Azure Active Directory risk olaylarıAzure Active Directory risk events

Güvenlik ihlallerini büyük çoğunluğu göz önüne bir yerde saldırganların bir kullanıcının kimliğini çalarak bir ortama erişimi elde edin.The vast majority of security breaches take place when attackers gain access to an environment by stealing a user’s identity. Tehlikeye atılmış kimlik keşfetme hiçbir kolay bir görevdir.Discovering compromised identities is no easy task. Azure Active Directory, kullanıcı hesaplarınızla ilgili kuşkulu eylemleri algılamak için Uyarlamalı makine öğrenimi algoritmaları ve buluşsal yöntemler kullanır.Azure Active Directory uses adaptive machine learning algorithms and heuristics to detect suspicious actions that are related to your user accounts. Her kuşkulu eylem adlı bir kayıt depolanır algılanan bir risk olayı.Each detected suspicious action is stored in a record called a risk event.

İki yerde bildirilmiş risk olaylarını gözden burada verilmiştir:There are two places where you review reported risk events:

Ayrıca, kullanabileceğiniz kimlik koruması risk olayları API Microsoft Graph'ı kullanarak güvenlik algılamaları programlı erişim elde etmek için.In addition, you can use the Identity Protection risk events API to gain programmatic access to security detections using Microsoft Graph. Daha fazla bilgi için Microsoft Graph ve Azure Active Directory kimlik koruması ile çalışmaya başlama.For more information, see Get started with Azure Active Directory Identity Protection and Microsoft Graph.

Şu anda, Azure Active Directory risk olayları altı tür algılar:Currently, Azure Active Directory detects six types of risk events:

Risk olayı

Önemli

Bazı durumlarda, karşılık gelen oturum açma bir giriş olmadan bir risk olayını bulabilirsiniz oturum açma işlemleri raporu.Sometimes, you may find a risk event without a corresponding sign-in entry in the sign-ins report. Kimlik koruması her ikisi için risk değerlendirdiğinden budur etkileşimli ve etkileşimli olmayan oturum açma işlemleri, oysa yalnızca etkileşimli oturum açma oturum açma işlemleri raporu gösterir.This is because Identity Protection evaluates risk for both interactive and non-interactive sign-ins, whereas the sign-ins report shows only the interactive sign-ins.

Algılanan risk olayı için alma öngörü için Azure AD aboneliğiniz bağlıdır.The insight you get for a detected risk event is tied to your Azure AD subscription.

  • İle Azure AD Premium P2 sürümünü, temel alınan tüm algılamalar hakkında en ayrıntılı bilgileri alın.With the Azure AD Premium P2 edition, you get the most detailed information about all underlying detections.
  • İle Azure AD Premium P1 edition, Gelişmiş algılamalar (örneğin, alışılmadık oturum açma özellikleri) lisansınızı tarafından kapsanmaz ve adın altında görünür ek risk algılandı ile oturum açma .With the Azure AD Premium P1 edition, advanced detections (such as unfamiliar sign-in properties) are not covered by your license, and will appear under the name Sign-in with additional risk detected. Ayrıca, risk düzeyi ve risk ayrıntı alanlarını gizlenir.Additionally, the risk level and risk detail fields are hidden.

Risk olayları zaten algılanması kimliklerinizi korumanın önemli bir yönüdür temsil ederken, ayrıca el ile bunları adres veya koşullu erişim ilkelerini yapılandırarak otomatik yanıtlar uygulamak seçeneğiniz vardır.While the detection of risk events already represents an important aspect of protecting your identities, you also have the option to either manually address them or implement automated responses by configuring Conditional Access policies. Daha fazla bilgi için Azure Active Directory kimlik koruması.For more information, see Azure Active Directory Identity Protection.

Risk olayı türleriRisk event types

Risk olayı türü özelliği için bir risk olayını kaydı oluşturuldu şüpheli eylem için bir tanımlayıcıdır.The risk event type property is an identifier for the suspicious action a risk event record has been created for.

