Что такое обнаружение рисков?
Защита идентификации Microsoft Entra предоставляет организациям информацию о подозрительных действиях в клиенте и позволяет им быстро реагировать на предотвращение дальнейшего риска. Обнаружение рисков — это мощный ресурс, который может включать любые подозрительные или аномальные действия, связанные с учетной записью пользователя в каталоге. Обнаружение рисков защиты идентификаторов может быть связано с отдельным пользователем или событием входа и внести свой вклад в общую оценку риска пользователей, найденную в отчете "Рискованные пользователи".
Обнаружение рисков пользователей может пометить законную учетную запись пользователя как риск, когда потенциальный субъект угроз получает доступ к учетной записи, компрометируя свои учетные данные или когда они обнаруживают некоторые типы аномальных действий пользователей. Обнаружение рисков входа представляет вероятность того, что заданный запрос проверки подлинности не является авторизованным владельцем учетной записи. Наличие возможности выявления риска на уровне пользователя и входа крайне важно для клиентов, чтобы обеспечить безопасность своего клиента.
Уровни риска
Защита идентификаторов классифицирует риск на три уровня: низкий, средний и высокий. Уровни риска, вычисляемые нашими алгоритмами машинного обучения, и представляют, насколько уверена корпорация Майкрософт в том, что одна или несколько учетных данных пользователя известны неавторизованной сущностью.
- Обнаружение рисков с высоким уровнем риска означает, что корпорация Майкрософт уверена, что учетная запись скомпрометирована.
- Обнаружение рисков с низким уровнем риска означает, что в учетных данных входа или учетных данных пользователя существуют аномалии, но мы менее уверены, что эти аномалии означают, что учетная запись скомпрометирована.
Многие обнаружения могут возникать на нескольких уровнях риска в зависимости от количества или серьезности обнаруженных аномалий. Например, незнакомые свойства входа могут срабатать на высоком, среднем или низком уровне на основе достоверности сигналов. Некоторые обнаружения, такие как утечка учетных данных и проверенный IP-адрес субъекта угроз, всегда предоставляются как высокий риск.
Этот уровень риска важен при принятии решения о том, какие обнаружения следует определять приоритеты, исследовать и устранять. Они также играют ключевую роль в настройке политик условного доступа на основе рисков, так как каждая политика может быть активирована для низкой, средней, высокой или нет обнаруженных рисков. На основе допустимости рисков организации можно создавать политики, требующие многофакторной идентификации или сброса пароля при обнаружении определенного уровня риска для одного из пользователей. Эти политики могут помочь пользователю самостоятельно устранить риск.
Внимание
Все "низкие" уровни риска и пользователи будут сохраняться в продукте в течение 6 месяцев, после чего они будут автоматически стареть, чтобы обеспечить более чистый опыт исследования. Средние и высокие уровни риска будут сохраняться до устранения или увольнения.
На основе допустимости рисков организации можно создавать политики, требующие многофакторной проверки подлинности или сброса пароля при обнаружении определенного уровня риска. Эти политики могут направлять пользователя для самостоятельного исправления и устранения риска или блокировки в зависимости от допустимости.
Обнаружение в режиме реального времени и в автономном режиме
Защита идентификаторов использует методы для повышения точности обнаружения рисков для пользователей и входа, вычисляя некоторые риски в режиме реального времени или в автономном режиме после проверки подлинности. Обнаружение риска в режиме реального времени при входе дает преимущество выявления риска на ранней стадии, чтобы клиенты могли быстро исследовать потенциальный компромисс. При обнаружении, которые вычисляют риск в автономном режиме, они могут получить больше сведений о том, как субъект угроз получил доступ к учетной записи и влияние на законного пользователя. Некоторые обнаружения можно активировать как в автономном режиме, так и во время входа, что повышает уверенность в точности в компромиссе.
Обнаружение, запущенное в режиме реального времени, занимает 5–10 минут, чтобы получить подробные сведения в отчетах. Автономные обнаружения занимают до 48 часов в отчетах, так как требуется время для оценки свойств потенциального риска.
