Microsoft Entra ID 保护可以提供广泛的风险检测,可用于识别组织中的可疑活动。 本文中包含的表汇总了登录列表和用户风险检测列表,包括许可证要求,或者检测是在实时还是脱机的情况下进行。 可以在下表中找到有关每个风险检测的更多详细信息。
- 有关大多数风险检测的完整详细信息,需要Microsoft Entra ID P2。
- 没有Microsoft Entra ID P2 许可证的客户会收到标题为“未检测到风险检测详细信息 的其他风险”的 检测。
- For more information, see the license requirements.
- 有关工作负荷标识风险检测的信息,请参阅 保护工作负荷标识。
Note
有关实时检测和脱机检测和风险级别的详细信息,请参阅 风险检测类型和级别。
映射到 riskEventType 的登录风险检测
从列表中选择风险检测以查看风险检测的说明、其工作原理和许可证要求。 In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license.
Nonpremium indicates the detection is available with Microsoft Entra ID Free. 该 riskEventType 列指示在图形 API 查询Microsoft中显示的值。
| 登录风险检测 | Detection type | 类型 | riskEventType |
|---|---|---|---|
| 来自匿名 IP 地址的活动 | Offline | 高级 | riskyIPAddress |
| 检测到其他风险(登录) | 实时或脱机 | Nonpremium | generic ^ |
| 管理员确认用户遭入侵 | Offline | Nonpremium | adminConfirmedUserCompromised |
| 异常令牌(登录) | 实时或脱机 | 高级 | anomalousToken |
| 匿名 IP 地址 | Real-time | Nonpremium | anonymizedIPAddress |
| Atypical travel | Offline | 高级 | unlikelyTravel |
| Impossible travel | Offline | 高级 | mcasImpossibleTravel |
| 恶意 IP 地址 | Offline | 高级 | maliciousIPAddress |
| 对敏感文件的批量访问 | Offline | 高级 | mcasFinSuspiciousFileAccess |
| Microsoft Entra 威胁情报(登录) | 实时或脱机 | Nonpremium | investigationsThreatIntelligence |
| New country | Offline | 高级 | newCountry |
| Password spray | 实时或脱机 | 高级 | passwordSpray |
| Suspicious browser | Offline | 高级 | suspiciousBrowser |
| 可疑收件箱转发 | Offline | 高级 | suspiciousInboxForwarding |
| 可疑的收件箱操作规则 | Offline | 高级 | mcasSuspiciousInboxManipulationRules |
| 令牌颁发者异常 | Offline | 高级 | tokenIssuerAnomaly |
| 不熟悉的登录属性 | Real-time | 高级 | unfamiliarFeatures |
| 经过验证的威胁参与者 IP | Real-time | 高级 | nationStateIP |
^ 检测到 的其他风险检测的 riskEventType 对于Microsoft Entra ID 免费或Microsoft Entra ID P1 的租户而言是 通用 的。 我们检测到存在风险,但如果没有Microsoft Entra ID P2 许可证,则详细信息不可用。
映射到 riskEventType 的用户风险检测
从列表中选择风险检测以查看风险检测的说明、其工作原理和许可证要求。
| 用户风险检测 | Detection type | 类型 | riskEventType |
|---|---|---|---|
| 检测到其他风险(用户) | 实时或脱机 | Nonpremium | generic ^ |
| 异常令牌(用户) | 实时或脱机 | 高级 | anomalousToken |
| 异常用户活动 | Offline | 高级 | anomalousUserActivity |
| 中间攻击者 | Offline | 高级 | attackerinTheMiddle |
