Vad är risker?

Riskidentifieringar i Azure AD Identity Protection omfattar alla identifierade misstänkta åtgärder relaterade till användarkonton i katalogen. Riskidentifieringar (både användare och länkade inloggningar) bidrar till den övergripande riskpoängen för användare som finns i rapporten Riskfyllda användare.

Identity Protection ger organisationer åtkomst till kraftfulla resurser för att snabbt se och reagera på dessa misstänkta åtgärder.

Säkerhetsöversikt som visar riskfyllda användare och inloggningar

Anteckning

Identity Protection genererar riskidentifieringar endast när rätt autentiseringsuppgifter används. Om felaktiga autentiseringsuppgifter används vid en inloggning innebär det inte risk för att autentiseringsuppgifter komprometteras.

Risktyper och identifiering

Risk kan identifieras på användar - och inloggningsnivå och två typer av identifiering eller beräkning i realtid och offline. Vissa risker anses vara premium som endast är tillgängliga för Azure AD Premium P2 kunder, medan andra är tillgängliga för kostnadsfria och Azure AD Premium P1 kunder.

En inloggningsrisk är sannolikheten att en viss autentiseringsbegäran inte auktoriserats av identitetsägaren. Riskfylld aktivitet kan identifieras för en användare som inte är länkad till en specifik skadlig inloggning utan till användaren själv.

Realtidsidentifieringar kanske inte visas i rapporteringen på 5 till 10 minuter. Offlineidentifieringar kanske inte visas i rapporteringen på 48 timmar.

Anteckning

Vårt system kan upptäcka att den riskhändelse som bidrog till riskanvändarriskpoängen var antingen:

  • En falsk positiv identifiering
  • Användarrisken åtgärdades av principen genom att antingen:
    • Slutföra multifaktorautentisering
    • Säker lösenordsändring.

Vårt system avfärdar risktillståndet och en riskinformation om "AI-bekräftad inloggningssäker" visas och bidrar inte längre till användarens totala risk.

Premiumidentifieringar

Premiumidentifieringar är endast synliga för Azure AD Premium P2 kunder. Kunder utan Azure AD Premium P2 licenser får fortfarande premiumidentifieringar, men de kommer att få titeln "ytterligare risk identifierad".

