Mik azok a kockázatészlelések?
Microsoft Entra ID-védelem biztosít a szervezeteknek információkat a bérlőjük gyanús tevékenységeiről, és lehetővé teszik számukra, hogy gyorsan válaszoljanak a további kockázatok elkerülése érdekében. A kockázatészlelés egy hatékony erőforrás, amely tartalmazhat bármilyen gyanús vagy rendellenes tevékenységet, amely egy felhasználói fiókhoz kapcsolódik a címtárban. Az ID Protection kockázatészlelései összekapcsolhatók egy adott felhasználóval vagy bejelentkezési eseménysel, és hozzájárulhatnak a kockázatos felhasználók jelentésében található általános felhasználói kockázati pontszámhoz.
A felhasználói kockázatészlelések veszélynek jelölhetnek meg egy jogos felhasználói fiókot, ha egy potenciális fenyegetést jelentő szereplő a hitelesítő adataik veszélyeztetésével vagy valamilyen rendellenes felhasználói tevékenység észlelésekor hozzáférést kap egy fiókhoz. A bejelentkezési kockázatészlelések annak valószínűségét jelzik, hogy egy adott hitelesítési kérelem nem a fiók jogosult tulajdonosa. A felhasználó és a bejelentkezési szint kockázatának azonosítása kritikus fontosságú ahhoz, hogy az ügyfelek biztonságban tudják bérlőjüket.
Kockázati szintek
Az ID Protection három szintre kategorizálja a kockázatokat: alacsony, közepes és magas. A gépi tanulási algoritmusok által kiszámított kockázati szintek azt jelzik, hogy a Microsoft mennyire biztos abban, hogy egy vagy több felhasználó hitelesítő adatait egy jogosulatlan entitás ismeri.
- A magas kockázati szintű kockázatészlelés azt jelzi, hogy a Microsoft nagyon biztos abban, hogy a fiók biztonsága sérül.
- Az alacsony kockázati szintű kockázatészlelés azt jelzi, hogy a bejelentkezésben vagy a felhasználó hitelesítő adataiban vannak rendellenességek, de kevésbé biztosak vagyunk abban, hogy ezek az anomáliák azt jelentik, hogy a fiók biztonsága sérül.
Számos észlelés több kockázati szintnél is aktiválható az észlelt anomáliák számától vagy súlyosságától függően. Előfordulhat például, hogy a nem ismert bejelentkezési tulajdonságok magas, közepes vagy alacsony értéken aktiválhatók a jelek megbízhatósága alapján. Egyes észlelések, például a kiszivárgott hitelesítő adatok és az ellenőrzött fenyegetéskezelő IP-címe mindig magas kockázattal járnak.
Ez a kockázati szint fontos, amikor eldönti, hogy mely észlelések rangsorolnak, vizsgálnak és szervizelnek. Emellett kulcsszerepet játszanak a kockázatalapú feltételes hozzáférési szabályzatok konfigurálásában is, mivel minden szabályzat beállítható úgy, hogy alacsony, közepes, magas vagy nem észlelhető kockázat esetén aktiválhatók legyenek. A szervezet kockázattűrése alapján olyan szabályzatokat hozhat létre, amelyek MFA-t vagy jelszó-visszaállítást igényelnek, ha az ID Protection egy bizonyos kockázati szintet észlel az egyik felhasználó számára. Ezek a szabályzatok segíthetnek a felhasználónak a kockázat önjavításában.
Fontos
Az összes "alacsony" kockázati szint észlelése és a felhasználók 6 hónapig megmaradnak a termékben, majd automatikusan kiöregednek, hogy tisztább vizsgálati élményt nyújtsanak. A közepes és a magas kockázati szintek mindaddig megmaradnak, amíg a szervizelés vagy a megszüntetés meg nem szűnik.
A szervezet kockázattűrése alapján olyan szabályzatokat hozhat létre, amelyek MFA-t vagy jelszó-visszaállítást igényelnek, amikor az ID Protection észlel egy bizonyos kockázati szintet. Ezek a szabályzatok útmutatást adhatnak a felhasználó számára a kockázat önjavításához és a kockázat vagy a blokk megoldásához a tűréshatároktól függően.
