Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Entra ID Protection, kuruluşunuzdaki şüpheli etkinlikleri tanımlamak için kullanılabilecek çok çeşitli risk algılamaları sağlayabilir. Bu makalede yer alan tablolar, lisans gereksinimleri veya algılamanın gerçek zamanlı veya çevrimdışı olarak gerçekleşip gerçekleşmediğini içeren oturum açma ve kullanıcı risk algılamalarının listesini özetler. Her risk algılaması hakkında daha fazla ayrıntı tabloların ardından bulunabilir.
- Risk algılamalarının çoğuyla ilgili tüm ayrıntılar için Microsoft Entra Id P2 gerekir.
- Microsoft Entra ID P2 lisansı olmayan müşteriler, risk algılama ayrıntıları olmadan algılanan ek riskler başlıklı algılamaları alır.
- Daha fazla bilgi için bkz . lisans gereksinimleri.
- İş yükü kimliği risk algılamaları hakkında bilgi için bkz. İş yükü kimliklerinin güvenliğini sağlama.
Note
Gerçek zamanlı ve çevrimdışı algılamalar ve risk düzeyleri hakkında ayrıntılı bilgi için bkz. Risk algılama türleri ve düzeyleri.
RiskEventType ile eşlenen oturum açma riski algılamaları
Risk algılamanın açıklamasını, nasıl çalıştığını ve lisans gereksinimlerini görüntülemek için listeden bir risk algılama seçin. Tabloda Premium , algılamanın en az bir Microsoft Entra ID P2 lisansı gerektirdiğini gösterir.
Nonpremium , algılamanın Microsoft Entra ID Free ile kullanılabilir olduğunu gösterir. Sütunu, riskEventType Microsoft Graph API sorgularında görüntülenen değeri gösterir.
| Oturum açma riski algılama | Algılama türü | Type | riskEventType |
|---|---|---|---|
| Anonim IP adresinden etkinlik | Offline | Premium | riskyIPAddress |
| Şüpheli MFA kimlik doğrulaması onayı | Real-time | Premium | authenticatorPhishing |
| Ek risk algılandı (oturum açma) | Gerçek zamanlı veya Çevrimdışı | Nonpremium | genel^ |
| Yönetici, kullanıcının güvenliğinin aşıldığını doğruladı | Offline | Nonpremium | adminConfirmedUserCompromised |
| Anormal Belirteç (oturum açma) |
Gerçek zamanlı veya Çevrimdışı | Premium | anomalousToken |
| Anonim IP adresi | Real-time | Nonpremium | anonymizedIPAddress |
| Atipik seyahat | Offline | Premium | unlikelyTravel |
| İmkansız seyahat | Offline | Premium | mcasImpossibleTravel |
| Kötü amaçlı IP adresi | Offline | Premium | maliciousIPAddress |
| Hassas Dosyalara Toplu Erişim | Offline | Premium | mcasFinSuspiciousFileAccess |
| Microsoft Entra tehdit bilgileri (oturum açma) | Gerçek zamanlı veya Çevrimdışı | Nonpremium | investigationsThreatIntelligence |
| Yeni ülke | Offline | Premium | newCountry |
| Parola spreyi | Gerçek zamanlı veya Çevrimdışı | Premium | passwordSpray |
| Şüpheli tarayıcı | Offline | Premium | suspiciousBrowser |
| Şüpheli gelen kutusu iletme | Offline | Premium | suspiciousInboxForwarding |
| Şüpheli gelen kutusu manipülasyon kuralları | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| Belirteç veren anomalisi | Offline | Premium | tokenIssuerAnomaly |
| Tanıdık olmayan oturum açma özellikleri | Real-time | Premium | unfamiliarFeatures |
| Doğrulanmış tehdit aktörü IP'si | Real-time | Premium | nationStateIP |
^ Ek risk algılaması için riskEventType, Microsoft Entra ID Free veya Microsoft Entra ID P1 olan kiracılar için geneldir . Riskli bir şey algıladık, ancak ayrıntılar Microsoft Entra ID P2 lisansı olmadan kullanılamıyor.
riskEventType ile eşlenen kullanıcı riski algılamaları
Risk algılamanın açıklamasını, nasıl çalıştığını ve lisans gereksinimlerini görüntülemek için listeden bir risk algılama seçin.
