Vad är riskidentifieringar?
Microsoft Entra ID Protection ger organisationer information om misstänkt aktivitet i klientorganisationen och gör det möjligt för dem att svara snabbt för att förhindra ytterligare risker. Riskidentifieringar är en kraftfull resurs som kan inkludera misstänkt eller avvikande aktivitet relaterad till ett användarkonto i katalogen. ID Protection-riskidentifieringar kan länkas till en enskild användare eller inloggningshändelse och bidra till den övergripande användarriskpoängen som finns i rapporten Riskfyllda användare.
Identifieringar av användarrisker kan flagga ett legitimt användarkonto som i riskzonen, när en potentiell hotaktör får åtkomst till ett konto genom att kompromettera sina autentiseringsuppgifter eller när de identifierar någon typ av avvikande användaraktivitet. Inloggningsriskidentifieringar representerar sannolikheten att en viss autentiseringsbegäran inte är kontots auktoriserade ägare. Att kunna identifiera risker på användar- och inloggningsnivå är viktigt för att kunderna ska kunna skydda sin klientorganisation.
Risknivåer
ID Protection kategoriserar risker i tre nivåer: låg, medel och hög. Risknivåer som beräknas av våra maskininlärningsalgoritmer och representerar hur säker Microsoft är på att en eller flera av användarens autentiseringsuppgifter är kända av en obehörig entitet.
- En riskidentifiering med risknivå Hög betyder att Microsoft är mycket säker på att kontot är komprometterat.
- En riskidentifiering med låg risknivå innebär att det finns avvikelser i inloggningen eller en användares autentiseringsuppgifter, men vi är mindre säkra på att dessa avvikelser innebär att kontot komprometteras.
Många identifieringar kan utlösas på mer än en av våra risknivåer beroende på antalet eller allvarlighetsgraden för de identifierade avvikelserna. Till exempel kan okända inloggningsegenskaper utlösas på hög, medel eller låg baserat på förtroendet för signalerna. Vissa identifieringar, till exempel läckta autentiseringsuppgifter och IP för verifierad hotskådespelare, levereras alltid som hög risk.
Den här risknivån är viktig när du bestämmer vilka identifieringar som ska prioriteras, undersökas och åtgärdas. De spelar också en viktig roll när det gäller att konfigurera riskbaserade principer för villkorsstyrd åtkomst eftersom varje princip kan ställas in att utlösas för låg, medelhög, hög eller ingen risk identifierad. Baserat på organisationens risktolerans kan du skapa principer som kräver MFA eller lösenordsåterställning när ID Protection identifierar en viss risknivå för en av dina användare. Dessa principer kan hjälpa användaren att självreparera för att lösa risken.
Viktigt!
Alla "låg" risknivåidentifieringar och användare kommer att finnas kvar i produkten i 6 månader, varefter de automatiskt åldras ut för att ge en renare undersökningsupplevelse. Medel- och högrisknivåerna bevaras tills de har åtgärdats eller avvisats.
Baserat på organisationens risktolerans kan du skapa principer som kräver MFA eller lösenordsåterställning när ID Protection identifierar en viss risknivå. Dessa principer kan hjälpa användaren att självreparera och lösa risken eller blockera beroende på dina toleranser.
Identifieringar i realtid och offline
ID Protection använder tekniker för att öka precisionen för identifiering av användar- och inloggningsrisker genom att beräkna vissa risker i realtid eller offline efter autentisering. Att identifiera risker i realtid vid inloggning ger fördelen att identifiera risker tidigt så att kunderna snabbt kan undersöka den potentiella kompromissen. När det gäller identifieringar som beräknar risker offline kan de ge mer insikt om hur hotskådespelaren fick åtkomst till kontot och påverkan på den legitima användaren. Vissa identifieringar kan utlösas både offline och under inloggningen, vilket ökar förtroendet för att vara exakt på kompromissen.
Identifieringar som utlöses i realtid tar 5–10 minuter att visa information i rapporterna. Offlineidentifieringar tar upp till 48 timmar att visa i rapporterna, eftersom det tar tid att utvärdera egenskaperna för den potentiella risken.
