Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Entra ID Protection kan tillhandahålla ett brett spektrum av riskidentifieringar som kan användas för att identifiera misstänkt aktivitet i din organisation. Tabellerna som ingår i den här artikeln sammanfattar listan över inloggnings- och användarriskidentifieringar, inklusive licenskraven eller om identifieringen sker i realtid eller offline. Mer information om varje riskidentifiering finns i tabellerna.
- Fullständig information om de flesta riskidentifieringar kräver Microsoft Entra ID P2.
- Kunder utan Microsoft Entra ID P2-licenser får identifieringar med titeln Ytterligare risk identifierad utan riskidentifieringsinformation.
- For more information, see the license requirements.
- Information om identifiering av arbetsbelastningsidentitetsrisker finns i Skydda arbetsbelastningsidentiteter.
Note
Mer information om realtids- och offlineidentifieringar och risknivåer finns i Typer och nivåer för riskidentifiering.
Inloggningsriskidentifieringar mappade till riskEventType
Välj en riskidentifiering i listan för att visa beskrivningen av riskidentifieringen, hur den fungerar och licenskraven. In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license.
Nonpremium indicates the detection is available with Microsoft Entra ID Free. Kolumnen riskEventType anger det värde som visas i Microsoft Graph API-frågor.
| Identifiering av inloggningsrisk | Detection type | Type | riskEventType |
|---|---|---|---|
| Aktivitet från anonym IP-adress | Offline | Premium | riskyIPAddress |
| Ytterligare risk identifierad (inloggning) | Realtid eller offline | Nonpremium | generic ^ |
| Administratören bekräftade att användaren har komprometterats | Offline | Nonpremium | adminConfirmedUserCompromised |
| Anomal token vid inloggning | Realtid eller offline | Premium | anomalousToken |
| Anonym IP-adress | Real-time | Nonpremium | anonymizedIPAddress |
| Atypical travel | Offline | Premium | unlikelyTravel |
| Impossible travel | Offline | Premium | mcasImpossibleTravel |
| Skadlig IP-adress | Offline | Premium | maliciousIPAddress |
| Massåtkomst till känsliga filer | Offline | Premium | mcasFinSuspiciousFileAccess |
| Microsoft Entra-hotinformation (inloggning) | Realtid eller offline | Nonpremium | investigationsThreatIntelligence |
| New country | Offline | Premium | newCountry |
| Password spray | Realtid eller offline | Premium | passwordSpray |
| Suspicious browser | Offline | Premium | suspiciousBrowser |
| Misstänkt vidarebefordran av inkorg | Offline | Premium | suspiciousInboxForwarding |
| Misstänkta regler för inkorgsmanipulering | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| Avvikelse från tokenutgivare | Offline | Premium | tokenIssuerAnomaly |
| Okända inloggningsegenskaper | Real-time | Premium | unfamiliarFeatures |
| Verifierad hotaktörs IP-adress | Real-time | Premium | nationStateIP |
^ RiskEventType for Additional risk detected detection is generic for tenants with Microsoft Entra ID Free or Microsoft Entra ID P1 (RiskEventType for Additional risk detected detection is generic for tenants with Microsoft Entra ID Free or Microsoft Entra ID P1). Vi har upptäckt något riskabelt, men informationen är inte tillgänglig utan en Microsoft Entra ID P2-licens.
Användarriskidentifieringar mappade till riskEventType
Välj en riskidentifiering i listan för att visa beskrivningen av riskidentifieringen, hur den fungerar och licenskraven.
| Identifiering av användarrisk | Detection type | Type | riskEventType |
|---|---|---|---|
| Ytterligare risk identifierad (användare) | Realtid eller offline | Nonpremium | generic ^ |
| anomalt token (användare) | Realtid eller offline | Premium | anomalousToken |
| Avvikande användaraktivitet | Offline | Premium | anomalousUserActivity |
| Angripare i mitten | Offline | Premium | attackerinTheMiddle |
| Leaked credentials | Offline | Nonpremium | leakedCredentials |
| Microsoft Entra-hotinformation (användare) | Realtid eller offline | Nonpremium | investigationsThreatIntelligence |
| Möjligt försök att komma åt primär uppdateringstoken (PRT) | Offline | Premium | attemptedPrtAccess |
| Misstänkt API-trafik | Offline | Premium | suspiciousAPITraffic |
| Misstänkta sändningsmönster | Offline | Premium | suspiciousSendingPatterns |
| Användare rapporterade misstänkt aktivitet | Offline | Premium | userReportedSuspiciousActivity |
^ RiskEventType for Additional risk detected detection is generic for tenants with Microsoft Entra ID Free or Microsoft Entra ID P1 (RiskEventType for Additional risk detected detection is generic for tenants with Microsoft Entra ID Free or Microsoft Entra ID P1). Vi har upptäckt något riskabelt, men informationen är inte tillgänglig utan en Microsoft Entra ID P2-licens.
