Risk nedir?

Azure AD Kimlik Koruması'ndaki risk algılamaları, dizindeki kullanıcı hesaplarıyla ilgili olarak tanımlanan şüpheli eylemleri içerir. Risk algılamaları (hem kullanıcı hem de oturum açma bağlantılı), Riskli Kullanıcılar raporunda bulunan genel kullanıcı risk puanına katkıda bulunur.

Kimlik Koruması, kuruluşların bu şüpheli eylemleri görmek ve bunlara hızla yanıt vermek için güçlü kaynaklara erişmesini sağlar.

Riskli kullanıcıları ve oturum açmaları gösteren güvenliğe genel bakış

Not

Kimlik Koruması yalnızca doğru kimlik bilgileri kullanıldığında risk algılamaları oluşturur. Oturum açmada yanlış kimlik bilgileri kullanılıyorsa, kimlik bilgilerinin tehlikeye atılma riskini temsil etmez.

Risk türleri ve algılama

Risk, Kullanıcı ve Oturum Açma düzeyinde ve iki tür algılama veya hesaplama gerçek zamanlı ve Çevrimdışı olarak algılanabilir. Bazı riskler yalnızca Azure AD Premium P2 müşterilerine premium olarak kabul edilirken, diğerleri Ücretsiz ve Azure AD Premium P1 müşterileri tarafından kullanılabilir.

Oturum açma riski, belirli bir kimlik doğrulama isteğinin kimlik sahibi tarafından yetkilendirilmemesi olasılığını temsil eder. Belirli bir kötü amaçlı oturum açmayla bağlantılı olmayan ancak kullanıcının kendisine bağlı olan bir kullanıcı için riskli etkinlik algılanabilir.

Gerçek zamanlı algılamalar 5-10 dakika raporlamada görünmeyebilir. Çevrimdışı algılamalar 48 saat boyunca raporlamada görünmeyebilir.

Not

Sistemimiz, risk kullanıcı risk puanına katkıda bulunan risk olayının aşağıdakilerden biri olduğunu algılayabilir:

Sistemimiz risk durumunu kapatacak ve "Yapay zeka tarafından onaylanan oturum açma güvenli" risk ayrıntıları gösterilecektir ve artık kullanıcının genel riskine katkıda bulunmayacaktır.

Premium algılamalar

Premium algılamalar yalnızca Azure AD Premium P2 müşteriler tarafından görülebilir. Azure AD Premium P2 lisansı olmayan müşteriler premium algılamaları almaya devam eder ancak bunlar "ek risk algılandı" olarak adlandırılır.

