Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Entra ID Protection, kuruluşunuzdaki şüpheli etkinlikleri tanımlamak için kullanılabilecek çok çeşitli risk algılamaları sağlayabilir. Bu makalede yer alan tablolar, lisans gereksinimleri veya algılamanın gerçek zamanlı veya çevrimdışı olarak gerçekleşip gerçekleşmediğini içeren oturum açma ve kullanıcı risk algılamalarının listesini özetler. Her risk algılaması hakkında daha fazla ayrıntı tabloların ardından bulunabilir.
- Risk algılamalarının çoğuyla ilgili tüm ayrıntılar için Microsoft Entra Id P2 gerekir.
- Microsoft Entra ID P2 lisansı olmayan müşteriler, risk algılama ayrıntıları olmadan algılanan ek riskler başlıklı algılamaları alır.
- For more information, see the license requirements.
- İş yükü kimliği risk algılamaları hakkında bilgi için bkz. İş yükü kimliklerinin güvenliğini sağlama.
Note
Gerçek zamanlı ve çevrimdışı algılamalar ve risk düzeyleri hakkında ayrıntılı bilgi için bkz. Risk algılama türleri ve düzeyleri.
RiskEventType ile eşlenen oturum açma riski algılamaları
Risk algılamanın açıklamasını, nasıl çalıştığını ve lisans gereksinimlerini görüntülemek için listeden bir risk algılama seçin. In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license.
Nonpremium indicates the detection is available with Microsoft Entra ID Free. Sütunu, riskEventType Microsoft Graph API sorgularında görüntülenen değeri gösterir.
| Oturum açma riski algılama | Detection type | Type | riskEventType |
|---|---|---|---|
| Anonim IP adresinden etkinlik | Offline | Premium | riskyIPAddress |
| Ek risk algılandı (oturum açma) | Gerçek zamanlı veya Çevrimdışı | Nonpremium | generic ^ |
| Yönetici, kullanıcının güvenliğinin aşıldığını doğruladı | Offline | Nonpremium | adminConfirmedUserCompromised |
| Anormal Belirteç (oturum açma) |
Gerçek zamanlı veya Çevrimdışı | Premium | anomalousToken |
| Anonim IP adresi | Real-time | Nonpremium | anonymizedIPAddress |
| Atypical travel | Offline | Premium | unlikelyTravel |
| Impossible travel | Offline | Premium | mcasImpossibleTravel |
| Kötü amaçlı IP adresi | Offline | Premium | maliciousIPAddress |
| Hassas Dosyalara Toplu Erişim | Offline | Premium | mcasFinSuspiciousFileAccess |
| Microsoft Entra tehdit bilgileri (oturum açma) | Gerçek zamanlı veya Çevrimdışı | Nonpremium | investigationsThreatIntelligence |
| New country | Offline | Premium | newCountry |
| Password spray | Gerçek zamanlı veya Çevrimdışı | Premium | passwordSpray |
| Suspicious browser | Offline | Premium | suspiciousBrowser |
| Şüpheli gelen kutusu iletme | Offline | Premium | suspiciousInboxForwarding |
| Şüpheli gelen kutusu manipülasyon kuralları | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| Belirteç veren anomalisi | Offline | Premium | tokenIssuerAnomaly |
| Tanıdık olmayan oturum açma özellikleri | Real-time | Premium | unfamiliarFeatures |
| Doğrulanmış tehdit aktörü IP'si | Real-time | Premium | nationStateIP |
^ Ek risk algılaması için riskEventType, Microsoft Entra ID Free veya Microsoft Entra ID P1 olan kiracılar için geneldir . Riskli bir şey algıladık, ancak ayrıntılar Microsoft Entra ID P2 lisansı olmadan kullanılamıyor.
riskEventType ile eşlenen kullanıcı riski algılamaları
Risk algılamanın açıklamasını, nasıl çalıştığını ve lisans gereksinimlerini görüntülemek için listeden bir risk algılama seçin.
