Was sind Risikoerkennungen?
Microsoft Entra ID Protection bietet Organisationen Informationen zu verdächtigen Aktivitäten in ihrem Mandanten und ermöglicht ihnen, schnell zu reagieren, um weitere Risiken zu verhindern. Risikoerkennungen sind eine wichtige Ressource, die verdächtige oder ungewöhnliche Aktivitäten im Zusammenhang mit einem Benutzerkonto im Verzeichnis enthalten können. ID Protection-Risikoerkennungen können mit einzelnen Benutzenden oder Anmeldeereignissen verknüpft werden und zur Gesamtbewertung des Benutzerrisikos im Bericht Risikobenutzer beitragen.
Benutzerrisikoerkennungen kennzeichnen möglicherweise ein legitimes Benutzerkonto als gefährdet, wenn potenzieller Bedrohungsakteure Zugriff auf ein Konto erhalten, wenn diese die zugehörigen Anmeldeinformationen kompromittieren, oder wenn sie eine Form von anomaler Benutzeraktivität erkennen. Anmelderisikoerkennungen stellen die Wahrscheinlichkeit dar, dass eine bestimmte Authentifizierungsanforderung nicht von der autorisierten Besitzerin oder vom autorisierten Besitzer des Kontos stammt. Die Möglichkeit zur Identifizierung des Risikos auf Benutzer- und Anmeldeebene ist entscheidend, damit Kundinnen und Kunden ihren Mandanten schützen können.
Risikostufen
ID Protection teilt Risiken in drei Stufen ein: niedrig, mittel und hoch. Die Risikostufen werden von Machine Learning-Algorithmen berechnet und geben an, wie wahrscheinlich es ist, dass eine oder mehrere Benutzeranmeldeinformationen einer nicht autorisierten Entität bekannt sind.
- Eine Risikoerkennung mit der Risikostufe Hoch bedeutet, dass Microsoft sehr sicher ist, dass das Konto kompromittiert wurde.
- Eine Risikoerkennung mit der Risikostufe Niedrig bedeutet, dass Anomalien bei der Anmeldung oder den Benutzeranmeldeinformationen vorliegen, eine Kompromittierung des Kontos jedoch unwahrscheinlicher ist.
Viele Erkennungen können je nach Anzahl oder Schweregrad der erkannten Anomalien auf mehreren Risikostufen ausgelöst werden. Beispielsweise können Ungewöhnliche Anmeldeeigenschaften basierend auf der Vertrauenswürdigkeit der Signale auf hoher, mittlerer oder niedriger Stufe ausgelöst werden. Einige Erkennungen (z. B. Ereignisse vom Typ Kompromittierte Anmeldeinformationen und Überprüfte Bedrohungsakteur-IP) werden immer mit hohem Risiko angegeben.
Diese Risikostufe ist wichtig, wenn festgelegt werden muss, für welche Erkennungen die Untersuchung und Behebung priorisiert werden soll. Sie spielt auch eine wichtige Rolle beim Konfigurieren von risikobasierten Richtlinien für bedingten Zugriff, da jede Richtlinie so festgelegt werden kann, dass sie ausgelöst wird, wenn kein Risiko bzw. niedriges, mittleres oder hohes Risiko besteht. Je nach Risikotoleranz Ihrer Organisation können Sie Richtlinien erstellen, die eine Multi-Faktor-Authentifizierung oder Kennwortzurücksetzung erfordern, wenn ID Protection eine bestimmte Risikostufe für einzelne Benutzende erkennt. Diese Richtlinien können die Benutzenden anleiten, das Risiko selbst zu beheben.
Wichtig
Alle Erkennungen mit der Risikostufe „Niedrig“ sowie die Benutzenden werden sechs Monate lang im Produkt gespeichert, bis sie automatisch als veraltet markiert werden, um eine praktische Untersuchungsfunktion bereitzustellen. Ereignisse mit den Risikostufen „Mittel“ und „Hoch“ werden so lange gespeichert, bis sie behoben oder verworfen werden.
Basierend auf der Risikotoleranz Ihrer Organisation können Sie Richtlinien erstellen, die eine Multi-Faktor-Authentifizierung oder Kennwortzurücksetzung erfordern, wenn ID Protection eine bestimmte Risikostufe erkennt. Diese Richtlinien können den Benutzern dabei helfen, das Risiko in Abhängigkeit von Ihren Toleranzwerten selbst zu beheben oder zu blockieren.