Oturum açma riski

Premium oturum açma riski algılamaları

Risk algılama Algılama türü Açıklama
Olağandışı yolculuk Çevrimdışı Bu risk algılama türü, coğrafi olarak uzak konumlardan kaynaklanan ve konumlardan en az birinin geçmişteki davranışlar dikkate alındığında kullanıcı için atipik olabileceği iki oturum açma işlemini tanımlar. Algoritma, iki oturum açma işlemi arasındaki süre ve kullanıcının ilk konumdan ikinciye geçmesi için gereken süre dahil olmak üzere birden çok faktörü dikkate alır. Bu risk, farklı bir kullanıcının aynı kimlik bilgilerini kullandığını gösterebilir. Algoritma, VPN'ler ve kuruluştaki diğer kullanıcılar tarafından düzenli olarak kullanılan konumlar gibi imkansız seyahat koşullarına katkıda bulunan belirgin "hatalı pozitif sonuçları" yoksayar. Sistemin ilk öğrenme süresi en erken 14 gün veya 10 oturum açma işlemidir ve bu süre boyunca yeni bir kullanıcının oturum açma davranışını öğrenir.
Anormal Belirteç Çevrimdışı Bu algılama, belirteçte olağan dışı belirteç ömrü veya bilinmeyen bir konumdan oynatılan belirteç gibi anormal özellikler olduğunu gösterir. Bu algılama, Oturum Belirteçlerini ve Yenileme Belirteçlerini kapsar. NOT: Anormal belirteç, aynı risk düzeyindeki diğer algılamalardan daha fazla gürültüye neden olacak şekilde ayarlanır. Bu denge, aksi takdirde fark edilemeyen yeniden oynatılan belirteçleri algılama olasılığını artırmak için seçilir. Bu yüksek bir gürültü algılama olduğundan, bu algılama tarafından bayrak eklenen oturumlardan bazılarının hatalı pozitif olma olasılığı normalden daha yüksektir. Kullanıcıdan gelen diğer oturum açma işlemleri bağlamında bu algılama tarafından bayrak eklenmiş oturumları araştırmanızı öneririz. Konum, uygulama, IP adresi, Kullanıcı Aracısı veya diğer özellikler kullanıcı için beklenmeyen bir durumsa, kiracı yöneticisinin bu riski olası belirteç yeniden yürütme göstergesi olarak değerlendirmesi gerekir.
Belirteç Veren Anomalisi Çevrimdışı Bu risk algılama, ilişkili SAML belirteci için SAML belirteci verenin risk altında olma olasılığı olduğunu gösterir. Belirteçte bulunan talepler olağan dışıdır veya bilinen saldırgan desenleri ile eşleştir.
Kötü amaçlı yazılım bağlantılı IP adresi Çevrimdışı Bu risk algılama türü, bot sunucusuyla etkin bir şekilde iletişim kurabildiği bilinen kötü amaçlı yazılım bulaşmış IP adreslerinden oturum açmaları gösterir. Bu algılama, kullanıcının cihazının IP adresleriyle bot sunucusu etkinken bot sunucusuyla iletişim kuran IP adresleriyle eşleşir. Bu algılama kullanım dışı bırakıldı. Kimlik Koruması artık yeni "Kötü amaçlı yazılım bağlantılı IP adresi" algılamaları oluşturmaz. Kiracılarında şu anda "Kötü amaçlı yazılım bağlantılı IP adresi" algılamaları olan müşteriler, 90 günlük algılama saklama süresine ulaşılana kadar bunları görüntülemeye, düzeltmeye veya kapatmaya devam edebilir.
Şüpheli tarayıcı Çevrimdışı Şüpheli tarayıcı algılama, aynı tarayıcıdaki farklı ülkelerden birden çok kiracıda şüpheli oturum açma etkinliğine dayalı anormal davranışı gösterir.
