什么是风险检测?
Microsoft Entra ID Protection 为组织提供其租户可疑活动的信息,并允许他们快速响应,防止进一步的风险发生。 风险检测是一种功能强大的资源,可以包含与目录中用户帐户相关的任何可疑或异常活动。 ID Protection 风险检测可以链接到单个用户或登录事件,并影响风险用户报告中的用户风险总体评分。
当潜在的威胁参与者通过损害用户凭据来获取对帐户的访问权限时,或者当他们检测到某种类型的异常用户活动时,用户风险检测可能会将合法用户帐户标记为有风险。 登录风险检测表示给定身份验证请求不是帐户的授权所有者的概率。 能够在用户和登录级别识别风险对于客户获得保护其租户的能力至关重要。
风险级别
ID 保护将风险分为三级:低、中、高。 机器学习算法计算的风险级别,并表示 Microsoft 对用户凭证中是否有一项或多项被未经授权的实体知晓的自信程度。
- 风险级别高的风险检测表示,Microsoft 非常确信帐户已被入侵。
- 风险级别低的风险检测表示登录或用户凭据中存在异常,但我们不确定这些异常是否意味着帐户被入侵。
许多检测可以在多个风险级别触发,具体取决于检测到的异常的数量或严重性。 例如,不熟悉的登录属性可能会根据信号的置信度在高、中或低级别触发。 某些检测(如泄露的凭据和验证的威胁执行组件 IP)会始终以高风险的形式传递。
在决定要对哪些检测进行优先处理、调查和修正时,风险级别非常重要。 它们还在配置基于风险的条件访问策略时起关键作用,因为可以将每个策略设置为针对低、中、高或未检测到风险进行触发。 根据组织的风险容忍度,可以在 ID Protection 检测到某个用户的特定风险级别时创建需要 MFA 或密码重置的策略。 这些策略可指导用户自行修正,以解决风险。
重要
所有“低”风险级别检测和用户将在产品中保留 6 个月,之后它们将自动过期以提供更简洁的调查体验。 中高风险级别将一直持续到得到修正或消除。
根据组织的风险容忍度,可以在 ID 保护检测到特定风险级别时创建需要 MFA 或密码重置的策略。 这些策略可能会指导用户自行修正和解决风险或将其阻止,具体取决于容忍度。
实时和离线检测
ID Protection 使用一些技术,通过在身份验证后实时或离线计算某些风险来提高用户和登录风险检测的精准率。 在登录时实时检测风险可以提前识别风险,以便客户能够快速调查潜在泄露。 离线计算风险的检测可以更深入地了解威胁参与者如何获取对帐户的访问权限以及对合法用户的影响。 某些检测可以离线触发,也可以在登录期间触发,从而增强准确了解泄露行为的信心。
实时触发的检测需要 5-10 分钟才能在报表中显示详细信息。 离线检测最多需要 48 小时才能显示在报表中,因为评估潜在风险的属性需要时间。
注意
系统可能会检测到影响风险用户风险评分的风险事件为:
- 假正
- 用户风险已通过以下任一策略得到修正:
- 完成多重身份验证
- 安全密码更改
系统将消除风险状态并显示“AI 已确认登录安全”的风险详细信息,这将不再影响用户的整体风险。
映射到 riskEventType 的风险检测
| 风险检测 | 检测类型 | 类型 | riskEventType |
|---|---|---|---|
| 登录风险检测 | |||
| 来自匿名 IP 地址的活动 | Offline | 高级 | riskyIPAddress |
| 检测到其他风险(登录) | 实时或脱机 | 非高级 | generic = 非 P2 租户的高级检测分类 |
| 管理员确认用户遭入侵 | Offline | 非高级 | adminConfirmedUserCompromised |
| 异常令牌 | 实时或脱机 | 高级 | anomalousToken |
| 匿名 IP 地址 | 实时 | 非高级 | anonymizedIPAddress |
| 异常位置登录 | Offline | 高级 | unlikelyTravel |
| 不可能旅行 | Offline | 高级 | mcasImpossibleTravel |
| 恶意 IP 地址 | Offline | 高级 | maliciousIPAddress |
| 对敏感文件的批量访问 | Offline | 高级 | mcasFinSuspiciousFileAccess |
| Microsoft Entra 威胁情报(登录) | 实时或脱机 | 非高级 | investigationsThreatIntelligence |
| 新国家/地区 | Offline | 高级 | newCountry |
| 密码喷射 | Offline | 高级 | passwordSpray |
