隨著組織採用、建置並部署自主 AI 代理,監控與保護這些代理的需求變得至關重要。 Microsoft Entra ID Protection 透過自動偵測並回應使用
先決條件
角色
要使用我們的風險代理報告,您必須被指派以下任一管理員角色。
- 安全性系統管理員
- 安全操作員
- 安全性閱讀器
若要設定以代理風險為條件的政策,必須指定條件存取 管理員 角色。
Licensing
- 代理的識別保護在預覽版中包含於 Microsoft Entra P2 授權中。
運作方式
由於客服人員能自主代表使用者運作,因此能展現獨特的登入行為。 客服人員可以主動出擊,處理敏感資料,並大規模運作。 Microsoft Entra ID Protection for Agents 的設計目的是識別並降低與這些功能相關的風險。 系統會判定代理的正常活動基準,並持續監控 Microsoft Entra ID 的異常。 一旦客服表現出可疑行為,ID Protection 會標記該活動並標記為有風險。
風險增加的活動
下表列出可能導致代理人被標記為風險的異常活動。 目前,所有針對高風險代理的風險偵測均已離線。
| 代理風險偵測 | 偵測類型 | Description | riskEventType |
|---|---|---|---|
| 不熟悉的資源存取 | Offline | 代理主動攻擊平時不會存取的資源。 這種偵測可能表示攻擊者試圖存取代理人預期用途之外的敏感資源。 | 不熟悉資源訪問 |
| 登入激增 | Offline | Agent 的登入次數比平常多。 這個激增可能是攻擊者使用自動化或工具包的指標。 | 登入流量激增 |
| 嘗試存取失敗 | Offline | 代理人嘗試但未能存取未經授權的資源。 此偵測可能表示攻擊者正試圖重放代理的令牌來對抗未授權資源。 | 失敗存取嘗試 |
| 風險使用者登入 | Offline | 代理人在委託驗證過程中代表一位有風險的使用者登入。 這種偵測代表攻擊者可能利用被入侵使用者的憑證來攻擊代理人。 | 高風險用戶登入 |
| 確認已被入侵 | Offline | 管理員確認代理被入侵 | 管理員已確認代理被入侵 |
| Microsoft Entra 威脅情報 | Offline | Microsoft根據其內部及外部威脅情報來源,識別出與已知攻擊模式相符的活動。 | 威脅情報帳戶 |
查看風險代理人報告
風險代理人報告列出所有被標記為有風險行為的代理人。 風險代理人的摘要會顯示在 身份保護儀表板上。 此快照檢視概述了依風險等級標記為風險的代理人數量。 選擇 檢視風險代理人 以開啟完整報告。
您也可以直接從身份保護導覽選單中進入 風險代理人 報告。 篩選與排序以找到特定的病因、風險狀態或風險等級。
截圖顯示風險探員報告。
您可以直接從報告中對代理人採取行動,包括:
- 確認入侵:在手動調查或自動偵測確認帳號被入侵後,選擇。 此步驟作為事件應變的一部分,有助於防止進一步損害。 確認威脅會自動將風險等級設為高,並在代理的風險偵測系統中建立事件。 此動作會觸發基於風險的條件存取政策,該政策設定為在高代理風險下阻擋存取。
- 確認安全:調查後標記使用者為安全,並透過將風險等級設為無,清除該使用者的任何活躍風險狀態。 當你想標記誤報並讓系統避免標記類似活動時,請使用此選項。
- 排除風險:告知系統,經調查後確認與代理相關的風險已不再存在,或在確認良性真陽性後,希望系統繼續標記類似活動。
- Disable:阻止該客服在 Microsoft Entra ID 及連接的應用程式間的所有登入。
查看風險代理人詳情
在風險代理人報告中,選擇一個條目以查看完整細節,包括該代理人對應的風險偵測。 就像所有身份防護風險報告一樣,你可以直接從報告或詳細資料檢視中對代理人採取行動。
風險代理人資料 包括:
- 代理顯示名稱與識別碼
- 風險狀態和風險等級
- 經紀人類型與贊助商(如有說明)
您也可以前往 風險偵測 報告,選擇代理 偵測 標籤,查看過去 90 天內偵測風險事件的完整清單。
截圖顯示 Risky 客服的詳細資料。
針對代理程式的依風險為基礎的條件式存取
你可以使用 條件存取(Conditional Access for agents) 設定風險政策,阻止有風險的代理存取資源或其他代理。 使用此條件 存取範本 協助管理員在其組織中部署此政策。
Microsoft Graph
你也可以用Microsoft 圖形 API查詢風險代理人
riskyAgentsagentRiskDetections