Bilinmeyen oturum açma özellikleri Gerçek zamanlı Bu risk algılama türü, anormal oturum açmaları aramak için geçmiş oturum açma geçmişini dikkate alır. Sistem, önceki oturum açma işlemleriyle ilgili bilgileri depolar ve kullanıcıya yabancı özelliklerle oturum açma gerçekleştiğinde risk algılamayı tetikler. Bu özellikler ARASıNDA IP, ASN, konum, cihaz, tarayıcı ve kiracı IP alt ağı bulunabilir. Yeni oluşturulan kullanıcılar, algoritmalarımız kullanıcının davranışını öğrenirken tanınmayan oturum açma özellikleri risk algılamanın kapatılacağı "öğrenme modu" döneminde olacaktır. Öğrenme modu süresi dinamiktir ve algoritmanın kullanıcının oturum açma desenleri hakkında yeterli bilgi toplama süresine bağlıdır. En düşük süre beş gündür. Kullanıcı uzun bir süre etkinlik dışı bırakıldıktan sonra öğrenme moduna geri dönebilir. Bu algılamayı temel kimlik doğrulaması (veya eski protokoller) için de çalıştırıyoruz. Bu protokoller istemci kimliği gibi modern özelliklere sahip olmadığından hatalı pozitif sonuçları azaltmak için sınırlı telemetri vardır. Müşterilerimizin modern kimlik doğrulamasına geçmelerini öneririz. Hem etkileşimli hem de etkileşimli olmayan oturum açmalarda tanınmayan oturum açma özellikleri algılanabilir. Etkileşimli olmayan oturum açma işlemlerinde bu algılama algılandığında, belirteç yeniden yürütme saldırıları riski nedeniyle daha fazla incelemeyi hak eder.
Kötü amaçlı IP adresi Çevrimdışı Bu algılama, kötü amaçlı bir IP adresinden oturum açmayı gösterir. IP adresinden veya diğer IP saygınlığı kaynaklarından alınan geçersiz kimlik bilgileri nedeniyle BIR IP adresi yüksek hata oranlarına göre kötü amaçlı olarak kabul edilir.
Şüpheli gelen kutusu işleme kuralları Çevrimdışı Bu algılama Microsoft Defender for Cloud Apps tarafından bulunur. Bu algılama ortamınıza bakar ve bir kullanıcının gelen kutusunda iletileri veya klasörleri silip taşıyabilen şüpheli kurallar ayarlandığında uyarıları tetikler. Bu algılama şunları gösterebilir: kullanıcının hesabının güvenliği aşıldı, iletiler kasıtlı olarak gizleniyor ve posta kutusu kuruluşunuzda istenmeyen posta veya kötü amaçlı yazılım dağıtmak için kullanılıyor.
Parola spreyi Çevrimdışı Parola spreyi saldırısı, yetkisiz erişim elde etmek için ortak parolalar kullanılarak birleşik bir deneme yanılma şeklinde birden çok kullanıcı adının saldırıya uğramasıdır. Parola spreyi saldırısı başarıyla gerçekleştirildiğinde bu risk algılama tetikleniyor. Örneğin, algılanan örnekte saldırganın kimliği başarıyla doğrulanır.
Mümkün olmayan seyahat Çevrimdışı Bu algılama Microsoft Defender for Cloud Apps tarafından bulunur. Bu algılama, coğrafi olarak uzak konumlardan kaynaklanan kullanıcı etkinliklerini (tek veya birden çok oturum) ilk konumdan ikinciye gitmek için gereken süreden daha kısa bir süre içinde tanımlar. Bu risk, farklı bir kullanıcının aynı kimlik bilgilerini kullandığını gösterebilir.
Yeni ülke Çevrimdışı Bu algılama Microsoft Defender for Cloud Apps tarafından bulunur. Bu algılama, yeni ve seyrek konumları belirlemek için geçmiş etkinlik konumlarını dikkate alır. Anomali algılama altyapısı, kuruluştaki kullanıcılar tarafından kullanılan önceki konumlar hakkındaki bilgileri depolar.
Anonim IP adresinden etkinlik Çevrimdışı Bu algılama Microsoft Defender for Cloud Apps tarafından bulunur. Bu algılama, kullanıcıların anonim ara sunucu IP adresi olarak tanımlanan bir IP adresinden etkin olduğunu tanımlar.
Şüpheli gelen kutusu iletme Çevrimdışı Bu algılama Microsoft Defender for Cloud Apps tarafından bulunur. Bu algılama, örneğin bir kullanıcı tüm e-postaların bir kopyasını dış adrese iletir bir gelen kutusu kuralı oluşturduysa şüpheli e-posta iletme kurallarını arar.
Hassas Dosyalara Toplu Erişim Çevrimdışı Bu algılama Microsoft Defender for Cloud Apps tarafından bulunur. Bu algılama ortamınıza bakar ve kullanıcılar Microsoft SharePoint'ten veya OneDrive'ı Microsoft birden çok dosyaya eriştiğinde uyarıları tetikler. Uyarı tetiklenmek için kullanıcı için erişilen dosyaların sayısı nadirdir ve dosyalar hassas bilgiler içerebilir

