Microsoft Entra ID Protection 風險報告

Microsoft Entra ID Protection 可自動偵測和回應身分識別型風險,以協助保護您的組織。 雖然自動補救可以處理許多威脅,但某些情況需要手動調查和採取行動。 ID Protection 風險報告提供您識別、調查及回應影響使用者、登入和工作負載身分識別的潛在安全性威脅所需的深入解析。

存取風險報告

ID Protection 儀表板提供重要見解的摘要,您可以隨時使用這些見解來識別潛在風險。

  1. 至少以安全性讀取者的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 ID 保護>控制面板
  3. 從 ID Protection 導覽功能表中選取報告。

顯示 Microsoft Entra ID Protection 儀錶板的螢幕擷取畫面。

每種報告啟動時,都會隨附報告頂端所示期間所有偵測的清單。 您可以根據喜好設定篩選、新增或移除欄。 下載數據,以 .CSV 或 .JSON 格式進行進一步處理。 若要將報表與安全性資訊和事件管理 (SIEM) 工具整合以進行進一步分析,請參閱 設定診斷設定

查看詳細資料並採取行動

選取報表中的專案以檢視更多詳細資料,這些詳細資料會因您正在檢視的報表而異。 在詳細資料面板中,您也可以對所選使用者或登入進行操作。 您可以選取一或多個項目,然後確認風險或將其關閉。 您也可以從用戶端啟動密碼重設程序。 這些功能具有不同的角色需求,因此如果選項顯示為灰色,則您需要更高的權限角色。 如需詳細資訊,請參閱 ID Protection 所需角色

具風險的使用者

所選風險使用者的詳細數據會提供已補救、已消除或目前仍處於風險且需要調查的風險的相關資訊。 您也會獲得相關風險偵測的詳細資訊。 詳細概述請參見 風險使用者報告

使用者會在以下情況變成風險性使用者:

  • 他們有一次或多次高風險的登入嘗試。
  • 他們在帳戶上偵測到一或多個 風險 ,例如認證外洩。

Security Copilot

如果你同時擁有 Security Copilot,就能取得 自然語言摘要 ,說明為何使用者風險等級升高,以及如何緩解與應對的指引。

有風險的登入

[有風險的登入] 報告會列出有風險、已確認遭入侵、已確認安全、已關閉或已補救的登入。 詳細資料窗格會提供登入嘗試的詳細資訊,這些資訊可能會在調查期間有所幫助,例如與登入嘗試相關聯的即時和彙總風險層級,以及觸發的偵測類型。

有風險的登入詳細數據 包括:

  • 使用者嘗試存取的應用程式
  • 套用的條件式存取原則
  • MFA 詳細資料
  • 裝置、應用程式和位置資訊
  • 風險狀態、風險層級和風險偵測的來源 (ID Protection 或適用於端點的 Microsoft Defender)

高風險登入報告包含過去最多一個月的可篩選資料。 標識元保護會評估所有驗證流程的風險,無論是互動式還是非互動式流程。 Risky 登入報告會顯示互動式和非互動式登入。若要修改此檢視,請使用「登入類型」篩選條件。

顯示 Risky 登入報告的螢幕快照。

如果動作按鈕顯示為灰色,則您需要更高的權限角色。 系統管理員可以對具風險的登入事件採取動作,並選擇:

  • 確認登入遭 入侵 – 此動作會確認登入為真真。 該登入會被視為有風險,直到採取修復步驟為止。 
  • 確認登入安全 – 此動作會確認此登入為誤報。 未來不應將類似的登入視為有風險。 
  • 解除登入風險 – 此動作用於良性真陽性結果。 我們偵測到的這個登入風險是真實的,但不是惡意,例如來自已核准應用程式所產生已知滲透測試或已知活動的登入風險。 今後,應繼續對類似的登入進行風險評估。

若要深入瞭解何時採取上述每個動作,請參閱 如何Microsoft使用我的風險意見反應

風險特工

身分證保護能幫助您識別組織中風險較高的代理人。 本報告包含 Microsoft Entra 代理 ID 平台內的所有身份。 風險代理人報告概述了每位代理人的風險偵測情況,並提供工具協助你直接從報告中採取行動。

風險代理人資料 包括:

  • 代理顯示名稱
  • 風險狀態和風險等級
  • 代理程式類型
  • 代理贊助商

當代理人的帳戶中偵測到一個或多個風險事件時,該代理人即成為風險代理人。 欲了解更多資訊,請參閱 代理人身份保護

有風險的工作負載識別碼

工作負載身份是允許應用程式存取資源的身份,有時是在使用者的背景中。 從風險工作負載識別碼詳細頁面,您可以存取服務主體登入與稽核日誌以進行進一步分析。

這很重要

完整的風險詳細資料和風險型存取控制可供 Workload Identities Premium 客戶使用;不過、沒有 工作負載身分識別進階 版授權的客戶仍會收到所有具有有限報告詳細資料的偵測。

有風險的工作負載 ID 詳細資料 包括:

  • 服務主體識別碼
  • 風險狀態和風險等級
  • 風險歷程記錄

風險偵測

[風險偵測] 報表可讓您深入瞭解與使用者和登入相關聯的各種風險偵測。詳細資料包括偵測到的風險類型、與之相關的使用者或登入,以及風險目前狀態的相關資訊。 從細節欄格中,你也可以存取相關的用戶風險報告、使用者登入紀錄以及風險偵測。

風險偵測詳細資料 包括:

  • 偵測類型
  • 風險狀態、風險層級及風險詳細資料
  • 攻擊類型
  • 風險偵測的來源 (ID Protection 或適用於端點的 Microsoft Defender)

風險偵測報告包含最多過去 90 天 (3 個月) 的可篩選資料。

顯示風險偵測報告的螢幕快照。

透過風險偵測報告提供的資訊,系統管理員可以找到:

  • 每個風險偵測的相關信息
  • 以 MITRE ATT&CK 架構為基礎的攻擊類型
  • 同時觸發的其他風險
  • 登入嘗試位置
  • 來自 Microsoft Defender for Cloud Apps 的更多細節連結
  • 代理偵測 (預覽)

接著,系統管理員可以選擇返回使用者的風險或登入報告,依據收集到的資訊採取行動。

備註

我們的系統可能會偵測到:

  • 影響風險分數的風險事件為假陽性;或
  • 風險透過政策強制執行來解決,例如完成多因素驗證提示或安全地更改密碼。

因此,我們的系統會忽略「AI 確認登入安全」的風險狀態和風險詳細資料,不再增加使用者的風險。

  • Last updated on