| Kullanıcı riski algılama | Detection type | Type | riskEventType |
|---|---|---|---|
| Ek risk algılandı (kullanıcı) | Gerçek zamanlı veya Çevrimdışı | Nonpremium | generic ^ |
| Anormal Belirteç (kullanıcı) | Gerçek zamanlı veya Çevrimdışı | Premium | anomalousToken |
| Anormal kullanıcı etkinliği | Offline | Premium | anomalousUserActivity |
| Ortadaki Saldırgan | Offline | Premium | attackerinTheMiddle |
| Leaked credentials | Offline | Nonpremium | leakedCredentials |
| Microsoft Entra tehdit istihbaratı (kullanıcı) | Gerçek zamanlı veya Çevrimdışı | Nonpremium | investigationsThreatIntelligence |
| Birincil Yenileme Belirteci'ne (PRT) erişme girişimi | Offline | Premium | attemptedPrtAccess |
| Şüpheli API Trafiği | Offline | Premium | suspiciousAPITraffic |
| Şüpheli gönderme desenleri | Offline | Premium | suspiciousSendingPatterns |
| Kullanıcı şüpheli etkinlik bildirdi | Offline | Premium | userReportedSuspiciousActivity |
^ Ek risk algılaması için riskEventType, Microsoft Entra ID Free veya Microsoft Entra ID P1 olan kiracılar için geneldir . Riskli bir şey algıladık, ancak ayrıntılar Microsoft Entra ID P2 lisansı olmadan kullanılamıyor.
Oturum açma riski algılamaları
Anonim IP adresinden etkinlik
Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama, kullanıcıların anonim ara sunucu IP adresi olarak tanımlanan bir IP adresinden etkin olduğunu tanımlar.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Ek risk algılandı (oturum açma)
Bu algılama, premium algılamalardan birinin algılandığını gösterir. Premium algılamalar yalnızca Microsoft Entra ID P2 müşterileri tarafından görülebildiğinden, Microsoft Entra ID P2 lisansı olmayan müşteriler için ek risk algılandı başlığıyla görünürler.
- Gerçek zamanlı veya çevrimdışı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra ID Free veya Microsoft Entra ID P1
Yönetici, kullanıcının güvenliğinin aşıldığını doğruladı
Bu algılama, riskli kullanıcılar kullanıcı arabiriminde veya riskliKullanıcılar API'sini kullanarak kullanıcının güvenliğinin aşıldığını onayla'yı seçen bir yöneticiyi gösterir. Bu kullanıcının gizliliğinin ihlal edildiğini onaylayan yöneticiyi görmek için kullanıcının risk geçmişini denetleyin (kullanıcı arabirimi veya API aracılığıyla).
- Calculated offline
- Lisans gereksinimi: Microsoft Entra ID Free veya Microsoft Entra ID P1
Anormal belirteç (oturum açma)
Bu algılama, belirteçteki olağan dışı yaşam süresi veya bilinmeyen bir konumdan oynatılan belirteç gibi anormal özellikleri gösterir. Bu algılama "Oturum Belirteçleri" ve "Yenileme Belirteçleri" konularını kapsar.
Anormal belirteç, aynı risk düzeyindeki diğer algılamalardan daha fazla kirliliğe neden olacak şekilde ayarlanır. Bu fedakarlık, aksi takdirde fark edilmeyebilecek yeniden oynatılan belirteçleri algılama olasılığını artırmak amacıyla seçilir. Bu algılama tarafından işaretlenmiş oturumlardan bazılarının yanlış pozitif olma olasılığı normalden yüksektir. Kullanıcının diğer oturum açma girişimleri bağlamında bu algılama tarafından işaretlenmiş oturumları araştırmanızı öneririz. Konum, uygulama, IP adresi, Kullanıcı Aracısı veya diğer özellikler kullanıcı için beklenmedikse, yönetici bu riski olası belirtecin yeniden oynatılması göstergesi olarak düşünmelidir.
- Gerçek zamanlı veya çevrimdışı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra Id P2
- Anormal belirteç algılamalarını araştırma ipuçları.