Şirket dışı oturum açma riski algılamaları

Risk algılama Algılama türü Açıklama
Ek risk algılandı Gerçek zamanlı veya Çevrimdışı Bu algılama, premium algılamalardan birinin algılandığını gösterir. Premium algılamalar yalnızca Azure AD Premium P2 müşteriler tarafından görülebildiğinden, Azure AD Premium P2 lisansı olmayan müşteriler için "ek risk algılandı" olarak adlandırılır.
Anonim IP adresi Gerçek zamanlı Bu risk algılama türü, anonim bir IP adresinden (örneğin, Tor tarayıcısı veya anonim VPN) oturum açmaları gösterir. Bu IP adresleri genellikle kötü amaçlı olabilecek oturum açma bilgilerini (IP adresi, konum, cihaz vb.) gizlemek isteyen aktörler tarafından kullanılır.
Yönetici kullanıcı güvenliğinin aşıldığı onaylandı Çevrimdışı Bu algılama, bir yöneticinin Riskli kullanıcılar kullanıcı arabiriminde veya riskyUsers API'sini kullanarak 'Kullanıcının güvenliğinin aşıldığını onaylayın' öğesini seçtiğini gösterir. Bu kullanıcının güvenliğinin aşıldığını onaylayan yöneticiyi görmek için kullanıcının risk geçmişini denetleyin (kullanıcı arabirimi veya API aracılığıyla).
Azure AD tehdit analizi Çevrimdışı Bu risk algılama türü, kullanıcı için olağan dışı veya bilinen saldırı desenleriyle tutarlı olan kullanıcı etkinliğini gösterir. Bu algılama, Microsoft iç ve dış tehdit bilgileri kaynaklarını temel alır.

Kullanıcı bağlantılı algılamalar

Premium kullanıcı risk algılamaları

Risk algılama Algılama türü Açıklama
Birincil Yenileme Belirtecine (PRT) erişme girişimi Çevrimdışı Bu risk algılama türü Uç Nokta için Microsoft Defender (MDE) tarafından algılanır. Birincil Yenileme Belirteci (PRT), Windows 10, Windows Server 2016 ve sonraki sürümler, iOS ve Android cihazlarda Azure AD kimlik doğrulamasının önemli bir yapıtıdır. PRT, bu cihazlarda kullanılan uygulamalarda çoklu oturum açmayı (SSO) etkinleştirmek için birinci taraf belirteç aracılarını Microsoft özel olarak verilen bir JSON Web Belirtecidir (JWT). Saldırganlar, bir kuruluşa ya da kimlik bilgisi hırsızlığı gerçekleştirmek üzere bu kaynağa erişmeye çalışabilir. Bu algılama, kullanıcıları yüksek riske taşır ve yalnızca MDE dağıtmış kuruluşlarda tetiklenir. Bu algılama düşük hacimli bir algılamadır ve çoğu kuruluş tarafından seyrek görülür. Ancak, gerçekleştiğinde yüksek risklidir ve kullanıcıların düzeltilmesi gerekir.
Anormal kullanıcı etkinliği Çevrimdışı Bu risk algılama, Azure AD normal yönetici kullanıcı davranışını temel alır ve dizinde şüpheli değişiklikler gibi anormal davranış desenlerini belirler. Algılama, değişikliği yapan yöneticiye veya değiştirilen nesneye karşı tetiklendi.

Şirket dışı kullanıcı risk algılamaları

Risk algılama Algılama türü Açıklama
Ek risk algılandı Gerçek zamanlı veya Çevrimdışı Bu algılama, premium algılamalardan birinin algılandığını gösterir. Premium algılamalar yalnızca Azure AD Premium P2 müşteriler tarafından görülebildiğinden, Azure AD Premium P2 lisansı olmayan müşteriler için "ek risk algılandı" olarak adlandırılır.
Sızdırılan kimlik bilgileri Çevrimdışı Bu risk algılama türü kullanıcının geçerli kimlik bilgilerinin sızdırıldığını gösterir. Siber suçlular meşru kullanıcıların geçerli parolalarını ele geçirdiğinde, genellikle bu kimlik bilgilerini paylaşırlar. Bu paylaşım genellikle karanlık ağda herkese açık olarak yayınlanarak, siteleri yapıştırarak veya karaborsada kimlik bilgilerini alıp satarak yapılır. Microsoft sızdırılan kimlik bilgileri hizmeti koyu web'den, yapıştırma sitelerinden veya diğer kaynaklardan kullanıcı kimlik bilgilerini alırsa, geçerli eşleşmeleri bulmak için kullanıcıların geçerli geçerli kimlik bilgilerine Azure AD denetlenir. Sızdırılan kimlik bilgileri hakkında daha fazla bilgi için bkz. Yaygın sorular.
Azure AD tehdit analizi Çevrimdışı Bu risk algılama türü, kullanıcı için olağan dışı veya bilinen saldırı desenleriyle tutarlı olan kullanıcı etkinliğini gösterir. Bu algılama, Microsoft iç ve dış tehdit bilgileri kaynaklarını temel alır.