Microsoft'un sürekli yatırım Algılama işlemi neden:Microsoft's continuous investments into the detection process lead to:

  • Mevcut risk olaylarının algılama doğruluğu geliştirmeleriImprovements to the detection accuracy of existing risk events
  • Gelecekte eklenecek yeni risk olayı türleriNew risk event types that will be added in the future

Sızdırılan kimlik bilgileriLeaked credentials

Kullanıcıların geçerli parolalarını cybercriminals tehlikeye, bunlar genellikle bu kimlik bilgilerini paylaşır.When cybercriminals compromise valid passwords of legitimate users, they often share those credentials. Bu genellikle, bunları herkese açık şekilde koyu Yapıştır ya da web sitelerinde veya ticari veya kimlik bilgilerini siyah piyasadaki satış yayınlayarak da gerçekleştirilir.This is usually done by posting them publicly on the dark web or paste sites or by trading or selling the credentials on the black market. Microsoft kimlik bilgilerinin sızdırılması hizmet edinme kullanıcı adı / parola çiftlerini ortak veya koyu web sitelerini izleme ve çalışma tarafından:The Microsoft leaked credentials service acquires username / password pairs by monitoring public and dark web sites and by working with:

  • AraştırmacılarResearchers
  • Yasal makamlarLaw enforcement
  • Microsoft Güvenlik takımlarSecurity teams at Microsoft
  • Diğer güvenilen kaynaklardanOther trusted sources

Zaman hizmeti edinir kullanıcı adı / parola çiftleri bunlar denetlenir karşı AAD kullanıcıların geçerli geçerli kimlik bilgileri.When the service acquires username / password pairs, they are checked against AAD users' current valid credentials. Bir eşleşme bulunduğunda, bir kullanıcının parolasını aşıldığını gösterir ve kimlik risk olayı sızmasına oluşturulur.When a match is found, it means that a user's password has been compromised, and a leaked credentials risk event is created.

Anonim IP adreslerinden oturum açma işlemleriSign-ins from anonymous IP addresses

Bu risk olayı türünü başarıyla anonim proxy IP adresi tanımlanmış bir IP adresinden oturum açmış kullanıcılar tanımlar.This risk event type identifies users who have successfully signed in from an IP address that has been identified as an anonymous proxy IP address. Bu proxy'ler cihazlarının IP adresini gizlemek istediğiniz ve için kötü amaçlı kullanılan kişiler tarafından kullanılır.These proxies are used by people who want to hide their device’s IP address, and may be used for malicious intent.

Alışılmadık konumlara imkansız seyahatImpossible travel to atypical locations

Davranışı verilen burada konumları en az biri de kullanıcı için alışılmadık olabilir, coğrafi olarak uzak konumlardan gerçekleştirilen iki oturum açma Bu risk olayı türünü tanımlar.This risk event type identifies two sign-ins originating from geographically distant locations, where at least one of the locations may also be atypical for the user, given past behavior. Diğer çeşitli faktörler arasında bu makine öğrenimi algoritmasının iki oturum açma ve bu kullanıcının ilk konumdan farklı bir kullanıcı aynı kullandığını gösteren ikinci, seyahat alacağı saat arasındaki süre dikkate alır kimlik bilgileri.Among several other factors, this machine learning algorithm takes into account the time between the two sign-ins and the time it would have taken for the user to travel from the first location to the second, indicating that a different user is using the same credentials.

Algoritma "VPN'ler ve kuruluştaki diğer kullanıcılar tarafından düzenli olarak kullanılan konumlar gibi mümkün olmayan seyahat koşullar katkıda bulunan belirgin hatalı pozitif sonuçlar" yok sayar.The algorithm ignores obvious "false positives" contributing to the impossible travel conditions, such as VPNs and locations regularly used by other users in the organization. Sistem bir öğrenme dönemi boyunca yeni bir kullanıcının oturum açma davranışı öğrenir 14 gün vardır.The system has an initial learning period of 14 days during which it learns a new user’s sign-in behavior.

Alışılmadık konumlardan oturum açınSign-in from unfamiliar locations

Oturum açma konumları Bu risk olayı türünü göz önünde bulundurur (IP, enlem / boylam ve ASN) yeni / alışılmadık konumlara belirlemek için.This risk event type considers past sign-in locations (IP, Latitude / Longitude and ASN) to determine new / unfamiliar locations. Sistem, bir kullanıcı tarafından kullanılan önceki konumları hakkında bilgi depolar ve bu "tanıdık" konumlar göz önünde bulundurur.The system stores information about previous locations used by a user, and considers these “familiar” locations. Risk olayı bilinen konumları listesinde olmayan bir konumdan oturum açma meydana geldiğinde tetiklenir.The risk event is triggered when the sign-in occurs from a location that's not already in the list of familiar locations. Sistem, bu sırada, yeni konumlarına tanınmayan konumlardan olarak işaretlemez 30 günlük bir öğrenme dönemi sahiptir.The system has an initial learning period of 30 days, during which it does not flag any new locations as unfamiliar locations. Tanıdık cihazlardan ve coğrafi olarak bilinen bir konuma yakın olan konumlardan oturum açma işlemleri de yoksayar.The system also ignores sign-ins from familiar devices, and locations that are geographically close to a familiar location.

