如何：调查风险

Microsoft Entra ID 保护服务为组织提供了可用于在其环境中调查标识风险的报告功能。 这些报告包括风险用户、风险登录、风险工作负载标识和风险检测。 事件调查是深入了解和找出安全策略中任何弱点的关键。 所有这些报告都允许以 .CSV 格式下载事件或与其他安全解决方案（例如专用安全信息和事件管理 (SIEM) 工具）集成以进行进一步分析。 组织还可以利用 Microsoft Defender 和 Microsoft Graph API 集成来与其他源聚合数据。

导航浏览报表

这些风险报表位于 Microsoft Entra 管理中心的“保护”>“标识保护”中。 可以直接导航到报表，或在仪表板视图中查看重要见解的汇总，并从那里导航到相应的报表。

每个报表启动时，报表顶部都有一个列表来显示该时间段内的所有检测。 管理员可以根据偏好选择筛选和添加或移除列。 管理员可以下载 .CSV 或 .JSON 格式的数据以作进一步处理。

当管理员选择一个或多个条目时，用于确认或消除风险的选项将显示在报表顶部。 选择单个风险事件会打开一个窗格，其中包含更多详细信息以帮助开展调查。

“有风险用户”报告

风险用户报表会列出帐户现在或过去被认为存在泄露风险的所有用户。 应对风险用户进行调查和修正，防止有人未经授权访问资源。 建议从高风险用户开始，因为他们面临较高置信度的泄露。 详细了解级别所表示的内容

用户为什么会面临风险？

当出现以下情况时，用户变为风险用户：

• 用户存在一次或多次风险登录。
• 在用户的帐户上检测到一项或多项风险，例如凭据泄露。

如何调查风险用户？

要查看和调查风险用户，请导航到“风险用户”报表，并使用筛选器来管理结果。 页面顶部有一个选项可供添加其他列，例如风险级别、状态和风险详细信息。

当管理员选择单个用户时，将显示“风险用户详细信息”窗格。 风险用户详细信息提供如下信息：用户 ID、办公室位置、最近的风险登录、未链接到登录的检测以及风险历史记录。 “风险历史记录”选项卡还会显示过去 90 天内导致用户风险发生变化的事件。 此列表包括增加用户风险的风险检测。 它还可能包括让用户风险有所降低的用户或管理员修正操作；例如，用户重置其密码或管理员消除风险。

如果你有 Copilot for Security，则可以以自然语言访问摘要，包括：为何用户风险级别会提升、有关如何缓解和响应的指导，以及指向其他有用项目或文档的链接。

使用“风险用户”报表提供的信息，管理员可查看：

• 已修正、已消除或当前仍处于风险之中且需要调查的用户风险
• 有关检测的详细信息
• 与给定用户关联的存在风险的登录
• 风险历史记录

在用户级别执行操作适用于当前与该用户关联的所有检测。 管理员可以对用户执行操作，并选择：

• 重置密码 - 此操作将撤销用户的当前会话。
• 确认用户遭到入侵 - 在真正情况下将采取此操作。 ID 保护将用户风险设置为高，并添加新的检测，即管理员确认用户被入侵。 在采取修正步骤之前，用户会被视为面临风险。
• 确认用户安全 - 对误报执行此操作。 这样做会消除此用户的风险和检测，并将其置于学习模式下以重新学习使用属性。 可以使用此选项来标记误报。
• 消除用户风险 - 针对良性的积极用户风险执行此操作。 我们检测到的此用户风险是真实的，但不是恶意的，就像已知渗透测试中的风险一样。 应继续评估类似用户，以应对未来的风险。
• 阻止用户 - 如果攻击者有权访问密码或能够执行 MFA，此操作将阻止用户登录。
• 使用 Microsoft 365 Defender 进行调查 - 此操作会将管理员转到 Microsoft Defender 门户，以允许管理员进一步调查。

风险登录报表

风险登录报告最多包含过去 30 天（1 个月）的可筛选数据。 “ID 保护”会评估所有身份验证流的风险，无论其为交互式还是非交互式。 风险登录报告会显示交互式和非交互式登录。若要修改此视图，请使用“登录类型”筛选器。

通过风险登录报告提供的信息，管理员可以查看：

• 存在风险、确认已泄露、确认安全、已消除或已修正风险的登录。
• 与登录尝试关联的实时风险级别和聚合风险级别。
• 触发的检测类型
• 应用的条件访问策略
• MFA 详细信息
• 设备信息
• 应用程序信息
• 位置信息

管理员可以针对风险登录事件执行操作并选择：

• 确认登录信息已泄露 – 此操作确认该登录存在风险。 在采取修正步骤之前，登录会被视为有风险。 
• 确认登录安全 – 此操作确认登录有风险为误报。 将来不应将类似的登录视为有风险。 
• 消除登录风险 – 此操作用于良性的真正风险。 我们检测到的此登录风险是真实的，但不是恶意的，就像来自已知渗透测试或经批准的应用程序生成的已知活动的风险一样。 应继续评估类似的登录，以应对未来的风险。