Echtzeit- und Offlineerkennungen
ID Protection verwendet Techniken, um die Genauigkeit von Benutzer- und Anmelderisikoerkennungen zu erhöhen, indem einige Risiken in Echtzeit oder offline nach der Authentifizierung berechnet werden. Das Erkennen von Risiken bei der Anmeldung in Echtzeit bietet den Vorteil, dass Risiken frühzeitig erkannt werden, sodass Kundinnen und Kunden schnell die potenzielle Kompromittierung untersuchen können. Bei Erkennungen, die das Risiko offline berechnen, können sie mehr Erkenntnisse darüber bieten, wie die Bedrohungsakteure Zugriff auf das Konto und die Auswirkungen auf legitime Benutzenden erhalten haben. Einige Erkennungen können sowohl offline als auch während der Anmeldung ausgelöst werden, wodurch das Vertrauen in die Genauigkeit bei der Kompromittierung erhöht wird.
Bei in Echtzeit ausgelösten Erkennungen dauert es 5 bis 10 Minuten, bis Details in den Berichten angezeigt werden. Bei Offlineerkennungen dauert es bis zu 48 Stunden, bis sie in den Berichten angezeigt werden, da es Zeit erfordert, die Eigenschaften des potenziellen Risikos auszuwerten.
Hinweis
Unser System kann feststellen, dass das Risikoereignis, das zur Risikorisikobewertung beigetragen hat, eine der folgenden Möglichkeiten war:
- Ein falscher Positivbefund
- Das Benutzerrisiko wurde behoben mit einer Richtlinie durch eine der folgenden Möglichkeiten:
- Durchführen der Multi-Faktor-Authentifizierung
- Sichere Kennwortänderung
Unser System wird den Risikostatus verwerfen, und das Risikodetail Sichere Anmeldung durch KI bestätigt wird angezeigt. Das Ereignis trägt somit nicht mehr zum Gesamtrisiko der Benutzenden bei.
Risikoerkennungen, die riskEventType zugeordnet sind
| Risikoerkennung | Erkennungstyp | type | riskEventType |
|---|---|---|---|
| Risikoerkennungen von Anmeldungen | |||
| Aktivität über anonyme IP-Adresse | Offline | Premium | riskyIPAddress |
| Zusätzliches Risiko erkannt (Anmeldung) | Echtzeit oder offline | Nicht-Premium | generic = Premium-Erkennungsklassifizierung für Nicht-P2-Mandanten |
| Benutzergefährdung durch Administrator bestätigt | Offline | Nicht-Premium | adminConfirmedUserCompromised |
| Anomales Token | Echtzeit oder offline | Premium | anomalousToken |
| Anonyme IP-Adresse | Echtzeit | Nicht-Premium | anonymizedIPAddress |
| Ungewöhnlicher Ortswechsel | Offline | Premium | unlikelyTravel |
| Unmöglicher Ortswechsel | Offline | Premium | mcasImpossibleTravel |
| Schädliche IP-Adresse | Offline | Premium | maliciousIPAddress |
| Massenzugriff auf vertrauliche Dateien | Offline | Premium | mcasFinSuspiciousFileAccess |
| Threat Intelligence von Microsoft Entra (Anmeldung) | Echtzeit oder offline | Nicht-Premium | investigationsThreatIntelligence |
| Neues Land/neue Region | Offline | Premium | newCountry |
| Kennwortspray | Offline | Premium | passwordSpray |
| Verdächtiger Browser | Offline | Premium | suspiciousBrowser |
| Verdächtige Weiterleitung des Posteingangs | Offline | Premium | suspiciousInboxForwarding |
| Verdächtige Regeln zur Posteingangsänderung | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| Anomaler Tokenaussteller | Offline | Premium | tokenIssuerAnomaly |
| Ungewöhnliche Anmeldeeigenschaften | Echtzeit | Premium | unfamiliarFeatures |
| Überprüfte Bedrohungsakteur-IP | Echtzeit | Premium | nationStateIP |
| Benutzerrisikoerkennungen | |||
| Zusätzliches Risiko erkannt (Benutzer) | Echtzeit oder offline | Nicht-Premium | generic = Premium-Erkennungsklassifizierung für Nicht-P2-Mandanten |
| Anomale Benutzeraktivität | Offline | Premium | anomalousUserActivity |
| Angreifer-in-the-Middle | Offline | Premium | attackerinTheMiddle |
| Kompromittierte Anmeldeinformationen | Offline | Nicht-Premium | leakedCredentials |
| Threat Intelligence von Microsoft Entra (Benutzende) | Echtzeit oder offline | Nicht-Premium | investigationsThreatIntelligence |
| Möglicher Versuch, auf primäres Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen | Offline | Premium | attemptedPrtAccess |
| Verdächtiger API-Datenverkehr | Offline | Premium | suspiciousAPITraffic |
| Verdächtiges Senden von Mustern | Offline | Premium | suspiciousSendingPatterns |
| Der Benutzer hat verdächtige Aktivitäten gemeldet | Offline | Premium | userReportedSuspiciousActivity |
Premium-Erkennungen
Die folgenden Premium-Erkennungen sind nur für Microsoft Entra ID P2-Kund*innen sichtbar.