Kommentar
Vårt system kan upptäcka att den riskhändelse som bidrog till riskanvändarriskpoängen antingen var:
- En falsk positiv
- Användarrisken åtgärdades av en princip av antingen:
- Slutföra multifaktorautentisering
- Säker lösenordsändring
Vårt system kommer att avfärda risktillståndet och en riskinformation för AI-bekräftad inloggningssäker visas och bidrar inte längre till användarens totala risk.
Riskidentifieringar som mappats till riskEventType
| Riskidentifiering | Identifieringstyp | Typ | riskEventType |
|---|---|---|---|
| Identifiering av inloggningsrisk | |||
| Aktivitet från anonym IP-adress | Offline | Premium | riskyIPAddress |
| Ytterligare risk identifierad (inloggning) | Realtid eller offline | Nonpremium | generic = Premium-identifieringsklassificering för icke-P2-klientorganisationer |
| Administratören bekräftade att användaren har komprometterats | Offline | Nonpremium | adminConfirmedUserCompromised |
| Avvikande token | Realtid eller offline | Premium | anomalousToken |
| Anonym IP-adress | Realtid | Nonpremium | anonymizedIPAddress |
| Atypiska resor | Offline | Premium | osannoliktTravel |
| Omöjlig resa | Offline | Premium | mcasImpossibleTravel |
| Skadlig IP-adress | Offline | Premium | maliciousIPAddress |
| Massåtkomst till känsliga filer | Offline | Premium | mcasFinSuspiciousFileAccess |
| Microsoft Entra-hotinformation (inloggning) | Realtid eller offline | Nonpremium | investigationsThreatIntelligence |
| Nytt land | Offline | Premium | newCountry |
| Lösenordsspray | Offline | Premium | passwordSpray |
| Misstänkt webbläsare | Offline | Premium | suspiciousBrowser |
| Misstänkt vidarebefordran av inkorgar | Offline | Premium | suspiciousInboxForwarding |
| Misstänkta regler för inkorgsmanipulering | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| Token issuer anomaly | Offline | Premium | tokenIssuerAnomaly |
| Okända inloggningsegenskaper | Realtid | Premium | unfamiliarFeatures |
| Ip-adress för verifierad hotskådespelare | Realtid | Premium | nationStateIP |
| Identifiering av användarrisker | |||
| Ytterligare risk identifierad (användare) | Realtid eller offline | Nonpremium | generic = Premium-identifieringsklassificering för icke-P2-klientorganisationer |
| Avvikande användaraktivitet | Offline | Premium | anomalousUserActivity |
| Angripare i mitten | Offline | Premium | attackerinTheMiddle |
| Läckta autentiseringsuppgifter | Offline | Nonpremium | leakedCredentials |
| Microsoft Entra-hotinformation (användare) | Realtid eller offline | Nonpremium | investigationsThreatIntelligence |
| Möjligt försök att komma åt primär uppdateringstoken (PRT) | Offline | Premium | attemptedPrtAccess |
| Misstänkt API-trafik | Offline | Premium | suspiciousAPITraffic |
| Misstänkta sändningsmönster | Offline | Premium | suspiciousSendingPatterns |
| Användare rapporterade misstänkt aktivitet | Offline | Premium | userReportedSuspiciousActivity |
Premiumidentifieringar
Följande premiumidentifieringar är endast synliga för Microsoft Entra ID P2-kunder.
Identifiering av premiuminloggningsrisker
Aktivitet från anonym IP-adress
Beräknas offline. Den här identifieringen identifieras med hjälp av information från Microsoft Defender för molnet Apps. Den här identifieringen identifierar att användare var aktiva från en IP-adress som identifierats som en anonym proxy-IP-adress.
Avvikande token
Beräknas i realtid eller offline. Den här identifieringen anger onormala egenskaper i token, till exempel en ovanlig livslängd eller en token som spelas upp från en okänd plats. Den här identifieringen omfattar sessionstoken och uppdateringstoken.