Примечание.
Наша система может обнаружить, что событие риска, которое способствовало оценке риска пользователей, было либо:
- Ложноположительный результат.
- Риск пользователя был исправлен политикой :
- выполнение многофакторной проверки подлинности;
- Безопасное изменение пароля
Наша система отклонит состояние риска и подробные сведения о рисках , подтвержденных в системе ИИ, будут отображаться и больше не способствуют общему риску пользователя.
Обнаружения рисков, сопоставленные с riskEventType
| Обнаружение риска | Тип обнаружения | Тип | riskEventType |
|---|---|---|---|
| Обнаружение рисков входа | |||
| Действие с анонимного IP-адреса | Offline | Premium | riskyIPAddress |
| Обнаружен дополнительный риск (вход) | В режиме реального времени или в автономном режиме | Nonpremium | generic = Классификация обнаружения класса Premium для клиентов, отличных от P2 |
| Администратор подтверждено, что пользователь скомпрометирован | Offline | Nonpremium | adminConfirmedUserCompromised |
| Аномальный маркер | В режиме реального времени или в автономном режиме | Premium | аномальныйToken |
| Анонимный IP-адрес | Реальное время | Nonpremium | анонимныйIPAddress |
| Нетипичное путешествие | Offline | Premium | вряд лиTravel |
| Неосуществимое перемещение | Offline | Premium | mcasImpossibleTravel |
| Вредоносный IP-адрес | Offline | Premium | вредоносныйIPAddress |
| Массовый доступ к конфиденциальным файлам | Offline | Premium | mcasFinSuspiciousFileAccess |
| Аналитика угроз Microsoft Entra (вход) | В режиме реального времени или в автономном режиме | Nonpremium | исследованияThreatIntelligence |
| Новая страна | Offline | Premium | newCountry |
| Распыление пароля | Offline | Premium | passwordSpray |
| Подозрительный браузер | Offline | Premium | подозрительныйBrowser |
| Подозрительная пересылка входящих писем | Offline | Premium | подозрительныйInboxForwarding |
| Подозрительные правила для папки "Входящие" | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| Аномалия издателя токенов | Offline | Premium | tokenIssuerAnomaly |
| Незнакомые свойства входа | Реальное время | Premium | незнакомыеfeatures |
| Проверенный IP-адрес субъекта угроз | Реальное время | Premium | nationStateIP |
| Обнаружения рисков пользователей | |||
| Обнаружен дополнительный риск (пользователь) | В режиме реального времени или в автономном режиме | Nonpremium | generic = Классификация обнаружения класса Premium для клиентов, отличных от P2 |
| Аномальное действие пользователя | Offline | Premium | aomalousUserActivity |
| Злоумышленник в середине | Offline | Premium | злоумышленник вTheMiddle |
| Утечка учетных данных | Offline | Nonpremium | утечкаCredentials |
| Аналитика угроз Microsoft Entra (пользователь) | В режиме реального времени или в автономном режиме | Nonpremium | исследованияThreatIntelligence |
| Возможная попытка доступа к основному маркеру обновления (PRT) | Offline | Premium | attemptedPrtAccess |
| Подозрительный трафик API | Offline | Premium | подозрительныйAPITraffic |
| Подозрительные шаблоны отправки | Offline | Premium | подозрительныеSendingPatterns |
| Пользователь сообщил о подозрительном действии | Offline | Premium | userReportedSuspiciousActivity |
Обнаружение рисков уровня "Премиум"
Следующие обнаружения уровня "Премиум" отображаются только для клиентов Microsoft Entra ID P2.
Обнаружение рисков при входе для уровня "Премиум"
Действия, выполняемые с анонимных IP-адресов
Вычисляется в автономном режиме. Это обнаружение обнаруживается с помощью сведений, предоставляемых Microsoft Defender для облака Приложениями. Это обнаружение определяет, что пользователи были активны из IP-адреса, определяемого как анонимный IP-адрес прокси-сервера.