Premium-Erkennungen bei Anmelderisiken
Aktivität über anonyme IP-Adresse
Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung stellt fest, ob Benutzende eine IP-Adresse verwendet haben, die als anonyme Proxy-IP-Adresse identifiziert wurde.
Anomales Token
In Echtzeit oder offline berechnet. Diese Erkennung weist darauf hin, dass das Token ungewöhnliche Merkmale aufweist, z. B. eine ungewöhnliche Tokenlebensdauer oder ein Token, das von einem unbekannten Ort aus ausgeführt wurde. Diese Erkennung deckt Sitzungstoken und Aktualisierungstoken ab.
Ein anomales Token wird optimiert, um mehr Rauschen als andere Erkennungen auf derselben Risikostufe zu generieren. Dieser Kompromiss wird gewählt, um die Wahrscheinlichkeit zu erhöhen, dass wiedergegebene Token erkannt werden, die andernfalls möglicherweise unbemerkt bleiben. Es gibt eine erhöhte Wahrscheinlichkeit, dass einige der von dieser Erkennung gekennzeichneten Sitzungen False Positive-Ergebnisse sind. Wir empfehlen, die von dieser Erkennung gekennzeichneten Sitzungen im Kontext anderer Anmeldungen des Benutzers zu untersuchen. Wenn der Standort, die Anwendung, die IP-Adresse, der Benutzer-Agent oder andere Merkmale für die Benutzenden ungewöhnlich sind, sollte das Mandantenadministratorteam dieses Risiko als Indikator für eine potenzielle Tokenwiederverwendung betrachten.
Ungewöhnlicher Ortswechsel
Offline berechnet. Mit diesem Risikoerkennungstyp werden zwei Anmeldungen identifiziert, die von weit entfernten Orten durchgeführt wurden und bei denen mindestens einer der Orte aufgrund des bisherigen Verhaltens atypisch für eine Benutzer*in sein kann. Der Algorithmus berücksichtigt mehrere Faktoren wie etwa die Zeit zwischen zwei Anmeldungen und die Zeit, die ein*e Benutzer*in benötigen würde, um vom ersten zum zweiten Ort zu gelangen. Dieses Risiko könnte darauf hindeuten, dass ein*e anderer Benutzer*in die gleichen Anmeldeinformationen verwendet.
Bei diesem Algorithmus werden offensichtliche falsch positive Ergebnisse ignoriert, die zu den unmöglichen Ortswechselbedingungen beitragen. Hierzu zählen etwa VPNs und regelmäßig von anderen Benutzern der Organisation verwendete Standorte. Das System verfügt über einen anfänglichen Lernzeitraum von 14 Tagen oder 10 Anmeldungen (je nachdem, welcher Punkt früher erreicht wird), in dem das Anmeldeverhalten des neuen Benutzers erlernt wird.
Unmöglicher Ortswechsel
Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Es wurden zwei Benutzeraktivitäten (in einer einzelnen Sitzung oder in mehreren Sitzungen) festgestellt, die von unterschiedlichen geografischen Standorten stammen und in einem Zeitraum liegen, der kürzer ist als die Zeit, die Benutzende benötigen, um von dem einen Ort zum anderen zu gelangen. Dieses Risiko könnte darauf hindeuten, dass ein*e anderer Benutzer*in die gleichen Anmeldeinformationen verwendet.
Schädliche IP-Adresse
Offline berechnet. Diese Erkennung gibt eine Anmeldung über eine schädliche IP-Adresse an. Eine IP-Adresse wird wegen hoher Fehlerraten aufgrund von ungültige Anmeldeinformationen, die von der IP-Adresse oder anderen IP-Zuverlässigkeitsquellen empfangen wurden, als schädlich eingestuft.