Identifiering av inloggningsrisk
Aktivitet från anonym IP-adress
Den här upptäckten upptäcktes med hjälp av information från Microsoft Defender för Cloud Apps. Den här identifieringen identifierar att användare var aktiva från en IP-adress som identifierats som en anonym proxy-IP-adress.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Ytterligare risk identifierad (inloggning)
Den här identifieringen anger att en av premiumidentifieringarna har identifierats. Eftersom premiumidentifieringarna endast är synliga för Microsoft Entra ID P2-kunder har de titeln Ytterligare risk identifierad för kunder utan Microsoft Entra ID P2-licenser.
- Beräknas i realtid eller offline
- Licenskrav: Kostnadsfritt Microsoft Entra-ID eller Microsoft Entra-ID P1
Administratören bekräftade att användaren har komprometterats
Den här identifieringen anger att en administratör har valt Bekräfta att användaren har komprometterats i användargränssnittet för riskfyllda användare eller använder riskfylltAnvändar-API. Om du vill se vilken administratör som har bekräftat att användaren har komprometterats kontrollerar du användarens riskhistorik (via användargränssnitt eller API).
- Calculated offline
- Licenskrav: Kostnadsfritt Microsoft Entra-ID eller Microsoft Entra-ID P1
Avvikande token (inloggning)
Den här identifieringen anger onormala egenskaper i token, till exempel en ovanlig livslängd eller en token som spelas upp från en okänd plats. Den här identifieringen omfattar "Sessionstoken" och "Uppdateringstoken".
Avvikande token justeras för att orsaka mer brus än andra identifieringar på samma risknivå. Den här kompromissen väljs för att öka sannolikheten att upptäcka omspelade token, som annars skulle kunna förbli obemärkta. Det finns en större risk än normalt att vissa av de sessioner som flaggas av denna detektion är falskt positiva. Vi rekommenderar att du undersöker de sessioner som flaggas av den här identifieringen i samband med andra inloggningar från användaren. Om platsen, programmet, IP-adressen, användaragenten eller andra egenskaper är oväntade för användaren bör administratören betrakta den här risken som en indikator på potentiell tokenuppspelning.
- Beräknas i realtid eller offline
- Licenskrav: Microsoft Entra ID P2
- Tips för att undersöka avvikande tokenidentifieringar.
Anonym IP-adress
Den här riskidentifieringstypen anger inloggningar från en anonym IP-adress (till exempel Tor-webbläsare eller anonym VPN). Dessa IP-adresser används vanligtvis av aktörer som vill dölja sin inloggningsinformation (IP-adress, plats, enhet och så vidare) för potentiellt skadliga avsikter.
- Beräknas i realtid
- Licenskrav: Kostnadsfritt Microsoft Entra-ID eller Microsoft Entra-ID P1
Atypical travel
Den här riskidentifieringstypen identifierar två inloggningar som kommer från geografiskt avlägsna platser, där minst en av platserna också kan vara atypisk för användaren, givet tidigare beteende. Algoritmen tar hänsyn till flera faktorer, inklusive tiden mellan de två inloggningarna och den tid det tar för användaren att resa från den första platsen till den andra. Den här risken kan tyda på att en annan användare använder samma autentiseringsuppgifter.
Algoritmen ignorerar uppenbara "falska positiva resultat" som bidrar till omöjliga reseförhållanden, till exempel VPN:er och platser som regelbundet används av andra användare i organisationen. Systemet har en inledande inlärningsperiod på tidigast 14 dagar eller 10 inloggningar, under vilken den lär sig en ny användares inloggningsbeteende.