Valós idejű és offline észlelések
Az ID Protection technikákkal növeli a felhasználói és bejelentkezési kockázatészlelések pontosságát azáltal, hogy a hitelesítés után valós időben vagy offline állapotban kiszámít bizonyos kockázatokat. A kockázat valós időben történő észlelése bejelentkezéskor azzal az előnnyel jár, hogy a kockázat korai azonosítása lehetővé teszi, hogy az ügyfelek gyorsan kivizsgálhassák a potenciális kompromisszumot. Az offline kockázattal számoló észleléseken részletesebb betekintést nyerhetnek abba, hogy a fenyegetést okozó hogyan fért hozzá a fiókhoz, és milyen hatással van a jogos felhasználóra. Egyes észlelések offline és bejelentkezés közben is aktiválhatók, ami növeli a kompromisszum pontossága iránti bizalmat.
A valós időben aktivált észlelések feltárása 5–10 percet vesz igénybe. Az offline észlelések akár 48 órát is igénybe vesznek a jelentésekben, mivel időbe telik a lehetséges kockázat tulajdonságainak kiértékelése.
Feljegyzés
Rendszerünk észlelheti, hogy a kockázati felhasználói kockázati pontszámhoz hozzájáruló kockázati esemény a következő volt:
- Hamis pozitív
- A felhasználói kockázatot a szabályzat az alábbiak szerint orvosolta:
- Többtényezős hitelesítés befejezése
- Jelszó biztonságos módosítása
Rendszerünk elutasítja a kockázati állapotot, és az AI által megerősített bejelentkezési széf kockázati részletei megjelennek, és a továbbiakban nem járulnak hozzá a felhasználó általános kockázatához.
A riskEventType-ra leképezett kockázatészlelések
| Kockázatészlelés | Észlelés típusa | Típus | riskEventType |
|---|---|---|---|
| Bejelentkezési kockázatészlelések | |||
| Tevékenység névtelen IP-címről | nem elérhető | Prémium | riskyIPAddress |
| További kockázat észlelhető (bejelentkezés) | Valós idejű vagy offline | Nemprémium | generic = Premium detection classification for non-P2 tenants |
| Rendszergazda megerősítette, hogy a felhasználó sérült | nem elérhető | Nemprémium | adminConfirmedUserCompromised |
| Rendellenes jogkivonat | Valós idejű vagy offline | Prémium | anomalousToken |
| Névtelen IP-cím | Valós idejű | Nemprémium | anonymizedIPAddress |
| Atipikus utazás | nem elérhető | Prémium | valószínűtlenTravel |
| Lehetetlen utazás | nem elérhető | Prémium | mcasImpossibleTravel |
| Rosszindulatú IP-cím | nem elérhető | Prémium | rosszindulatúIPAddress |
| Bizalmas fájlok tömeges elérése | nem elérhető | Prémium | mcasFinSuspiciousFileAccess |
| Microsoft Entra fenyegetésfelderítés (bejelentkezés) | Valós idejű vagy offline | Nemprémium | investigationsThreatIntelligence |
| Új ország | nem elérhető | Prémium | newCountry |
| Jelszó spray | nem elérhető | Prémium | passwordSpray |
| Gyanús böngésző | nem elérhető | Prémium | suspiciousBrowser |
| Gyanús beérkezett üzenetek továbbítása | nem elérhető | Prémium | suspiciousInboxForwarding |
| Gyanús beérkezett üzenetek kezelésének szabályai | nem elérhető | Prémium | mcasSuspiciousInboxManipulationRules |
| Tokenkibocsátó anomáliája | nem elérhető | Prémium | tokenIssuerAnomaly |
| Ismeretlen bejelentkezési tulajdonságok | Valós idejű | Prémium | unfamiliarFeatures |
| Ellenőrzött fenyegetés-szereplő IP-címe | Valós idejű | Prémium | nationStateIP |
| Felhasználói kockázatészlelések | |||
| További kockázat észlelhető (felhasználó) | Valós idejű vagy offline | Nemprémium | generic = Premium detection classification for non-P2 tenants |
| Rendellenes felhasználói tevékenység | nem elérhető | Prémium | anomalousUserActivity |
| Támadó középen | nem elérhető | Prémium | attackerinTheMiddle |
| Kiszivárgott hitelesítő adatok | nem elérhető | Nemprémium | kiszivárgott hitelesítő adatok |
| Microsoft Entra fenyegetésfelderítés (felhasználó) | Valós idejű vagy offline | Nemprémium | investigationsThreatIntelligence |
| Az elsődleges frissítési jogkivonat (PRT) elérésének lehetséges kísérlete | nem elérhető | Prémium | attemptedPrtAccess |
| Gyanús API-forgalom | nem elérhető | Prémium | suspiciousAPITraffic |
| Gyanús küldési minták | nem elérhető | Prémium | suspiciousSendingPatterns |
| A felhasználó gyanús tevékenységről számolt be | nem elérhető | Prémium | userReportedSuspiciousActivity |
Prémium szintű észlelések
Az alábbi prémium szintű észlelések csak a Microsoft Entra ID P2-ügyfelek számára láthatók.