Inloggningsrisk

Identifiering av premiuminloggningsrisker

Riskidentifiering Identifieringstyp Description
Ovanlig resa Offline Den här typen av riskidentifiering identifierar två inloggningar som kommer från geografiskt avlägsna platser, där minst en av platserna också kan vara atypisk för användaren, givet tidigare beteende. Algoritmen tar hänsyn till flera faktorer, inklusive tiden mellan de två inloggningarna och den tid det skulle ha tagit för användaren att resa från den första platsen till den andra. Den här risken kan tyda på att en annan användare använder samma autentiseringsuppgifter. Algoritmen ignorerar uppenbara "falska positiva identifieringar" som bidrar till omöjliga reseförhållanden, till exempel VPN och platser som regelbundet används av andra användare i organisationen. Systemet har en inledande inlärningsperiod på de tidigaste 14 dagarna eller tio inloggningar, under vilken det lär sig en ny användares inloggningsbeteende.
Avvikande token Offline Den här identifieringen anger att det finns onormala egenskaper i token, till exempel en ovanlig tokenlivslängd eller en token som spelas upp från en okänd plats. Den här identifieringen omfattar sessionstoken och uppdateringstoken. OBSERVERA: Avvikande token justeras för att medföra mer brus än andra identifieringar på samma risknivå. Den här kompromissen väljs för att öka sannolikheten för att upptäcka återspelade token som annars kan gå obemärkt förbi. Eftersom det här är en hög brusidentifiering finns det en större risk än normalt att vissa av de sessioner som flaggas av den här identifieringen är falska positiva identifieringar. Vi rekommenderar att du undersöker de sessioner som flaggas av den här identifieringen i samband med andra inloggningar från användaren. Om platsen, programmet, IP-adressen, användaragenten eller andra egenskaper är oväntade för användaren bör klientadministratören betrakta den här risken som en indikator på potentiell tokenuppspelning.
Token Issuer Anomaly Offline Den här riskidentifieringen anger att SAML-token utfärdaren för den associerade SAML-token kan ha komprometterats. Anspråken som ingår i token är ovanliga eller matchar kända angripares mönster.
Länkad IP-adress för skadlig kod Offline Den här typen av riskidentifiering indikerar inloggningar från IP-adresser som smittats av skadlig kod som är känd för att aktivt kommunicera med en robotserver. Den här identifieringen matchar IP-adresserna för användarens enhet mot IP-adresser som var i kontakt med en robotserver medan robotservern var aktiv. Den här identifieringen är inaktuell. Identity Protection genererar inte längre nya identifieringar av "Länkad IP-adress för skadlig kod". Kunder som för närvarande har identifieringar av länkad IP-adress för skadlig kod i sin klientorganisation kommer fortfarande att kunna visa, åtgärda eller avvisa dem tills kvarhållningstiden för 90 dagars identifiering har uppnåtts.
Misstänkt webbläsare Offline Misstänkt webbläsaridentifiering indikerar avvikande beteende baserat på misstänkt inloggningsaktivitet i flera klientorganisationer från olika länder i samma webbläsare.
Obekanta inloggningsegenskaper Realtid Den här typen av riskidentifiering tar hänsyn till tidigare inloggningshistorik för att söka efter avvikande inloggningar. Systemet lagrar information om tidigare inloggningar och utlöser en riskidentifiering när en inloggning sker med egenskaper som användaren inte känner till. Dessa egenskaper kan vara IP, ASN, plats, enhet, webbläsare och klient-IP-undernät. Nyligen skapade användare kommer att vara i "inlärningsläge" där riskidentifieringen för okända inloggningsegenskaper inaktiveras medan våra algoritmer lär sig användarens beteende. Inlärningslägets varaktighet är dynamisk och beror på hur lång tid det tar för algoritmen att samla in tillräckligt med information om användarens inloggningsmönster. Den minsta varaktigheten är fem dagar. En användare kan återgå till inlärningsläget efter en lång period av inaktivitet. Vi kör även den här identifieringen för grundläggande autentisering (eller äldre protokoll). Eftersom dessa protokoll inte har moderna egenskaper, till exempel klient-ID, finns det begränsad telemetri för att minska falska positiva identifieringar. Vi rekommenderar att våra kunder övergår till modern autentisering. Obekanta inloggningsegenskaper kan identifieras på både interaktiva och icke-interaktiva inloggningar. När den här identifieringen identifieras vid icke-interaktiva inloggningar förtjänar den ökad granskning på grund av risken för tokenuppspelningsattacker.
Skadlig IP-adress Offline Den här identifieringen indikerar inloggning från en skadlig IP-adress. En IP-adress anses vara skadlig baserat på höga felfrekvenser på grund av ogiltiga autentiseringsuppgifter som tagits emot från IP-adressen eller andra IP-rykteskällor.
Misstänkta regler för inkorgsmanipulering Offline Den här identifieringen identifieras av Microsoft Defender for Cloud Apps. Den här identifieringen tittar på din miljö och utlöser aviseringar när misstänkta regler som tar bort eller flyttar meddelanden eller mappar har angetts i en användares inkorg. Den här identifieringen kan tyda på att ett användarkonto har komprometterats, att meddelanden avsiktligt döljs och att postlådan används för att distribuera skräppost eller skadlig kod i din organisation.
Lösenordsspray Offline En attack med lösenordsspray är där flera användarnamn attackeras med vanliga lösenord på ett enhetligt råstyrkesätt för att få obehörig åtkomst. Den här riskidentifieringen utlöses när en lösenordssprayattack har utförts. Angriparen autentiseras till exempel i den identifierade instansen.
Omöjlig resa Offline Den här identifieringen identifieras av Microsoft Defender for Cloud Apps. Den här identifieringen identifierar användaraktiviteter (är en eller flera sessioner) som kommer från geografiskt avlägsna platser inom en tidsperiod som är kortare än den tid det tar att resa från den första platsen till den andra. Den här risken kan tyda på att en annan användare använder samma autentiseringsuppgifter.
Nytt land Offline Den här identifieringen identifieras av Microsoft Defender for Cloud Apps. Den här identifieringen tar hänsyn till tidigare aktivitetsplatser för att fastställa nya och ovanliga platser. Avvikelseidentifieringsmotorn lagrar information om tidigare platser som används av användare i organisationen.
Aktivitet från anonym IP-adress Offline Den här identifieringen identifieras av Microsoft Defender for Cloud Apps. Den här identifieringen identifierar att användare var aktiva från en IP-adress som har identifierats som en anonym proxy-IP-adress.
Misstänkt vidarebefordran av inkorgar Offline Den här identifieringen identifieras av Microsoft Defender for Cloud Apps. Den här identifieringen söker efter misstänkta regler för vidarebefordran av e-post, till exempel om en användare har skapat en inkorgsregel som vidarebefordrar en kopia av alla e-postmeddelanden till en extern adress.
Massåtkomst till känsliga filer Offline Den här identifieringen identifieras av Microsoft Defender for Cloud Apps. Den här identifieringen tittar på din miljö och utlöser aviseringar när användare får åtkomst till flera filer från Microsoft SharePoint eller Microsoft OneDrive. En avisering utlöses endast om antalet filer som används är ovanligt för användaren och filerna kan innehålla känslig information