Massenzugriff auf vertrauliche Dateien
Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn Benutzende auf mehrere Dateien von Microsoft SharePoint Online oder Microsoft OneDrive zugreifen. Eine Warnung wird nur ausgelöst, wenn die Anzahl der abgerufenen Dateien für die Benutzenden ungewöhnlich ist und die Dateien vertrauliche Informationen enthalten könnten.
Neues Land/neue Region
Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Bei dieser Erkennungsmethode werden anhand von in der Vergangenheit verwendeten Aktivitätsstandorten neue und selten verwendete Standorte ermittelt. Die Anomalieerkennungsengine speichert Informationen zu Standorten, die Benutzer der Organisation in der Vergangenheit verwendet haben.
Kennwortspray
Offline berechnet. Bei einem Kennwortspray-Angriff werden mehrere Benutzernamen unter Verwendung gängiger Kennwörter im Rahmen eines koordinierten Brute-Force-Angriffs angegriffen, um nicht autorisierten Zugriff zu erhalten. Diese Risikoerkennung wird ausgelöst, wenn ein Kennwortsprayangriff erfolgt ist. Der Angreifer wird beispielsweise in der erkannten Instanz erfolgreich authentifiziert.
Verdächtiger Browser
Offline berechnet. Die Erkennung „Verdächtiger Browser“ weist auf ein anomales Verhalten hin, das auf verdächtigen Anmeldeaktivitäten mehrerer Mandanten aus verschiedenen Ländern im selben Browser beruht.
Verdächtige Weiterleitung des Posteingangs
Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Durch diese Erkennungsmethode werden verdächtige Regeln zur E-Mail-Weiterleitung erkannt. Hierzu gehört beispielsweise die Erstellung einer Posteingangsregel, die eine Kopie aller E-Mails an eine externe Adresse weiterleitet.
Verdächtige Regeln zur Posteingangsänderung
Offline berechnet. Diese Erkennung wird mittels von durch Microsoft Defender for Cloud-Apps bereitgestellten Informationen erkannt. Diese Erkennung erstellt ein Profil Ihrer Umgebung und löst Warnungen aus, wenn verdächtige Regeln zum Löschen oder Verschieben von Nachrichten oder Ordnern für den Posteingang eines Benutzers festgelegt werden. Diese Erkennung kann darauf hinweisen, dass ein Benutzerkonto kompromittiert ist, dass Nachrichten absichtlich ausgeblendet werden und das Postfach zum Verteilen von Spam und Schadsoftware in Ihrer Organisation verwendet wird.
Anomalie beim Tokenaussteller
Offline berechnet. Diese Risikoerkennung gibt an, dass der SAML-Tokenaussteller für das zugeordnete SAML-Token möglicherweise kompromittiert ist. Die im Token enthaltenen Ansprüche sind ungewöhnlich oder stimmen mit bekannten Angriffsmustern überein.
Ungewöhnliche Anmeldeeigenschaften
In Echtzeit berechnet. Dieser Risikoerkennungstyp betrachtet den Anmeldungsverlauf, um nach anomalen Anmeldungen zu suchen. Das System speichert Informationen zu früheren Anmeldungen und löst eine Risikoerkennung aus, wenn eine Anmeldung mit Eigenschaften auftritt, die dem Benutzer nicht vertraut sind. Zu diesen Eigenschaften zählen IP, ASN, Standort, Gerät, Browser und Mandanten-IP-Subnetz. Neu erstellte Benutzende befinden sich im „Lernmodus“, in dem die Risikoerkennung für unbekannte Anmeldeeigenschaften ausgeschaltet ist, während unsere Algorithmen das Verhalten der Benutzenden erlernen. Die Dauer des Lernmodus ist dynamisch und hängt davon ab, wie lange es dauert, bis der Algorithmus genügend Informationen über die Anmeldemuster des Benutzers gesammelt hat. Die Mindestdauer beträgt fünf Tage. Ein Benutzer kann nach einer langen Zeit der Inaktivität erneut in den Lernmodus wechseln.
Diese Erkennung wird auch für die Standardauthentifizierung (bzw. ältere Protokolle) ausgeführt. Da diese Protokolle nicht über moderne Eigenschaften wie die Client-ID verfügen, gibt es nur begrenzte Daten, um Fehlalarme zu reduzieren. Wir empfehlen unseren Kunden, auf eine moderne Authentifizierung umzusteigen.