Avvikande token justeras för att medföra mer brus än andra identifieringar på samma risknivå. Den här kompromissen väljs för att öka sannolikheten för att upptäcka omspelade token som annars skulle kunna gå obemärkt förbi. Det finns en större risk än normalt att vissa av de sessioner som flaggas av den här identifieringen är falska positiva identifieringar. Vi rekommenderar att du undersöker de sessioner som flaggas av den här identifieringen i samband med andra inloggningar från användaren. Om platsen, programmet, IP-adressen, användaragenten eller andra egenskaper är oväntade för användaren bör administratören betrakta den här risken som en indikator på potentiell tokenuppspelning.
Ovanlig resa
Beräknas offline. Den här riskidentifieringstypen identifierar två inloggningar som kommer från geografiskt avlägsna platser, där minst en av platserna också kan vara atypisk för användaren, givet tidigare beteende. Algoritmen tar hänsyn till flera faktorer, inklusive tiden mellan de två inloggningarna och den tid det tar för användaren att resa från den första platsen till den andra. Den här risken kan tyda på att en annan användare använder samma autentiseringsuppgifter.
Algoritmen ignorerar uppenbara "falska positiva identifieringar" som bidrar till omöjliga reseförhållanden, till exempel VPN och platser som regelbundet används av andra användare i organisationen. Systemet har en inledande inlärningsperiod på tidigast 14 dagar eller 10 inloggningar, under vilken den lär sig en ny användares inloggningsbeteende.
Omöjlig resa
Beräknas offline. Den här identifieringen identifieras med hjälp av information från Microsoft Defender för molnet Apps. Den här identifieringen identifierar användaraktiviteter (i en eller flera sessioner) som kommer från geografiskt avlägsna platser inom en tidsperiod som är kortare än den tid det tar att resa från den första platsen till den andra. Den här risken kan tyda på att en annan användare använder samma autentiseringsuppgifter.
Skadlig IP-adress
Beräknas offline. Den här identifieringen anger inloggning från en skadlig IP-adress. En IP-adress anses vara skadlig baserat på höga felfrekvenser på grund av ogiltiga autentiseringsuppgifter som tagits emot från IP-adressen eller andra IP-rykteskällor.
Massåtkomst till känsliga filer
Beräknas offline. Den här identifieringen identifieras med hjälp av information från Microsoft Defender för molnet Apps. Den här identifieringen tittar på din miljö och utlöser aviseringar när användare får åtkomst till flera filer från Microsoft Office SharePoint Online eller Microsoft OneDrive. En avisering utlöses endast om antalet filer som används är ovanligt för användaren och filerna kan innehålla känslig information.
Nytt land
Beräknas offline. Den här identifieringen identifieras med hjälp av information från Microsoft Defender för molnet Apps. Den här identifieringen tar hänsyn till tidigare aktivitetsplatser för att fastställa nya och ovanliga platser. Avvikelseidentifieringsmotorn lagrar information om tidigare platser som används av användare i organisationen.
Lösenordsspray
Beräknas offline. En lösenordssprayattack är där flera användarnamn attackeras med vanliga lösenord på ett enhetligt brute force-sätt för att få obehörig åtkomst. Den här riskidentifieringen utlöses när en lösenordssprayattack utförs. Angriparen autentiseras till exempel i den identifierade instansen.
Misstänkt webbläsare
Beräknas offline. Misstänkt webbläsaridentifiering indikerar avvikande beteende baserat på misstänkt inloggningsaktivitet i flera klienter från olika länder i samma webbläsare.
Misstänkt vidarebefordran av inkorgar
Beräknas offline. Den här identifieringen identifieras med hjälp av information från Microsoft Defender för molnet Apps. Den här identifieringen letar efter misstänkta regler för vidarebefordran av e-post, till exempel om en användare har skapat en inkorgsregel som vidarebefordrar en kopia av alla e-postmeddelanden till en extern adress.
