Wat is risico?

Risicodetecties in Azure AD Identity Protection omvatten alle geïdentificeerde verdachte acties met betrekking tot gebruikersaccounts in de map. Risicodetecties (zowel aan de gebruiker als aanmeldgegevens gekoppeld) dragen bij aan de algehele gebruikersrisicoscore die wordt gevonden in het rapport Riskante gebruikers.

Identity Protection biedt organisaties toegang tot krachtige resources om deze verdachte acties snel te bekijken en te reageren.

Security overview showing risky users and sign-ins

Notitie

Identity Protection genereert alleen risicodetecties wanneer de juiste referenties worden gebruikt. Als er onjuiste referenties worden gebruikt bij een aanmelding, bestaat er geen risico op referentierisico's.

Risicotypen en detectie

Er kunnen risico's worden gedetecteerd op het niveau van gebruiker en aanmelding en er kunnen twee typen detectie of berekening in realtime en offline worden gedetecteerd.

Realtime-detecties worden mogelijk vijf tot tien minuten niet in rapportages gebruikt. Offlinedetecties worden mogelijk 48 uur niet in rapportages aan het werk gezet.

Notitie

Ons systeem kan detecteren dat de risicogebeurtenis die heeft bijgedragen aan de risicoscore voor gebruikers een fout-positieven is of dat het gebruikersrisico is vereengeld met beleids afdwinging, zoals het voltooien van een MFA-prompt of een veilige wachtwoordwijziging. Daarom zal ons systeem de risicotoestand en de risicodetails van 'AI-bevestigd aanmeldingsveilig' laten zien en draagt het niet langer bij aan het risico van de gebruiker.

Door de gebruiker gekoppelde detecties

Riskante activiteit kan worden gedetecteerd voor een gebruiker die niet is gekoppeld aan een specifieke schadelijke aanmelding, maar aan de gebruiker zelf.

Deze risico's worden offline berekend met behulp van de interne en externe bedreigingsinformatiebronnen van Microsoft, waaronder beveiligingsonderzoekers, advocaten, beveiligingsteams bij Microsoft en andere vertrouwde bronnen.

Risicodetectie Description
Gelekte referenties Dit type risicodetectie geeft aan dat de geldige referenties van de gebruiker zijn gelekt. Wanneer cybercriminals geldige wachtwoorden van legitieme gebruikers in gevaar brengen, delen ze deze referenties vaak. Dit delen wordt doorgaans gedaan door openbaar te plaatsen op het donkere web, sites te plakken of door de referenties op de zwarte markt te verkopen en te verkopen. Wanneer de service met gelekte referenties van Microsoft gebruikersreferenties verkrijgt van het donkere web, sites voor plakken of andere bronnen, worden deze gecontroleerd op basis van de huidige geldige referenties van Azure AD-gebruikers om geldige overeenkomsten te vinden. Zie Veelvoorkomende vragen voor meer informatie over gelekte referenties.
Azure AD-bedreigingsinformatie Dit type risicodetectie geeft aan dat gebruikersactiviteit ongebruikelijk is voor de opgegeven gebruiker of consistent is met bekende aanvalspatronen op basis van interne en externe bronnen voor bedreigingsinformatie van Microsoft.

Aanmeldingsrisico

Een aanmeldingsrisico geeft de waarschijnlijkheid aan dat een bepaalde verificatieaanvraag niet is geautoriseerd door de identiteitseigenaar.

Deze risico's kunnen in realtime worden berekend of offline worden berekend met behulp van de interne en externe bedreigingsinformatiebronnen van Microsoft, waaronder beveiligingsonderzoekers, advocaten, beveiligingsteams bij Microsoft en andere vertrouwde bronnen.