| Kullanıcı riski algılama | Algılama türü | Type | riskEventType |
|---|---|---|---|
| Ek risk algılandı (kullanıcı) | Gerçek zamanlı veya Çevrimdışı | Nonpremium | genel^ |
| Anormal Belirteç (kullanıcı) | Gerçek zamanlı veya Çevrimdışı | Premium | anomalousToken |
| Anormal kullanıcı etkinliği | Offline | Premium | anomalousUserActivity |
| Ortadaki Saldırgan | Offline | Premium | attackerinTheMiddle |
| Sızdırılan kimlik bilgileri | Offline | Nonpremium | leakedCredentials |
| Microsoft Entra tehdit istihbaratı (kullanıcı) | Gerçek zamanlı veya Çevrimdışı | Nonpremium | investigationsThreatIntelligence |
| Birincil Yenileme Belirteci'ne (PRT) erişme girişimi | Offline | Premium | attemptedPrtAccess |
| Şüpheli API Trafiği | Offline | Premium | suspiciousAPITraffic |
| Şüpheli gönderme desenleri | Offline | Premium | suspiciousSendingPatterns |
| Kullanıcı şüpheli etkinlik bildirdi | Offline | Premium | userReportedSuspiciousActivity |
^ Ek risk algılaması için riskEventType, Microsoft Entra ID Free veya Microsoft Entra ID P1 olan kiracılar için geneldir . Riskli bir şey algıladık, ancak ayrıntılar Microsoft Entra ID P2 lisansı olmadan kullanılamıyor.
Oturum açma riski algılamaları
Anonim IP adresinden etkinlik
Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama, kullanıcıların anonim ara sunucu IP adresi olarak tanımlanan bir IP adresinden etkin olduğunu tanımlar.
- Çevrimdışı hesaplandı
- Lisans gereksinimi:
- Microsoft Entra ID P2 ve Microsoft Defender for Cloud Apps için bağımsız lisans
- Enterprise Mobility + Security E5 ile Microsoft 365 E5
Şüpheli MFA kimlik doğrulaması onayı
Bu algılama, ASN, tarayıcı, cihaz ve GPS konum verileri gibi tanıdık olmayan özelliklerin olası bir sosyal mühendislik veya kimlik avı saldırısına işaret ettiği oturum açma işlemleri tanımlar. Algılama, Parola + MFA kimlik doğrulama yönteminin yanı sıra Microsoft Authenticator uygulamasından telemetri kullanan oturumlar sırasında tetikler. Bu sinyallerin birleşimi algılamanın duyarlığı artırmaya yardımcı olur ve oturum açma girişimini Yüksek riskli olarak işaretler. Kimlik doğrulama isteğinde bulunan cihaz ile kimlik doğrulama onaylayan cihaz arasındaki konum yakınlığı, microsoft Entra ID tarafından, meşru oturum açmaların saldırgan tarafından başlatılan oturumlardan ayırt edilebilmesine yardımcı olmak için analiz edilir.
- Gerçek zamanlı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra Id P2
Ek risk algılandı (oturum açma)
Bu algılama, premium algılamalardan birinin tetiklendiğini gösterir. Premium algılamalar yalnızca Microsoft Entra ID P2 müşterileri tarafından görülebildiğinden, Microsoft Entra ID P2 lisansı olmayan kullanıcılar için algılanan ek risk olarak etiketlenir.
- Gerçek zamanlı veya çevrimdışı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra ID Free veya Microsoft Entra ID P1
Yönetici, kullanıcının güvenliğinin aşıldığını doğruladı
Bu algılama, riskli kullanıcılar kullanıcı arabiriminde veya riskliKullanıcılar API'sini kullanarak kullanıcının güvenliğinin aşıldığını onayla'yı seçen bir yöneticiyi gösterir. Bu kullanıcının gizliliğinin ihlal edildiğini onaylayan yöneticiyi görmek için kullanıcının risk geçmişini denetleyin (kullanıcı arabirimi veya API aracılığıyla).