Unbekannte Anmeldungseigenschaften können sowohl bei interaktiven als auch bei nicht-interaktiven Anmeldungen erkannt werden. Wenn diese Erkennung bei nicht-interaktiven Anmeldungen festgestellt wird, sollte sie aufgrund des Risikos von Token-Wiederholungsangriffen besonders sorgfältig geprüft werden.
Wenn Sie das Risiko „Ungewöhnliche Anmeldeeigenschaften“ auswählen, können Sie zusätzliche Informationen anzeigen, die weitere Details darüber liefern, warum dieses Risiko ausgelöst wurde.
Überprüfte Bedrohungsakteur-IP
In Echtzeit berechnet. Dieser Risikoerkennungstyp weist auf eine Anmeldeaktivität hin, die mit bekannten IP-Adressen konsistent ist, welche nationalen Zustandsakteuren oder Gruppen zur Bekämpfung der Internetkriminalität zugeordnet sind, basierend auf Daten von Microsoft Threat Intelligence Center (MSTIC).
Premium-Benutzerrisikoerkennung
Anomale Benutzeraktivität
Offline berechnet. Bei dieser Risikoerkennung wird das normale Verhalten administrativer Benutzer*innen in Microsoft Entra ID zugrunde gelegt, und es werden anomale Verhaltensmuster wie beispielsweise verdächtige Änderungen am Verzeichnis erkannt. Die Erkennung wird für den Administrator, der die Änderung vornimmt, oder für das Objekt ausgelöst, das geändert wurde.
Angreifer-in-the-Middle
Offline berechnet. Diese auch als „Man-in-the-Middle“ bezeichnete Erkennung mit hoher Genauigkeit wird ausgelöst, wenn eine Authentifizierungssitzung einem bösartigen Reverseproxy zugeordnet ist. Bei diesem Angriffstyp können Angreifende die Anmeldeinformationen von Benutzenden abfangen, einschließlich Token, die für die Benutzenden ausgestellt wurden. Das Microsoft Security Research-Team nutzt Microsoft 365 Defender, um das identifizierte Risiko zu erfassen und die Risikostufe der Benutzenden Hoch zu erhöhen. Es wird empfohlen, dass das Administratorteam die Benutzenden manuell untersucht, wenn diese Erkennung ausgelöst wird, um sicherzustellen, dass das Risiko behoben wird. Das Beheben dieses Risikos erfordert möglicherweise eine sichere Kennwortzurücksetzung oder die Sperrung bestehender Sitzungen.
Möglicher Versuch, auf primäres Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen
Offline berechnet. Dieser Risikoerkennungstyp wird mittels von durch Microsoft Defender for Endpoint (MDE) bereitgestellten Informationen erkannt. Ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) ist ein Schlüsselartefakt der Microsoft Entra-Authentifizierung auf Geräten unter Windows 10, Windows Server 2016 und höheren Versionen, iOS und Android. Ein PRT ist ein JSON Web Token (JWT), das für Microsoft-Erstanbieter-Tokenbroker ausgestellt wird, um einmaliges Anmelden (Single Sign-On, SSO) für die Anwendungen zu ermöglichen, die auf diesen Geräten verwendet werden. Angreifer können versuchen, auf diese Ressource zuzugreifen, um sich im gesamten Netzwerk zu bewegen oder Anmeldeinformationen zu stehlen. Diese Erkennung legt die Risikostufe von Benutzenden auf „Hoch“ fest. Sie wird nur in Organisationen ausgelöst, die MDE bereitgestellt haben. Diese Erkennung stellt ein hohes Risiko dar, für das eine umgehende Behebung der zugehörigen Benutzenden empfohlen wird. Sie tritt aufgrund seines geringen Volumens in den meisten Organisationen nur selten auf.
Verdächtiger API-Datenverkehr
Offline berechnet. Diese Risikoerkennung wird gemeldet, wenn ungewöhnlicher Graph-Datenverkehr oder eine ungewöhnliche Verzeichnisenumeration erkannt wird. Verdächtiger API-Datenverkehr kann darauf hindeuten, dass Benutzende kompromittiert wurden und Aufklärung in ihren Umgebungen durchführen.