| Leaked credentials | Offline | Nonpremium | leakedCredentials |
| Microsoft Entra 威胁情报(用户) | 实时或脱机 | Nonpremium | investigationsThreatIntelligence |
| 可能尝试访问主刷新令牌 (PRT) | Offline | 高级 | attemptedPrtAccess |
| 可疑 API 流量 | Offline | 高级 | suspiciousAPITraffic |
| 可疑的发送模式 | Offline | 高级 | suspiciousSendingPatterns |
| 用户报告的可疑活动 | Offline | 高级 | userReportedSuspiciousActivity |
^ 检测到 的其他风险检测的 riskEventType 对于Microsoft Entra ID 免费或Microsoft Entra ID P1 的租户而言是 通用 的。 我们检测到存在风险,但如果没有Microsoft Entra ID P2 许可证,则详细信息不可用。
登录风险检测
来自匿名 IP 地址的活动
此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。 此项检测可以识别使用已标识为匿名代理 IP 地址的 IP 地址展开活动的用户。
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
检测到其他风险(登录)
此检测表明已检测到某个高级检测。 由于高级检测仅对 Microsoft Entra ID P2 客户可见,因此对于没有 Microsoft Entra ID P2 许可证的客户,其标题为“检测到的其他风险”。
- 以实时或脱机方式计算
- 许可证要求:Microsoft Entra ID 免费或Microsoft Entra ID P1
管理员确认用户被入侵
此检测表明管理员已通过风险用户 UI 或 riskyUsers API 选择了“确认用户遭入侵”。 若要查看哪位管理员确认了此用户遭入侵,请(通过 UI 或 API)检查用户的风险历史记录。
- Calculated offline
- 许可证要求:Microsoft Entra ID 免费或Microsoft Entra ID P1
异常令牌(登录)
此检测指示令牌中存在异常特征,例如异常生存期或从不熟悉的位置播放的令牌。 此检测涵盖“会话令牌”和“刷新令牌”。
异常令牌经过调整,比同一风险级别的其他检测产生的干扰更多。 选择这种权衡是为提高检测重放令牌的可能性,否则重放令牌可能会被忽略。 相比一般情况,此检测标记的一些会话更有可能出现假正。 建议你在用户的其他登录上下文中调查此检测标记的会话。 如果用户的位置、应用程序、IP 地址、用户代理或其他特征出现异常,管理员应将此风险视为潜在令牌重放的指示信息。
- 以实时或脱机方式计算
- 许可证要求:Microsoft Entra ID P2
- 调查异常令牌检测的提示
匿名 IP 地址
此风险检测类型指示从匿名 IP 地址登录(例如 Tor 浏览器或匿名 VPN)。 这些 IP 地址通常由希望隐藏其登录信息(IP 地址、位置、设备等)的参与者使用以实现潜在恶意目的。
- 实时计算
- 许可证要求:Microsoft Entra ID 免费或Microsoft Entra ID P1
异常位置登录
此风险检测类型可标识从相距遥远的地理位置进行的两次登录,根据用户以往的行为,其中至少有一个位置属于异常。 该算法考虑了多种因素,包括两次登录之间的时间以及用户从第一个位置到第二个位置所花费的时间。 此风险可能表明另一位用户正在使用相同的凭据。
此算法会忽略明显的“误报”,从而改善不可能前往条件,例如组织中其他用户定期使用的 VPN 和位置。 系统最早有一个 14 天或 10 次登录的初始学习期限,在此期间它将学习新用户的登录行为。
- Calculated offline
- 许可证要求:Microsoft Entra ID P2
- 调查异常位置登录检测的提示。
不可能旅行
此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。 项检测可识别来源于保持一定地理距离的位置的用户活动(在一个或多个会话中),而完成这两个活动的时间段短于该用户从第一个位置移动到第二个位置所需的时间。 此风险可能表明另一位用户正在使用相同的凭据。
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
恶意 IP 地址
此检测表明登录是通过恶意 IP 地址进行的。 由于从 IP 地址或其他 IP 信誉源接收到无效的凭据,因此会根据高失败率将 IP 地址视为恶意。 在某些情况下,出现之前的恶意活动时会触发此检测。
- Calculated offline
- 许可证要求:Microsoft Entra ID P2
- 调查恶意 IP 地址检测的提示