Risicodetectie Detectietype Beschrijving
Anoniem IP-adres Real-time Dit type risicodetectie duidt op aanmeldingen vanaf een anoniem IP-adres (bijvoorbeeld Tor-browser of anonieme VPN). Deze IP-adressen worden doorgaans gebruikt door actors die hun aanmeldings-telemetrie (IP-adres, locatie, apparaat, e.d.) willen verbergen voor mogelijk schadelijke intenties.
Ongewoon traject Offline Dit type risicodetectie identificeert twee aanmeldingen die afkomstig zijn van geografisch verafgelegen locaties, waarbij ten minste één van de locaties, gezien het gedrag in het verleden, ook onlogisch kan zijn voor de gebruiker. Naast verschillende andere factoren houdt dit machine learning-algoritme rekening met de tijd tussen de twee aanmeldingen en de tijd die het zou duren om de gebruiker van de eerste locatie naar de tweede te laten gaan, wat aangeeft dat een andere gebruiker dezelfde referenties gebruikt.

Het algoritme negeert duidelijke 'fout-positieven' die bijdragen aan de onmogelijke reisomstandigheden, zoals VPN's en locaties die regelmatig worden gebruikt door andere gebruikers in de organisatie. Het systeem heeft een eerste leerperiode van de vroegste van 14 dagen of 10 aanmeldingen, waarin het aanmeldingsgedrag van een nieuwe gebruiker wordt geleerd.
Afwijkende token Offline Deze detectie geeft aan dat het token abnormale kenmerken heeft, zoals een ongebruikelijke levensduur van het token of een token dat wordt afgespeeld vanaf een onbekende locatie. Deze detectie omvat sessietokens en vernieuwingstokens.
Anomalie van tokenuitgever Offline Deze risicodetectie geeft aan dat de verlener van het SAML-token voor het bijbehorende SAML-token mogelijk is aangetast. De claims die in het token zijn opgenomen, zijn ongebruikelijk of komen overeen met bekende aanvalspatronen.
Aan malware gekoppeld IP-adres Offline Dit type risicodetectie duidt op aanmeldingen van IP-adressen die zijn geïnfecteerd met malware en die actief communiceren met een botserver. Deze detectie wordt bepaald door IP-adressen van het apparaat van de gebruiker te correeren met IP-adressen die in contact waren met een botserver terwijl de botserver actief was.

Deze detectie is afgeschaft. Identity Protection genereert geen nieuwe 'Aan malware gekoppeld IP-adres'-detecties meer. Klanten die momenteel 'Aan malware gekoppeld IP-adres'-detecties in hun tenant hebben, kunnen deze nog steeds bekijken, herstellen of gesloten totdat de bewaarperiode van 90 dagen voor detectie is bereikt.
Suspicious browser (Verdachte browser) Offline De detectie van verdachte browsers duidt op afwijkende gedragingen op basis van verdachte aanmeldingsactiviteiten in meerdere tenants uit verschillende landen in dezelfde browser.
Onbekende aanmeldingseigenschappen Real-time Dit type risicodetectie kijkt naar eerdere aanmeldingsgeschiedenis (IP, breedtegraad/lengtegraad en ASN) om te zoeken naar afwijkende aanmeldingen. Het systeem slaat informatie op over eerdere locaties die door een gebruiker worden gebruikt en overweegt deze 'vertrouwde' locaties. De risicodetectie wordt geactiveerd wanneer de aanmelding plaatsvindt vanaf een locatie die nog niet in de lijst met vertrouwde locaties staat. Nieuw gemaakte gebruikers zijn een tijdje in de 'leermodus' waar onbekende detectie van aanmeldingseigenschappen risicodetecties worden uitgeschakeld terwijl onze algoritmen het gedrag van de gebruiker leren kennen. De duur van de leermodus is dynamisch en is afhankelijk van de tijd die het algoritme nodig heeft om voldoende informatie over de aanmeldingspatronen van de gebruiker te verzamelen. De minimale duur is vijf dagen. Een gebruiker kan na een lange periode van inactiviteit teruggaan naar de leermodus. Het systeem negeert ook aanmeldingen van vertrouwde apparaten en locaties die zich geografisch dicht bij een vertrouwde locatie bevinden.