| 可疑浏览器 | Offline | 高级 | suspiciousBrowser |
| 可疑收件箱转发 | Offline | 高级 | suspiciousInboxForwarding |
| 可疑的收件箱操作规则 | Offline | 高级 | mcasSuspiciousInboxManipulationRules |
| 令牌颁发者异常 | Offline | 高级 | tokenIssuerAnomaly |
| 不熟悉的登录属性 | 实时 | 高级 | unfamiliarFeatures |
| 经过验证的威胁参与者 IP | 实时 | 高级 | nationStateIP |
| 用户风险检测 | |||
| 检测到其他风险(用户) | 实时或脱机 | 非高级 | generic = 非 P2 租户的高级检测分类 |
| 异常用户活动 | Offline | 高级 | anomalousUserActivity |
| 中间攻击者 | 脱机 | 高级 | attackerinTheMiddle |
| 凭据泄露 | Offline | 非高级 | leakedCredentials |
| Microsoft Entra 威胁情报(用户) | 实时或脱机 | 非高级 | investigationsThreatIntelligence |
| 可能尝试访问主刷新令牌 (PRT) | Offline | 高级 | attemptedPrtAccess |
| 可疑 API 流量 | 离线 | 高级 | suspiciousAPITraffic |
| 可疑的发送模式 | 离线 | 高级 | suspiciousSendingPatterns |
| 用户报告的可疑活动 | Offline | 高级 | userReportedSuspiciousActivity |
高级检测
以下高级检测仅对 Microsoft Entra ID P2 客户可见。
高级登录风险检测
来自匿名 IP 地址的活动
离线计算。 此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。 此项检测可以识别使用已标识为匿名代理 IP 地址的 IP 地址展开活动的用户。
异常令牌
实时或离线计算。 此检测指示令牌中存在异常特征,例如异常生存期或从不熟悉的位置播放的令牌。 此检测涵盖会话令牌和刷新令牌。
异常令牌经过调整,比同一风险级别的其他检测产生的干扰更多。 选择这种权衡是为提高检测重放令牌的可能性,否则重放令牌可能会被忽略。 相比一般情况,此检测标记的一些会话更有可能出现假正。 建议你在用户的其他登录上下文中调查此检测标记的会话。 如果用户的位置、应用程序、IP 地址、用户代理或其他特征出现异常,管理员应将此风险视为潜在令牌重放的指示信息。
异常位置登录
离线计算。 此风险检测类型可标识从相距遥远的地理位置进行的两次登录,根据用户以往的行为,其中至少有一个位置属于异常。 该算法考虑了多种因素,包括两次登录之间的时间以及用户从第一个位置到第二个位置所花费的时间。 此风险可能表明另一位用户正在使用相同的凭据。
此算法会忽略明显的“误报”,从而改善不可能前往条件,例如组织中其他用户定期使用的 VPN 和位置。 系统最早有一个 14 天或 10 次登录的初始学习期限,在此期间它将学习新用户的登录行为。
Impossible travel
离线计算。 此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。 项检测可识别来源于保持一定地理距离的位置的用户活动(在一个或多个会话中),而完成这两个活动的时间段短于该用户从第一个位置移动到第二个位置所需的时间。 此风险可能表明另一位用户正在使用相同的凭据。
恶意 IP 地址
离线计算。 此检测表明登录是通过恶意 IP 地址进行的。 由于从 IP 地址或其他 IP 信誉源接收到无效的凭据,因此会根据高失败率将 IP 地址视为恶意。
对敏感文件的批量访问
离线计算。 此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。 此检测会检查你的环境,并在用户从 Microsoft SharePoint Online 或 Microsoft OneDrive 访问多个文件时触发警报。 只有在被访问文件的数量对于该用户而言异常并且这些文件可能包含敏感信息时,才触发警报。
新国家/地区
离线计算。 此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。 此项检测考虑过去的活动位置,以确定新的和不常见的位置。 异常情况检测引擎将存储组织中用户以往用过的位置的相关信息。