- Çevrimdışı hesaplandı
- Lisans gereksinimi: Microsoft Entra ID Free veya Microsoft Entra ID P1
Anormal belirteç (oturum açma)
Bu algılama, belirteçteki olağan dışı yaşam süresi veya bilinmeyen bir konumdan oynatılan belirteç gibi anormal özellikleri gösterir. Bu algılama "Oturum Belirteçleri" ve "Yenileme Belirteçleri" konularını kapsar. Konum, uygulama, IP adresi, Kullanıcı Aracısı veya diğer özellikler kullanıcı için beklenmedikse, yönetici bu riski olası belirtecin yeniden oynatılması göstergesi olarak düşünmelidir.
Anormal belirteç geçmişte diğer algılamalardan daha fazla kirlilik oluşturacak şekilde ayarlanmıştı. Algılamadaki son iyileştirmeler gürültüyü azalttı; ancak, bu tespit tarafından işaretlenen oturumlardan bazılarının düşük ve orta risk seviyelerinde yanlış pozitif olma olasılığı hala normalden yüksektir.
- Gerçek zamanlı veya çevrimdışı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra Id P2
- Anormal belirteç algılamalarını araştırma ipuçları.
Anonim IP adresi
Bu risk algılama türü, anonim bir IP adresinden (örneğin, Tor tarayıcısı veya anonim VPN) oturum açmaları gösterir. Bu IP adresleri genellikle kötü amaçlı olabilecek amaçlar için oturum açma bilgilerini (IP adresi, konum, cihaz vb.) gizlemek isteyen aktörler tarafından kullanılır.
- Gerçek zamanlı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra ID Free veya Microsoft Entra ID P1
Atypical travel
Bu risk algılama türü, coğrafi olarak uzak konumlardan kaynaklanan ve geçmişteki davranışlar göz önüne alındığında konumlardan en az birinin de kullanıcı için atipik olabileceği iki oturum açma işlemini tanımlar. Algoritma, iki oturum açma işlemi arasındaki süre ve kullanıcının ilk konumdan ikinciye geçmesi için gereken süre dahil olmak üzere birden çok faktörü dikkate alır. Bu risk, farklı bir kullanıcının aynı kimlik bilgilerini kullandığını gösterebilir.
Algoritma, VPN'ler ve kuruluştaki diğer kullanıcılar tarafından düzenli olarak kullanılan konumlar gibi imkansız seyahat koşullarına katkıda bulunan belirgin "yanlış pozitifleri" yok sayar. Sistemin ilk öğrenme süresi en erken 14 gün veya 10 oturum açma işlemidir ve bu süre boyunca yeni bir kullanıcının oturum açma davranışını öğrenir.
- Çevrimdışı hesaplandı
- Lisans gereksinimi: Microsoft Entra Id P2
- Atipik seyahat algılamalarını araştırma ipuçları.
Impossible travel
Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama, coğrafi olarak uzak konumlardan kaynaklanan kullanıcı etkinliklerini (tek veya birden çok oturumda) ilk konumdan ikinciye gitmek için geçen süreden daha kısa bir süre içinde tanımlar. Bu risk, farklı bir kullanıcının aynı kimlik bilgilerini kullandığını gösterebilir.
- Çevrimdışı hesaplandı
- Lisans gereksinimi:
- Microsoft Entra ID P2 ve Microsoft Defender for Cloud Apps için bağımsız lisans
- Enterprise Mobility + Security E5 ile Microsoft 365 E5
Kötü amaçlı IP adresi
Bu algılama, kötü amaçlı bir IP adresinden oturum açmayı gösterir. Bir IP adresi, IP adresinden alınan geçersiz kimlik bilgileri veya diğer IP saygınlığı kaynakları nedeniyle yüksek hata oranlarına dayanarak kötü amaçlı olarak kabul edilir. Bazı durumlarda, bu algılama, önceki kötü amaçlı etkinliklere yönelik tetiklenir.
- Çevrimdışı hesaplandı
- Lisans gereksinimi: Microsoft Entra Id P2
- Kötü amaçlı IP adresi algılamalarını araştırma ipuçları.