Misstänkta regler för inkorgsmanipulering
Beräknas offline. Den här identifieringen identifieras med hjälp av information från Microsoft Defender för molnet Apps. Den här identifieringen tittar på din miljö och utlöser aviseringar när misstänkta regler som tar bort eller flyttar meddelanden eller mappar anges i en användares inkorg. Den här identifieringen kan tyda på att en användares konto har komprometterats, att meddelanden avsiktligt döljs och att postlådan används för att distribuera skräppost eller skadlig kod i organisationen.
Token issuer anomaly
Beräknas offline. Den här riskidentifieringen indikerar att SAML-token utfärdaren för den associerade SAML-token kan komma att komprometteras. Anspråken som ingår i token är ovanliga eller matchar kända angripares mönster.
Obekanta inloggningsegenskaper
Beräknas i realtid. Den här typen av riskidentifiering tar hänsyn till tidigare inloggningshistorik för att söka efter avvikande inloggningar. Systemet lagrar information om tidigare inloggningar och utlöser en riskidentifiering när en inloggning sker med egenskaper som användaren inte känner till. Dessa egenskaper kan omfatta IP, ASN, plats, enhet, webbläsare och klient-IP-undernät. Nyligen skapade användare befinner sig i en "inlärningsläge"-period där den okända inloggningsegenskaperna riskidentifiering är avstängd medan våra algoritmer lär sig användarens beteende. Varaktigheten för inlärningsläget är dynamisk och beror på hur lång tid det tar för algoritmen att samla in tillräckligt med information om användarens inloggningsmönster. Den minsta varaktigheten är fem dagar. En användare kan återgå till inlärningsläget efter en lång period av inaktivitet.
Vi kör även den här identifieringen för grundläggande autentisering (eller äldre protokoll). Eftersom dessa protokoll inte har moderna egenskaper, till exempel klient-ID, finns det begränsade data för att minska falska positiva identifieringar. Vi rekommenderar våra kunder att övergå till modern autentisering.
Obekanta inloggningsegenskaper kan identifieras för både interaktiva och icke-interaktiva inloggningar. När den här identifieringen identifieras vid icke-interaktiva inloggningar förtjänar den ökad granskning på grund av risken för tokenreprisattacker.
Om du väljer en okänd risk för inloggningsegenskaper kan du se ytterligare information som visar mer information om varför den här risken utlöstes.
Ip-adress för verifierad hotskådespelare
Beräknas i realtid. Den här typen av riskidentifiering indikerar inloggningsaktivitet som överensstämmer med kända IP-adresser som är associerade med nationella aktörer eller cyberbrottsgrupper, baserat på data från Microsoft Threat Intelligence Center (MSTIC).
Identifiering av premiumanvändarrisker
Avvikande användaraktivitet
Beräknas offline. Den här riskidentifieringen baslinjer normalt administrativt användarbeteende i Microsoft Entra-ID och upptäcker avvikande beteendemönster som misstänkta ändringar i katalogen. Identifieringen utlöses mot administratören som gör ändringen eller objektet som ändrades.
Angripare i mitten
Beräknas offline. Den här högprecisionsidentifieringen, även kallad Adversary in the Middle, utlöses när en autentiseringssession är länkad till en skadlig omvänd proxy. I den här typen av angrepp kan angriparen fånga upp användarens autentiseringsuppgifter, inklusive token som utfärdats till användaren. Microsoft Security Research-teamet använder Microsoft 365 Defender för att fånga upp den identifierade risken och ger användaren hög risk. Vi rekommenderar att administratörer manuellt undersöker användaren när den här identifieringen utlöses för att säkerställa att risken rensas. Om du tar bort den här risken kan det krävas säker återställning av lösenord eller återkallande av befintliga sessioner.