Kimlik koruması, ayrıca temel kimlik doğrulaması için alışılmadık konumlardan oturum açma algılar / eski protokoller.Identity Protection detects sign-ins from unfamiliar locations also for basic authentication / legacy protocols. Bu protokollerin istemci kimliği gibi modern tanıdık özellikleri olmadığı için hatalı pozitif sonuçları azaltmak için yeterli telemetri yok.Because these protocols do not have modern familiar features such as client id, there is not enough telemetry to reduce false positives. Algılanan risk olayları sayısını azaltmak için modern kimlik doğrulaması için taşımanız gerekir.To reduce the number of detected risk events, you should move to modern authentication.

Bulaşma olan cihazlardan oturum açma işlemleriSign-ins from infected devices

Etkin bir bot sunucusuyla iletişim kurmak için bilinen kötü amaçlı yazılım, virüs bulaşmış cihazlardan oturum açma Bu risk olayı türünü tanımlar.This risk event type identifies sign-ins from devices infected with malware, that are known to actively communicate with a bot server. Bu, IP adreslerini kullanıcı cihazının iletişim kurmayan bir bot sunucusu olan IP adresleri karşı karşılaştırılarak ilişkilendirilmesi yoluyla belirlenir.This is determined by correlating IP addresses of the user’s device against IP addresses that were in contact with a bot server.

Şüpheli etkinlik gösteren IP adreslerinden gerçekleştirilen oturum açma işlemleriSign-ins from IP addresses with suspicious activity

IP adresleri, çok sayıda başarısız oturum açma denemesi, birden çok kullanıcı hesabında, kısa bir süre içinde karşılaşılan bu risk olayı türünü tanımlar.This risk event type identifies IP addresses from which a high number of failed sign-in attempts were seen, across multiple user accounts, over a short period of time. Bu durum, saldırganlar tarafından kullanılan IP adresleri trafik düzenleriyle eşleşir ve hesapları ya da zaten veya hakkında riske girdiği güçlü bir göstergesi olduğu.This matches traffic patterns of IP addresses used by attackers, and is a strong indicator that accounts are either already or are about to be compromised. Bir machine learning belirgin yanlış pozitifleri, düzenli olarak kuruluştaki diğer kullanıcılar tarafından kullanılan IP adresleri gibi yoksayar algoritması budur.This is a machine learning algorithm that ignores obvious false-positives, such as IP addresses that are regularly used by other users in the organization. Burada, yeni kullanıcı ve yeni Kiracı oturum davranışını öğrenir 14 günlük bir öğrenme dönemi sistem var.The system has an initial learning period of 14 days where it learns the sign-in behavior of a new user and new tenant.

Algılama türüDetection type

Algılama type özelliği göstergesidir (gerçek zamanlı veya çevrimdışı) için bir risk olayının algılama zaman çerçevesi.The detection type property is an indicator (Real-time or Offline) for the detection timeframe of a risk event. Şu anda, risk olayı gerçekleştikten sonra çoğu risk olayları çevrimdışı bir işlem sonrası işlemi algılandı.Currently, most risk events are detected offline in a post-processing operation after the risk event has occurred.

