共用方式為

How To:調查風險

  • 發行項

Identity Protection 為組織提供的報告,可讓他們用於調查環境中的身分識別風險。 這些報告包括風險性使用者風險性登入風險性工作負載身分識別,以及風險偵測。 事件調查是深入了解並找出任何安全性策略弱點的關鍵。 這些報告全部都允許以 .CSV 格式下載事件,或與其他安全性解決方案整合,例如專用 SIEM 工具進一步分析。

組織可以利用 Microsoft Graph API 整合來彙總其他來源的資料 (如果這些來源是組織有權存取的話)。

這三份報告位於 Microsoft Entra 系統管理中心>Protection>Identity Protection

每種報告啟動時,都會隨附報告頂端所示期間所有偵測的清單。 系統管理員可以根據喜好設定,為每種報告新增或移除資料行。 系統管理員可以選擇下載 .CSV 或 .JSON 格式的資料。 橫跨報告頂端的篩選器可供篩選報告。

選取個別項目時,可能會啟用報告頂端的額外項目,例如確認登入是否遭到入侵抑或保持安全、確認使用者是否遭到入侵,或解除使用者風險的功能。

選取個別項目時,偵測下方即會展開詳細資料視窗。 管理員可透過詳細資料檢視,對每次偵測進行審查和執行動作。

具風險使用者

風險性使用者報告列出帳戶目前或曾被視為有入侵風險的所有使用者。 應調查並補救風險性使用者,以防未經授權的資源存取。

為什麼使用者會有風險?

使用者會在以下情況變成風險性使用者:

  • 他們有一或多個風險性登入。
  • 使用者帳戶偵測到一或多個風險,例如認證外洩。

如何調查風險性使用者?

若要檢視和調查使用者的風險性登入,請選取 [最近的風險性登入] 索引標籤或 [使用者風險性登入] 連結。

若要檢視及調查使用者帳戶的風險,請選取 [偵測未連結至登入] 索引標籤或 [使用者的風險偵測] 連結。

[風險記錄] 索引標籤也會顯示過去 90 天導致使用者風險變更的所有事件。 此清單包含增加使用者風險的風險偵測,以及降低使用者風險的管理補救動作。 檢視它即可了解使用者的風險有何改變。

風險性使用者報告的螢幕擷取畫面。

系統管理員可以利用風險性使用者報告所提供的資訊來尋找:

  • 哪些使用者正面臨風險、已補救風險,或者已關閉風險?
  • 關於偵測的詳細資料
  • 所有風險性登入的歷程記錄
  • 風險歷程記錄

接著,系統管理員可以選擇對這些事件採取動作。 系統管理員可以選擇:

了解範圍

  1. 請考慮為更新的組織旅遊報告建立已知的旅行者資料庫,並將其用於交叉參考旅遊活動。
  2. 將公司的 VPN 和 IP 位址範圍新增至具名位置,以減少誤判。
  3. 檢閱記錄,識別具有相同特性的類似活動。 這可能表示有更多帳戶遭到入侵。
    1. 如果有常見的特性,例如 IP 位址、地理位置、成功/失敗等等,請考慮使用條件式存取原則封鎖這些特性。
    2. 檢閱哪些資源可能遭到入侵,例如潛在的資料下載或系統管理修改。
    3. 透過條件式存取啟用自我補救原則
  4. 如果您看到使用者執行其他風險性活動,例如從新位置下載大量檔案,這極可能代表遭到入侵。

有風險的登入

風險性登入報告的螢幕擷取畫面。

風險性登入報告包含最多過去 30 天 (一個月) 的可篩選資料。

系統管理員可以利用風險性登入報告所提供的資訊來尋找:

  • 哪些登入分類為具有風險、已確認遭盜用、已確認安全、已關閉或已補救。
  • 與登入嘗試相關聯的即時和彙總風險層級。
  • 觸發的偵測類型
  • 套用的條件式存取原則
  • MFA 詳細資料
  • 裝置資訊
  • 申請資訊
  • 位置資訊

接著,系統管理員可以選擇對這些事件採取動作。 系統管理員可以選擇:

  • 確認登入遭入侵
  • 確認登入安全

注意

Identity Protection 會評估所有驗證流程的風險,無論是互動式或非互動式。 風險性登入報告現在會顯示互動式和非互動式登入。使用 [登入類型] 篩選條件修改此檢視。

風險偵測

風險偵測報告的螢幕擷取畫面。

風險偵測報告包含最多過去 90 天 (三個月) 的可篩選資料。

系統管理員可以利用風險偵測報告所提供的資訊來尋找:

  • 每項風險偵測的相關資訊,包括類型。
  • 同時觸發的其他風險
  • 登入嘗試位置
  • 從適用於雲端的 Microsoft Defender 應用程式連結至更多詳細資料。

接著,系統管理員可以選擇返回使用者的風險或登入報告,依據收集到的資訊採取行動。

注意

我們的系統可能會偵測到影響風險使用者風險分數的風險事件是誤判,或使用者風險已透過原則強制執行來補救,例如完成 MFA 提示或安全密碼變更。 因此,我們的系統將會關閉風險狀態,並會顯示「AI 已確認登入安全」的風險詳細資料,而且不會再對使用者的風險產生影響。

