Vad är risker?

Riskidentifieringar i Azure AD Identity Protection omfattar alla identifierade misstänkta åtgärder relaterade till användarkonton i katalogen. Riskidentifieringar (både användare och inloggning länkade) bidrar till den övergripande riskpoängen för användare som finns i rapporten Riskfyllda användare.

Identity Protection ger organisationer åtkomst till kraftfulla resurser för att snabbt se och reagera på dessa misstänkta åtgärder.

Security overview showing risky users and sign-ins

Anteckning

Identity Protection genererar riskidentifieringar endast när rätt autentiseringsuppgifter används. Om felaktiga autentiseringsuppgifter används vid en inloggning innebär det inte risk för att autentiseringsuppgifter komprometteras.

Risktyper och identifiering

Risk kan identifieras på användar - och inloggningsnivå och två typer av identifiering eller beräkning i realtid och offline. Vissa risker anses vara premium tillgängliga för Azure AD Premium P2 kunder, medan andra är tillgängliga för kostnadsfria och Azure AD Premium P1 kunder.

En inloggningsrisk är sannolikheten att en viss autentiseringsbegäran inte auktoriserats av identitetsägaren. Riskfylld aktivitet kan identifieras för en användare som inte är länkad till en specifik skadlig inloggning utan till användaren själv.

Realtidsidentifieringar kanske inte visas i rapporteringen på fem till tio minuter. Offlineidentifieringar kanske inte visas i rapporteringen på 48 timmar.

Anteckning

Vårt system kan upptäcka att riskhändelsen som bidrog till riskpoängen för användarrisken var falska positiva eller att användarrisken åtgärdades med principtillämpning, till exempel slutförande av multifaktorautentisering eller säker lösenordsändring. Därför kommer vårt system att avfärda risktillståndet och en riskinformation om "AI-bekräftad inloggningssäker" kommer att dyka upp och den kommer inte längre att bidra till användarens risk.

Premium identifieringar

Premium identifieringar är endast synliga för Azure AD Premium P2 kunder. Kunder utan Azure AD Premium P2 licenser får fortfarande premiumidentifieringarna, men de kommer att få titeln "ytterligare risk identifierad".

Inloggningsrisk

Premium identifiering av inloggningsrisk

Riskidentifiering Identifieringstyp Description
Ovanlig resa Offline Den här riskidentifieringstypen identifierar två inloggningar som kommer från geografiskt avlägsna platser, där minst en av platserna också kan vara atypisk för användaren, givet tidigare beteende. Bland flera andra faktorer tar den här maskininlärningsalgoritmen hänsyn till tiden mellan de två inloggningarna och den tid det skulle ha tagit för användaren att resa från den första platsen till den andra, vilket indikerar att en annan användare använder samma autentiseringsuppgifter.

Algoritmen ignorerar uppenbara "falska positiva identifieringar" som bidrar till omöjliga reseförhållanden, till exempel VPN och platser som regelbundet används av andra användare i organisationen. Systemet har en inledande inlärningsperiod på tidigast 14 dagar eller 10 inloggningar, under vilken den lär sig en ny användares inloggningsbeteende.
Avvikande token Offline Den här identifieringen anger att det finns onormala egenskaper i token, till exempel en ovanlig tokenlivslängd eller en token som spelas upp från en okänd plats. Den här identifieringen omfattar sessionstoken och uppdateringstoken.

OBSERVERA: Avvikande token justeras för att medföra mer brus än andra identifieringar på samma risknivå. Den här kompromissen väljs för att öka sannolikheten för att upptäcka omspelade token som annars kan gå obemärkt förbi. Eftersom det här är en hög brusidentifiering finns det en större risk än normalt att vissa av de sessioner som flaggas av den här identifieringen är falska positiva identifieringar. Vi rekommenderar att du undersöker de sessioner som flaggas av den här identifieringen i kontexten för andra inloggningar från användaren. Om platsen, programmet, IP-adressen, användaragenten eller andra egenskaper är oväntade för användaren bör klientadministratören betrakta detta som en indikator på potentiell tokenuppspelning.
Token Issuer Anomaly Offline Den här riskidentifieringen anger att SAML-token utfärdaren för den associerade SAML-token potentiellt har komprometterats. Anspråken som ingår i token är ovanliga eller matchar kända angripares mönster.
Länkad IP-adress för skadlig kod Offline Den här riskidentifieringstypen anger inloggningar från IP-adresser som är infekterade med skadlig kod som är kända för att aktivt kommunicera med en robotserver. Den här identifieringen bestäms genom korrelering av IP-adresser för användarens enhet mot IP-adresser som var i kontakt med en robotserver medan robotservern var aktiv.

