SAML потенциально скомпрометирован. Утверждения, содержащиеся в маркере, являются необычными или соответствуют известным шаблонам злоумышленников. |
| IP-адрес, который помечен как вредоносный | Автономная миграция | Этот тип обнаружения риска указывает на входы с IP-адресов, которые инфицированы вредоносными программами и активно взаимодействуют с сервером бота. В рамках этого обнаружения IP-адреса устройства пользователя сопоставляются с IP-адресами, которые использовались для связи с таким сервером, в то время как он был включен. Это обнаружение является нерекомендуемым . Защита идентификации больше не будет создавать новые обнаружения типа "IP-адрес, связанный с вредоносным ПО". Клиенты, у которых в настоящее время в арендаторе обнаружены "IP-адреса, связанные с вредоносным ПО", по-прежнему смогут просматривать, исправлять или отклонять их, пока не истечет 90-дневный срок хранения данных обнаружения. |
| Подозрительный браузер | Автономная миграция | Обнаружение подозрительного браузера указывает на аномальное поведение на основе подозрительных действий при входе в несколько клиентов из разных стран в одном браузере. |
| Неизвестные свойства входа | В режиме реального времени | Этот тип обнаружения риска учитывает прошлый журнал входа для поиска аномальных входов. Система хранит сведения о предыдущих входах и активирует обнаружение рисков при входе со свойствами, незнакомыми пользователю. Эти свойства могут включать протокол IP, ASN, расположение, устройство, браузер и IP-подсеть клиента. Если обнаружение рисков из-за необычных свойств входа отключено, то недавно созданные пользователи будут находиться в "режиме обучения" до тех пор, пока наши алгоритмы не изучат поведение пользователя. Длительность режима обучения является динамической и зависит от того, сколько времени понадобится алгоритму для сбора достаточной информации о шаблонах входа пользователей. Минимальная длительность составляет 5 дней. Если пользователь долго бездействовал, оно может быть возвращен в режим обучения. Мы также запускаем это обнаружение для базовой аутентификации (или устаревших протоколов). Так как эти протоколы не имеют современных свойств, например идентификатора клиента, существует ограниченная телеметрия для сокращения количества ложноположительных результатов. Мы рекомендуем нашим клиентам перейти на современные способы проверки подлинности. Необычные свойства входа можно обнаружить как при интерактивных, так и при неинтерактивных входах. При обнаружении таких свойств для неинтерактивных входов стоит повысить точность проверки из-за риска атак с помощью воспроизведения маркеров. |
| Вредоносный IP-адрес | Автономная миграция | Это обнаружение означает вход с вредоносного IP-адреса. IP-адрес считается вредоносным на основании высокой частоты сбоев из-за недопустимых учетных данных, полученных от IP-адреса, или других источников репутации IP-адресов. |
| Подозрительные правила для папки "Входящие" | Автономная миграция | Это обнаружение выполняется брокером Microsoft Defender for Cloud Apps. Эта политика изучает среду и активирует оповещения при обнаружении подозрительных правил, которые удаляют или перемещают сообщения либо папки в папке "Входящие" пользователя. Это обнаружение может означать следующее: учетная запись пользователя скомпрометирована; сообщения намеренно скрыты; почтовый ящик используется для распространения нежелательных сообщений или вредоносных программ в организации. |
| Распыление пароля | Автономная миграция | Чтобы получить несанкционированный доступ, в качестве средства взлома паролей могут использоваться несколько имен пользователей, использующих обычные пароли. Это обнаружение риска активируется после успешного выполнения атаки путем распыления пароля. Например, злоумышленник успешно прошел проверку подлинности в обнаруженном экземпляре. |
| невозможное перемещение. | Автономная миграция | Это обнаружение выполняется брокером Microsoft Defender for Cloud Apps. Это обнаружение идентифицирует действия пользователя (в одном или нескольких сеансах), выполняемых в географически отдаленных расположениях в течение периода, недостаточного для того, чтобы переместиться из первого расположения во второе. Этот риск может означать, что другой пользователь использует те же учетные данные. |
| Новая страна | Автономная миграция | Это обнаружение выполняется брокером Microsoft Defender for Cloud Apps. Это обнаружение изучает расположения, где выполнялись предыдущие действия, чтобы определить новые редко упоминаемые расположения. Механизм обнаружения аномалий хранит информацию о предыдущих расположениях, используемых пользователями в организации. |
| Действия, выполняемые с анонимных IP-адресов | Автономная миграция | Это обнаружение выполняется брокером Microsoft Defender for Cloud Apps. Эта функция обнаруживает, что пользователи использовали IP-адрес, который был идентифицирован как анонимный IP-адрес прокси-сервера. |