Hassas dosyalara toplu erişim
Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama ortamınıza bakar ve kullanıcılar Microsoft Office SharePoint Online veya Microsoft OneDrive'dan birden çok dosyaya eriştiğinde uyarıları tetikler. Uyarı, yalnızca kullanıcı için erişilen dosyaların sayısı alışılmadık olduğunda ve dosyalar hassas bilgiler içerebiliyorsa tetiklenir.
- Çevrimdışı hesaplandı
- Lisans gereksinimi:
- Microsoft Entra ID P2 ve Microsoft Defender for Cloud Apps için bağımsız lisans
- Enterprise Mobility + Security E5 ile Microsoft 365 E5
Microsoft Entra tehdit bilgileri (oturum açma)
Microsoft Entra tehdit bilgileri, kullanıcı için olağan dışı olan veya bilinen saldırı desenleriyle tutarlı olan kullanıcı etkinliğini gösterir. Bu algılama, Microsoft Tehdit Bilgileri Merkezi (MSTIC) ve diğer Microsoft güvenlik ekiplerinden gelen veriler de dahil olmak üzere Microsoft'un iç ve dış tehdit bilgileri araştırmasını temel alır. Bu algılamalar günlüklerde ve KIMLIK Koruması raporlarında "Microsoft Entra threat intelligence" olarak gösterilir.
- Gerçek zamanlı veya çevrimdışı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra ID Free veya Microsoft Entra ID P1
- Microsoft Entra tehdit bilgileri algılamalarını araştırma ipuçları.
New country
Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama, yeni ve seyrek konumları belirlemek için geçmiş etkinlik konumlarını dikkate alır. Anomali algılama altyapısı, kuruluştaki kullanıcılar tarafından kullanılan önceki konumlar hakkındaki bilgileri depolar.
- Çevrimdışı hesaplandı
- Lisans gereksinimi:
- Microsoft Entra ID P2 ve Microsoft Defender for Cloud Apps için bağımsız lisans
- Enterprise Mobility + Security E5 ile Microsoft 365 E5
Password spray
Bir parola sıçratma saldırısı, birçok kimliğin yaygın parolalarla, eşgüdümlü kaba kuvvet yöntemiyle hedef alındığı bir saldırı türüdür. Microsoft, tüm Microsoft Entra kiracılarında bu saldırıları algılamak için IP adresleri ve diğer tanımlayıcılar arasında parola spreyi desenlerini izler. Risk algılama, yalnızca bir saldırgan kullanıcının parolasını başarıyla doğruladığında tetikler. Kullanıcılarınıza karşı başarısız sprey denemeleri algılama oluşturmaz. Algılama kiracınızda tetiklendiğinde, Microsoft'un bir sprey saldırısı gözlemlediği ve saldırganın kiracınızdaki bir kullanıcıya karşı başarılı bir kimlik bilgisi doğrulaması gerçekleştirdiğini onayladığı anlamına gelir. Bu algılama, kullanıcının parolasının doğru şekilde tanımlandığını, saldırganın herhangi bir kaynağa erişemediğini gösterir.
- Gerçek zamanlı veya çevrimdışı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra Id P2
- Parola spreyi algılamalarını araştırma ipuçları.
Şüpheli tarayıcı
Şüpheli tarayıcı algılama, aynı tarayıcıdaki farklı ülkelerden/bölgelerden birden çok kiracıda şüpheli oturum açma etkinliğine dayalı anormal davranışı gösterir.
- Çevrimdışı hesaplandı
- Lisans gereksinimi: Microsoft Entra Id P2
- Şüpheli tarayıcı algılamalarını araştırma ipuçları.
Şüpheli gelen kutusu yönlendirme
Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. ** Bu algılama, şüpheli e-posta yönlendirme kurallarını arar. Örneğin, bir kullanıcı tüm e-postaların bir kopyasını harici bir adrese ileten bir gelen kutusu kuralı oluşturduysa.
- Çevrimdışı hesaplandı
- Lisans gereksinimi:
- Microsoft Entra ID P2 ve Microsoft Defender for Cloud Apps için bağımsız lisans
- Enterprise Mobility + Security E5 ile Microsoft 365 E5
Şüpheli gelen kutusu yönlendirme kuralları
Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama ortamınıza bakar ve kullanıcının gelen kutusunda iletileri veya klasörleri silip taşıyabilen şüpheli kurallar ayarlandığında uyarıları tetikler. Bu algılama şunları gösterebilir: Kullanıcının hesabının güvenliği aşıldı, iletiler kasıtlı olarak gizleniyor ve posta kutusu kuruluşunuzda istenmeyen posta veya kötü amaçlı yazılım dağıtmak için kullanılıyor.