- Calculated offline
- Licenskrav: Microsoft Entra ID P2
- Tips för att undersöka atypiska reseupptäckter.
Impossible travel
Den här upptäckten upptäcktes med hjälp av information från Microsoft Defender för Cloud Apps. Den här identifieringen identifierar användaraktiviteter (i en eller flera sessioner) som kommer från geografiskt avlägsna platser inom en tidsperiod som är kortare än den tid det tar att resa från den första platsen till den andra. Den här risken kan tyda på att en annan användare använder samma autentiseringsuppgifter.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Skadlig IP-adress
Den här identifieringen anger inloggning från en skadlig IP-adress. En IP-adress anses vara skadlig baserat på höga felfrekvenser på grund av ogiltiga autentiseringsuppgifter som tagits emot från IP-adressen eller andra IP-rykteskällor. I vissa fall utlöses den här identifieringen av tidigare skadlig aktivitet.
- Calculated offline
- Licenskrav: Microsoft Entra ID P2
- Tips för att undersöka identifiering av skadliga IP-adresser.
Massåtkomst till känsliga filer
Den här upptäckten upptäcktes med hjälp av information från Microsoft Defender för Cloud Apps. Den här identifieringen tittar på din miljö och utlöser aviseringar när användare får åtkomst till flera filer från Microsoft Office SharePoint Online eller Microsoft OneDrive. En avisering utlöses endast om antalet filer som används är ovanligt för användaren och filerna kan innehålla känslig information.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Microsoft Entra-hotinformation (inloggning)
Den här typen av riskidentifiering anger användaraktivitet som är ovanlig för användaren eller som överensstämmer med kända attackmönster. Den här identifieringen baseras på Microsofts interna och externa hotinformationskällor.
- Beräknas i realtid eller offline
- Licenskrav: Kostnadsfritt Microsoft Entra-ID eller Microsoft Entra-ID P1
- Tips för att undersöka identifieringar av Hotinformation i Microsoft Entra.
New country
Den här upptäckten upptäcktes med hjälp av information från Microsoft Defender för Cloud Apps. Den här identifieringen tar hänsyn till tidigare aktivitetsplatser för att fastställa nya och ovanliga platser. Avvikelseidentifieringsmotorn lagrar information om tidigare platser som används av användare i organisationen.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Password spray
En lösenordssprayattack är där flera identiteter attackeras med vanliga lösenord på ett enhetligt råstyrkesätt. Riskidentifieringen utlöses när ett kontos lösenord är giltigt och har ett inloggningsförsök. Den här identifieringen signalerar att användarens lösenord identifierades korrekt genom en lösenordssprayattack, inte att angriparen kunde komma åt några resurser.
- Beräknas i realtid eller offline
- Licenskrav: Microsoft Entra ID P2
- Tips för att utreda detektioner av lösenordsspray.
Suspicious browser
Misstänkt webbläsaridentifiering indikerar avvikande beteende baserat på misstänkt inloggningsaktivitet i flera klienter från olika länder/regioner i samma webbläsare.
- Calculated offline
- Licenskrav: Microsoft Entra ID P2
- Tips för att undersöka misstänkta webbläsaridentifieringar.
Misstänkt vidarebefordran av inkorgar
Den här upptäckten upptäcktes med hjälp av information från Microsoft Defender för Cloud Apps. Den här identifieringen letar efter misstänkta regler för vidarebefordran av e-post, till exempel om en användare har skapat en inkorgsregel som vidarebefordrar en kopia av alla e-postmeddelanden till en extern adress.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Misstänkta regler för inkorgsmanipulering
Den här upptäckten upptäcktes med hjälp av information från Microsoft Defender för Cloud Apps. Den här identifieringen tittar på din miljö och utlöser aviseringar när misstänkta regler som tar bort eller flyttar meddelanden eller mappar anges i en användares inkorg. Den här identifieringen kan tyda på att en användares konto har komprometterats, att meddelanden avsiktligt döljs och att postlådan används för att distribuera skräppost eller skadlig kod i organisationen.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Avvikelse hos tokenutfärdare
Den här riskidentifieringen indikerar att SAML-token utfärdaren för den associerade SAML-token kan vara komprometterad. Anspråken som ingår i token är ovanliga eller matchar kända angripares mönster.
