如何調查風險

Microsoft Entra ID Protection 提供數個 風險報告 ，可用來調查環境中的身分識別風險。 事件調查是深入了解並找出任何安全性策略弱點的關鍵。 ID Protection 報告可以存檔以進行存儲，或與安全信息和事件管理 （SIEM） 工具集成以進行進一步分析。 組織還可以利用 Microsoft Defender、Microsoft Sentinel 和 Microsoft Graph API 集成來聚合數據與其他來源。

有許多方法可以調查環境中的風險，甚至在調查期間需要考慮更多詳細資料。 本文提供架構來協助您開始使用，並概述一些最常見的案例和建議的動作。

先決條件

• 需要 Microsoft Entra ID P2 或 Microsoft Entra Suite 授權，才能完整存取 Microsoft Entra ID Protection 功能。
• 全域讀者 是 檢視風險報告所需的最低權限角色。
• 報表讀取者 是 檢視登入和稽核記錄所需的最低許可權角色。

初始分級

啟動初始分級時，建議您執行下列動作：

1. 檢閱 ID Protection 儀表板 ，以根據環境中的偵測來視覺化攻擊數量、高風險使用者數量和其他重要指標。

2. 檢閱 風險報告 ，以檢查任何最近有風險的使用者、登入或偵測的詳細數據。

3. 檢閱 影響分析活頁簿 ，以瞭解環境中風險明顯的案例，以及應該啟用哪些風險型存取原則來管理高風險使用者和登入。

4. 檢閱 登入記錄 ，以識別具有相同特徵的類似活動。 此活動可能表示更多遭入侵的帳戶。

   1. 如果有常見的特性，例如IP位址、地理位置、成功/失敗等，請考慮使用條件式存取原則來封鎖它們。
   2. 檢閱哪些資源可能遭到入侵，包括潛在的數據下載或系統管理修改。
   3. 透過條件式存取啟用自我補救原則。

5. 透過 Microsoft Purview 進行測試人員風險管理，您可以檢查使用者是否執行其他風險活動，例如從新位置下載大量檔案。 此行為是可能遭到入侵的強烈跡象。

如果您懷疑攻擊者可以模擬使用者，您應該要求使用者重設其密碼並執行 MFA 或封鎖使用者，並撤銷所有重新整理和存取令牌。

調查和風險補救架構

組織可以使用下列架構來調查可疑活動。 偵測到風險時，建議的第一個步驟是自我補救 （如果可以選擇的話）。 自我補救可以透過自助式密碼重設或透過風險型條件式存取原則的補救流程進行。

如果自我補救不是選項，系統管理員必須補救風險。 補救是透過啟動密碼重設、要求使用者重新註冊多重驗證、封鎖使用者或撤銷使用者工作階段來完成。 下列流程圖顯示偵測到風險之後的建議流程：

一旦風險得到控制，可能需要進行更多調查，才能將風險標示為安全、已受損或將其排除。

1. 檢查登入記錄，並驗證指定使用者的活動是否正常。

   1. 查看使用者的過去活動，包括下列屬性，以查看指定的使用者是否正常。
      • 應用 - 該應用程序是否被用戶常用？
      • 裝置 - 裝置已註冊或符合規範嗎？
      • 位置 - 使用者是否前往不同的位置，或從多個位置存取裝置？
      • IP 位址
      • 使用者代理字串

2. 使用其他安全性工具進行調查 （如果有的話）。

   • 如果您有 Microsoft Sentinel，請檢查可能指出較大問題的對應警示。
   • 如果你有 Microsoft Defender XDR，可以透過其他相關警示和事件追蹤使用者風險事件。
   • 透過 Microsoft Sentinel 在 Microsoft Defender XDR 中建立的 MITRE ATT&CK 鏈條，也可能提供一些見解。 在 Microsoft Defender 入口網站中，瀏覽事件與警示>警示>，並將產品名稱篩選器設為 AAD 身份保護，即可找到來自 Microsoft Entra ID 保護的警示。