Аномальный маркер
Вычисляется в режиме реального времени или в автономном режиме. Это обнаружение указывает на ненормальные характеристики в маркере, такие как необычное время существования или токен, воспроизводимый из незнакомого расположения. Это обнаружение охватывает маркеры сеансов и маркеры обновления.
Аномальный маркер настраивается на более шум, чем другие обнаружения на том же уровне риска. Этот компромисс выбирается для повышения вероятности обнаружения повторенных маркеров, которые в противном случае могут быть незамечены. Существует более высокий, чем обычный шанс, что некоторые сеансы, помеченные этим обнаружением, являются ложными срабатываниями. Мы рекомендуем расследовать сеансы, отмеченные этим обнаружением, только в контексте других входов того же пользователя. Если расположение, приложение, IP-адрес, агент пользователя или другие характеристики непредвиденно для пользователя, администратор должен рассмотреть этот риск как индикатор потенциального воспроизведения маркера.
Необычное перемещение
Вычисляется в автономном режиме. Этот тип обнаружения рисков определяет два входа, исходящих из географически удаленных расположений, где по крайней мере одно из расположений также может быть нетипичным для пользователя, учитывая прошлое поведение. Алгоритм учитывает несколько факторов, включая время между двумя входами и временем, которое потребуется пользователю для перемещения из первого расположения во второй. Этот риск может указывать на то, что другой пользователь использует одни и те же учетные данные.
Этот алгоритм игнорирует очевидные ложные срабатывания, такие как VPN и расположения, которые постоянно используют другие пользователи в организации, и позволяет получить результаты, соответствующие невозможным условиям перемещения. В системе предусмотрен первоначальный период обучения — 14 дней или 10 входов в систему, в течение которых она изучает поведение нового пользователя при входе.
Неосуществимое перемещение
Вычисляется в автономном режиме. Это обнаружение обнаруживается с помощью сведений, предоставляемых Microsoft Defender для облака Приложениями. Это обнаружение определяет действия пользователей (в одном или нескольких сеансах), исходящие из географически удаленных расположений в течение определенного периода времени, чем время, необходимое для перемещения из первого расположения во второй. Этот риск может указывать на то, что другой пользователь использует одни и те же учетные данные.
Вредоносный IP-адрес
Вычисляется в автономном режиме. Это обнаружение означает вход с вредоносного IP-адреса. IP-адрес считается вредоносным на основании высокой частоты сбоев из-за недопустимых учетных данных, полученных от IP-адреса, или других источников репутации IP-адресов.
Массовый доступ к конфиденциальным файлам
Вычисляется в автономном режиме. Это обнаружение обнаруживается с помощью сведений, предоставляемых Microsoft Defender для облака Приложениями. Это обнаружение смотрит на среду и активирует оповещения, когда пользователи получают доступ к нескольким файлам из Microsoft Office SharePoint Online или Microsoft OneDrive. Оповещение активируется только в том случае, если количество доступных файлов редко для пользователя, а файлы могут содержать конфиденциальную информацию.
Новая страна
Вычисляется в автономном режиме. Это обнаружение обнаруживается с помощью сведений, предоставляемых Microsoft Defender для облака Приложениями. Это обнаружение изучает расположения, где выполнялись предыдущие действия, чтобы определить новые редко упоминаемые расположения. Механизм обнаружения аномалий хранит информацию о предыдущих расположениях, используемых пользователями в организации.
Распыление пароля
Вычисляется в автономном режиме. Чтобы получить несанкционированный доступ, в качестве средства взлома паролей могут использоваться несколько имен пользователей, использующих обычные пароли. Это обнаружение рисков активируется при выполнении атаки спрея паролей. Например, злоумышленник успешно прошел проверку подлинности в обнаруженном экземпляре.
Подозрительный браузер
Вычисляется в автономном режиме. Обнаружение подозрительного браузера указывает на аномальное поведение на основе подозрительных действий при входе в несколько клиентов из разных стран в одном браузере.