若要详细了解何时采取上述每个操作，请参阅 Microsoft 如何使用我的风险反馈

风险检测项报告

“风险检测”报表最多包含过去 90 天（3 个月）的可筛选数据。

通过风险检测报告提供的信息，管理员可找出：

• 每项风险检测的相关信息
• 基于 MITRE ATT&CK 框架的攻击类型
• 同时触发的其他风险
• 尝试登录的位置
• 从 Microsoft Defender for Cloud Apps 链接到更多详细信息。

然后，管理员可选择返回到用户的风险或登录报表，根据收集到的信息采取措施。

注意

我们的系统可能会检测到影响风险用户风险评分的风险事件为误报，或者用户风险已通过实施策略（如完成 MFA 提示或安全密码更改）得到修正。 因此，我们的系统将消除风险状态，并显示“AI 确认登录安全”的风险详细信息，同时它将不再影响用户风险。

初始会审

启动初始会审时，建议执行以下操作：

1. 查看 ID 保护仪表板，根据环境中的检测可视化攻击数、高风险用户数和其他重要指标。
2. 查看影响分析工作簿，了解环境中存在风险的情况，并应启用基于风险的访问策略来管理高风险用户和登录。
3. 将公司 VPN 和 IP 地址范围添加到指定位置以减少误报。
4. 考虑创建一个已知的异常位置登录数据库来更新组织的异常位置报告，并使用它来交叉引用异常位置活动。
5. 查看日志以识别具有相同特征的类似活动。 此活动可能表明有更多帐户遭到入侵。
   1. 如果存在共同特征（如 IP 地址、地理位置、成功/失败等），考虑使用条件访问策略阻止这些特征。
   2. 查看哪些资源可能已泄露，包括潜在的数据下载或管理修改。
   3. 通过条件访问启用自我修复策略
6. 检查用户是否执行了其他有风险的活动，例如从新位置下载大量文件。 此行为强烈表明可能会出现泄露。

如果怀疑攻击者可以模拟用户，你应该要求用户重置密码并执行 MFA，或阻止用户并撤销所有刷新和访问令牌。

调查和风险修正框架

组织可以使用以下框架开始对任何可疑活动的调查。 建议的第一步是自我修正（如果是一个选项）。 可以通过自助式密码重置或通过基于风险的条件访问策略的修正流进行自我修正。

如果没有自我修正这一选项，管理员需要修正风险。 通过调用密码重置来完成修正，要求用户根据应用场景重新注册 MFA、阻止用户或撤销用户会话。 以下流程图显示了检测到风险后建议的流：

风险得到控制后，可能需要进行更多调查，以将风险标记为安全、已泄露或即将消除。 要得出确定的结论，可能需要：与相关用户进行对话、查看登录日志、查看审核日志或查询日志分析中的风险日志。 以下概述了在此调查阶段的建议操作：

1. 检查日志并验证活动对于给定用户而言是否正常。
   1. 查看用户的过往活动（包括以下属性），以判断它们对于给定用户而言是否正常。
      1. 应用程序
      2. 设备 - 设备是否已注册或合规？
      3. 位置 - 用户是否前往其他地点，或者是否从多个位置访问设备？
      4. IP 地址
      5. 用户代理字符串
   2. 如果你有权访问 Microsoft Sentinel 等其他安全工具，请检查对应的警报，因为它们可能指示更大的问题。
   3. 有权访问 Microsoft 365 Defender 的组织可以通过其他相关警报、事件，以及 MITRE ATT&CK 链跟踪用户风险事件。
      1. 要从“风险用户”报表导航，请在“风险用户”报表中选择用户，然后选择工具栏中的省略号（...），然后选择“使用 Microsoft 365 Defender 进行调查”。
2. 联系用户以确认他们是否确认登录，但是，请注意使用电子邮件或 Teams 等方法可能会遭到泄露。
   1. 确认你的信息，例如：
      1. Timestamp
      2. 应用程序
      3. 设备
      4. 位置
      5. IP 地址
3. 根据调查结果，将用户或登录标记为已确认泄露、已确认安全或消除风险。
4. 设置基于风险的条件访问策略，以防止类似的攻击或解决覆盖范围中的任何差距。