Prémium szintű bejelentkezési kockázatészlelések
Tevékenység névtelen IP-címről
Offline számítás. Ezt az észlelést az Felhőhöz készült Microsoft Defender Apps által biztosított információk alapján derítik fel. Ez az észlelés azt azonosítja, hogy a felhasználók egy névtelen proxy IP-címként azonosított IP-címről voltak aktívak.
Rendellenes jogkivonat
Valós időben vagy offline állapotban számítva. Ez az észlelés rendellenes jellemzőket jelez a jogkivonatban, például szokatlan élettartamot vagy ismeretlen helyről lejátszott jogkivonatot. Ez az észlelés a munkamenet-jogkivonatokra és a frissítési jogkivonatokra vonatkozik.
A rendellenes jogkivonat úgy van hangolva, hogy több zajt okoz, mint az azonos kockázati szinten lévő többi észlelés. Ez a kompromisszum úgy van kiválasztva, hogy növelje annak a valószínűségét, hogy olyan visszajátszott jogkivonatokat észleljen, amelyek egyébként észrevétlenek lehetnek. A normálnál nagyobb az esélye annak, hogy az észlelés által megjelölt munkamenetek egy része hamis pozitív. Javasoljuk, hogy vizsgálja meg az észlelés által megjelölt munkameneteket a felhasználó egyéb bejelentkezéseinek kontextusában. Ha a hely, az alkalmazás, az IP-cím, a felhasználói ügynök vagy más jellemzők váratlanok a felhasználó számára, a rendszergazdának ezt a kockázatot a lehetséges token-visszajátszás jeleként kell figyelembe vennie.
Szokatlan utazás
Offline számítás. Ez a kockázatészlelési típus két, földrajzilag távoli helyről származó bejelentkezést azonosít, ahol a korábbi viselkedés miatt legalább az egyik hely atipikus lehet a felhasználó számára. Az algoritmus több tényezőt is figyelembe vesz, beleértve a két bejelentkezés közötti időt és azt az időt, ahová a felhasználó az első helyről a másodikra utazik. Ez a kockázat azt jelezheti, hogy egy másik felhasználó ugyanazt a hitelesítő adatokat használja.
Az algoritmus figyelmen kívül hagyja a nyilvánvaló "hamis pozitív" tényezőket, amelyek hozzájárulnak a lehetetlen utazási feltételekhez, például a VPN-ekhez és a szervezet más felhasználói által rendszeresen használt helyekhez. A rendszer kezdeti tanulási időszaka legkorábban 14 nap vagy 10 bejelentkezés, amely során megtanulja az új felhasználó bejelentkezési viselkedését.
Lehetetlen utazás
Offline számítás. Ezt az észlelést az Felhőhöz készült Microsoft Defender Apps által biztosított információk alapján derítik fel. Ez az észlelés azonosítja a földrajzilag távoli helyekről származó felhasználói tevékenységeket (egy vagy több munkamenetben) az első helyről a másodikra való utazáshoz szükséges időnél rövidebb időtartamon belül. Ez a kockázat azt jelezheti, hogy egy másik felhasználó ugyanazt a hitelesítő adatokat használja.
Rosszindulatú IP-cím
Offline számítás. Ez az észlelés rosszindulatú IP-címről való bejelentkezést jelez. Az IP-címek a magas hibaarányok alapján rosszindulatúnak minősülnek, mert az IP-címről vagy más IP-hírforrásokból kapott hitelesítő adatok érvénytelenek.