調查架構

組織可以使用下列架構,開始調查任何可疑的活動。 調查可能需要與發生問題的使用者交談、檢閱登入記錄,或檢閱稽核記錄等。

  1. 檢查記錄,並驗證指定使用者的可疑活動是否正常。
    1. 查看使用者過去的活動,其中至少包含下列屬性,以確認這是否為指定使用者的正常情況。
      1. 申請
      2. 裝置 - 裝置已註冊或符合規範嗎?
      3. 位置 - 使用者是否前往不同的位置,或從多個位置存取裝置?
      4. IP 位址
      5. 使用者代理程式字串
    2. 如果您有其他安全性工具 (例如 Microsoft Sentinel) 的存取權,請檢查可能表示較嚴重問題的對應警示。
    3. 可存取 Microsoft 365 Defender 的組織,透過其他相關的警示和事件及 MITRE ATT&CK 鏈結,即可追蹤使用者風險事件。
      1. 在風險性使用者報告中選取使用者。
      2. 在工具列選取省略符號 (...),然後選擇 [使用 Microsoft 365 Defender 調查]
  2. 與使用者聯繫,確認他們是否能辨認登入。 電子郵件或 Teams 之類的方法可能會受到危害。
    1. 確認您擁有的資訊,例如:
      1. Application
      2. 裝置
      3. Location
      4. IP 位址

重要

如果您懷疑攻擊者可能模擬使用者、重設其密碼,以及執行 MFA;您應封鎖該使用者,並撤銷所有重新整理和存取權杖。

調查 Microsoft Entra 威脅情報偵測

若要調查 Microsoft Entra 威脅情報風險偵測,請遵循下列步驟:

如果已顯示偵測的詳細資訊:

  1. 登入來自可疑的 IP 位址:
    1. 確認 IP 位址是否在您的環境中顯示可疑行為。
    2. IP 是否對您目錄中的使用者或一組使用者產生大量失敗?
    3. IP 的流量是否來自非預期的通訊協定或應用程式,例如 Exchange 舊版通訊協定?
    4. 如果 IP 位址對應至雲端服務提供者,請確保沒有任何合法企業應用程式從相同的 IP 執行。
  2. 此帳戶是密碼噴濺攻擊的受害者:
    1. 驗證目錄中其他使用者不是相同攻擊的目標。
    2. 其他使用者是否有在相同時間範圍內偵測到的登入中發生類似的非典型模式登入? 密碼噴灑攻擊可能會在下列位置顯示不尋常的模式:
      1. 使用者代理程式字串
      2. 申請
      3. 通訊協定
      4. IP/ASN 的範圍
      5. 登入的時間和頻率
  3. 此偵測是由即時規則觸發:
    1. 驗證目錄中其他使用者不是相同攻擊的目標。 這可透過指派給規則的 TI_RI_#### 編號找到。
    2. 即時規則可防範 Microsoft 威脅情報所識別的新攻擊。 如果您的目錄中有多個使用者是相同攻擊的目標,請在登入的其他屬性中調查異常模式。

使用 Microsoft 365 Defender 調查風險事件

已部署 Microsoft 365 Defender適用於身分識別的 Microsoft Defender 的組織,從 Identity Protection 的跡象獲得了額外價值。 此值以加強與組織其他部分其他資料之間相互關聯,以及以額外的自動化調查及回應的形式呈現。

此螢幕擷取畫面顯示 Microsoft 365 Defender 入口網站中風險性使用者的警示。

在 Microsoft 365 Defender,安全性專業人員和系統管理員可以從下列區域連線到可疑活動:

  • 適用於身分識別的 Defender中的警示
  • 適用於端點的 Microsoft Defender
  • 適用於雲端的 Microsoft Defender
  • Microsoft Defender for Cloud Apps

如需如何使用 Microsoft 365 Defender 調查可疑活動的詳細資訊,請參閱在適用於身分識別的 Microsoft Defender 調查資產在 Microsoft 365 Defender 中調查事件這兩篇文章。

如需這些警示及其結構的詳細資訊,請參閱了解安全性警示一文 (部分機器翻譯)。

調查狀態

安全性人員在 Microsoft 365 Defender 和適用於身分識別的 Defender 中調查風險時,下列狀態和原因會在入口網站和 API 中傳回 Identity Protection。

Microsoft 365 Defender 狀態 Microsoft 365 Defender 分類 Microsoft Entra ID Protection 風險事件狀態 Microsoft Entra ID Protection 中的風險事件詳細資料
新增 誤判為真 已確認安全 M365DAdminDismissedDetection
新增 良性確判為真 已確認安全 M365DAdminDismissedDetection
新增 確判為真 已確認遭入侵 M365DAdminDismissedDetection
進行中 未設定 有風險
進行中 誤判為真 已確認安全 M365DAdminDismissedDetection
進行中 良性確判為真 已確認安全 M365DAdminDismissedDetection
進行中 確判為真 已確認遭入侵 M365DAdminDismissedDetection
已解決 未設定 已解除 M365DAdminDismissedDetection
已解決 誤判為真 已確認安全 M365DAdminDismissedDetection
已解決 良性確判為真 已確認安全 M365DAdminDismissedDetection
已解決 確判為真 已補救 M365DAdminDismissedDetection

下一步