Den här identifieringen har blivit inaktuell. Identitetsskydd genererar inte längre nya identifieringar av länkad IP-adress för skadlig kod. Kunder som för närvarande har identifieringar av länkad IP-adress för skadlig kod i sin klientorganisation kan fortfarande visa, åtgärda eller stänga dem tills 90-dagars bevarandetiden för identifiering har uppnåtts.
Misstänkt webbläsare Offline Misstänkt webbläsaridentifiering indikerar avvikande beteende baserat på misstänkt inloggningsaktivitet i flera klienter från olika länder i samma webbläsare.
Obekanta inloggningsegenskaper Realtid Den här riskidentifieringstypen tar hänsyn till tidigare inloggningshistorik för att söka efter avvikande inloggningar. Systemet lagrar information om tidigare inloggningar och utlöser en riskidentifiering när en inloggning sker med egenskaper som användaren inte känner till. Dessa egenskaper kan vara IP, ASN, plats, enhet, webbläsare och klient-IP-undernät. Nyligen skapade användare kommer att vara i "inlärningsläge" där den okända inloggningsegenskaperna riskidentifiering stängs av medan våra algoritmer lär sig användarens beteende. Varaktigheten för inlärningsläget är dynamisk och beror på hur lång tid det tar för algoritmen att samla in tillräckligt med information om användarens inloggningsmönster. Den minsta varaktigheten är fem dagar. En användare kan gå tillbaka till inlärningsläget efter en lång period av inaktivitet.

Vi kör även den här identifieringen för grundläggande autentisering (eller äldre protokoll). Eftersom dessa protokoll inte har moderna egenskaper, till exempel klient-ID, finns det begränsad telemetri för att minska falska positiva identifieringar. Vi rekommenderar våra kunder att övergå till modern autentisering.

Okända inloggningsegenskaper kan identifieras på både interaktiva och icke-interaktiva inloggningar. När den här identifieringen identifieras vid icke-interaktiva inloggningar förtjänar den ökad granskning på grund av risken för tokenreprisattacker.
Skadlig IP-adress Offline Den här identifieringen anger inloggning från en skadlig IP-adress. En IP-adress anses vara skadlig baserat på höga felfrekvenser på grund av ogiltiga autentiseringsuppgifter som tagits emot från IP-adressen eller andra IP-rykteskällor.
Misstänkta regler för inkorgsmanipulering Offline Den här identifieringen identifieras av Microsoft Defender for Cloud Apps. Den här identifieringen profilerar din miljö och utlöser aviseringar när misstänkta regler som tar bort eller flyttar meddelanden eller mappar anges i en användares inkorg. Den här identifieringen kan tyda på att användarens konto har komprometterats, att meddelanden avsiktligt döljs och att postlådan används för att distribuera skräppost eller skadlig kod i din organisation.
Lösenordsspray Offline En lösenordssprayattack är där flera användarnamn attackeras med vanliga lösenord på ett enhetligt råstyrkesätt för att få obehörig åtkomst. Den här riskidentifieringen utlöses när en lösenordssprayattack har utförts.
Omöjlig resa Offline Den här identifieringen identifieras av Microsoft Defender for Cloud Apps. Den här identifieringen identifierar två användaraktiviteter (är en eller flera sessioner) som kommer från geografiskt avlägsna platser inom en tidsperiod som är kortare än den tid det skulle ha tagit användaren att resa från den första platsen till den andra, vilket indikerar att en annan användare använder samma autentiseringsuppgifter.
Nytt land Offline Den här identifieringen identifieras av Microsoft Defender for Cloud Apps. Den här identifieringen tar hänsyn till tidigare aktivitetsplatser för att fastställa nya och ovanliga platser. Avvikelseidentifieringsmotorn lagrar information om tidigare platser som används av användare i organisationen.
Aktivitet från anonym IP-adress Offline Den här identifieringen identifieras av Microsoft Defender for Cloud Apps. Den här identifieringen identifierar att användare var aktiva från en IP-adress som har identifierats som en anonym proxy-IP-adress.
Misstänkt vidarebefordran i inkorgen Offline Den här identifieringen identifieras av Microsoft Defender for Cloud Apps. Den här identifieringen letar efter misstänkta regler för vidarebefordran av e-post, till exempel om en användare har skapat en inkorgsregel som vidarebefordrar en kopia av alla e-postmeddelanden till en extern adress.
Massåtkomst till känsliga filer Offline Den här identifieringen identifieras av Microsoft Defender for Cloud Apps. Den här identifieringen profilerar din miljö och utlöser aviseringar när användare får åtkomst till flera filer från Microsoft SharePoint eller Microsoft OneDrive. En avisering utlöses endast om antalet filer som används är ovanligt för användaren och filerna kan innehålla känslig information