Anonim IP adresi
Bu risk algılama türü, anonim bir IP adresinden (örneğin, Tor tarayıcısı veya anonim VPN) oturum açmaları gösterir. Bu IP adresleri genellikle kötü amaçlı olabilecek amaçlar için oturum açma bilgilerini (IP adresi, konum, cihaz vb.) gizlemek isteyen aktörler tarafından kullanılır.
- Gerçek zamanlı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra ID Free veya Microsoft Entra ID P1
Atypical travel
Bu risk algılama türü, coğrafi olarak uzak konumlardan kaynaklanan ve geçmişteki davranışlar göz önüne alındığında konumlardan en az birinin de kullanıcı için atipik olabileceği iki oturum açma işlemini tanımlar. Algoritma, iki oturum açma işlemi arasındaki süre ve kullanıcının ilk konumdan ikinciye geçmesi için gereken süre dahil olmak üzere birden çok faktörü dikkate alır. Bu risk, farklı bir kullanıcının aynı kimlik bilgilerini kullandığını gösterebilir.
Algoritma, VPN'ler ve kuruluştaki diğer kullanıcılar tarafından düzenli olarak kullanılan konumlar gibi imkansız seyahat koşullarına katkıda bulunan belirgin "yanlış pozitifleri" yok sayar. Sistemin ilk öğrenme süresi en erken 14 gün veya 10 oturum açma işlemidir ve bu süre boyunca yeni bir kullanıcının oturum açma davranışını öğrenir.
- Calculated offline
- Lisans gereksinimi: Microsoft Entra Id P2
- Atipik seyahat algılamalarını araştırma ipuçları.
Impossible travel
Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama, coğrafi olarak uzak konumlardan kaynaklanan kullanıcı etkinliklerini (tek veya birden çok oturumda) ilk konumdan ikinciye gitmek için geçen süreden daha kısa bir süre içinde tanımlar. Bu risk, farklı bir kullanıcının aynı kimlik bilgilerini kullandığını gösterebilir.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Kötü amaçlı IP adresi
Bu algılama, kötü amaçlı bir IP adresinden oturum açmayı gösterir. Bir IP adresi, IP adresinden alınan geçersiz kimlik bilgileri veya diğer IP saygınlığı kaynakları nedeniyle yüksek hata oranlarına dayanarak kötü amaçlı olarak kabul edilir. Bazı durumlarda, bu algılama, önceki kötü amaçlı etkinliklere yönelik tetiklenir.
- Calculated offline
- Lisans gereksinimi: Microsoft Entra Id P2
- Kötü amaçlı IP adresi algılamalarını araştırma ipuçları.
Hassas dosyalara toplu erişim
Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama ortamınıza bakar ve kullanıcılar Microsoft Office SharePoint Online veya Microsoft OneDrive'dan birden çok dosyaya eriştiğinde uyarıları tetikler. Uyarı, yalnızca kullanıcı için erişilen dosyaların sayısı alışılmadık olduğunda ve dosyalar hassas bilgiler içerebiliyorsa tetiklenir.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Microsoft Entra tehdit bilgileri (oturum açma)
Bu risk algılama türü, kullanıcı için olağan dışı veya bilinen saldırı desenleriyle tutarlı olan kullanıcı etkinliğini gösterir. Bu algılama, Microsoft'un iç ve dış tehdit bilgileri kaynaklarını temel alır.
- Gerçek zamanlı veya çevrimdışı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra ID Free veya Microsoft Entra ID P1
- Microsoft Entra tehdit bilgileri algılamalarını araştırma ipuçları.
New country
Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama, yeni ve seyrek konumları belirlemek için geçmiş etkinlik konumlarını dikkate alır. Anomali algılama altyapısı, kuruluştaki kullanıcılar tarafından kullanılan önceki konumlar hakkındaki bilgileri depolar.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Password spray
Bir parola sıçratma saldırısı, birçok kimliğin yaygın parolalarla, eşgüdümlü kaba kuvvet yöntemiyle hedef alındığı bir saldırı türüdür. Bir hesabın parolası geçerli olduğunda ve oturum açmaya çalıştığında risk algılama tetikleniyor. Bu algılama, kullanıcının parolasının parola spreyi saldırısıyla doğru şekilde tanımlandığını, saldırganın herhangi bir kaynağa erişemediğini gösterir.