密码喷射
离线计算。 密码喷射攻击是指使用常见密码以统一的暴力攻击方式攻击多个用户名以获取未经授权的访问。 实施密码喷射攻击时,会触发此风险检测。 例如,攻击者在检测到的实例中成功通过身份验证。
可疑浏览器
离线计算。 可疑浏览器检测指示基于同一浏览器中不同国家/地区多个租户的可疑登录活动的异常行为。
可疑收件箱转发
离线计算。 此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。 此检测查找可疑的电子邮件转发规则,例如,如果用户创建了将所有电子邮件副本转发到外部地址的收件箱规则。
可疑的收件箱操作规则
离线计算。 此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。 此检测会检查你的环境,并在用户的收件箱上设置了删除或移动邮件或文件夹的可疑规则时触发警报。 此检测可能表明:用户帐户已遭入侵、消息被故意隐藏、邮箱被人用来在组织中分发垃圾邮件或恶意软件。
令牌颁发者异常
离线计算。 此风险检测指示关联 SAML 令牌的 SAML 令牌颁发者可能遭到入侵。 令牌中包含的声明异常或匹配已知的攻击者模式。
不熟悉的登录属性
实时计算。 此风险检测类型考虑过去的登录历史记录以查找异常登录。系统存储有关以前的登录的信息,并在使用用户不熟悉的属性登录时触发风险检测。 这些属性可以包括 IP、ASN、位置、设备、浏览器和租户 IP 子网。 新创建的用户处于“学习模式”阶段,在此期间,当我们的算法学习用户的行为时,将关闭不熟悉的登录属性风险检测。 学习模式持续时间是动态的,取决于算法收集足够的用户登录模式信息所需的时间。 最短持续时间为五天。 用户可以在长时间处于非活动状态后返回到学习模式。
我们还对基本身份验证(或旧版协议)运行此检测。 由于这些协议没有新型属性(如客户端 ID),因此用来减少误报的数据较为有限。 建议客户采用新式身份验证。
在交互式和非交互式登录中都可以检测到不熟悉的登录属性。当在非交互式登录时检测到此检测时,由于令牌重放攻击的风险,因此值得加强审查。
选择不熟悉的登录属性风险可让你看到“其他信息”,其中显示有关触发此风险原因的更多详细信息。
经过验证的威胁参与者 IP
实时计算。 此风险检测类型基于 Microsoft 威胁情报中心 (MSTIC) 中的数据指示与国家/地区参与者或网络犯罪集团关联的已知 IP 地址一致的登录活动。
高级用户风险检测
异常用户活动
离线计算。 此风险检测以 Microsoft Entra ID 中的正常管理用户行为为基准,并发现异常行为模式(例如,对目录的可疑更改)。 针对进行更改的管理员或已更改的对象触发检测。
中间攻击者
离线计算。 也称为中间对手,当身份验证会话链接到恶意反向代理时,将触发此高精度检测。 在这种攻击中,对手可以截获用户的凭据,包括向用户颁发的令牌。 Microsoft 安全研究团队利用 Microsoft 365 Defender 捕获已识别的风险,并将用户风险级别提高到“高”。 建议管理员在触发此检测时手动调查用户,以确保清除风险。 清除此风险可能需要安全密码重置或吊销现有会话。
可能尝试访问主刷新令牌 (PRT)
离线计算。 此检测使用 Microsoft Defender for Endpoint (MDE) 提供的信息发现。 主刷新令牌 (PRT) 是 Windows 10、Windows Server 2016 及更高版本、iOS 和 Android 设备上 Microsoft Entra 身份验证的关键项目。 PRT 是颁发给 Microsoft 第一方令牌代理的 JSON Web 令牌 (JWT),用于在这些设备上使用的应用程序之间实现单一登录 (SSO)。 攻击者可能会尝试访问此资源以横向进入组织或执行凭据盗窃。 此检测会将用户移至高风险状态,并且仅在部署了 MDE 的组织中触发。 此检测风险很高,我们建议这些用户立即进行修正。 由于数量较少,它在大多数组织中很少发生。
可疑的 API 流量
离线计算。 当观察到异常的 GraphAPI 流量或目录枚举时,会报告此风险检测。 可疑的 API 流量可能表明用户遭到入侵并在其环境中进行侦察。
可疑的发送模式
离线计算。 此风险检测类型使用 Microsoft Defender for Office 365 (MDO) 提供的信息发现。 当你的组织中有人发送了可疑电子邮件,并且有被限制发送电子邮件的风险,或者已经被限制发送邮件时,就会生成此警报。 此检测会将用户移至中等风险状态,并且仅在部署了 MDO 的组织中触发。 此检测是一种低容量检测,在大多数组织中并不常见。