Bizalmas fájlok tömeges elérése
Offline számítás. Ezt az észlelést az Felhőhöz készült Microsoft Defender Apps által biztosított információk alapján derítik fel. Ez az észlelés megvizsgálja a környezetet, és riasztásokat aktivál, amikor a felhasználók több fájlt érnek el Microsoft Office SharePoint Online vagy a Microsoft OneDrive-ról. A riasztás csak akkor aktiválódik, ha a felhasználó számára nem gyakori a megnyitott fájlok száma, és a fájlok bizalmas információkat tartalmazhatnak.
Új ország
Offline számítás. Ezt az észlelést az Felhőhöz készült Microsoft Defender Apps által biztosított információk alapján derítik fel. Ez az észlelés figyelembe veszi a korábbi tevékenységi helyeket az új és ritka helyek meghatározásához. Az anomáliadetektálási motor információkat tárol a szervezet felhasználói által használt korábbi helyekről.
Jelszó spray
Offline számítás. A jelszóspray-támadás során több felhasználónevet is megtámadnak közös jelszavak használatával, egységes találgatásos módon, hogy jogosulatlan hozzáféréshez jussanak. Ez a kockázatészlelés jelszópermet-támadás végrehajtásakor aktiválódik. A támadó például sikeresen hitelesítve van az észlelt példányban.
Gyanús böngésző
Offline számítás. A gyanús böngészőészlelés rendellenes viselkedést jelez, amely gyanús bejelentkezési tevékenységen alapul az ugyanazon böngészőben található különböző országok több bérlőjén.
Gyanús beérkezett üzenetek továbbítása
Offline számítás. Ezt az észlelést az Felhőhöz készült Microsoft Defender Apps által biztosított információk alapján derítik fel. Ez az észlelés gyanús e-mail-továbbítási szabályokat keres, például ha egy felhasználó létrehozott egy levelezési szabályt, amely az összes e-mail másolatát továbbítja egy külső címre.
Gyanús beérkezett üzenetek kezelésének szabályai
Offline számítás. Ezt az észlelést az Felhőhöz készült Microsoft Defender Apps által biztosított információk alapján derítik fel. Ez az észlelés megvizsgálja a környezetet, és riasztásokat aktivál, ha az üzeneteket vagy mappákat törlő vagy áthelyező gyanús szabályok be vannak állítva a felhasználó postaládájába. Ez az észlelés azt jelezheti, hogy a felhasználó fiókja sérült, az üzenetek szándékosan el vannak rejtve, és a postaládát a levélszemét vagy kártevők terjesztésére használják a szervezetben.
Tokenkibocsátó anomáliája
Offline számítás. Ez a kockázatészlelés azt jelzi, hogy a társított SAML-jogkivonat SAML-jogkivonat-kiállítója potenciálisan sérült. A jogkivonatban szereplő jogcímek szokatlanok, vagy megfelelnek az ismert támadói mintáknak.
Szokatlan bejelentkezési tulajdonságok
Valós időben kiszámítva. Ez a kockázatészlelési típus úgy véli, hogy a korábbi bejelentkezések előzményei rendellenes bejelentkezéseket keresnek. A rendszer tárolja a korábbi bejelentkezésekkel kapcsolatos információkat, és kockázatészlelést indít el, ha a bejelentkezés olyan tulajdonságokkal történik, amelyek nem ismertek a felhasználó számára. Ezek a tulajdonságok tartalmazhatnak IP-címet, ASN-t, helyet, eszközt, böngészőt és bérlői IP-alhálózatot. Az újonnan létrehozott felhasználók olyan "tanulási módban" vannak, ahol a nem ismert bejelentkezési tulajdonságok kockázatészlelése ki van kapcsolva, miközben az algoritmusaink megtanulják a felhasználó viselkedését. A tanulási mód időtartama dinamikus, és attól függ, hogy az algoritmus mennyi időt vesz igénybe ahhoz, hogy elegendő információt gyűjtsön a felhasználó bejelentkezési mintáiról. A minimális időtartam öt nap. A felhasználó hosszú inaktivitás után visszatérhet a tanulási módba.