Verdächtiges Senden von Mustern
Offline berechnet. Dieser Risikoerkennungstyp wird mithilfe von durch Microsoft Defender for Office 365 (MDO) bereitgestellten Informationen erkannt. Diese Warnung wird generiert, wenn jemand in Ihrer Organisation verdächtige E-Mails gesendet hat und entweder als riskant eingestuft ist oder keine E-Mails senden darf. Diese Erkennung stuft das Risiko von Benutzenden als „Mittel“ ein. Sie wird nur in Organisationen ausgelöst, die MDO bereitgestellt haben. Diese Erkennung erfolgt nur in geringem Umfang und wird in den meisten Organisationen nur selten beobachtet.
Der Benutzer hat verdächtige Aktivitäten gemeldet
Offline berechnet. Diese Risikoerkennung wird gemeldet, wenn ein Benutzer eine MFA (Multi-Faktor-Authentifizierung)-Eingabeaufforderung verweigert und dies als verdächtige Aktivität meldet. Eine MFA-Eingabeaufforderung, die nicht von Benutzer*innen initiiert wird, kann bedeuten, dass deren Anmeldeinformationen kompromittiert sind.
Nicht-Premium-Erkennungen
Kundinnen und Kunden ohne Microsoft Entra ID P2-Lizenz erhalten Erkennungen mit dem Titel Zusätzliches Risiko erkannt, aber ohne die detaillierten Informationen zur Erkennung, die mit P2-Lizenzen verfügbar sind. Weitere Informationen finden Sie unter Lizenzanforderungen.
Nicht-Premium-Erkennungen bei Anmelderisiken
Zusätzliches Risiko erkannt (Anmeldung)
In Echtzeit oder offline berechnet. Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Kundinnen und Kunden mit Microsoft Entra ID P2-Lizenz sichtbar sind, werden sie für Kundinnen und Kunden ohne Microsoft Entra ID P2-Lizenz als Zusätzliches Risiko erkannt bezeichnet.
Benutzergefährdung durch Administrator bestätigt
Offline berechnet. Diese Erkennung gibt an, dass das Administratorteam auf der Benutzeroberfläche für Risikobenutzende oder mithilfe der riskyUsers-API die Option Benutzergefährdung bestätigen ausgewählt hat. Überprüfen Sie den Risikoverlauf der Benutzenden (auf der Benutzeroberfläche oder über die API), um zu überprüfen, welcher Administrator oder welche Administratorin diese Benutzergefährdung bestätigt hat.
Anonyme IP-Adresse
In Echtzeit berechnet. Dieser Risikoerkennungstyp gibt Anmeldungen über eine anonyme IP-Adresse (z.B. Tor-Browser oder ein anonymisiertes VPN) an. Diese IP-Adressen werden in der Regel von Akteuren verwendet, die ihre Anmeldetelemetrie (IP-Adresse, Standort, Gerät usw.) für mögliche böswillige Absichten verbergen wollen.
Threat Intelligence von Microsoft Entra (Anmeldung)
In Echtzeit oder offline berechnet. Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den angegebenen Benutzer ungewöhnlich sind oder bekannten Angriffsmustern entsprechen. Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert.
Nicht-Premium-Benutzerrisikoerkennung
Zusätzliches Risiko erkannt (Benutzer)
In Echtzeit oder offline berechnet. Diese Erkennung gibt an, dass eine der Premium-Erkennungen erkannt wurde. Da die Premium-Erkennungen nur für Kundinnen und Kunden mit Microsoft Entra ID P2-Lizenz sichtbar sind, werden sie für Kundinnen und Kunden ohne Microsoft Entra ID P2-Lizenz als Zusätzliches Risiko erkannt bezeichnet.
Kompromittierte Anmeldeinformationen
Offline berechnet. Dieser Risikoerkennungstyp gibt an, dass die gültigen Anmeldeinformationen der Benutzenden kompromittiert wurden. Wenn Cyberkriminelle gültige Passwörter von rechtmäßigen Nutzern kompromittieren, geben sie diese gesammelten Anmeldeinformationen oft weiter. Diese Freigabe erfolgt in der Regel durch eine Veröffentlichung im Darknet oder auf Paste Sites oder durch den Handel und Verkauf der Anmeldeinformationen auf dem Schwarzmarkt. Wenn der Microsoft-Dienst für durchgesickerte Anmeldedaten Benutzeranmeldedaten aus dem Dark Web, von Paste-Sites oder anderen Quellen erhält, werden diese mit den aktuellen gültigen Anmeldedaten der Microsoft Entra-Benutzer abgeglichen, um gültige Übereinstimmungen zu finden. Weitere Informationen zu kompromittierten Anmeldeinformationen finden Sie unter Häufig gestellte Fragen.