Aşağıdaki tabloda, ilgili bir raporda görünmesini algılama türü için gereken süre miktarını listeler:The following table lists the amount of time it takes for a detection type to show up in a related report:

Algılama türüDetection Type Raporlama gecikme süresiReporting Latency
Gerçek zamanlıReal-time 5-10 dakika5 to 10 minutes
ÇevrimdışıOffline 2-4 saat2 to 4 hours

Azure Active Directory algılar risk olayı türleri için saptama türleri şunlardır:For the risk event types Azure Active Directory detects, the detection types are:

Risk olayı türüRisk Event Type Algılama türüDetection Type
Sızdırılan kimlik bilgilerine sahip kullanıcılarUsers with leaked credentials ÇevrimdışıOffline
Anonim IP adreslerinden oturum açmaSign-ins from anonymous IP addresses Gerçek zamanlıReal-time
Alışılmadık konumlara imkansız seyahatImpossible travel to atypical locations ÇevrimdışıOffline
Alışılmadık konumlardan oturum açmaSign-ins from unfamiliar locations Gerçek zamanlıReal-time
Bulaşma olan cihazlardan oturum açmaSign-ins from infected devices ÇevrimdışıOffline
Şüpheli etkinliğin olduğu IP adreslerinden oturum açmaSign-ins from IP addresses with suspicious activity ÇevrimdışıOffline

Risk düzeyiRisk level

Bir risk olayının risk düzeyi özelliği göstergesidir (yüksek, orta, veya düşük) önem ve bir risk olayının güven için.The risk level property of a risk event is an indicator (High, Medium, or Low) for the severity and the confidence of a risk event. Bu özellik, gerçekleştirmeniz gereken eylemler öncelik vermenize yardımcı olur.This property helps you to prioritize the actions you must take.

Risk olayının önem kimliğinin tehlike bir tahmin unsuru sinyal gücünü temsil eder.The severity of the risk event represents the strength of the signal as a predictor of identity compromise. Güvenle hatalı pozitif sonuçları olasılığını göstergesidir.The confidence is an indicator for the possibility of false positives.

Örneğin,For example,

  • Yüksek: Yüksek güvenilirlik ve önem derecesi yüksek risk olayı.High: High confidence and high severity risk event. Bu, kullanıcının kimliğini açığa çıkardığını ve etkilenen tüm kullanıcı hesaplarını hemen düzeltilmesi güçlü göstergeleri olaylardır.These events are strong indicators that the user’s identity has been compromised, and any user accounts impacted should be remediated immediately.

  • Orta: Yüksek öneme sahip, ancak daha düşük güven risk olayı ya da tam tersi.Medium: High severity, but lower confidence risk event, or vice versa. Riskli olabilecek bu olaylar ve etkilenen tüm kullanıcı hesaplarını düzeltilmesi.These events are potentially risky, and any user accounts impacted should be remediated.

  • Düşük: Düşük güvenilirlik ve düşük önem derecesi risk olayı.Low: Low confidence and low severity risk event. Bu olay bir Acil eylem gerekli değil, ancak diğer risk olayları ile birleştirildiğinde kimlik tehlikeye girmemesini güçlü bir gösterge sağlayabilir.This event may not require an immediate action, but when combined with other risk events, may provide a strong indication that the identity is compromised.

Risk düzeyi

Sızdırılan kimlik bilgileriLeaked credentials

Risk olayları olarak sınıflandırılan kimlik bilgilerinin sızdırılması bir yüksek, kullanıcı adı ve parola için bir saldırgan kullanılabilir olduğunu NET bir belirti sağlarlar.Leaked credentials risk events are classified as a High, because they provide a clear indication that the user name and password are available to an attacker.

Anonim IP adreslerinden oturum açma işlemleriSign-ins from anonymous IP addresses

Bu risk olayı türü için risk düzeyi orta anonim bir IP adresi geçerli olmadığından bir hesabı tehlike güçlü bir göstergesi.The risk level for this risk event type is Medium because an anonymous IP address is not a strong indication of an account compromise. Anonim IP adresleri kullanmakta olduğunuz olmadığını doğrulamak için kullanıcı hemen başvurmanızı öneririz.We recommend that you immediately contact the user to verify if they were using anonymous IP addresses.