Подозрительная пересылка входящих писем
Вычисляется в автономном режиме. Это обнаружение обнаруживается с помощью сведений, предоставляемых Microsoft Defender для облака Приложениями. Эта функция определяет подозрительные правила переадресации сообщений электронной почты, например, если пользователь создал правило для папки "Входящие", которое отправляет копию всех сообщений электронной почты на внешний адрес.
Подозрительные правила для папки "Входящие"
Вычисляется в автономном режиме. Это обнаружение обнаруживается с помощью сведений, предоставляемых Microsoft Defender для облака Приложениями. Эта политика изучает среду и активирует оповещения при обнаружении подозрительных правил, которые удаляют или перемещают сообщения либо папки в папке "Входящие" пользователя. Это обнаружение может указывать на то, что учетная запись пользователя скомпрометирована, сообщения намеренно скрыты, а почтовый ящик используется для распространения нежелательной почты или вредоносных программ в вашей организации.
Аномалия издателя токенов
Вычисляется в автономном режиме. Это обнаружение риска указывает на то, что издатель токена SAML для связанного маркера SAML потенциально скомпрометирован. Утверждения, содержащиеся в маркере, являются необычными или соответствуют известным шаблонам злоумышленников.
Необычные свойства входа
Вычисляется в режиме реального времени. Этот тип обнаружения риска учитывает прошлый журнал входа для поиска аномальных входов. Система хранит сведения о предыдущих входах и активирует обнаружение рисков при входе со свойствами, незнакомыми пользователю. Эти свойства могут включать протокол IP, ASN, расположение, устройство, браузер и IP-подсеть клиента. Только что созданные пользователи находятся в "режиме обучения", когда неизвестные свойства входа отключены, а наши алгоритмы изучают поведение пользователя. Длительность режима обучения является динамической и зависит от того, сколько времени понадобится алгоритму для сбора достаточной информации о шаблонах входа пользователей. Минимальная длительность составляет 5 дней. Если пользователь долго бездействовал, оно может быть возвращен в режим обучения.
Мы также запускаем это обнаружение для базовой аутентификации (или устаревших протоколов). Так как эти протоколы не имеют современных свойств, таких как идентификатор клиента, существуют ограниченные данные для уменьшения ложных срабатываний. Мы рекомендуем нашим клиентам перейти на современные способы проверки подлинности.
Необычные свойства входа можно обнаружить как при интерактивных, так и при неинтерактивных входах. При обнаружении таких свойств для неинтерактивных входов стоит повысить точность проверки из-за риска атак с помощью воспроизведения маркеров.
Выбор незнакомых свойств входа позволяет просмотреть дополнительные сведения о том, почему этот риск активируется.
Проверенный IP-адрес субъекта угроз
Вычисляется в режиме реального времени. Этот тип обнаружения рисков указывает на активность входа, которая соответствует известным IP-адресам, связанным с государственными субъектами или группами кибер-преступлений, на основе данных Центра аналитики угроз (MSTIC).
Обнаружение рисков уровня "Премиум", связанных с пользователем
Аномальное действие пользователя
Вычисляется в автономном режиме. Эти базовые показатели обнаружения рисков обычное поведение пользователя администрирования в идентификаторе Microsoft Entra ID и выявляют аномальные шаблоны поведения, такие как подозрительные изменения в каталоге. Обнаружение активируется для администратора, внося изменения или измененный объект.
Злоумышленник в середине
Вычисляется в автономном режиме. Также известный как злоумышленник в середине, это обнаружение высокой точности активируется, когда сеанс проверки подлинности связан с вредоносным обратным прокси-сервером. В такой атаке злоумышленник может перехватывать учетные данные пользователя, включая маркеры, выданные пользователю. Команда Microsoft Security Research использует Microsoft 365 Defender для отслеживания идентифицированного риска и вызывает у пользователя высокий риск. Мы рекомендуем администраторам вручную изучить пользователя при активации этого обнаружения, чтобы убедиться, что риск очищен. Очистка этого риска может потребовать безопасного сброса пароля или отзыва существующих сеансов.
