Microsoft Entra ID Protection 为组织提供了有关其租户中可疑活动的信息,并允许你快速响应以防止发生进一步的风险。 风险检测是一种功能强大的资源,可以包含与目录中用户帐户和服务主体相关的任何可疑或异常活动。 ID 保护风险检测可以链接到单个用户或登录事件,并有助于在 Risky 用户报告中找到的总体用户风险评分。
用户风险检测可能会将合法用户帐户标记为有风险,当潜在威胁参与者通过损害其凭据或检测到异常用户活动来获取对帐户的访问权限时。 登录风险检测表示给定身份验证请求不是帐户的授权所有者的概率。 能够在用户和登录级别识别风险对于客户获得保护其租户的能力至关重要。
注释
有关风险检测的完整列表、计算方式及其许可证要求,请参阅 风险检测和事件类型。
风险级别
ID 保护将风险分为三级:低、中、高。 风险级别由我们的机器学习算法计算,代表Microsoft认为一个或多个用户凭据被未授权实体获取的可能性有多大。
检测可以在多个风险级别触发,具体取决于置信度。 例如,“不熟悉的登录属性”可能会根据对登录属性的熟悉程度,在高、中或低时触发。 其他检测(如 泄露的凭据 和 已验证的威胁参与者 IP )始终以高风险的形式传递,因为我们发现了泄露凭据或威胁执行组件的证据。
确定要 确定优先级、调查和修正的检测时,风险级别非常重要。 风险级别可帮助你确定调查和修正工作的优先级。
风险级别在 配置基于风险的条件访问策略方面也起着关键作用,因为每个策略都可以设置为针对低、中、高或未检测到风险触发。 根据组织的风险容忍度,可以在 ID 保护检测到某个用户的特定风险级别时创建要求 MFA 或密码重置的条件访问策略。 这些策略可指导用户自行修正,以解决风险。
重要
“低”级别风险检测和用户将持续使用该产品 6 个月,之后它们会自动过期,以提供更简洁的调查体验。 中等 和 高风险 级别一直持续到修正或消除。
风险检测,风险级别为:
- 高 表示Microsoft对帐户遭到入侵非常有信心。 威胁情报和已知攻击模式等信号会考虑到风险检测的置信度。
- 中等 表示检测到一个或多个中等严重性异常,但帐户遭到入侵的置信度较低。 登录模式、行为和其他信号影响风险检测的置信度。
- 低 表示登录或用户凭据中存在异常,但我们不太相信该帐户未被泄露。 登录前后的登录模式用于确定是否存在模式或登录是否异常。
实时和离线检测
ID Protection 使用一些技术,通过在身份验证后实时或离线计算某些风险来提高用户和登录风险检测的精准率。 在登录时实时检测风险可以提前识别风险,以便用户可以在登录期间自行修正,管理员可以快速调查潜在泄露。 在登录期间触发的条件访问策略可以在恶意行为者访问帐户之前将其阻止。
脱机计算的检测可以更深入地了解威胁参与者如何获取对帐户的访问权限,以及对合法用户的影响。 某些检测可以在脱机和登录期间触发,从而提高对入侵检测的信心。
实时触发的检测需要 5-10 分钟才能在报表中显示详细信息。 离线检测最多需要 48 小时才能显示在报表中,因为评估潜在风险的属性需要时间。 请务必记住风险级别可能会更改,因为登录后会脱机计算某些风险检测。
| 检测类型 | 登录风险 | 用户风险 |
|---|---|---|
| 实时 | 检测到可疑登录,通过条件访问策略(如要求多因素认证)可以实时进行修正。 | 检测到用户风险,可以通过条件访问策略进行修正,例如实时强制更改安全密码。 |
| 离线 | 登录风险可在登录后识别。 如果未修正此风险,则如果检测到更多风险并将其聚合到用户风险中,则可能会升级为用户风险。 | 登录后,用户被视为有风险。 如果配置了条件访问策略,则会阻止用户,直到下次进行身份验证时执行自助密码重置。 |
注释
我们的系统可能会确定导致用户风险评分的风险事件是:
- 假正,或
- 策略(通过完成多重身份验证或安全密码更改) 修正 了用户风险。
我们的系统会消除风险状态,并将风险详细信息设置为 AI 确认的登录安全,因此风险状态不再对用户的总体风险造成影响。
时间检测
在风险详细数据中,“时间检测”记录了在用户登录期间识别风险的确切时刻,从而允许评估实时风险和应用即时策略,以保护用户和组织。 “风险检测上次更新”显示了风险检测的最新更新(这可能是由于新信息、风险级别更改或管理操作所导致的),并确保风险管理保持最新状态。
这些字段对于实时监视、威胁响应和维护对组织资源的安全访问至关重要。
地点
风险检测中的位置使用 IP 地址查找来确定。 从受信任的命名位置登录可以提高 Microsoft Entra ID 标识保护风险计算的准确性,从而在用户从标记为受信任的位置进行身份验证时降低用户的登录风险。
注释
在寻找映射到 riskEventType 的风险检测表? 它已移动到新的 风险检测和事件类型 文章。
代理检测(预览版)
风险检测报告包括一个专用选项卡,用于代理检测,该选项卡专门显示使用 Microsoft Entra 代理 ID 的自治 AI 代理的风险检测。 这些检测有助于识别与代理关联的可疑活动,使管理员能够有效地监视和响应潜在威胁。 有关与代理关联的风险检测的列表,请参阅 代理的 ID 保护。