对敏感文件的批量访问
此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。 此检测会检查你的环境,并在用户从 Microsoft SharePoint Online 或 Microsoft OneDrive 访问多个文件时触发警报。 只有在被访问文件的数量对于该用户而言异常并且这些文件可能包含敏感信息时,才触发警报。
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Microsoft Entra 威胁情报(登录)
此风险检测类型指示对于给定用户来说属于异常的用户活动,或者与已知攻击模式一致的用户活动。 此检测基于 Microsoft 的内部和外部威胁智能源。
- 以实时或脱机方式计算
- 许可证要求:Microsoft Entra ID 免费或Microsoft Entra ID P1
- 调查 Microsoft Entra 威胁情报检测的提示。
新国家/地区
此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。 此项检测考虑过去的活动位置,以确定新的和不常见的位置。 异常情况检测引擎将存储组织中用户以往用过的位置的相关信息。
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
密码喷射
密码喷射攻击是指以统一的暴力破解方式,使用常见密码对多个标识进行攻击。 当帐户的密码有效并尝试过登录时,将触发此风险检测。 此检测表明用户的密码是通过密码喷洒攻击正确识别的,而不是攻击者能够访问任何资源。
- 以实时或脱机方式计算
- 许可证要求:Microsoft Entra ID P2
- 有关调查密码喷射检测的提示。
Suspicious browser
可疑浏览器检测机制根据同一浏览器中来自不同国家/地区的多个租户的可疑登录活动来指示异常行为模式。
- Calculated offline
- 许可证要求:Microsoft Entra ID P2
- 调查可疑浏览器检测的提示。
可疑收件箱转发
此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。 此检测查找可疑的电子邮件转发规则,例如,如果用户创建了将所有电子邮件副本转发到外部地址的收件箱规则。
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
可疑收件箱操作规则
此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。 此检测会检查你的环境,并在用户的收件箱上设置了删除或移动邮件或文件夹的可疑规则时触发警报。 此检测可能表明:用户帐户已遭入侵、消息被故意隐藏、邮箱被人用来在组织中分发垃圾邮件或恶意软件。
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
令牌颁发者异常
此风险检测指示关联 SAML 令牌的 SAML 令牌颁发者可能遭到入侵。 令牌中包含的声明异常或匹配已知的攻击者模式。
- Calculated offline
- 许可证要求:Microsoft Entra ID P2
- 有关调查令牌颁发者异常检测的提示。
不熟悉的登录属性
此风险检测类型考虑过去的登录历史记录以查找异常登录。系统存储有关以前的登录的信息,并在使用用户不熟悉的属性登录时触发风险检测。 这些属性可以包括 IP、ASN、位置、设备、浏览器和租户 IP 子网。 新创建的用户处于“学习模式”阶段,在此期间,当我们的算法学习用户的行为时,将关闭不熟悉的登录属性风险检测。 学习模式持续时间是动态的,取决于算法收集足够的用户登录模式信息所需的时间。 最短持续时间为五天。 用户可以在长时间处于非活动状态后返回到学习模式。
我们还对基本身份验证(或旧版协议)运行此检测。 由于这些协议没有新型属性(如客户端 ID),因此用来减少误报的数据较为有限。 建议客户采用新式身份验证。
在交互式和非交互式登录中都可以检测到不熟悉的登录属性。当在非交互式登录时检测到此检测时,由于令牌重放攻击的风险,因此值得加强审查。
选择不熟悉的登录属性风险可让你看到更多信息,详细了解触发此风险的原因。
- 实时计算
- 许可证要求:Microsoft Entra ID P2
经过验证的威胁参与者 IP
实时计算。 此风险检测类型基于 Microsoft 威胁情报中心 (MSTIC) 中的数据指示与国家/地区参与者或网络犯罪集团关联的已知 IP 地址一致的登录活动。
- 实时计算
- 许可证要求:Microsoft Entra ID P2
用户风险检测
检测到其他风险(用户)
此检测表明已检测到某个高级检测。 由于高级检测仅对 Microsoft Entra ID P2 客户可见,因此对于没有 Microsoft Entra ID P2 许可证的客户,其标题为“检测到的其他风险”。
- 以实时或脱机方式计算