- Çevrimdışı hesaplandı
- Lisans gereksinimi:
- Microsoft Entra ID P2 ve Microsoft Defender for Cloud Apps için bağımsız lisans
- Enterprise Mobility + Security E5 ile Microsoft 365 E5
Jeton veren anomalisi
Bu risk algılama, ilişkili SAML belirteci için SAML belirteci verenin potansiyel olarak risk altında olduğunu gösterir. Belirteçte yer alan iddialar olağandışıdır veya bilinen saldırgan desenleri ile eşleşir.
- Çevrimdışı hesaplandı
- Lisans gereksinimi: Microsoft Entra Id P2
- Jeton çıkarıcı anomali tespitlerini araştırma ipuçları.
Bilinmeyen oturum açma özellikleri
Bu risk algılama türü, anormal oturum açmaları aramak için geçmiş oturum açma geçmişini dikkate alır. Sistem, önceki oturum açma işlemleriyle ilgili bilgileri depolar ve kullanıcıya yabancı özelliklerle oturum açma gerçekleştiğinde risk algılamayı tetikler. Bu özellikler IP, ASN, konum, cihaz, tarayıcı ve kiracı IP alt ağı içerebilir. Yeni oluşturulan kullanıcılar, algoritmalarımız kullanıcıların davranışlarını öğrenirken, tanıdık olmayan oturum açma özelliklerinin risk algılamasının kapalı olduğu bir "öğrenme modu" dönemindedir. Öğrenme modu süresi dinamiktir ve kullanıcının oturum açma desenleri hakkında yeterli bilgi toplamak için algoritmanın ne kadar zaman aldığına bağlıdır. En düşük süre beş gündür. Kullanıcı, uzun süre etkinlik dışı kaldıktan sonra öğrenme moduna geri dönebilir.
Ayrıca bu algılamayı temel kimlik doğrulaması (veya eski protokoller) için de çalıştırıyoruz. Bu protokoller istemci kimliği gibi modern özelliklere sahip olmadığından hatalı pozitif sonuçları azaltmak için sınırlı veri vardır. Müşterilerimizin modern kimlik doğrulamasına geçmelerini öneririz.
Hem etkileşimli hem de etkileşimli olmayan oturum açmalarda tanıdık olmayan oturum açma özellikleri algılanabilir. Etkileşimli olmayan oturum açma işlemlerinde bu algılama algılandığında, belirteç yeniden yürütme saldırıları riski nedeniyle daha fazla incelemeyi hak eder.
Tanıdık olmayan oturum açma özellikleri riskini seçmek, bu riskin neden tetiklendiğini gösteren daha ayrıntılı bilgi görmenizi sağlar.
- Gerçek zamanlı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra Id P2
Doğrulanmış tehdit aktörü IP'si
Gerçek zamanlı olarak hesaplanır. Bu risk algılama türü, Microsoft Tehdit Bilgileri Merkezi'nden (MSTIC) alınan verilere bağlı olarak, ulus devlet aktörleri veya siber suç gruplarıyla ilişkili bilinen IP adresleriyle tutarlı oturum açma etkinliğini gösterir.
- Gerçek zamanlı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra Id P2
Kullanıcı riski algılamaları
Ek risk algılandı (kullanıcı)
Bu algılama, premium algılamalardan birinin algılandığını gösterir. Premium algılamalar yalnızca Microsoft Entra ID P2 müşterileri tarafından görülebildiğinden, Microsoft Entra ID P2 lisansı olmayan müşteriler için ek risk algılandı başlığıyla görünürler.