Möjligt försök att komma åt primär uppdateringstoken (PRT)
Beräknas offline. Den här riskidentifieringstypen identifieras med hjälp av information från Microsoft Defender för Endpoint (MDE). En primär uppdateringstoken (PRT) är en viktig artefakt för Microsoft Entra-autentisering i Windows 10, Windows Server 2016 och senare versioner, iOS- och Android-enheter. En PRT är en JSON-webbtoken (JWT) som utfärdas till Microsofts tokenköer från första part för att aktivera enkel inloggning (SSO) i de program som används på dessa enheter. Angripare kan försöka komma åt den här resursen för att flytta i sidled till en organisation eller utföra stöld av autentiseringsuppgifter. Den här identifieringen flyttar användare till hög risk och utlöses endast i organisationer som distribuerar MDE. Den här identifieringen är hög och vi rekommenderar snabb reparation av dessa användare. Det visas sällan i de flesta organisationer på grund av dess låga volym.
Misstänkt API-trafik
Beräknas offline. Den här riskidentifieringen rapporteras när onormal GraphAPI-trafik eller kataloguppräkning observeras. Misstänkt API-trafik kan tyda på att en användare är komprometterad och utför rekognosering i miljön.
Misstänkta sändningsmönster
Beräknas offline. Den här riskidentifieringstypen identifieras med hjälp av information från Microsoft Defender för Office 365 (MDO). Den här aviseringen genereras när någon i din organisation skickar misstänkt e-post och antingen riskerar att bli eller begränsas från att skicka e-post. Den här identifieringen flyttar användare till medelhög risk och utlöses endast i organisationer som distribuerar MDO. Den här identifieringen är låg volym och visas sällan i de flesta organisationer.
Användare rapporterade misstänkt aktivitet
Beräknas offline. Den här riskidentifieringen rapporteras när en användare nekar en MFA-uppmaning (multifaktorautentisering) och rapporterar den som misstänkt aktivitet. En MFA-fråga som inte initieras av en användare kan innebära att deras autentiseringsuppgifter komprometteras.
Nonpremiumidentifieringar
Kunder utan Microsoft Entra ID P2-licenser får identifieringar med titeln Ytterligare risk identifierad utan detaljerad information om den identifiering som kunder med P2-licenser gör. Mer information finns i licenskraven.
Riskidentifiering av icke-premiuminloggning
Ytterligare risk identifierad (inloggning)
Beräknas i realtid eller offline. Den här identifieringen anger att en av premiumidentifieringarna har identifierats. Eftersom premiumidentifieringarna endast är synliga för Microsoft Entra ID P2-kunder har de titeln Ytterligare risk identifierad för kunder utan Microsoft Entra ID P2-licenser.
Administratören bekräftade att användaren har komprometterats
Beräknas offline. Den här identifieringen anger att en administratör har valt Bekräfta att användaren har komprometterats i användargränssnittet för riskfyllda användare eller använder riskfylltAnvändar-API. Om du vill se vilken administratör som har bekräftat att användaren har komprometterats kontrollerar du användarens riskhistorik (via användargränssnitt eller API).
Anonym IP-adress
Beräknas i realtid. Den här riskidentifieringstypen anger inloggningar från en anonym IP-adress (till exempel Tor-webbläsare eller anonym VPN). Dessa IP-adresser används vanligtvis av aktörer som vill dölja sin inloggningsinformation (IP-adress, plats, enhet och så vidare) för potentiellt skadliga avsikter.
Microsoft Entra-hotinformation (inloggning)
Beräknas i realtid eller offline. Den här typen av riskidentifiering anger användaraktivitet som är ovanlig för användaren eller som överensstämmer med kända attackmönster. Den här identifieringen baseras på Microsofts interna och externa hotinformationskällor.
Riskidentifiering för icke-premiumanvändare
Ytterligare risk identifierad (användare)
Beräknas i realtid eller offline. Den här identifieringen anger att en av premiumidentifieringarna har identifierats. Eftersom premiumidentifieringarna endast är synliga för Microsoft Entra ID P2-kunder har de titeln Ytterligare risk identifierad för kunder utan Microsoft Entra ID P2-licenser.