- Gerçek zamanlı veya çevrimdışı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra Id P2
- Parola spreyi algılamalarını araştırma ipuçları.
Suspicious browser
Şüpheli tarayıcı algılama, aynı tarayıcıdaki farklı ülkelerden/bölgelerden birden çok kiracıda şüpheli oturum açma etkinliğine dayalı anormal davranışı gösterir.
- Calculated offline
- Lisans gereksinimi: Microsoft Entra Id P2
- Şüpheli tarayıcı algılamalarını araştırma ipuçları.
Şüpheli gelen kutusu yönlendirme
Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. ** Bu algılama, şüpheli e-posta yönlendirme kurallarını arar. Örneğin, bir kullanıcı tüm e-postaların bir kopyasını harici bir adrese ileten bir gelen kutusu kuralı oluşturduysa.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Şüpheli gelen kutusu yönlendirme kuralları
Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama ortamınıza bakar ve kullanıcının gelen kutusunda iletileri veya klasörleri silip taşıyabilen şüpheli kurallar ayarlandığında uyarıları tetikler. Bu algılama şunları gösterebilir: Kullanıcının hesabının güvenliği aşıldı, iletiler kasıtlı olarak gizleniyor ve posta kutusu kuruluşunuzda istenmeyen posta veya kötü amaçlı yazılım dağıtmak için kullanılıyor.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Jeton veren anomalisi
Bu risk algılama, ilişkili SAML belirteci için SAML belirteci verenin potansiyel olarak risk altında olduğunu gösterir. Belirteçte yer alan iddialar olağandışıdır veya bilinen saldırgan desenleri ile eşleşir.
- Calculated offline
- Lisans gereksinimi: Microsoft Entra Id P2
- Jeton çıkarıcı anomali tespitlerini araştırma ipuçları.
Bilinmeyen oturum açma özellikleri
Bu risk algılama türü, anormal oturum açmaları aramak için geçmiş oturum açma geçmişini dikkate alır. Sistem, önceki oturum açma işlemleriyle ilgili bilgileri depolar ve kullanıcıya yabancı özelliklerle oturum açma gerçekleştiğinde risk algılamayı tetikler. Bu özellikler IP, ASN, konum, cihaz, tarayıcı ve kiracı IP alt ağı içerebilir. Yeni oluşturulan kullanıcılar, algoritmalarımız kullanıcıların davranışlarını öğrenirken, tanıdık olmayan oturum açma özelliklerinin risk algılamasının kapalı olduğu bir "öğrenme modu" dönemindedir. Öğrenme modu süresi dinamiktir ve kullanıcının oturum açma desenleri hakkında yeterli bilgi toplamak için algoritmanın ne kadar zaman aldığına bağlıdır. En düşük süre beş gündür. Kullanıcı, uzun süre etkinlik dışı kaldıktan sonra öğrenme moduna geri dönebilir.
Ayrıca bu algılamayı temel kimlik doğrulaması (veya eski protokoller) için de çalıştırıyoruz. Bu protokoller istemci kimliği gibi modern özelliklere sahip olmadığından hatalı pozitif sonuçları azaltmak için sınırlı veri vardır. Müşterilerimizin modern kimlik doğrulamasına geçmelerini öneririz.
Hem etkileşimli hem de etkileşimli olmayan oturum açmalarda tanıdık olmayan oturum açma özellikleri algılanabilir. Etkileşimli olmayan oturum açma işlemlerinde bu algılama algılandığında, belirteç yeniden yürütme saldırıları riski nedeniyle daha fazla incelemeyi hak eder.
Tanıdık olmayan oturum açma özellikleri riskini seçmek, bu riskin neden tetiklendiğini gösteren daha ayrıntılı bilgi görmenizi sağlar.
