了解哪些用户面临风险,以及他们面临风险 的原因 是安全管理员和标识管理员的关键责任。 Microsoft Entra ID Protection 中的 Risky 用户报表提供完整的报告,以及风险数据摘要和活动时间线。
Risky 用户报告还与标识风险管理代理(预览版)集成,以获取增强的代理建议和见解。 如果已启用标识风险管理代理,则可以在标准视图和报表的代理视图之间进行切换。
本文概述了 Risky 用户报告中提供的信息和可执行的操作。
先决条件
若要访问此报表,需要:
- Microsoft Entra ID 免费版,Microsoft Entra ID P1 提供用户的有限数据。
- Microsoft Entra ID P2 许可证,以便完全访问有风险的用户数据。
- 安全读取者和安全操作员是使用报表的标准视图所需的最低特权角色。
- 安全管理员 需要使用报表的 代理视图 并访问标识风险管理代理功能。
- 需要用户管理员 才能重置密码。
有风险的用户报告
Risky 用户报告的标准视图包含三个主要部分:每个级别的有风险用户的摘要图表、每天新的有风险用户和风险用户的完整列表。 如果已启用 “标识风险管理代理 ”,则可以使用 “代理”视图 查看代理建议和见解。
每个风险级别的风险用户百分比图表显示了有关用户及其风险级别的可视化表示形式。 通过此视觉摘要,可以快速查看组织中的内容状态。 将鼠标悬停在图表的每个段上以查看每个风险级别的用户百分比。
“每日新有风险用户”图表显示组织中检测到有风险用户的时间线。 该图表还指示用户或管理员是否已修正风险。 将鼠标悬停在图表中的任何点上以查看有风险的用户和修正活动的细分。
报表的下半部分包含有风险用户的完整列表。
- 选择有风险的用户的名称以查看其风险详细信息。
- 选中一个或多个用户旁边的复选框以采取措施,例如确认泄露或消除风险。
- 如果操作选项呈现灰色,则需要更高的特权角色。 有关详细信息,请参阅 What is Microsoft Entra ID Protection。
有风险的用户详细信息
在“有风险的用户详细信息”页中,可以采取措施,例如消除风险或重置用户的密码。
从 风险用户报告中选择一个用户,以查看有关其风险事件的更多详细信息,甚至对该用户采取行动。
详细信息包括有关用户的基本信息和最近的风险活动的时间线。 时间线部分提供与用户关联的风险事件的按时间顺序查看。 时间线显示检测到风险的时间、风险级别和检测到的风险类型。
若要同时查看风险登录事件和有风险的用户事件,请选中 按有风险的登录聚合风险信号 复选框。
统一风险信号(预览版)
Microsoft Entra ID Protection 现在将来自 Microsoft Defender 和其他源的信号关联起来,为用户风险检测提供统一的风险信号。 此预览功能通过基于多个标识信号计算全面的标识风险分数来增强风险检测功能。 必须在 设置中启用此选项。
可以在风险用户报表的标准视图和代理视图中查看统一的风险信号。 从列表中选择一个用户以查看与有风险用户关联的每个链接帐户的详细信息,帮助你了解用户标识(包括链接帐户)的全部风险范围。 当标识风险分数提高时,Microsoft Entra 分数也会因统一的风险信号而提高,这可以自动触发基于风险的条件访问策略。
身份风险评分显示在风险用户报告中所选用户的上下文中。 提供了进一步调查的分数、风险摘要和链接,以帮助你了解风险并采取适当的措施。 在 Microsoft Defender 链接中选择“查看完整报告 ”以查看 Microsoft Defender for Identity 中的相关信号,并进一步调查有风险的用户。
对有风险的用户采取行动
在用户级别执行操作适用于当前与该用户关联的所有检测。 如果操作按钮显示为灰色,则需要更高的特权角色。 管理员可以对用户执行操作,并选择:
- 重置密码 - 此作将撤销用户的当前会话。
- 确认用户账户被攻破 - 该操作是在确认真实正值后进行的。 ID 保护将用户风险设置为高,并添加新的检测,即管理员确认用户被入侵。 在采取修正步骤之前,用户会被视为面临风险。
- 确认用户安全 - 这是针对误报的措施。 这样做会消除此用户的风险和检测,并将其置于学习模式下以重新学习使用属性。 可以使用此选项来标记误报。
- 消除用户风险 - 此作针对良性正用户风险执行。 我们检测到的此用户风险是真实的,但不是恶意的,就像已知渗透测试中的风险一样。 应继续评估类似用户,以应对未来的风险。
- 阻止用户 - 如果攻击者有权访问密码或能够执行 MFA,此作将阻止用户登录。
- 使用 Microsoft 365 Defender 进行调查 - 此作会将管理员转到 Microsoft Defender 门户,以允许管理员进一步调查。