Alışılmadık konumlara imkansız seyahatImpossible travel to atypical locations

Mümkün olmayan seyahat genellikle bir bilgisayar korsanının başarıyla oturum açabilir, iyi bir göstergesidir.Impossible travel is usually a good indicator that a hacker was able to successfully sign in. Ancak, bir kullanıcı yeni bir cihaz veya genellikle kuruluştaki diğer kullanıcılar tarafından kullanılmayan bir VPN kullanarak dolaşırken yanlış pozitifleri ortaya çıkabilir.However, false-positives may occur when a user is traveling using a new device or using a VPN that is typically not used by other users in the organization. Hatalı sunucu IP'ler görünümünü verebilir IP'ler, istemci olarak geçen uygulamaları yanlış pozitifleri başka bir kaynağıdır oturum açma işlemleri alma Burada, uygulama arka uç veri merkezi bir yerde barındırılan (Microsoft veri merkezleri, bunlar genellikle, görünümünü verebilir ait IP adresleri Microsoft gerçekleşen oturum açma işlemleri).Another source of false-positives is applications that incorrectly pass server IPs as client IPs, which may give the appearance of sign-ins taking place from the data center where that application’s back-end is hosted (often these are Microsoft datacenters, which may give the appearance of sign-ins taking place from Microsoft owned IP addresses). Bu yanlış pozitifleri sonucunda bu risk olayı yönelik risk düzeyi olan orta.As a result of these false-positives, the risk level for this risk event is Medium.

İpucu

Yapılandırarak bu risk olayı türü bildirilen yanlış pozitifleri miktarını azaltabilirsiniz adlandırılmış Konumlar.You can reduce the amount of reported false-positives for this risk event type by configuring named locations.

Alışılmadık konumlardan oturum açınSign-in from unfamiliar locations

Tanınmayan konumlardan saldırgan çalınan kimlik kullanabilmek için güçlü bir gösterge sağlar.Unfamiliar locations can provide a strong indication that an attacker is able to use a stolen identity. Bir kullanıcı seyahatindeki, yeni bir cihaz olduğunu çalışıyor ya da yeni bir VPN kullanarak yanlış pozitifleri ortaya çıkabilir.False-positives may occur when a user is traveling, is trying out a new device, or is using a new VPN. Bu hatalı pozitif sonuçları sonucu olarak, bu olay türüne yönelik risk düzeyi olan orta.As a result of these false positives, the risk level for this event type is Medium.

Bulaşma olan cihazlardan oturum açma işlemleriSign-ins from infected devices

Bu risk olayı IP adresleri, kullanıcı cihazları tanımlar.This risk event identifies IP addresses, not user devices. Tek bir IP adresi birden fazla cihazlardır ve yalnızca bazı olan diğer cihazlardan oturum açma işlemleri bir bot ağ my tetikleyicisi bu olay gereksiz yere, bu risk olayı olarak sınıflandırılır neden olduğu denetlediği düşük.If several devices are behind a single IP address, and only some are controlled by a bot network, sign-ins from other devices my trigger this event unnecessarily, which is why this risk event is classified as Low.

Kullanıcıyla iletişime geçin ve kullanıcının tüm cihazlarına tarama öneririz.We recommend that you contact the user and scan all the user's devices. Ayrıca bir kullanıcının kişisel cihaz bulaşmış veya başkasının kullanıcı olarak aynı IP adresini bir virüs bulaşmış CİHAZDAN kullanıyordu mümkündür.It is also possible that a user's personal device is infected or that someone else was using an infected device from the same IP address as the user. Etkilenen cihazlar genellikle tarafından virüsten koruma yazılımının henüz belirlenmedi ve aygıtın bulaşmış haline yaşamış olabileceğiniz herhangi bir hatalı kullanıcı alışkanlıkları da gösterebilir kötü amaçlı yazılım tarafından etkilenen.Infected devices are often infected by malware that have not yet been identified by anti-virus software, and may also indicate any bad user habits that may have caused the device to become infected.

Adresi kötü amaçlı yazılımdan Etkilenme hakkında daha fazla bilgi için bkz. kötü amaçlı yazılımdan koruma Merkezi.For more information about how to address malware infections, see the Malware Protection Center.

Şüpheli etkinlik gösteren IP adreslerinden gerçekleştirilen oturum açma işlemleriSign-ins from IP addresses with suspicious activity

Bunlar gerçekten şüpheli olarak işaretlendi bir IP adresinden oturum olmadığını doğrulamak için kullanıcı başvurmanızı öneririz.We recommend that you contact the user to verify if they actually signed in from an IP address that was marked as suspicious. Bu olay türü için risk düzeyi "orta" çeşitli cihazlar aynı IP adresini olabileceğinden, yalnızca kuşkulu etkinlik için sorumlu olabilir çalışırken.The risk level for this event type is “Medium” because several devices may be behind the same IP address, while only some may be responsible for the suspicious activity.

Sonraki AdımlarNext Steps