Threat Intelligence von Microsoft Entra (Benutzer*in)
Offline berechnet. Dieser Risikoerkennungstyp weist auf Benutzeraktivitäten hin, die für den angegebenen Benutzer ungewöhnlich sind oder bekannten Angriffsmustern entsprechen. Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert.
Häufig gestellte Fragen
Was geschieht, wenn eine Anmeldung mit falschen Anmeldeinformationen versucht wird?
ID Protection generiert nur dann Risikoerkennungen, wenn die richtigen Anmeldeinformationen verwendet werden. Wenn bei der Anmeldung falsche Anmeldeinformationen verwendet werden, stellt dies kein Risiko durch eine Gefährdung der Anmeldeinformationen dar.
Ist die Kennwort-Hashsynchronisierung erforderlich?
Damit Risiken wie kompromittierte Anmeldeinformationen erkannt werden können, müssen Kennworthashes vorhanden sein. Weitere Informationen zur Kennworthashsynchronisierung finden Sie unter Implementieren der Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung.
Warum werden Risikoerkennungen für deaktivierte Konten generiert?
Deaktivierte Benutzerkonten können erneut aktiviert werden. Wenn die Anmeldeinformationen eines deaktivierten Kontos kompromittiert sind und das Konto erneut aktiviert wird, könnten böswillige Akteure diese Anmeldeinformationen verwenden, um Zugriff zu erhalten. ID Protection generiert Risikoerkennungen für verdächtige Aktivitäten mit diesen deaktivierten Benutzerkonten, um Kundinnen und Kunden über eine potenzielle Kontokompromittierung zu informieren. Wenn ein Konto nicht mehr verwendet und auch nicht wieder aktiviert wird, sollten Kunden erwägen, es zu löschen, um eine Kompromittierung zu verhindern. Für gelöschte Konten werden keine Risikoerkennungen generiert.
Häufig gestellte Fragen zu kompromittierten Anmeldeinformationen
Wo findet Microsoft kompromittierte Anmeldeinformationen?
Microsoft findet kompromittierte Anmeldeinformationen an verschiedenen Stellen. Dazu zählen:
- Öffentliche Einfügewebsites, auf denen böswillige Akteure in der Regel solche Materialien veröffentlichen
- Strafverfolgungsbehörden.
- Andere Gruppen bei Microsoft, die das Darknet durchforsten.
Warum sehe ich keine kompromittierten Anmeldeinformationen?
Kompromittierte Anmeldeinformationen werden jedes Mal, wenn Microsoft einen neuen, öffentlich verfügbaren Batch findet, verarbeitet. Angesichts der Sensibilität der Daten werden die kompromittierten Anmeldeinformationen kurz nach der Verarbeitung gelöscht. Nur neue kompromittierte Anmeldeinformationen, die nach der Aktivierung der Kennwort-Hashsynchronisierung (Password Hash Synchronization, PHS) gefunden wurden, werden für Ihren Mandanten verarbeitet. Eine Überprüfung anhand zuvor gefundener Anmeldeinformationspaare erfolgt nicht.
Es werden keine Risikoereignisse für Anmeldeinformationen angezeigt
Wenn Ihnen keine Risikoereignisse zu kompromittierten Anmeldeinformationen angezeigt werden, kann das folgende Ursachen haben:
- Sie haben keine Kennworthashsynchronisierung für Ihren Mandanten aktiviert.
- Microsoft hat keine kompromittierten Anmeldeinformationspaare gefunden, die Ihren Benutzenden entsprechen.
Wie oft verarbeitet Microsoft neue Anmeldeinformationen?
Anmeldeinformationen werden sofort nach ihrer Erkennung verarbeitet, in der Regel in mehreren Batches pro Tag.
Standorte
Der Standort bei Risikoermittlungen wird mithilfe der IP-Adressensuche bestimmt. Die Anmeldung von vertrauenswürdigen benannten Standorten verbessert die Genauigkeit der Risikoberechnung von Microsoft Entra ID Protection. Außerdem wird das Anmelderisiko von Benutzenden verringert, wenn sie sich von einem als vertrauenswürdig gekennzeichneten Standort aus authentifizieren.