| Подозрительная пересылка входящих сообщений | Автономная миграция | Это обнаружение выполняется брокером Microsoft Defender for Cloud Apps. Эта функция определяет подозрительные правила переадресации сообщений электронной почты, например, если пользователь создал правило для папки "Входящие", которое отправляет копию всех сообщений электронной почты на внешний адрес. |
| Массовый доступ к конфиденциальным файлам | Автономная миграция | Это обнаружение выполняется брокером Microsoft Defender for Cloud Apps. При этом изучается ваша среда и выдаются оповещения, когда пользователь обращается к нескольким файлам из Microsoft SharePoint или OneDrive. Оповещение активируется, только если количество файлов, к которым производится доступ, нетипично для пользователя и файлы могут содержать конфиденциальные данные. |
| Проверенный IP-адрес субъекта угроз | В режиме реального времени | Этот тип обнаружения риска указывает на действия входа, которые соответствуют известным IP-адресам, связанным с государственными субъектами или группами киберпреступности, основанными на Microsoft Threat Intelligence Center (MSTIC). |
Обнаружение рисков при входе для уровней, отличных от "Премиум"
| Обнаружение риска | Тип обнаружения | Описание |
|---|---|---|
| Обнаружен дополнительный риск | В режиме реального времени или в автономном режиме | Это означает, что был обнаружен один из рисков уровня "Премиум". Так как обнаружения уровня "Премиум" видны только клиентам Azure AD Premium P2, они называются "обнаруженными дополнительными рисками" для клиентов, не имеющих лицензий Azure AD Premium P2. |
| Анонимный IP-адрес | В режиме реального времени | Этот тип обнаружения риска указывает на вход с анонимного IP-адреса (например, браузер Tor, анонимайзеры VPN). Эти IP-адреса обычно используются субъектами, которые хотят скрыть свои данные для входа (IP-адрес, местоположение, устройство и т. д.) для потенциально преступных намерений. |
| Подтвержденная администратором компрометация пользователя | Автономная миграция | Это обнаружение означает, что администратор выбрал параметр "Подтвердить компрометацию пользователя" в пользовательском интерфейсе пользователей, совершающих рискованные действия, или с помощью API-интерфейса riskyUsers. Чтобы узнать, кто из администраторов подтвердил, что этот пользователь скомпрометирован, посмотрите журнал рисков пользователя (через пользовательский интерфейс или API). |
| Аналитика угроз Azure AD | Автономная миграция | Этот тип обнаружения рисков определяет активность пользователей, которая необычна для пользователя или соответствует известным шаблонам атак. Это обнаружение работает на основе источников внутренней и внешней аналитики угроз Майкрософт. |
Обнаружения, связанные с пользователем
Обнаружение рисков уровня "Премиум", связанных с пользователем
| Обнаружение риска | Тип обнаружения | Описание |
|---|---|---|
| Возможная попытка доступа к основному маркеру обновления | Автономная миграция | Этот тип обнаружения риска определяется в Microsoft Defender для конечной точки (MDE). Основной маркер обновления является ключевым артефактом проверки подлинности в Azure Active Directory на устройствах под управлением Windows 10, Windows Server 2016 и более поздних версий, ОС Android и iOS. PRT — это маркер в формате JWT (JSON Web Token), который специально выдается собственным брокерам маркеров корпорации Майкрософт, чтобы обеспечить единый вход для приложений на этих устройствах. Злоумышленники могут попытаться получить доступ к этому ресурсу для последующей атаки на организацию или кражи учетных данных. Это обнаружение устанавливает для пользователей высокий уровень риска и срабатывает только в тех организациях, у которых развернут MDE. Это обнаружение относится к незначительным и редко встречается в большинстве организаций. Однако, если такой риск все же был обнаружен, он считается значительным и в отношении пользователей нужно применить исправления. |
| Аномальное действие пользователя | Автономная миграция | Это обнаружение рисков позволяет определить нормальное поведение пользователя с правами администратора в Azure AD и выявлять аномальные шаблоны поведения, такие как подозрительные изменения в каталоге. Обнаружение активируется администратором, который вносит изменения, или объект, который был изменен. |
| Пользователь сообщил о подозрительных действиях | Автономная миграция | Об обнаружении этого риска сообщает пользователь, который отклонил запрос многофакторной проверки подлинности (MFA) и сообщил о нем как о подозрительном действии. Запрос MFA, который не был инициирован пользователем, может означать, что учетные данные пользователя были скомпрометированы. |
Обнаружение рисков, связанных с пользователем, для уровня, отличного от "Премиум"
| Обнаружение риска | Тип обнаружения | Описание |