Ezt az észlelést az alapszintű hitelesítéshez (vagy örökölt protokollokhoz) is futtatjuk. Mivel ezek a protokollok nem rendelkeznek modern tulajdonságokkal, például ügyfélazonosítóval, korlátozott adatokkal csökkenthetők a hamis pozitív értékek. Javasoljuk ügyfeleinknek, hogy térjenek át a modern hitelesítésre.
Az ismeretlen bejelentkezési tulajdonságok az interaktív és a nem interaktív bejelentkezéseken egyaránt észlelhetők. Ha ezt az észlelést nem interaktív bejelentkezések esetén észleli, akkor fokozott ellenőrzést érdemel a token-visszajátszási támadások kockázata miatt.
Egy ismeretlen bejelentkezési tulajdonság kockázatának kiválasztásával további információkat jeleníthet meg a kockázat kiváltó okáról.
Ellenőrzött fenyegetés-szereplő IP-címe
Valós időben kiszámítva. Ez a kockázatészlelési típus olyan bejelentkezési tevékenységet jelez, amely a Microsoft Threat Intelligence Center (MSTIC) adatai alapján összhangban áll a nemzetállami szereplőkkel vagy a kiberbűnözési csoportokkal társított ismert IP-címekkel.
Prémium szintű felhasználói kockázatészlelések
Rendellenes felhasználói tevékenység
Offline számítás. Ez a kockázatészlelés alapkonfigurációja a rendszergazdai felhasználók szokásos viselkedésének a Microsoft Entra-azonosítóban, és rendellenes viselkedésmintákat, például gyanús változásokat észlel a címtárban. Az észlelés a módosítást kezdeményező rendszergazda vagy a módosított objektum ellen aktiválódik.
Támadó középen
Offline számítás. A középen támadóként is ismert nagy pontosságú észlelés akkor aktiválódik, ha egy hitelesítési munkamenet rosszindulatú fordított proxyhoz van csatolva. Ilyen típusú támadás esetén a támadó elfoghatja a felhasználó hitelesítő adatait, beleértve a felhasználónak kibocsátott jogkivonatokat is. A Microsoft Security Research csapata a Microsoft 365 Defender használatával rögzíti az azonosított kockázatot, és magas kockázatúra emeli a felhasználót. Javasoljuk, hogy a rendszergazdák manuálisan vizsgálják meg a felhasználót, amikor az észlelés aktiválódik, hogy a kockázat ki legyen ürítve. A kockázat megszüntetéséhez biztonságos jelszó-visszaállításra vagy a meglévő munkamenetek visszavonására lehet szükség.
Az elsődleges frissítési jogkivonat (PRT) elérésének lehetséges kísérlete
Offline számítás. Ezt a kockázatészlelési típust a Végponthoz készült Microsoft Defender (MDE) által biztosított információk alapján deríti fel a rendszer. Az elsődleges frissítési jogkivonat (PRT) a Microsoft Entra-hitelesítés kulcsösszetevője Windows 10, Windows Server 2016 és újabb verziók, iOS és Android rendszerű eszközökön. A PRT egy JSON webes jogkivonat (JWT), amelyet a Microsoft belső jogkivonat-közvetítőinek bocsátanak ki, hogy lehetővé tegyék az egyszeri bejelentkezést (SSO) az ezeken az eszközökön használt alkalmazásokon. A támadók megpróbálhatják elérni ezt az erőforrást, hogy később áthelyeződjenek egy szervezetbe, vagy hitelesítő adatokat lopjanak el. Ez az észlelés magas kockázatúra helyezi át a felhasználókat, és csak az MDE-t üzembe helyező szervezetekben aktiválódik. Ez az észlelés nagy kockázattal jár, ezért javasoljuk, hogy azonnal szervizelje ezeket a felhasználókat. A legtöbb szervezetben ritkán jelenik meg, mivel alacsony a mennyisége.
Gyanús API-forgalom
Offline számítás. Ezt a kockázatészlelést akkor jelenti a rendszer, ha rendellenes GraphAPI-forgalmat vagy címtár-számbavételt figyel meg. A gyanús API-forgalom arra utalhat, hogy a felhasználó megsérül, és felderítést végez a környezetben.