调查特定检测

Microsoft Entra 威胁情报

要调查 Microsoft Entra 威胁情报风险检测，请根据“风险检测详细信息”窗格的“附加信息”字段中提供的信息执行以下步骤：

1. 登录来自可疑的 IP 地址：
   1. 确认 IP 地址是否在你的环境中显示可疑行为。
   2. 此 IP 是否为目录中的一位用户或一组用户产生了大量故障？
   3. 此 IP 的流量是否来自意外的协议或应用程序，例如 Exchange 旧版协议？
   4. 如果此 IP 地址与云服务提供商相对应，则排除没有合法的企业应用程序从同一 IP 运行。
2. 该帐户是密码喷射攻击的受害者：
   1. 验证目录中没有其他用户是同一攻击的目标。
   2. 在同一时间范围内，其他用户的登录是否具有在检测到的登录中出现的类似非典型模式？ 密码喷射攻击可能会在以下方面显示异常模式：
      1. 用户代理字符串
      2. 应用程序
      3. 协议
      4. IP/ASN 范围
      5. 登录时间和频率
3. 此检测是由实时规则触发的：
   1. 验证目录中没有其他用户是同一攻击的目标。 可以通过分配给该规则的 TI_RI_#### 编号找到此信息。
   2. 实时规则可抵御 Microsoft 威胁情报识别出的新攻击。 如果目录中的多个用户是同一攻击的目标，请调查登录的其他属性中的异常模式。

调查异常位置登录

1. 如果能够确认该活动不是由合法用户执行的：
   1. 建议的操作：将登录标记为已泄露，并调用密码重置（如果尚未通过自我修复执行）。 如果攻击者有权重置密码或执行 MFA 并重置密码，则阻止用户。
2. 如果已知用户在其职责范围内使用该 IP 地址：
   1. 建议操作：确认登录安全。
3. 如果能够确认用户最近去过警报中详细提到的目的地：
   1. 建议操作：确认登录安全。
4. 如果能够确认 IP 地址范围来自受认可的 VPN。
   1. 建议操作：确认登录安全，并将 VPN IP 地址范围添加到 Microsoft Entra ID 和 Microsoft Defender for Cloud Apps 中的指定位置。

调查异常令牌和令牌颁发者异常检测

1. 如果能够使用风险警报、位置、应用程序、IP 地址、用户代理或用户意外的其他特征的组合来确认该活动不是由合法用户执行的：
   1. 建议的操作：将登录标记为已泄露，并调用密码重置（如果尚未通过自我修复执行）。 如果攻击者有权重置密码或执行，则阻止该用户。
   2. 建议操作：设置基于风险的条件访问策略，对所有高风险登录要求密码重置、执行 MFA 或阻止访问。
2. 如果能够确认用户预期的位置、应用程序、IP 地址、用户代理或其他特征，并且没有其他泄露迹象：
   1. 建议的操作：允许用户使用基于风险的条件访问策略进行自我修复或让管理员确认登录是安全的。
3. 有关基于令牌的检测的进一步调查，请参阅博客文章令牌策略：如何防止、检测和响应云令牌盗窃和令牌盗窃调查手册。

调查可疑浏览器检测

• 浏览器不是用户常用的，或者浏览器内的活动与用户通常的行为不匹配。
  • 建议操作：确认登录信息已泄露，并调用密码重置（如果尚未通过自我修复执行）。 如果攻击者有权重置密码或执行 MFA，则阻止该用户。
  • 建议操作：设置基于风险的条件访问策略，对所有高风险登录要求密码重置、执行 MFA 或阻止访问。

调查恶意 IP 地址检测

1. 如果能够确认该活动不是由合法用户执行的：
   1. 建议操作：确认登录信息已泄露，并调用密码重置（如果尚未通过自我修复执行）。 如果攻击者有权重置密码或执行 MFA、重置密码并撤销所有令牌，则阻止用户。
   2. 建议操作：设置基于风险的条件访问策略，对所有高风险登录要求密码重置或执行 MFA。
2. 如果已知用户在其职责范围内使用该 IP 地址：
   1. 建议操作：确认登录安全。

调查密码喷射检测

1. 如果能够确认该活动不是由合法用户执行的：
   1. 建议的操作：将登录标记为已泄露，并调用密码重置（如果尚未通过自我修复执行）。 如果攻击者有权重置密码或执行 MFA、重置密码并撤销所有令牌，则阻止用户。
2. 如果已知用户在其职责范围内使用该 IP 地址：
   1. 建议操作：确认登录安全。
3. 如果能够确认该帐户未遭到入侵，并且没有看到针对该帐户的暴力破解或密码喷射指示器。
   1. 建议的操作：允许用户使用基于风险的条件访问策略进行自我修复或让管理员确认登录是安全的。

有关密码喷射风险检测的进一步调查，请参阅文章密码喷射调查。

调查泄露凭据检测

• 如果此检测识别出用户凭据泄露：
  • 建议操作：确认用户信息已泄露，并调用密码重置（如果尚未通过自我修复执行）。 如果攻击者有权重置密码或执行 MFA、重置密码并撤销所有令牌，则阻止用户。

后续步骤

• 修正风险并对用户解除封锁
• 可用于规避风险的策略
• 启用登录和用户风险策略