- Calculated offline
- Licenskrav: Microsoft Entra ID P2
- Tips för att undersöka avvikelser i tokenutfärdare.
Obekanta inloggningsegenskaper
Den här typen av riskidentifiering tar hänsyn till tidigare inloggningshistorik för att söka efter avvikande inloggningar. Systemet lagrar information om tidigare inloggningar och utlöser en riskidentifiering när en inloggning sker med egenskaper som användaren inte känner till. Dessa egenskaper kan omfatta IP, ASN, plats, enhet, webbläsare och klient-IP-undernät. Nyligen skapade användare befinner sig i en "inlärningsläge"-period där den okända inloggningsegenskaperna riskidentifiering är avstängd medan våra algoritmer lär sig användarens beteende. Varaktigheten för inlärningsläget är dynamisk och beror på hur lång tid det tar för algoritmen att samla in tillräckligt med information om användarens inloggningsmönster. Den minsta varaktigheten är fem dagar. En användare kan återgå till inlärningsläget efter en lång period av inaktivitet.
Vi kör även den här identifieringen för grundläggande autentisering (eller äldre protokoll). Eftersom dessa protokoll inte har moderna egenskaper, till exempel klient-ID, finns det begränsade data för att minska falska positiva identifieringar. Vi rekommenderar våra kunder att övergå till modern autentisering.
Obekanta inloggningsegenskaper kan identifieras för både interaktiva och icke-interaktiva inloggningar. När den här identifieringen identifieras vid icke-interaktiva inloggningar förtjänar den ökad granskning på grund av risken för tokenreprisattacker.
Om du väljer en okänd inloggningsrisk kan du se mer information som ger ytterligare detaljer om varför den här risken utlöstes.
- Beräknas i realtid
- Licenskrav: Microsoft Entra ID P2
IP-adress för verifierad hotaktör
Beräknas i realtid. Den här typen av riskidentifiering indikerar inloggningsaktivitet som överensstämmer med kända IP-adresser som är associerade med nationella aktörer eller cyberbrottsgrupper, baserat på data från Microsoft Threat Intelligence Center (MSTIC).
- Beräknas i realtid
- Licenskrav: Microsoft Entra ID P2
Identifiering av användarrisker
Ytterligare risk identifierad (användare)
Den här identifieringen anger att en av premiumidentifieringarna har identifierats. Eftersom premiumidentifieringarna endast är synliga för Microsoft Entra ID P2-kunder har de titeln Ytterligare risk identifierad för kunder utan Microsoft Entra ID P2-licenser.
- Beräknas i realtid eller offline
- Licenskrav: Kostnadsfritt Microsoft Entra-ID eller Microsoft Entra-ID P1
Avvikande token (användare)
Den här identifieringen anger onormala egenskaper i token, till exempel en ovanlig livslängd eller en token som spelas upp från en okänd plats. Den här identifieringen omfattar "Sessionstoken" och "Uppdateringstoken".
Avvikande token justeras för att orsaka mer brus än andra identifieringar på samma risknivå. Den här kompromissen väljs för att öka sannolikheten att upptäcka omspelade token, som annars skulle kunna förbli obemärkta. Det finns en större risk än normalt att vissa av de sessioner som flaggas av denna detektion är falskt positiva. Vi rekommenderar att du undersöker de sessioner som flaggas av den här identifieringen i samband med andra inloggningar från användaren. Om platsen, programmet, IP-adressen, användaragenten eller andra egenskaper är oväntade för användaren bör administratören betrakta den här risken som en indikator på potentiell tokenuppspelning.
- Beräknas i realtid eller offline
- Licenskrav: Microsoft Entra ID P2
- Tips för att undersöka avvikande tokenidentifieringar.
Avvikande användaraktivitet
Detta riskidentifieringssystem fastställer en baslinje för normalt administrativt användarbeteende i Microsoft Entra ID och upptäcker avvikande beteendemönster som misstänkta ändringar i katalogen. Identifieringen utlöses mot administratören som gör ändringen eller objektet som ändrades.