Gyanús küldési minták
Offline számítás. Ezt a kockázatészlelési típust a Office 365-höz készült Microsoft Defender (MDO) által biztosított információk alapján deríti fel a rendszer. Ez a riasztás akkor jön létre, ha a szervezet egyik tagja gyanús e-mailt küldött, és fennáll annak a veszélye, hogy valaki e-mailt küld, vagy korlátozva van az e-mailek küldésében. Ez az észlelés közepes kockázatúra helyezi át a felhasználókat, és csak az MDO-t üzembe helyező szervezetekben aktiválódik. Ez az észlelés alacsony kötetű, és ritkán látható a legtöbb szervezetben.
A felhasználó gyanús tevékenységről számolt be
Offline számítás. Ez a kockázatészlelés akkor jelenik meg, ha egy felhasználó tagad egy többtényezős hitelesítést (MFA), és gyanús tevékenységként jelenti be. A felhasználó által nem kezdeményezett MFA-kérések azt jelenthetik, hogy a hitelesítő adataik sérülnek.
Nemprémium-észlelések
A Microsoft Entra ID P2-licenccel nem rendelkező ügyfelek a P2-licenccel rendelkező ügyfelek észlelése nélkül észlelik a további kockázatokat . További információkért tekintse meg a licenckövetelményeket.
Nemprémium bejelentkezési kockázatészlelések
További kockázat észlelhető (bejelentkezés)
Valós időben vagy offline állapotban számítva. Ez az észlelés azt jelzi, hogy a rendszer az egyik prémium szintű észlelést észlelte. Mivel a prémium észlelések csak a Microsoft Entra ID P2-ügyfelek számára láthatók, a Microsoft Entra ID P2-licenccel nem rendelkező ügyfeleknél további kockázattal rendelkeznek .
Rendszergazda megerősítette, hogy a felhasználó sérült
Offline számítás. Ez az észlelés azt jelzi, hogy egy rendszergazda kiválasztotta a Kockázatos felhasználók felhasználói felületén vagy a RiskyUsers API használatával végzett biztonsági rés megerősítését. Ha ellenőrizni szeretné, hogy melyik rendszergazda megerősítette a felhasználó biztonságát, ellenőrizze a felhasználó kockázati előzményeit (felhasználói felületen vagy API-n keresztül).
Névtelen IP-cím
Valós időben kiszámítva. Ez a kockázatészlelési típus névtelen IP-címről (például Tor böngészőből vagy névtelen VPN-ből) érkező bejelentkezéseket jelez. Ezeket az IP-címeket általában olyan szereplők használják, akik el szeretnék rejteni bejelentkezési adataikat (IP-cím, hely, eszköz stb.) a potenciálisan rosszindulatú szándék érdekében.
Microsoft Entra fenyegetésfelderítés (bejelentkezés)
Valós időben vagy offline állapotban számítva. Ez a kockázatészlelési típus a felhasználó számára szokatlan vagy ismert támadási mintákkal konzisztens felhasználói tevékenységet jelez. Ez az észlelés a Microsoft belső és külső fenyegetésfelderítési forrásain alapul.
Nemprémium felhasználói kockázatészlelések
További kockázat észlelhető (felhasználó)
Valós időben vagy offline állapotban számítva. Ez az észlelés azt jelzi, hogy a rendszer az egyik prémium szintű észlelést észlelte. Mivel a prémium észlelések csak a Microsoft Entra ID P2-ügyfelek számára láthatók, a Microsoft Entra ID P2-licenccel nem rendelkező ügyfeleknél további kockázattal rendelkeznek .
Kiszivárgott hitelesítő adatok
Offline számítás. Ez a kockázatészlelési típus azt jelzi, hogy a felhasználó érvényes hitelesítő adatai kiszivárogtak. Amikor a kiberbűnözők feltörik a megbízható felhasználók érvényes jelszavát, gyakran megosztják ezeket az összegyűjtött hitelesítő adatokat. Ez a megosztás általában a sötét weben való nyilvános közzétételt, vagy a hitelesítő adatok feketepiaci adásvételét jelenti. Amikor a Microsoft kiszivárogtatott hitelesítő adatai a sötét webről, webhelyek beillesztéséhez vagy más forrásokhoz szereznek be felhasználói hitelesítő adatokat, a rendszer ellenőrzi őket a Microsoft Entra-felhasználók aktuális érvényes hitelesítő adataival, hogy érvényes egyezéseket találjanak. A kiszivárgott hitelesítő adatokkal kapcsolatos további információkért tekintse meg a gyakori kérdéseket.