Riskidentifieringar för icke-premiuminloggning

Riskidentifiering Identifieringstyp Description
Ytterligare risk har identifierats Realtid eller offline Den här identifieringen anger att en av premiumidentifieringarna har identifierats. Eftersom premiumidentifieringarna bara är synliga för Azure AD Premium P2 kunder får de titeln "ytterligare risk har identifierats" för kunder utan Azure AD Premium P2 licenser.
Anonym IP-adress Realtid Den här typen av riskidentifiering indikerar inloggningar från en anonym IP-adress (till exempel Tor-webbläsare eller anonym VPN). Dessa IP-adresser används vanligtvis av aktörer som vill dölja sin inloggningstelemetri (IP-adress, plats, enhet och så vidare) för potentiellt skadliga avsikter.
Administratören har bekräftat att användaren har komprometterats Offline Den här identifieringen anger att en administratör har valt Bekräfta att användaren har komprometterats i användargränssnittet för riskfyllda användare eller med hjälp av riskfylldaAnvändar-API:et. Om du vill se vilken administratör som har bekräftat att användaren har komprometterats kontrollerar du användarens riskhistorik (via användargränssnitt eller API).
Azure AD-hotinformation Offline Den här riskidentifieringstypen indikerar en användaraktivitet som är ovanlig för den givna användaren eller som följer kända attackmönster baserade på Microsofts interna och externa hotinformationskällor.

Användarlänkade identifieringar

Premium identifiering av användarrisker

Riskidentifiering Identifieringstyp Description
Möjligt försök att komma åt primär uppdateringstoken (PRT) Offline Den här typen av riskidentifiering identifieras av Microsoft Defender för Endpoint (MDE). En primär uppdateringstoken (PRT) är en viktig artefakt för Azure AD-autentisering på Windows 10-, Windows Server 2016- och senare versioner, iOS- och Android-enheter. En PRT är en JSON Web Token (JWT) som är särskilt utfärdad till Microsofts asynkrona tokenkoordinatorer från första part för att aktivera enkel inloggning (SSO) i de program som används på dessa enheter. Angripare kan försöka komma åt den här resursen för att flytta i sidled till en organisation eller utföra stöld av autentiseringsuppgifter. Den här identifieringen flyttar användare till hög risk och utlöses endast i organisationer som har distribuerat MDE. Den här identifieringen är låg volym och kommer att ses sällan av de flesta organisationer. Men när det inträffar är det hög risk och användarna bör åtgärdas.