Sık sorulan sorular

Risk düzeyleri

Kimlik Koruması riski düşük, orta ve yüksek olmak üzere üç katmana ayırır. Kimlik koruma ilkelerini yapılandırırken, risk düzeyi olmadan tetiklenmesi için de yapılandırabilirsiniz. Risk Yok, kullanıcının kimliğinin tehlikede olduğuna dair etkin bir gösterge olmadığı anlamına gelir.

Microsoft, riskin nasıl hesaplandığından belirli ayrıntılar sağlamaz. Her risk düzeyi, kullanıcının veya oturum açmanın güvenliğinin aşıldığına daha fazla güven getirir. Örneğin, bir kullanıcının tanınmayan oturum açma özelliklerinin bir örneği gibi bir şey, başka bir kullanıcı için sızdırılan kimlik bilgileri kadar tehdit edici olmayabilir.

Parola karması eşitleme

Sızan kimlik bilgileri gibi risk algılamaları, algılamanın gerçekleşmesi için parola karmalarının varlığını gerektirir. Parola karması eşitlemesi hakkında daha fazla bilgi için, Azure AD Connect eşitlemesi ile parola karması eşitlemesi uygulama makalesine bakın.

Devre dışı bırakılan kullanıcı hesapları için neden risk algılamaları oluşturuldu?

Devre dışı bırakılan kullanıcı hesapları yeniden etkinleştirilebilir. Devre dışı bırakılmış bir hesabın kimlik bilgileri tehlikeye girer ve hesap yeniden etkinleştirilirse, kötü aktörler erişim kazanmak için bu kimlik bilgilerini kullanabilir. Kimlik Koruması, devre dışı bırakılmış kullanıcı hesaplarına karşı şüpheli etkinlikler için risk algılamaları oluşturarak müşterileri olası hesap güvenliğinin aşılmasına karşı uyarır. Bir hesap artık kullanımda değilse ve yeniden etkinleştirilmeyecekse, müşterilerin güvenliğin aşılmasını önlemek için hesabı silmeyi göz önünde bulundurması gerekir. Silinen hesaplar için risk algılaması oluşturulmaz.

Sızdırılan kimlik bilgileri

Microsoft sızdırılan kimlik bilgilerini nerede bulabilirim?

Microsoft, aşağıdakiler gibi çeşitli yerlerde sızdırılan kimlik bilgilerini bulur:

  • pastebin.com ve paste.ca gibi genel yapıştırma siteleri, kötü aktörlerin genellikle bu tür malzemeleri göndereceği yerlerdir. Burası çoğu kötü aktörün çalınan kimlik bilgilerini bulmak için avladıkları ilk duraktır.
  • Kolluk kuvvetleri.
  • Microsoft'daki diğer gruplar koyu web araştırması yapıyor.

Neden sızdırılmış kimlik bilgileri görmüyorum?

Sızan kimlik bilgileri her zaman işlenir Microsoft yeni ve genel kullanıma açık bir toplu iş bulur. Hassas yapısı nedeniyle, sızdırılan kimlik bilgileri işlendikten kısa bir süre sonra silinir. Yalnızca parola karması eşitlemesini (PHS) etkinleştirdikten sonra bulunan yeni sızdırılan kimlik bilgileri kiracınızda işlenir. Daha önce bulunan kimlik bilgileri çiftlerine karşı doğrulama işlemi yapılmaz.

Uzun zamandır kimlik bilgisi riski sızan olay görmedim mi?

Sızan kimlik bilgisi riski olayı görmediyseniz, bunun nedeni aşağıdakilerdendir:

  • Kiracınız için PHS etkin değil.
  • Microsoft, kullanıcılarınızla eşleşen herhangi bir sızan kimlik bilgisi çifti bulamadı.

Microsoft yeni kimlik bilgilerini ne sıklıkta işler?

Kimlik bilgileri bulunduktan hemen sonra, normalde günde birden çok toplu işte işlenir.

Konumlar

Risk algılamalarındaki konum, IP adresi araması tarafından belirlenir.

Sonraki adımlar