- Gerçek zamanlı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra Id P2
Doğrulanmış tehdit aktörü IP'si
Gerçek zamanlı olarak hesaplanır. Bu risk algılama türü, Microsoft Tehdit Bilgileri Merkezi'nden (MSTIC) alınan verilere bağlı olarak, ulus devlet aktörleri veya siber suç gruplarıyla ilişkili bilinen IP adresleriyle tutarlı oturum açma etkinliğini gösterir.
- Gerçek zamanlı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra Id P2
Kullanıcı riski algılamaları
Ek risk algılandı (kullanıcı)
Bu algılama, premium algılamalardan birinin algılandığını gösterir. Premium algılamalar yalnızca Microsoft Entra ID P2 müşterileri tarafından görülebildiğinden, Microsoft Entra ID P2 lisansı olmayan müşteriler için ek risk algılandı başlığıyla görünürler.
- Gerçek zamanlı veya çevrimdışı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra ID Free veya Microsoft Entra ID P1
Anormal belirteç (kullanıcı)
Bu algılama, belirteçteki olağan dışı yaşam süresi veya bilinmeyen bir konumdan oynatılan belirteç gibi anormal özellikleri gösterir. Bu algılama "Oturum Belirteçleri" ve "Yenileme Belirteçleri" konularını kapsar.
Anormal belirteç, aynı risk düzeyindeki diğer algılamalardan daha fazla kirliliğe neden olacak şekilde ayarlanır. Bu fedakarlık, aksi takdirde fark edilmeyebilecek yeniden oynatılan belirteçleri algılama olasılığını artırmak amacıyla seçilir. Bu algılama tarafından işaretlenmiş oturumlardan bazılarının yanlış pozitif olma olasılığı normalden yüksektir. Kullanıcının diğer oturum açma girişimleri bağlamında bu algılama tarafından işaretlenmiş oturumları araştırmanızı öneririz. Konum, uygulama, IP adresi, Kullanıcı Aracısı veya diğer özellikler kullanıcı için beklenmedikse, yönetici bu riski olası belirtecin yeniden oynatılması göstergesi olarak düşünmelidir.
- Gerçek zamanlı veya çevrimdışı olarak hesaplanır
- Lisans gereksinimi: Microsoft Entra Id P2
- Anormal belirteç algılamalarını araştırma ipuçları.
Anormal kullanıcı etkinliği
Bu risk algılama, Microsoft Entra Id'deki normal yönetici kullanıcı davranışını temel alır ve dizinde şüpheli değişiklikler gibi anormal davranış desenleri belirler. Algılama, değişikliği yapan yöneticiye veya değiştirilen nesneye karşı tetiklendi.
- Calculated offline
- Lisans gereksinimi: Microsoft Entra Id P2
Ortadaki Saldırgan
Ortadaki Saldırgan olarak da adlandırılan bu yüksek duyarlıklı algılama, bir kimlik doğrulama oturumu kötü amaçlı bir ters ara sunucuya bağlandığında tetikleniyor. Bu tür bir saldırıda saldırgan, kullanıcıya verilen belirteçler de dahil olmak üzere kullanıcının kimlik bilgilerini kesebilir. The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. Yöneticilerin riskin temizlendiğinden emin olmak için bu algılama tetiklendiğinde kullanıcıyı el ile araştırmasını öneririz. Bu riskin temizlenmesi için güvenli parola sıfırlama veya mevcut oturumların iptal edilmesi gerekebilir.
- Calculated offline
- Lisans gereksinimi: Microsoft Entra Id P2
Leaked credentials
Bu risk algılama türü, kullanıcının geçerli kimlik bilgilerinin sızdırıldığını gösterir. Siber suçlular meşru kullanıcıların geçerli parolalarını tehlikeye attığında, genellikle bu toplanan kimlik bilgilerini paylaşırlar. Bu paylaşım genellikle karanlık ağda herkese açık olarak yayınlanarak, siteleri yapıştırarak veya karaborsada kimlik bilgilerini alıp satarak yapılır. Microsoft'un sızdırılan kimlik bilgileri hizmeti, dark web'den, yapıştırma sitelerinden veya diğer kaynaklardan kullanıcı kimlik bilgilerini edindiğinde, geçerli eşleşmeleri bulmak için Microsoft Entra kullanıcılarının mevcut geçerli kimlik bilgilerine karşı denetlenir. For more information about leaked credentials, see FAQs.