Microsoft Entra fenyegetésfelderítés (felhasználó)
Offline számítás. Ez a kockázatészlelési típus a felhasználó számára szokatlan vagy ismert támadási mintákkal konzisztens felhasználói tevékenységet jelez. Ez az észlelés a Microsoft belső és külső fenyegetésfelderítési forrásain alapul.
Gyakori kérdések
Mi a teendő, ha helytelen hitelesítő adatokat használtak a bejelentkezéshez?
Az ID Protection csak a megfelelő hitelesítő adatok használata esetén hoz létre kockázatészleléseket. Ha helytelen hitelesítő adatokat használnak bejelentkezéskor, az nem jelenti a hitelesítő adatok sérülésének kockázatát.
Szükség van jelszókivonat-szinkronizálásra?
A kockázatészlelésekhez, például a kiszivárgott hitelesítő adatokhoz jelszókivonatok szükségesek az észleléshez. A jelszókivonat-szinkronizálásról további információt a Microsoft Entra Csatlakozás Synctel való jelszókivonat-szinkronizálás implementálása című cikkben talál.
Miért jönnek létre a kockázatészlelések a letiltott fiókokhoz?
A letiltott állapotú felhasználói fiókok újra engedélyezhetők. Ha egy letiltott fiók hitelesítő adatai sérülnek, és a fiók újra engedélyezve lesz, előfordulhat, hogy a rossz szereplők ezeket a hitelesítő adatokat használják a hozzáférés megszerzéséhez. Az ID Protection kockázatészleléseket hoz létre a letiltott fiókokra vonatkozó gyanús tevékenységekhez, hogy figyelmeztessék az ügyfeleket a fiók esetleges sérülésére. Ha egy fiók már nincs használatban, és nem engedélyezett újra, az ügyfeleknek érdemes megfontolni a törlést a biztonság elkerülése érdekében. A törölt fiókokhoz nem jön létre kockázatészlelés.
Gyakori kiszivárogtatott hitelesítő adatokkal kapcsolatos kérdések
Hol találja a Microsoft a kiszivárgott hitelesítő adatokat?
A Microsoft különböző helyeken talált kiszivárgott hitelesítő adatokat, többek között az alábbiakat:
- Nyilvános beillesztési webhelyek, ahol a rossz szereplők általában közzétenek ilyen anyagokat.
- Bűnüldöző szervek.
- A Microsoft más csoportjai sötét webes kutatást végeznek.
Miért nem látok kiszivárogtatott hitelesítő adatokat?
A kiszivárgott hitelesítő adatok akkor lesznek feldolgozva, amikor a Microsoft új, nyilvánosan elérhető köteget talál. A bizalmas természet miatt a kiszivárgott hitelesítő adatok röviddel a feldolgozás után törlődnek. A rendszer csak a jelszókivonat-szinkronizálás (PHS) engedélyezése után talált új kiszivárgott hitelesítő adatokat dolgozza fel a bérlőn. A korábban talált hitelesítőadat-párok ellenőrzése nem történik meg.
Nem látok kiszivárogtatott hitelesítőadat-kockázati eseményeket
Ha nem lát kiszivárgott hitelesítőadat-kockázati eseményeket, az a következő okokból következik be:
- Nincs engedélyezve a PHS a bérlőjéhez.
- A Microsoft nem talált kiszivárogtatott hitelesítőadat-párokat, amelyek megfelelnek a felhasználóknak.
Milyen gyakran dolgozza fel a Microsoft az új hitelesítő adatokat?
A hitelesítő adatok feldolgozása közvetlenül a megtalálásuk után történik, általában naponta több kötegben.
Helyek
A kockázatészlelések helyének meghatározása IP-címkereséssel történik. A megbízható névvel ellátott helyekről érkező bejelentkezések javítják Microsoft Entra ID-védelem kockázatszámításának pontosságát, így csökkentik a felhasználó bejelentkezési kockázatát, ha megbízhatóként megjelölt helyről végeznek hitelesítést.