Возможная попытка доступа к основному маркеру обновления
Вычисляется в автономном режиме. Этот тип обнаружения рисков обнаруживается с помощью сведений, предоставляемых Microsoft Defender для конечной точки (MDE). Первичный маркер обновления (PRT) — это ключевой артефакт проверки подлинности Microsoft Entra на устройствах Windows 10, Windows Server 2016 и более поздних версиях, iOS и Android. PRT — это веб-токен JSON (JWT), выданный сторонним брокерам маркеров Майкрософт, чтобы включить единый вход (SSO) в приложениях, используемых на этих устройствах. Злоумышленники могут попытаться получить доступ к этому ресурсу для последующей атаки на организацию или кражи учетных данных. Это обнаружение перемещает пользователей на высокий риск и только пожары в организациях, которые развертывают MDE. Это обнаружение является высоким риском, и мы рекомендуем запрашивать исправление этих пользователей. Она часто встречается в большинстве организаций из-за низкого объема.
Подозрительный трафик API
Вычисляется в автономном режиме. Это обнаружение рисков сообщается, когда наблюдается ненормальный трафик GraphAPI или перечисление каталогов. Подозрительный трафик API может предложить, что пользователь скомпрометирован и проводит разведку в среде.
Подозрительные шаблоны отправки
Вычисляется в автономном режиме. Этот тип обнаружения рисков обнаруживается с помощью сведений, предоставляемых Microsoft Defender для Office 365 (MDO). Это оповещение создается, когда кто-то в вашей организации отправил подозрительные сообщения электронной почты и рискует быть или ограничен отправкой электронной почты. Это обнаружение перемещает пользователей на средний риск и только пожары в организациях, которые развертывают MDO. Это обнаружение является низким объемом и редко наблюдается в большинстве организаций.
Пользователь сообщил о подозрительном действии
Вычисляется в автономном режиме. Это обнаружение рисков сообщается, когда пользователь отрицает запрос многофакторной проверки подлинности (MFA) и сообщает о нем как подозрительное действие. Запрос MFA, не инициированный пользователем, может означать, что их учетные данные скомпрометированы.
Обнаружения nonpremium
Клиенты без лицензий Microsoft Entra ID P2 получают обнаружения с названием "Дополнительные риски " без подробных сведений об обнаружении, что клиенты с лицензиями P2 делают. Дополнительные сведения см. в требованиях к лицензии.
Обнаружение рисков при входе для уровней, отличных от "Премиум"
Обнаружен дополнительный риск (вход)
Вычисляется в режиме реального времени или в автономном режиме. Это означает, что был обнаружен один из рисков уровня "Премиум". Так как обнаружения уровня "Премиум" видны только клиентам Microsoft Entra ID P2, они называются дополнительными рисками для клиентов без лицензий Microsoft Entra ID P2.
Подтвержденная администратором компрометация пользователя
Вычисляется в автономном режиме. Это обнаружение указывает, что администратор выбрал подтверждение компрометации пользователя в пользовательском интерфейсе рискованных пользователей или использовании API riskyUsers. Чтобы узнать, какой администратор подтвердил, что этот пользователь скомпрометирован, проверка журнал рисков пользователя (с помощью пользовательского интерфейса или API).
Анонимный IP-адрес
Вычисляется в режиме реального времени. Этот тип обнаружения риска указывает на вход с анонимного IP-адреса (например, браузер Tor, анонимайзеры VPN). Эти IP-адреса обычно используются субъектами, которые хотят скрыть свои данные для входа (IP-адрес, местоположение, устройство и т. д.) для потенциально преступных намерений.
Аналитика угроз Microsoft Entra (вход)
Вычисляется в режиме реального времени или в автономном режиме. Этот тип обнаружения рисков определяет активность пользователей, которая необычна для пользователя или соответствует известным шаблонам атак. Это обнаружение работает на основе источников внутренней и внешней аналитики угроз Майкрософт.