- Calculated offline
- Lisans gereksinimi: Microsoft Entra ID Free veya Microsoft Entra ID P1
- Sızdırılan kimlik bilgileri algılamalarını araştırma ipuçları.
Microsoft Entra tehdit istihbaratı (kullanıcı)
Bu risk algılama türü, kullanıcı için olağan dışı veya bilinen saldırı desenleriyle tutarlı olan kullanıcı etkinliğini gösterir. Bu algılama, Microsoft'un iç ve dış tehdit bilgileri kaynaklarını temel alır.
- Calculated offline
- Lisans gereksinimi: Microsoft Entra ID Free veya Microsoft Entra ID P1
- Microsoft Entra tehdit bilgileri algılamalarını araştırma ipuçları.
Birincil Yenileme Belirteci'ne (PRT) erişme girişimi
Bu risk algılama türü, Uç Nokta için Microsoft Defender (MDE) tarafından sağlanan bilgiler kullanılarak bulunur. Birincil Yenileme Belirteci (PRT), Windows 10, Windows Server 2016 ve sonraki sürümler, iOS ve Android cihazlarda Microsoft Entra kimlik doğrulamasının önemli bir yapıtıdır. PRT, bu cihazlarda kullanılan uygulamalarda çoklu oturum açmayı (SSO) etkinleştirmek için Microsoft birinci taraf belirteç aracılarına verilen bir JSON Web Belirtecidir (JWT). Saldırganlar, bir kuruluşa sızmak veya kimlik bilgisi hırsızlığı gerçekleştirmek için bu kaynağa erişmeye çalışabilir. Bu algılama, kullanıcıları yüksek risk grubuna taşır ve yalnızca MDE'nin dağıtıldığı kuruluşlarda etkinleştirilir. Bu algılama yüksek risklidir ve bu kullanıcıların hızlı bir şekilde düzeltilmesi önerilir. Düşük hacmi nedeniyle çoğu kuruluşta seyrek görünür.
- Calculated offline
- Lisans gereksinimi: Microsoft Entra Id P2
Şüpheli API trafiği
Anormal GraphAPI trafiği veya dizin numaralandırması gözlemlendiğinde bu risk algılama bildirilir. Şüpheli API trafiği, bir kullanıcının gizliliğinin tehlikeye girdiğini ve ortamda keşif gerçekleştirdiğini gösterebilir.
- Calculated offline
- Lisans gereksinimi: Microsoft Entra Id P2
Şüpheli gönderme desenleri
Bu risk algılama türü, Office 365 için Microsoft Defender (MDO) tarafından sağlanan bilgiler kullanılarak bulunur. Bu uyarı, kuruluşunuzdaki bir kişi şüpheli e-posta gönderdiğinde ve e-posta gönderme riski altında olduğunda veya e-posta göndermesi kısıtlandığında oluşturulur. Bu algılama, kullanıcıları orta risk düzeyine taşır ve yalnızca MDO dağıtan kuruluşlarda çalışır. Bu algılama düşük hacimli bir algılamadır ve çoğu kuruluşta seyrek görülür.
- Calculated offline
- Lisans gereksinimi: Microsoft Entra Id P2
Kullanıcı şüpheli etkinlik bildirdi
Bu risk algılama, kullanıcı çok faktörlü kimlik doğrulaması (MFA) istemini reddedip şüpheli etkinlik olarak bildirdiğinde bildirilir. Kullanıcı tarafından başlatılmayan bir MFA istemi, kimlik bilgilerinin tehlikeye atıldığı anlamına gelebilir.
- Calculated offline
- Lisans gereksinimi: Microsoft Entra Id P2