- Gerçek zamanlı veya çevrimdışı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra ID Free veya Microsoft Entra ID P1
Anormal belirteç (kullanıcı)
Bu algılama, belirteçteki olağan dışı yaşam süresi veya bilinmeyen bir konumdan oynatılan belirteç gibi anormal özellikleri gösterir. Bu algılama "Oturum Belirteçleri" ve "Yenileme Belirteçleri" konularını kapsar. Konum, uygulama, IP adresi, Kullanıcı Aracısı veya diğer özellikler kullanıcı için beklenmedikse, yönetici bu riski olası belirtecin yeniden oynatılması göstergesi olarak düşünmelidir.
Anormal belirteç geçmişte diğer algılamalardan daha fazla kirlilik oluşturacak şekilde ayarlanmıştı. Algılamadaki son iyileştirmeler gürültüyü azalttı; ancak, bu tespit tarafından işaretlenen oturumlardan bazılarının düşük ve orta risk seviyelerinde yanlış pozitif olma olasılığı hala normalden yüksektir.
- Gerçek zamanlı veya çevrimdışı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra Id P2
- Anormal belirteç algılamalarını araştırma ipuçları.
Anormal kullanıcı etkinliği
Bu risk algılama, Microsoft Entra Id'deki normal yönetici kullanıcı davranışını temel alır ve dizinde şüpheli değişiklikler gibi anormal davranış desenleri belirler. Algılama, değişikliği yapan yöneticiye veya değiştirilen nesneye karşı tetiklendi.
- Çevrimdışı hesaplandı
- Lisans gereksinimi: Microsoft Entra Id P2
Ortadaki Saldırgan
Ortadaki Saldırgan olarak da adlandırılan bu yüksek duyarlıklı algılama, bir kimlik doğrulama oturumu kötü amaçlı bir ters ara sunucuya bağlandığında tetikleniyor. Bu tür bir saldırıda saldırgan, kullanıcıya verilen belirteçler de dahil olmak üzere kullanıcının kimlik bilgilerini kesebilir. Microsoft Güvenlik Araştırması ekibi, tanımlanan riski yakalamak için Cloud Apps için Microsoft Defender'ı kullanır ve kullanıcıyı Yüksek riskliliğe yükseltir. Yöneticilerin riskin temizlendiğinden emin olmak için bu algılama tetiklendiğinde kullanıcıyı el ile araştırmasını öneririz. Bu riskin temizlenmesi için güvenli parola sıfırlama veya mevcut oturumların iptal edilmesi gerekebilir.
- Çevrimdışı hesaplandı
- Lisans gereksinimi:
- Enterprise Mobility + Security E5 ile Microsoft 365 E5
Leaked credentials
Bu risk algılama, kullanıcının geçerli kimlik bilgilerinin bilinen bir kimlik bilgisi ihlalinde göründüğünü gösterir. Microsoft, Microsoft Threat Intelligence Center (MSTIC), Microsoft Digital Crimes Unit (DCU) ve sektör iş ortakları ile yapılan ortaklıklar aracılığıyla koyu web forumlarını, ihlal dökümü depolarını, yapıştırma sitelerini, kolluk kuvvetleri ele geçirme verilerini ve diğer kaynakları sürekli izleyen büyük ölçekli bir kimlik bilgisi tarama işlem hattı çalıştırır. Bulunan kimlik bilgileri bulunduğunda, hizmet gerçek kimlik bilgisi malzemesini kiracınızın geçerli parola karmalarıyla doğrular. Algılama yalnızca doğrulanmış bir eşleşme bulunduğunda gönderilir. Bu algılama her zaman en yüksek risktir çünkü buluşsal bir sinyal değil, doğrulanmış kimlik bilgilerine maruz kalma durumunu temsil eder. Microsoft Entra aracılığıyla bulut tabanlı parola sıfırlama, şirket içi parolalar için parola karması eşitlemesi (PHS) etkinleştirildiği sürece bulut ve şirket içi parolalar için bu algılama için kullanıcı riskini düzeltir. Şirket içi parola koruması hakkında daha fazla bilgi için bkz. Kimlik hesapları için Microsoft Defender güvenlik duruşu değerlendirmeleri.
- Çevrimdışı hesaplandı
- Lisans gereksinimi: Microsoft Entra ID Free veya Microsoft Entra ID P1
- Şirket içi parolalar için parola karması eşitlemesi (PHS) gerektirir
- Sızdırılan kimlik bilgileri algılamalarını araştırma ipuçları.