Läckta autentiseringsuppgifter
Beräknas offline. Den här riskidentifieringstypen anger att användarens giltiga autentiseringsuppgifter läckte ut. När cyberbrottslingar komprometterar giltiga lösenord för legitima användare delar de ofta dessa insamlade autentiseringsuppgifter. Den här delningen sker vanligtvis genom att offentlig publicering på den mörka webben, eller genom att autentiseringsuppgifterna säljs på den svarta marknaden. När Tjänsten Microsofts läckta autentiseringsuppgifter hämtar användarautentiseringsuppgifter från dark web, klistrar in webbplatser eller andra källor kontrolleras de mot Microsoft Entra-användarnas aktuella giltiga autentiseringsuppgifter för att hitta giltiga matchningar. Mer information om läckta autentiseringsuppgifter finns i vanliga frågor.
Microsoft Entra-hotinformation (användare)
Beräknas offline. Den här typen av riskidentifiering anger användaraktivitet som är ovanlig för användaren eller som överensstämmer med kända attackmönster. Den här identifieringen baseras på Microsofts interna och externa hotinformationskällor.
Vanliga frågor
Vad händer om felaktiga autentiseringsuppgifter användes för att försöka logga in?
ID Protection genererar riskidentifieringar endast när rätt autentiseringsuppgifter används. Om felaktiga autentiseringsuppgifter används vid en inloggning innebär det inte risk för intrång i autentiseringsuppgifterna.
Krävs synkronisering av lösenordshash?
Riskidentifieringar som läckta autentiseringsuppgifter kräver att det finns lösenordshashvärden för identifiering. Mer information om synkronisering av lösenordshash finns i artikeln Implementera synkronisering av lösenordshash med Microsoft Entra Anslut Sync.
Varför genereras riskidentifieringar för inaktiverade konton?
Användarkonton i inaktiverat tillstånd kan återaktiveras. Om autentiseringsuppgifterna för ett inaktiverat konto komprometteras och kontot återaktiveras kan dåliga aktörer använda dessa autentiseringsuppgifter för att få åtkomst. ID Protection genererar riskidentifieringar för misstänkta aktiviteter mot dessa inaktiverade konton för att varna kunder om potentiella kontointrång. Om ett konto inte längre används och inte aktiveras igen bör kunderna överväga att ta bort det för att förhindra att det komprometteras. Inga riskidentifieringar genereras för borttagna konton.
Vanliga frågor om läckta autentiseringsuppgifter
Var hittar Microsoft läckta autentiseringsuppgifter?
Microsoft hittar läckta autentiseringsuppgifter på olika platser, bland annat:
- Offentliga inklistringswebbplatser där dåliga aktörer vanligtvis publicerar sådant material.
- Brottsbekämpande myndigheter.
- Andra grupper på Microsoft som gör dark web-forskning.
Varför visas inga läckta autentiseringsuppgifter?
Läckta autentiseringsuppgifter bearbetas varje gång Microsoft hittar en ny, offentligt tillgänglig batch. På grund av den känsliga karaktären tas de läckta autentiseringsuppgifterna bort strax efter bearbetningen. Endast nya läckta autentiseringsuppgifter som hittades när du har aktiverat synkronisering av lösenordshash (PHS) bearbetas mot din klientorganisation. Det går inte att verifiera mot tidigare hittade par med autentiseringsuppgifter.
Jag ser inga läckta riskhändelser för autentiseringsuppgifter
Om du inte ser några läckta riskhändelser för autentiseringsuppgifter beror det på följande:
- Du har inte aktiverat PHS för din klientorganisation.
- Microsoft hittade inga läckta par med autentiseringsuppgifter som matchar dina användare.
Hur ofta bearbetar Microsoft nya autentiseringsuppgifter?
Autentiseringsuppgifter bearbetas omedelbart efter att de har hittats, vanligtvis i flera batchar per dag.
Platser
Platsen i riskidentifieringar bestäms med hjälp av IP-adresssökning. Inloggningar från betrodda namngivna platser förbättrar noggrannheten i Microsoft Entra ID Protections riskberäkning, vilket minskar en användares inloggningsrisk när de autentiserar från en plats som markerats som betrodd.