Riskidentifieringar för icke-premiumanvändare

Riskidentifiering Identifieringstyp Description
Ytterligare risk har identifierats Realtid eller offline Den här identifieringen anger att en av premiumidentifieringarna har identifierats. Eftersom premiumidentifieringarna bara är synliga för Azure AD Premium P2 kunder får de titeln "ytterligare risk har identifierats" för kunder utan Azure AD Premium P2 licenser.
Läckta autentiseringsuppgifter Offline Den här riskidentifieringstypen indikerar att användarens giltiga autentiseringsuppgifter har avslöjats. När cyberbrottslingar komprometterar giltiga lösenord för legitima användare delar de ofta dessa autentiseringsuppgifter. Den här delningen sker vanligtvis genom att offentlig publicering på den mörka webben, eller genom att autentiseringsuppgifterna säljs på den svarta marknaden. När microsofts tjänst för läckta autentiseringsuppgifter hämtar autentiseringsuppgifter från dark web, inklistringswebbplatser eller andra källor kontrolleras de mot Azure AD-användarnas aktuella giltiga autentiseringsuppgifter för att hitta giltiga matchningar. Mer information om läckta autentiseringsuppgifter finns i Vanliga frågor.
Azure AD-hotinformation Offline Den här riskidentifieringstypen indikerar en användaraktivitet som är ovanlig för den givna användaren eller som följer kända attackmönster baserade på Microsofts interna och externa hotinformationskällor.

Vanliga frågor

Risknivåer

Identity Protection kategoriserar risker i tre nivåer: låg, medel och hög. När du konfigurerar anpassade identitetsskyddsprinciper kan du även konfigurera den så att den utlöses på risknivån Ingen . Ingen risk innebär att det inte finns någon aktiv indikation på att användarens identitet har komprometterats.

Även om Microsoft inte ger specifik information om hur risken beräknas, säger vi att varje nivå ger högre förtroende för att användaren eller inloggningen komprometteras. Till exempel kanske något som liknar en instans av okända inloggningsegenskaper för en användare inte är lika hotfullt som läckta autentiseringsuppgifter för en annan användare.

Synkronisering av lösenordshash

Riskidentifieringar som läckta autentiseringsuppgifter kräver att det finns lösenordshashvärden för identifiering. Mer information om synkronisering av lösenordshash finns i artikeln Implementera synkronisering av lösenordshash med Azure AD Anslut synkronisering.

Varför genereras riskidentifieringar för inaktiverade användarkonton?

Inaktiverade användarkonton kan återaktiveras. Om autentiseringsuppgifterna för ett inaktiverat konto komprometteras och kontot återaktiveras kan dåliga aktörer använda dessa autentiseringsuppgifter för att få åtkomst. Därför genererar Identity Protection riskidentifieringar för misstänkta aktiviteter mot inaktiverade användarkonton för att varna kunder om potentiella kontointrång. Om ett konto inte längre används och inte kommer att återaktiveras bör kunderna överväga att ta bort det för att förhindra att det komprometteras. Inga riskidentifieringar genereras för borttagna konton.

Läckta autentiseringsuppgifter

Var hittar Microsoft läckta autentiseringsuppgifter?

Microsoft hittar läckta autentiseringsuppgifter på olika platser, inklusive:

  • Offentliga inklistringswebbplatser som pastebin.com och paste.ca där dåliga aktörer vanligtvis publicerar sådant material. Den här platsen är de flesta dåliga skådespelares första stopp på sin jakt för att hitta stulna autentiseringsuppgifter.
  • Brottsbekämpande myndigheter.
  • Andra grupper på Microsoft som gör dark web-forskning.

Varför visas inga läckta autentiseringsuppgifter?

Läckta autentiseringsuppgifter bearbetas varje gång Microsoft hittar en ny, offentligt tillgänglig batch. På grund av den känsliga typen tas de läckta autentiseringsuppgifterna bort strax efter bearbetningen. Endast nya läckta autentiseringsuppgifter som hittas efter att du har aktiverat synkronisering av lösenordshash (PHS) bearbetas mot din klientorganisation. Det går inte att verifiera mot tidigare funna autentiseringspar.

Jag har inte sett några läckta riskhändelser för autentiseringsuppgifter under en längre tid?

Om du inte har sett några läckta riskhändelser för autentiseringsuppgifter beror det på följande:

  • Du har inte AKTIVERAT PHS för din klientorganisation.
  • Microsoft har inte hittat några läckta autentiseringsuppgiftspar som matchar dina användare.

Hur ofta bearbetar Microsoft nya autentiseringsuppgifter?

Autentiseringsuppgifterna bearbetas omedelbart efter att de har hittats, vanligtvis i flera batchar per dag.

Platser

Platsen i riskidentifieringar bestäms av IP-adresssökning.

Nästa steg