3. 聯絡使用者以確認他們是否辨識登入;不過，請記住，電子郵件或 Teams 可能會遭到入侵。

   1. 確認您擁有的資訊，例如：
      • 時間戳記
      • 申請
      • 裝置
      • 地點
      • IP 位址

4. 根據調查結果，將使用者或登入標示為已確認遭入侵、確認安全或解除風險。

5. 設定風險型條件式存取原則 ，以防止類似的攻擊，或解決涵蓋範圍中的任何差距。

調查特定偵測

某些風險偵測需要特定的調查步驟。 下列各節概述一些最常見的風險偵測和建議的動作。

Microsoft Entra 威脅情報

若要調查 Microsoft Entra 威脅情報風險偵測，請根據 [風險偵測詳細資料] 窗格的 [其他資訊] 欄位中提供的資訊，遵循下列步驟：

• 如果登入是來自可疑的 IP 位址：

  1. 確認 IP 位址是否在您的環境中顯示可疑行為。
  2. IP 是否對您目錄中的使用者或一組使用者產生大量失敗？
  3. IP 的流量是否來自非預期的通訊協定或應用程式，例如 Exchange 舊版通訊協定？
  4. 如果 IP 位址對應至雲端服務提供者，請確保沒有任何合法企業應用程式從相同的 IP 執行。

• 帳戶是密碼噴灑攻擊的受害者

  1. 驗證目錄中其他使用者不是相同攻擊的目標。
  2. 判斷其他使用者是否在相同時間範圍內具有偵測到的登入中類似的非典型模式。 密碼噴灑攻擊可能會在下列情況中顯示不尋常的模式：
     • 使用者代理程式字串
     • 申請
     • 通訊協定
     • IP/ASN 的範圍
     • 登入的時間和頻率

• 偵測是由即時規則觸發的

  1. 驗證目錄中其他使用者不是相同攻擊的目標。 您可以使用指派給規則的 TI_RI_#### 編號來找到這項資訊。
  2. 即時規則可防範 Microsoft 威脅情報研究中發現的新攻擊。 如果您的目錄中有多個使用者是相同攻擊的目標，請在登入的其他屬性中調查異常模式。

非典型旅行偵測

• 如果您確認該活動不是由合法的使用者進行：
  1. 標記此登入為遭入侵，若尚未透過自我補救執行密碼重設，請啟動密碼重設。
  2. 如果攻擊者有權重設密碼或執行 MFA 並重設密碼，請封鎖使用者。
• 如果已知使用者在其職責範圍內使用 IP 位址，請確認登入安全。
• 如果您確認使用者最近前往警示中詳述的目的地，請確認登入安全。
• 如果您確認 IP 位址範圍來自核准的 VPN，請確認登入為安全，並將 VPN IP 位址範圍新增至 Microsoft Entra ID 和適用於雲端的 Microsoft Defender Apps 中的具名位置。

權杖異常和權杖發行者異常偵測

• 如果您確認該活動 不是 由合法使用者執行，使用風險警示、位置、應用程式、IP 位址、使用者代理程式或其他特徵的組合顯示此活動對該使用者而言非預期：

  1. 標記此登入為遭入侵，若尚未透過自我補救執行密碼重設，請啟動密碼重設。
  2. 如果攻擊者可以存取重設密碼或執行，請封鎖使用者。
  3. 設定風險型條件式存取原則 ，以要求密碼重設、執行 MFA 或封鎖所有高風險登入的存取。

• 如果您確認使用者預期的位置、應用程式、IP 位址、使用者代理程式或其他特性，且沒有其他入侵跡象，請允許使用者使用風險型條件式存取原則進行自我補救，或讓系統管理員確認登入為安全。

如需令牌型偵測的進一步調查，請參閱部落格文章令牌策略：如何防止、偵測及回應雲端令牌竊取調查劇本。

可疑瀏覽器偵測

此偵測表示使用者不常使用瀏覽器，或瀏覽器內的活動不符合使用者的正常行為。

• 確認登入狀態已遭入侵，若尚未自我修復，請執行密碼重設。 如果攻擊者可以存取重設密碼或執行 MFA，請封鎖使用者。
• 設定風險型條件式存取原則 ，以要求密碼重設、執行 MFA 或封鎖所有高風險登入的存取。