|---|---|---|
| Обнаружен дополнительный риск | В режиме реального времени или в автономном режиме | Это означает, что был обнаружен один из рисков уровня "Премиум". Так как обнаружения уровня "Премиум" видны только клиентам Azure AD Premium P2, они называются "обнаруженными дополнительными рисками" для клиентов, не имеющих лицензий Azure AD Premium P2. |
| Утечка учетных данных | Автономная миграция | Этот тип обнаружения риска означает, что произошла утечка допустимых учетных данных пользователя. Киберпреступники зачастую предоставляют общий доступ к украденным ими действительным учетным данным законных пользователей. Обычно их публикуют в теневом интернете или paste-сайтах либо продают на теневом рынке. Когда служба по украденным учетным данным Майкрософт получает учетные данные пользователя из теневого интернета, paste-сайтов или других источников, они сравниваются с текущими действительными учетными данными пользователей Azure AD, чтобы найти действительные совпадения. Дополнительные сведения об утечках учетных данных см. в разделе Часто задаваемые вопросы. |
| Аналитика угроз Azure AD | Автономная миграция | Этот тип обнаружения рисков определяет активность пользователей, которая необычна для пользователя или соответствует известным шаблонам атак. Это обнаружение работает на основе источников внутренней и внешней аналитики угроз Майкрософт. |
Часто задаваемые вопросы
Уровни риска
Защита идентификации разделяет риски на три уровня: низкий, средний и высокий. При настройке политик защиты идентификации можно также настроить ее для активации при отсутствии уровня риска . Отсутствие риска означает отсутствие активного свидетельства о том, что пользователь с таким идентификатором был скомпрометирован.
Корпорация Майкрософт не предоставляет конкретные сведения о том, как вычисляется риск. Каждый уровень риска свидетельствует о более высокой вероятности компрометации пользователя или входа. Например, один экземпляр незнакомых свойств входа пользователя может не нести такую же угрозу, как утечка учетных данных другого пользователя.
Синхронизация хэша паролей
Для обнаружения рисков, таких как утечки учетных данных, требуется наличие хэшей паролей. Для получения дополнительной информации о синхронизации хэша паролей изучите статью Реализация синхронизации хэшированных паролей в службе синхронизации Azure AD Connect.
Почему существуют обнаружения рисков, созданные для отключенных учетных записей пользователей?
Отключенные учетные записи пользователей можно снова включить. Если учетные данные отключенной учетной записи были скомпрометированы и учетная запись снова включена, злоумышленники смогут использовать эти учетные данные для получения доступа. Защита идентификации создает обнаружения рисков для подозрительных действий с отключенными учетными записями пользователей, чтобы предупреждать клиентов о потенциальной компрометации учетных записей. Если учетная запись больше не используется и не будет снова включена, клиентам следует удалить ее, чтобы предотвратить нарушение безопасности. Для удаленных учетных записей обнаружения рисков не создаются.
Утечка учетных данных
Где Майкрософт находит утечки учетных данных?
Майкрософт находит утечки учетных данных в различных местах, в том числе:
- на общедоступных сайтах для размещения фрагментов текста, например pastebin.com и paste.ca, где злоумышленники обычно публикуют такие материалы; именно в этих местах в первую очередь останавливаются злоумышленники при поиске, чтобы найти украденные учетные данные;
- у правоохранительных органов;
- у прочих группы в корпорации Майкрософт, занимающихся исследованием теневого интернета.
Почему я не вижу утечки учетных данных?
Утечки учетных данных обрабатываются всякий раз, когда корпорация Майкрософт находит новый пакет в общественном доступе. Поскольку эти сведения конфиденциальны, утерянные учетные данные удаляются вскоре после обработки. Для вашего клиента будут обрабатываться только новые утечки учетных данных, обнаруженные после включения синхронизации хэша паролей (PHS). Проверка по ранее найденным парам учетных данных не выполняется.
Уже некоторое время я не видел событий риска утечки учетных данных.
Если вы еще не видели события риска утечки учетных данных, это вызвано следующими причинами:
- Вы не включили PHS для вашего клиента.
- Корпорация Майкрософт не обнаружила утечки для пар учетных данных, соответствующих вашим пользователям.
Как часто корпорация Майкрософт обрабатывает новые учетные данные?
Учетные данные обрабатываются сразу же после их обнаружения, обычно в нескольких пакетах в день.
Расположения
Расположение при обнаружении риска определяется с помощью поиска по IP-адресу.
Дальнейшие действия
- Identity Protection policies (Политики защиты идентификации)
- Анализ риска
- Устранение рисков и разблокирование пользователей
- Общие сведения о безопасности