用户报告的可疑活动
离线计算。 当用户拒绝多重身份验证 (MFA) 提示并将其报告为可疑活动时,会报告此风险检测。 未由用户发起的 MFA 提示可能意味着用户的凭据已泄露。
非高级检测
没有 Microsoft Entra ID P2 许可证的客户会收到标题为“检测到其他风险”的检测,而没有具有 P2 许可证的客户所做检测的相关详细信息。 有关详细信息,请参阅许可证要求。
非高级登录风险检测
检测到其他风险(登录)
实时或离线计算。 此检测表明已检测到某个高级检测。 由于高级检测仅对 Microsoft Entra ID P2 客户可见,因此对于没有 Microsoft Entra ID P2 许可证的客户,其标题为“检测到的其他风险”。
管理员确认用户遭入侵
离线计算。 此检测表明管理员已通过风险用户 UI 或 riskyUsers API 选择了“确认用户遭入侵”。 若要查看哪位管理员确认了此用户遭入侵,请(通过 UI 或 API)检查用户的风险历史记录。
匿名 IP 地址
实时计算。 此风险检测类型指示从匿名 IP 地址登录(例如 Tor 浏览器或匿名 VPN)。 这些 IP 地址通常由希望隐藏其登录信息(IP 地址、位置、设备等)的参与者使用以实现潜在恶意目的。
Microsoft Entra 威胁情报(登录)
实时或离线计算。 此风险检测类型指示对于给定用户来说属于异常的用户活动,或者与已知攻击模式一致的用户活动。 此检测基于 Microsoft 的内部和外部威胁智能源。
非高级用户风险检测
检测到其他风险(用户)
实时或离线计算。 此检测表明已检测到某个高级检测。 由于高级检测仅对 Microsoft Entra ID P2 客户可见,因此对于没有 Microsoft Entra ID P2 许可证的客户,其标题为“检测到的其他风险”。
凭据泄露
离线计算。 此风险检测类型指示用户的有效凭据已泄露。 当网络犯罪分子泄露合法用户的有效密码时,他们通常会共享这些收集的凭据。 共享方式通常是将凭据公开发布在暗网或粘贴网站上,或者在黑市上交易或出售凭据。 当 Microsoft 凭据泄露服务从暗网、粘贴网站或其他来源获取用户凭据时,会根据 Microsoft Entra 用户当前的有效凭据对其进行检查,找到有效的匹配项。 有关凭据泄露的详细信息,请查看常见问题。
Microsoft Entra 威胁情报(用户)
离线计算。 此风险检测类型指示对于给定用户来说属于异常的用户活动,或者与已知攻击模式一致的用户活动。 此检测基于 Microsoft 的内部和外部威胁智能源。
常见问题
如果使用不正确的凭据尝试登录,会怎么样?
仅当使用正确的凭据时,ID 保护才会生成风险检测。 如果在登录时使用错误的凭据,并不表示存在凭据泄露的风险。
是否需要密码哈希同步?
凭据泄露等风险检测要求存在密码哈希才能进行检测。 有关密码哈希同步的详细信息,请参阅使用 Microsoft Entra Connect 同步实现密码哈希同步一文。
为什么会对已禁用的帐户生成风险检测?
可以重新启用处于禁用状态的用户帐户。 如果已禁用帐户的凭据遭泄露,并且重新启用该帐户,则不良参与者可能会使用这些凭据来获取访问权限。 ID Protection 会针对这些已禁用的帐户生成可疑活动的风险检测,以提醒客户有关潜在帐户泄露问题。 如果某个帐户已不再使用并且不会重新启用,则客户应考虑将其删除以防止泄露。 不会为删除的帐户生成任何风险检测。
常见的凭据泄露问题
Microsoft 在哪里查找凭据泄露?
Microsoft 在各种位置查找凭据泄露,包括:
- 公共粘贴网站,不良参与者常会在此粘贴这类信息。
- 执法机构。
- Microsoft 的其他小组开展暗网研究。
为什么我没有看到任何凭据泄露?
每当 Microsoft 发现新的公开可用的批处理时,都会处理凭据泄露情况。 由于其敏感性质,泄露的凭据会在处理后很快删除。 只有在启用密码哈希同步 (PHS) 后找到的新泄露的凭据才会针对你的租户进行处理。 不会对先前找到的凭据对执行验证。
我看不到任何泄露的凭据风险事件
如果未看到任何凭据泄露风险事件,则有以下原因:
- 没有为租户启用 PHS。
- Microsoft 找不到任何与你的用户匹配的泄露凭据对。
Microsoft 多久处理一次新凭据?
凭据会在找到后立即处理,通常每天分多批处理。
位置
风险检测中的位置使用 IP 地址查找来确定。 从受信任的命名位置登录可以提高 Microsoft Entra ID 标识保护风险计算的准确性,从而在用户从标记为受信任的位置进行身份验证时降低用户的登录风险。