We voeren deze detectie ook uit voor basisverificatie (of verouderde protocollen). Omdat deze protocollen geen moderne eigenschappen hebben, zoals client-id's, is er beperkte telemetrie om fout-positieven te verminderen. We raden onze klanten aan om over te schakelen naar moderne verificatie.

Onbekende aanmeldingseigenschappen kunnen worden gedetecteerd bij zowel interactieve als niet-interactieve aanmeldingen. Wanneer deze detectie wordt gedetecteerd bij niet-interactieve aanmeldingen, is er meer onderzoek nodig vanwege het risico op aanvallen met token opnieuw afspelen.
Door beheerder bevestigd misbruik van gebruiker Offline Deze detectie geeft aan dat een beheerder 'Gebruiker gecompromitteerd bevestigen' heeft geselecteerd in de gebruikersinterface van riskante gebruikers of met behulp van de API riskyUsers. Als u wilt zien welke beheerder heeft bevestigd dat deze gebruiker is gecompromitteerd, controleert u de risicogeschiedenis van de gebruiker (via de gebruikersinterface of API).
Schadelijk IP-adres Offline Deze detectie duidt op aanmelding vanaf een schadelijk IP-adres. Een IP-adres wordt beschouwd als kwaadwillend op basis van hoge foutpercentages vanwege ongeldige referenties die zijn ontvangen van het IP-adres of andere IP-reputatiebronnen.
Verdachte bewerkingsregels voor Postvak IN Offline Deze detectie wordt gedetecteerd door Microsoft Defender voor Cloud Apps. Deze detectie profileert uw omgeving en activeert waarschuwingen wanneer verdachte regels voor het verwijderen of verplaatsen van berichten of mappen zijn ingesteld in het Postvak IN van een gebruiker. Deze detectie kan erop wijzen dat het account van de gebruiker is aangetast, dat berichten opzettelijk worden verborgen en dat het postvak wordt gebruikt om spam of malware in uw organisatie te distribueren.
Wachtwoordspray Offline Bij een wachtwoordsprayaanval worden meerdere gebruikersnamen aangevallen met behulp van veelvoorkomende wachtwoorden op een uniforme brute force-manier om onbevoegde toegang te krijgen. Deze risicodetectie wordt geactiveerd wanneer er een wachtwoordsplakaanval is uitgevoerd.
Onmogelijk traject Offline Deze detectie wordt gedetecteerd door Microsoft Defender voor Cloud Apps. Deze detectie identificeert twee gebruikersactiviteiten (één of meerdere sessies) die afkomstig zijn van geografisch verafgelegen locaties binnen een periode die korter is dan de tijd die de gebruiker zou hebben gehad om van de eerste locatie naar de tweede te reizen, wat aangeeft dat een andere gebruiker dezelfde referenties gebruikt.
Nieuw land Offline Deze detectie wordt gedetecteerd door Microsoft Defender for Cloud Apps. Deze detectie bekijkt eerdere activiteitlocaties om nieuwe en niet-frequente locaties vast te stellen. De engine voor de detectie van afwijkingen slaat informatie op over eerdere locaties die worden gebruikt door gebruikers in de organisatie.
Activiteit vanaf anoniem IP-adres Offline Deze detectie wordt gedetecteerd door Microsoft Defender for Cloud Apps. Deze detectie identificeert dat gebruikers actief waren vanaf een IP-adres dat is geïdentificeerd als een anoniem proxy-IP-adres.
Verdachte doorstuuractiviteit voor Postvak IN Offline Deze detectie wordt gedetecteerd door Microsoft Defender for Cloud Apps. Deze detectie zoekt naar verdachte regels voor het doorsturen van e-mail, bijvoorbeeld als een gebruiker een regel voor postvak IN heeft gemaakt die een kopie van alle e-mailberichten doorst sturen naar een extern adres.
Azure AD-bedreigingsinformatie Offline Dit type risicodetectie duidt op aanmeldingsactiviteiten die ongebruikelijk zijn voor de opgegeven gebruiker of die consistent is met bekende aanvalspatronen op basis van de interne en externe bedreigingsinformatiebronnen van Microsoft.