Riskidentifieringar för icke-premiuminloggning

Riskidentifiering Identifieringstyp Description
Ytterligare risk har identifierats Realtid eller offline Den här identifieringen anger att en av premiumidentifieringarna har identifierats. Eftersom premiumidentifieringarna bara är synliga för Azure AD Premium P2 kunder får de titeln "ytterligare risk har identifierats" för kunder utan Azure AD Premium P2 licenser.
Anonym IP-adress Realtid Den här typen av riskidentifiering indikerar inloggningar från en anonym IP-adress (till exempel Tor-webbläsare eller anonym VPN). Dessa IP-adresser används vanligtvis av aktörer som vill dölja sin inloggningsinformation (IP-adress, plats, enhet och så vidare) för potentiellt skadliga avsikter.
Admin bekräftade att användaren har komprometterats Offline Den här identifieringen anger att en administratör har valt Bekräfta att användaren har komprometterats i användargränssnittet för riskfyllda användare eller med hjälp av riskfylldaAnvändar-API:et. Om du vill se vilken administratör som har bekräftat att användaren har komprometterats kontrollerar du användarens riskhistorik (via användargränssnitt eller API).
Azure AD-hotinformation Offline Den här typen av riskidentifiering anger användaraktivitet som är ovanlig för användaren eller som överensstämmer med kända attackmönster. Den här identifieringen baseras på Microsofts interna och externa hotinformationskällor.

Användarlänkade identifieringar

Riskidentifiering för Premium-användare

Riskidentifiering Identifieringstyp Description
Möjligt försök att komma åt primär uppdateringstoken (PRT) Offline Den här typen av riskidentifiering identifieras av Microsoft Defender för Endpoint (MDE). En primär uppdateringstoken (PRT) är en nyckelartefakt för Azure AD-autentisering på Windows 10-, Windows Server 2016- och senare versioner, iOS- och Android-enheter. En PRT är en JSON Web Token (JWT) som är särskilt utfärdad till Microsofts asynkrona tokenkoordinatorer från första part för att aktivera enkel inloggning (SSO) i de program som används på dessa enheter. Angripare kan försöka komma åt den här resursen för att flytta i sidled till en organisation eller utföra stöld av autentiseringsuppgifter. Den här identifieringen flyttar användare till hög risk och utlöses endast i organisationer som har distribuerat MDE. Den här identifieringen är låg volym och kommer att ses sällan av de flesta organisationer. Men när det inträffar är det hög risk och användarna bör åtgärdas.
Avvikande användaraktivitet Offline Den här riskidentifieringen definierar normalt administrativt användarbeteende i Azure AD och upptäcker avvikande beteendemönster som misstänkta ändringar i katalogen. Identifieringen utlöses mot att administratören gör ändringen eller objektet som ändrades.