- 许可证要求:Microsoft Entra ID 免费或Microsoft Entra ID P1
异常标记(用户)
此检测指示令牌中存在异常特征,例如异常生存期或从不熟悉的位置播放的令牌。 此检测涵盖“会话令牌”和“刷新令牌”。
异常令牌经过调整,比同一风险级别的其他检测产生的干扰更多。 选择这种权衡是为提高检测重放令牌的可能性,否则重放令牌可能会被忽略。 相比一般情况,此检测标记的一些会话更有可能出现假正。 建议你在用户的其他登录上下文中调查此检测标记的会话。 如果用户的位置、应用程序、IP 地址、用户代理或其他特征出现异常,管理员应将此风险视为潜在令牌重放的指示信息。
- 以实时或脱机方式计算
- 许可证要求:Microsoft Entra ID P2
- 调查异常令牌检测的提示
异常用户活动
此风险检测以 Microsoft Entra ID 中的正常管理用户行为为基准,并发现异常行为模式(例如,对目录的可疑更改)。 针对进行更改的管理员或已更改的对象触发检测。
- Calculated offline
- 许可证要求:Microsoft Entra ID P2
中间攻击者
也称为中间的攻击者,当身份验证会话链接到恶意反向代理时,将触发此高精度检测。 在这种攻击中,对手可以截获用户的凭据,包括向用户颁发的令牌。 The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. 建议管理员在触发此检测时手动调查用户,以确保清除风险。 清除此风险可能需要安全密码重置或吊销现有会话。
- Calculated offline
- 许可证要求:Microsoft Entra ID P2
凭据泄露
此风险检测类型指示用户的有效凭据已泄露。 当网络犯罪分子泄露合法用户的有效密码时,他们通常会共享这些收集的凭据。 共享方式通常是将凭据公开发布在暗网或粘贴网站上,或者在黑市上交易或出售凭据。 当 Microsoft 凭据泄露服务从暗网、粘贴网站或其他来源获取用户凭据时,会根据 Microsoft Entra 用户当前的有效凭据对其进行检查,找到有效的匹配项。 For more information about leaked credentials, see FAQs.
- Calculated offline
- 许可证要求:Microsoft Entra ID 免费或Microsoft Entra ID P1
- 调查凭据泄露检测的提示。
Microsoft Entra 威胁情报(用户)
此风险检测类型指示对于给定用户来说属于异常的用户活动,或者与已知攻击模式一致的用户活动。 此检测基于 Microsoft 的内部和外部威胁智能源。
- Calculated offline
- 许可证要求:Microsoft Entra ID 免费或Microsoft Entra ID P1
- 调查 Microsoft Entra 威胁情报检测的提示。
可能尝试访问主刷新令牌 (PRT)
此检测使用 Microsoft Defender for Endpoint (MDE) 提供的信息发现。 主刷新令牌 (PRT) 是 Windows 10、Windows Server 2016 及更高版本、iOS 和 Android 设备上 Microsoft Entra 身份验证的关键项目。 PRT 是颁发给 Microsoft 第一方令牌代理的 JSON Web 令牌 (JWT),用于在这些设备上使用的应用程序之间实现单一登录 (SSO)。 攻击者可能会尝试访问此资源以横向进入组织或执行凭据盗窃。 此检测会将用户移至高风险状态,并且仅在部署了 MDE 的组织中触发。 此检测风险很高,我们建议这些用户立即进行修正。 由于数量较少,它在大多数组织中很少发生。
- Calculated offline
- 许可证要求:Microsoft Entra ID P2
可疑的 API 流量
当观察到异常的 GraphAPI 流量或目录枚举时,会报告此风险检测。 可疑的 API 流量可能表明用户遭到入侵并在其环境中进行侦察。
- Calculated offline
- 许可证要求:Microsoft Entra ID P2
可疑的发送模式
此风险检测类型使用 Microsoft Defender for Office 365 (MDO) 提供的信息发现。 当你的组织中有人发送了可疑电子邮件,并且有被限制发送电子邮件的风险,或者已经被限制发送邮件时,就会生成此警报。 此检测会将用户移至中等风险状态,并且仅在部署了 MDO 的组织中触发。 此检测是一种低容量检测,在大多数组织中并不常见。
- Calculated offline
- 许可证要求:Microsoft Entra ID P2
用户报告的可疑活动
当用户拒绝多重身份验证 (MFA) 提示并将其报告为可疑活动时,会报告此风险检测。 未由用户发起的 MFA 提示可能意味着用户的凭据已泄露。
- Calculated offline
- 许可证要求:Microsoft Entra ID P2