惡意 IP 位址偵測

• 如果您確認此活動 不是 由授權使用者執行：

  1. 確認登入狀態已遭入侵，若尚未自我修復，請執行密碼重設。
  2. 如果攻擊者可以存取重設密碼或執行 MFA 並重設密碼並撤銷所有令牌，請封鎖使用者。
  3. 設定風險型條件式存取原則 ，以要求密碼重設或針對所有高風險登入執行 MFA。

• 如果您確認使用者 確實 在其職責範圍內使用 IP 位址，請確認登入安全。

密碼噴灑偵測

微軟的密碼噴射攻擊偵測表示，Microsoft 觀察到攻擊者進行密碼噴射攻擊，並成功驗證你租戶使用者的憑證。 密碼噴灑攻擊可能針對多個租戶中的用戶，偵測只會在確認密碼匹配成功的情況下觸發。 噴灑失敗時不會產生偵測。

• 如果您確認此活動 不是 由授權使用者執行：

  1. 標記此登入為遭入侵，若尚未透過自我補救執行密碼重設，請啟動密碼重設。
  2. 如果攻擊者可以存取重設密碼或執行 MFA 並重設密碼並撤銷所有令牌，請封鎖使用者。

• 如果您確認使用者 確實 在其職責範圍內使用 IP 位址，請確認登入安全。

• 如果您確認帳戶未遭入侵，且沒有看到針對帳戶的暴力密碼破解或密碼噴灑攻擊跡象：

  1. 允許使用者使用風險型條件式存取原則進行自我補救，或讓系統管理員確認登入為安全。
  2. 請確定您已適當地設定 Microsoft Entra 智慧鎖定，以避免不必要的帳戶鎖定。

如需密碼噴洒風險偵測的進一步調查，請參閱密碼噴洒調查一文。

洩漏憑證偵測

憑證外洩的偵測總是高風險，因為它們代表已確認的憑證暴露。 當偵測器觸發時，請立即調查。

如果此偵測識別出使用者洩漏的認證：

1. 評估暴露範圍。 檢視使用者的風險歷史與登入日誌，以判斷洩漏的憑證是否被用於未經授權的存取。 尋找相關的登入風險事件，例如來自陌生地點的登入、匿名 IP 位址或非典型旅遊。
2. 檢查密碼是否已經更改過。 確認使用者在洩漏偵測到日期後是否更改了密碼。 由 Microsoft Entra 條件存取政策 觸發的雲端密碼重設，能完全解決使用者因偵測而產生的風險。 如果密碼被更改，風險可能已經自行緩解。 如果沒有，確認使用者是否遭入侵並啟動密碼重設。
3. 如果攻擊者活躍，就封鎖存取。 若登入日誌顯示未授權存取，或攻擊者有能力重設密碼或執行多重驗證，請封鎖使用者、重設密碼並撤銷所有刷新令牌。 當有積極妥協的證據時，撤銷會談至關重要。
4. 關於橫向移動的複習。 檢查使用者近期活動是否有權限提升、新應用程式註冊、信箱規則變更，或存取敏感資源的跡象，這些可能顯示入侵後的活動。
5. 驗證已連結的帳號。 如果使用者在不同服務間重複使用密碼，請視為該憑證已被租戶以外入侵。 建議使用者在使用相同憑證的其他服務中更改密碼。

降低未來風險

• 將公司 VPN 和 IP 位址範圍新增至條件式存取原則中的 具名位置 ，以減少誤判。
• 請考慮為更新的組織旅遊報告建立已知的旅行者資料庫，並將其用於交叉參考旅遊活動。
• 在 ID Protection 中提供意見反應，以提高偵測準確度並減少誤報。

下一步

• 補救及解除封鎖使用者
• 可用來降低風險的原則
• 啟用登入與使用者風險原則