Riskidentifieringar för icke-premiumanvändare

Riskidentifiering Identifieringstyp Description
Ytterligare risk har identifierats Realtid eller offline Den här identifieringen anger att en av premiumidentifieringarna har identifierats. Eftersom premiumidentifieringarna bara är synliga för Azure AD Premium P2 kunder får de titeln "ytterligare risk har identifierats" för kunder utan Azure AD Premium P2 licenser.
Läckta autentiseringsuppgifter Offline Den här riskidentifieringstypen indikerar att användarens giltiga autentiseringsuppgifter har avslöjats. När cyberbrottslingar komprometterar giltiga lösenord för legitima användare delar de ofta dessa autentiseringsuppgifter. Den här delningen sker vanligtvis genom att offentlig publicering på den mörka webben, eller genom att autentiseringsuppgifterna säljs på den svarta marknaden. När microsofts tjänst för läckta autentiseringsuppgifter hämtar autentiseringsuppgifter från dark web, inklistringswebbplatser eller andra källor kontrolleras de mot Azure AD användares aktuella giltiga autentiseringsuppgifter för att hitta giltiga matchningar. Mer information om läckta autentiseringsuppgifter finns i Vanliga frågor.
Azure AD-hotinformation Offline Den här typen av riskidentifiering anger användaraktivitet som är ovanlig för användaren eller som överensstämmer med kända attackmönster. Den här identifieringen baseras på Microsofts interna och externa hotinformationskällor.

Vanliga frågor

Risknivåer

Identity Protection kategoriserar risker i tre nivåer: låg, medelhög och hög. När du konfigurerar identitetsskyddsprinciper kan du även konfigurera den så att den utlöses på risknivån Ingen . Ingen risk innebär att det inte finns någon aktiv indikation på att användarens identitet har komprometterats.

Microsoft tillhandahåller inte specifik information om hur risker beräknas. Varje risknivå ger högre förtroende för att användaren eller inloggningen har komprometterats. Till exempel kanske något som liknar en instans av okända inloggningsegenskaper för en användare inte är lika hotfullt som läckta autentiseringsuppgifter för en annan användare.

Synkronisering av lösenordshash

Riskidentifieringar som läckta autentiseringsuppgifter kräver att det finns lösenordshashvärden för identifiering. Mer information om synkronisering av lösenordshash finns i artikeln Implementera synkronisering av lösenordshash med Azure AD Connect-synkronisering.

Varför genereras riskidentifieringar för inaktiverade användarkonton?

Inaktiverade användarkonton kan återaktiveras. Om autentiseringsuppgifterna för ett inaktiverat konto komprometteras och kontot återaktiveras kan dåliga aktörer använda dessa autentiseringsuppgifter för att få åtkomst. Identity Protection genererar riskidentifieringar för misstänkta aktiviteter mot inaktiverade användarkonton för att varna kunder om potentiella kontointrång. Om ett konto inte längre används och inte kommer att återaktiveras bör kunderna överväga att ta bort det för att förhindra att det komprometteras. Inga riskidentifieringar genereras för borttagna konton.

Läckta autentiseringsuppgifter

Var hittar Microsoft läckta autentiseringsuppgifter?

Microsoft hittar läckta autentiseringsuppgifter på olika platser, inklusive:

  • Offentliga inklistringswebbplatser som pastebin.com och paste.ca där dåliga aktörer vanligtvis publicerar sådant material. Den här platsen är de flesta dåliga skådespelares första stopp på sin jakt för att hitta stulna autentiseringsuppgifter.
  • Brottsbekämpande myndigheter.
  • Andra grupper på Microsoft som gör dark web-forskning.

Varför visas inga läckta autentiseringsuppgifter?

Läckta autentiseringsuppgifter bearbetas varje gång Microsoft hittar en ny, offentligt tillgänglig batch. På grund av den känsliga typen tas de läckta autentiseringsuppgifterna bort strax efter bearbetningen. Endast nya läckta autentiseringsuppgifter som hittas efter att du har aktiverat synkronisering av lösenordshash (PHS) bearbetas mot din klientorganisation. Det går inte att verifiera mot tidigare funna autentiseringspar.

Jag har inte sett några läckta riskhändelser för autentiseringsuppgifter på länge?

Om du inte har sett några läckta riskhändelser för autentiseringsuppgifter beror det på följande:

  • Du har inte AKTIVERAT PHS för din klientorganisation.
  • Microsoft har inte hittat några läckta autentiseringsuppgiftspar som matchar dina användare.

Hur ofta bearbetar Microsoft nya autentiseringsuppgifter?

Autentiseringsuppgifterna bearbetas omedelbart efter att de har hittats, vanligtvis i flera batchar per dag.

Platser

Platsen i riskidentifieringar bestäms av IP-adresssökning.

Nästa steg