Обнаружение рисков, связанных с пользователем, для уровня, отличного от "Премиум"
Обнаружен дополнительный риск (пользователь)
Вычисляется в режиме реального времени или в автономном режиме. Это означает, что был обнаружен один из рисков уровня "Премиум". Так как обнаружения уровня "Премиум" видны только клиентам Microsoft Entra ID P2, они называются дополнительными рисками для клиентов без лицензий Microsoft Entra ID P2.
Утечка учетных данных
Вычисляется в автономном режиме. Этот тип обнаружения рисков указывает на утечку допустимых учетных данных пользователя. Когда злоумышленники компрометируют допустимые пароли законных пользователей, они часто используют эти собранные учетные данные. Обычно их публикуют в теневом интернете или paste-сайтах либо продают на теневом рынке. Когда служба утечки учетных данных Майкрософт получает учетные данные пользователей из темного интернета, вставки сайтов или других источников, они проверка для текущих допустимых учетных данных пользователей Microsoft Entra, чтобы найти допустимые совпадения. Дополнительные сведения об утечке учетных данных см . в распространенных вопросах.
Аналитика угроз Microsoft Entra (пользователь)
Вычисляется в автономном режиме. Этот тип обнаружения рисков определяет активность пользователей, которая необычна для пользователя или соответствует известным шаблонам атак. Это обнаружение работает на основе источников внутренней и внешней аналитики угроз Майкрософт.
Часто задаваемые вопросы
Что делать, если неверные учетные данные использовались для попытки входа?
Защита идентификаторов создает обнаружение рисков только в том случае, если используются правильные учетные данные. Если неверные учетные данные используются при входе, он не представляет риска компрометации учетных данных.
Требуется ли синхронизация хэша паролей?
Для обнаружения рисков, таких как утечки учетных данных, требуется наличие хэшей паролей. Дополнительные сведения о синхронизации хэша паролей см. в статье о реализации синхронизации хэша паролей с помощью Microsoft Entra Подключение Sync.
Почему обнаружения рисков создаются для отключенных учетных записей?
Учетные записи пользователей в отключенном состоянии можно повторно включить. Если учетные данные отключенной учетной записи были скомпрометированы и учетная запись снова включена, злоумышленники смогут использовать эти учетные данные для получения доступа. Защита идентификаторов создает обнаружения рисков для подозрительных действий в отношении этих отключенных учетных записей, чтобы предупредить клиентов о потенциальном компрометации учетной записи. Если учетная запись больше не используется и не будет снова включена, клиентам следует удалить ее, чтобы предотвратить нарушение безопасности. Для удаленных учетных записей обнаружения рисков не создаются.
Распространенные вопросы о утечке учетных данных
Где Майкрософт находит утечки учетных данных?
Майкрософт находит утечки учетных данных в различных местах, в том числе:
- Общедоступные сайты вставки, где плохие актеры обычно размещают такие материалы.
- у правоохранительных органов;
- у прочих группы в корпорации Майкрософт, занимающихся исследованием теневого интернета.
Почему я не вижу утечки учетных данных?
Утечки учетных данных обрабатываются всякий раз, когда корпорация Майкрософт находит новый пакет в общественном доступе. Поскольку эти сведения конфиденциальны, утерянные учетные данные удаляются вскоре после обработки. Только новые утечки учетных данных, обнаруженные после включения синхронизации хэша паролей (PHS), обрабатываются в клиенте. Проверка по ранее найденным парам учетных данных не выполняется.
Я не вижу каких-либо событий риска утечки учетных данных
Если вы не видите никаких событий риска утечки учетных данных, это связано со следующими причинами:
- Вы не включили PHS для вашего клиента.
- Корпорация Майкрософт не обнаружила утечки пар учетных данных, соответствующих вашим пользователям.
Как часто корпорация Майкрософт обрабатывает новые учетные данные?
Учетные данные обрабатываются сразу после их обнаружения, обычно в нескольких пакетах в день.
Ячейки
Расположение в обнаружениях рисков определяется с помощью поиска IP-адресов. Входы из доверенных именованных расположений повышают точность вычисления рисков Защита идентификации Microsoft Entra, что снижает риск входа пользователя при проверке подлинности из расположения, помеченного как доверенное.