- Calculated offline
- Licenskrav: Microsoft Entra ID P2
Angripare i mitten
Den här högprecisionsidentifieringen kallas även adversary in the Middle och utlöses när en autentiseringssession är länkad till en skadlig omvänd proxy. I den här typen av angrepp kan angriparen fånga upp användarens autentiseringsuppgifter, inklusive token som utfärdats till användaren. The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. Vi rekommenderar att administratörer manuellt undersöker användaren när den här identifieringen utlöses för att säkerställa att risken rensas. Om du tar bort den här risken kan det krävas säker återställning av lösenord eller återkallande av befintliga sessioner.
- Calculated offline
- Licenskrav: Microsoft Entra ID P2
Leaked credentials
Den här riskidentifieringstypen anger att användarens giltiga autentiseringsuppgifter läckte ut. När cyberbrottslingar komprometterar giltiga lösenord för legitima användare delar de ofta dessa insamlade autentiseringsuppgifter. Delning sker vanligtvis genom offentlig publicering på mörka webben, paste-sajter, eller genom att byta och sälja inloggningsuppgifterna på den svarta marknaden. När tjänsten för läckta autentiseringsuppgifter från Microsoft hämtar användarautentiseringsuppgifter från dark web, pastade sajter eller andra källor, kontrolleras dessa autentiseringsuppgifter mot Microsoft Entra-användarnas aktuella giltiga inloggningsuppgifter för att hitta matchningar. For more information about leaked credentials, see FAQs.
- Calculated offline
- Licenskrav: Kostnadsfritt Microsoft Entra-ID eller Microsoft Entra-ID P1
- Leddtrådar för att undersöka läckta autentiseringsuppgifter.
Microsoft Entra-hotinformation (användare)
Den här typen av riskidentifiering anger användaraktivitet som är ovanlig för användaren eller som överensstämmer med kända attackmönster. Den här identifieringen baseras på Microsofts interna och externa hotinformationskällor.
- Calculated offline
- Licenskrav: Kostnadsfritt Microsoft Entra-ID eller Microsoft Entra-ID P1
- Tips för att undersöka identifieringar av Hotinformation i Microsoft Entra.
Möjligt försök att komma åt Primary Refresh Token (PRT)
Den här typen av riskidentifiering identifieras med hjälp av information från Microsoft Defender för Endpoint (MDE). En primär uppdateringstoken (PRT) är en viktig artefakt för Microsoft Entra-autentisering i Windows 10, Windows Server 2016 och senare versioner, iOS- och Android-enheter. En PRT är en JSON-webbtoken (JWT) som utfärdas till Microsofts tokenmäklare från första part för att möjliggöra single sign-on (SSO) i de applikationer som används på dessa enheter. Angripare kan försöka komma åt den här resursen för att flytta i sidled till en organisation eller utföra stöld av autentiseringsuppgifter. Den här upptäckten flyttar användare till hög risknivå och utlöses endast i organisationer som distribuerar MDE. Denna identifiering är av hög risk och vi rekommenderar snabb åtgärd av dessa användare. Det visas sällan i de flesta organisationer på grund av dess låga volym.
- Calculated offline
- Licenskrav: Microsoft Entra ID P2
Misstänkt API-trafik
Den här riskidentifieringen rapporteras när onormal GraphAPI-trafik eller kataloguppräkning observeras. Misstänkt API-trafik kan tyda på att en användare är komprometterad och utför rekognosering i miljön.
- Calculated offline
- Licenskrav: Microsoft Entra ID P2
Misstänkta sändningsmönster
Den här typen av riskidentifiering identifieras med hjälp av information som tillhandahålls av Microsoft Defender för Office 365 (MDO). Den här aviseringen genereras när någon i din organisation skickar misstänkt e-post och antingen riskerar att bli eller begränsas från att skicka e-post. Den här detekteringen flyttar användare till medelhög risk och utlöses endast i organisationer som distribuerar MDO. Den här detekteringen är i låg volym och det sker sällan i de flesta organisationer.
- Calculated offline
- Licenskrav: Microsoft Entra ID P2
Användare rapporterade misstänkt aktivitet
Den här riskidentifieringen rapporteras när en användare nekar en MFA-uppmaning (multifaktorautentisering) och rapporterar den som misstänkt aktivitet. En MFA-fråga som inte initieras av en användare kan innebära att deras autentiseringsuppgifter komprometteras.
- Calculated offline
- Licenskrav: Microsoft Entra ID P2