Andere risicodetecties

Risicodetectie Detectietype Description
Extra risico gedetecteerd Realtime of offline Deze detectie geeft aan dat een van de bovenstaande Premium-detecties is gedetecteerd. Omdat de Premium-detecties alleen zichtbaar zijn voor klanten Azure AD Premium P2, krijgen ze de titel 'Extra risico gedetecteerd' voor klanten zonder Azure AD Premium P2 licenties.

Veelgestelde vragen

Risiconiveaus

Met Identity Protection wordt het risico gecategoriseerd in drie niveaus: laag, gemiddeld en hoog. Wanneer u aangepast beleid voor identiteitsbeveiliging configureert,kunt u dit ook configureren om te activeren bij Geen risiconiveau. Geen risico betekent dat er geen actieve indicatie is dat de identiteit van de gebruiker is aangetast.

Microsoft geeft geen specifieke details over hoe risico's worden berekend, maar elk niveau geeft een hoger vertrouwen dat de gebruiker of aanmelding is aangetast. Een voorbeeld: één geval van onbekende aanmeldingseigenschappen voor een gebruiker kan minder bedreigend zijn dan gelekte referenties voor een andere gebruiker.

Synchronisatie van wachtwoord-hashes

Risicodetecties zoals gelekte referenties vereisen de aanwezigheid van wachtwoordhashes om detectie uit te voeren. Zie voor meer informatie over wachtwoord-hashsynchronisatie het artikel Wachtwoordhashsynchronisatie implementeren met Azure AD Verbinding maken synchronisatie.

Waarom worden er risicodetecties gegenereerd voor uitgeschakelde gebruikersaccounts?

Uitgeschakelde gebruikersaccounts kunnen opnieuw worden ingeschakeld. Als de referenties van een uitgeschakeld account zijn aangetast en het account opnieuw wordt ingeschakeld, kunnen kwaaddoeners deze referenties gebruiken om toegang te krijgen. Daarom genereert Identity Protection risicodetecties voor verdachte activiteiten tegen uitgeschakelde gebruikersaccounts om klanten te waarschuwen over mogelijke verdachte accounts. Als een account niet meer in gebruik is en niet opnieuw wordt ingeschakeld, moeten klanten overwegen om het account te verwijderen om misbruik te voorkomen. Er worden geen risicodetecties gegenereerd voor verwijderde accounts.

Gelekte referenties

Waar vindt Microsoft gelekte referenties?

Microsoft vindt gelekte referenties op verschillende plaatsen, waaronder:

  • Openbare plaksites, zoals pastebin.com en paste.ca waar slechte actoren dergelijk materiaal doorgaans plaatsen. Deze locatie is de eerste keer dat de meeste actoren stoppen bij hun zoek naar gestolen referenties.
  • Wetshandhavingsinstanties.
  • Andere groepen bij Microsoft die donker webonderzoek doen.

Waarom zie ik geen gelekte referenties?

Gelekte referenties worden verwerkt wanneer Microsoft een nieuwe, openbaar beschikbare batch vindt. Vanwege de gevoelige aard worden de gelekte referenties kort na de verwerking verwijderd. Alleen nieuwe gelekte referenties die zijn gevonden nadat u wachtwoord-hashsynchronisatie (PHS) hebt ingeschakeld, worden verwerkt voor uw tenant. Het controleren op eerder gevonden referentieparen is niet uitgevoerd.

Ik heb al een hele tijd geen gelekte referentierisicogebeurtenissen gezien?

Als u geen gelekte referentierisicogebeurtenissen hebt gezien, heeft dit de volgende oorzaken:

  • PhS is niet ingeschakeld voor uw tenant.
  • Microsoft heeft geen gelekte referentieparen gevonden die overeenkomen met uw gebruikers.

Hoe vaak verwerkt Microsoft nieuwe referenties?

Referenties worden onmiddellijk verwerkt nadat ze zijn gevonden, normaal gesproken in meerdere batches per dag.

Locaties

De locatie in risicodetecties wordt bepaald door het opzoeken van IP-adressen.

Volgende stappen