Microsoft Entra tehdit istihbaratı (kullanıcı)
Bu risk algılama türü, kullanıcı için olağan dışı veya bilinen saldırı desenleriyle tutarlı olan kullanıcı etkinliğini gösterir. Bu algılama, Microsoft Tehdit Bilgileri Merkezi (MSTIC) ve diğer Microsoft güvenlik ekiplerinden gelen veriler de dahil olmak üzere Microsoft'un iç ve dış tehdit bilgileri araştırmasını temel alır.
- Çevrimdışı hesaplandı
- Lisans gereksinimi: Microsoft Entra ID Free veya Microsoft Entra ID P1
- Microsoft Entra tehdit bilgileri algılamalarını araştırma ipuçları.
Birincil Yenileme Belirteci'ne (PRT) erişme girişimi
Bu risk algılama türü, Uç Nokta için Microsoft Defender (MDE) tarafından sağlanan bilgiler kullanılarak bulunur. Birincil Yenileme Belirteci (PRT), Windows 10, Windows Server 2016 ve sonraki sürümler, iOS ve Android cihazlarda Microsoft Entra kimlik doğrulamasının önemli bir yapıtıdır. PRT, bu cihazlarda kullanılan uygulamalarda çoklu oturum açmayı (SSO) etkinleştirmek için Microsoft birinci taraf belirteç aracılarına verilen bir JSON Web Belirtecidir (JWT). Saldırganlar, bir kuruluşa sızmak veya kimlik bilgisi hırsızlığı gerçekleştirmek için bu kaynağa erişmeye çalışabilir. Bu algılama, kullanıcıları yüksek risk grubuna taşır ve yalnızca MDE'nin dağıtıldığı kuruluşlarda etkinleştirilir. Bu algılama yüksek risklidir ve bu kullanıcıların hızlı bir şekilde düzeltilmesi önerilir. Düşük hacmi nedeniyle çoğu kuruluşta seyrek görünür.
- Çevrimdışı hesaplandı
- Lisans gereksinimi:
- Microsoft Entra ID P2 ve Microsoft Defender for Cloud Apps için bağımsız lisans
- Enterprise Mobility + Security E5 ile Microsoft 365 E5
Şüpheli API trafiği
Anormal GraphAPI trafiği veya dizin numaralandırması gözlemlendiğinde bu risk algılama bildirilir. Şüpheli API trafiği, bir kullanıcının gizliliğinin tehlikeye girdiğini ve ortamda keşif gerçekleştirdiğini gösterebilir.
- Çevrimdışı hesaplandı
- Lisans gereksinimi: Microsoft Entra Id P2
Şüpheli gönderme desenleri
Bu risk algılama türü, Office 365 için Microsoft Defender (MDO) tarafından sağlanan bilgiler kullanılarak bulunur. Bu uyarı, kuruluşunuzdaki bir kişi şüpheli e-posta gönderdiğinde ve e-posta gönderme riski altında olduğunda veya e-posta göndermesi kısıtlandığında oluşturulur. Bu algılama, kullanıcıları orta risk düzeyine taşır ve yalnızca MDO dağıtan kuruluşlarda çalışır. Bu algılama düşük hacimli bir algılamadır ve çoğu kuruluşta seyrek görülür.
- Çevrimdışı hesaplandı
- Lisans gereksinimi:
- Microsoft Entra ID P2 ve Microsoft Defender for Cloud Apps için bağımsız lisans
- Enterprise Mobility + Security E5 ile Microsoft 365 E5
Kullanıcı şüpheli etkinlik bildirdi
Bu risk algılama, kullanıcı çok faktörlü kimlik doğrulaması (MFA) istemini reddedip şüpheli etkinlik olarak bildirdiğinde bildirilir. Kullanıcı tarafından başlatılmayan bir MFA istemi, kimlik bilgilerinin tehlikeye atıldığı anlamına gelebilir. Bu algılamanın çalışması için Şüpheli etkinlik bildir özelliğinin açık olması gerekir. Daha fazla bilgi için bkz . Microsoft Entra MFA ayarlarını yapılandırma.
- Çevrimdışı hesaplandı
- Lisans gereksinimi: Microsoft Entra Id P2