什麼是風險偵測?

Microsoft Entra ID Protection 中的風險原則偵測包含與目錄中使用者帳戶相關的任何已識別可疑動作。 風險偵測 (使用者和登入連結的) 有助於在具風險使用者報告中找到的整體使用者風險分數。

標識元保護可讓組織存取強大的資源,以快速查看及回應這些可疑動作。

Security overview showing risky users and sign-ins

注意

只有在使用正確的認證時,標識符保護才會產生風險偵測。 如果在登入時使用不正確的認證,則它並不代表認證洩露的風險。

風險類型和偵測

您可以在使用者和登入層級偵測風險,以及兩種類型的偵測或計算即時離線 某些風險被視為僅限 Microsoft Entra ID P2 客戶的進階版,而其他風險則可供免費和 Microsoft Entra ID P1 客戶使用。

登入風險代表指定的驗證要求不是授權身分識別擁有者的機率。 對於未連結至特定惡意登入但使用者本身的使用者,可以偵測到有風險的活動。

即時偵測可能不會在報告中顯示 5 到 10 分鐘。 離線偵測可能不會顯示在報告48小時內。

注意

我們的系統可能會偵測到造成風險用戶風險分數的風險事件可能是:

  • 誤判
  • 原則 已補救 用戶風險:
    • 完成多重要素驗證
    • 安全密碼變更。

我們的系統將會關閉風險狀態,且「AI 確認登入安全」的風險詳細數據將會顯示,不再對使用者的整體風險造成貢獻。

登入風險偵測

風險偵測 偵測類型 類型
非典型旅行 離線 進階
異常令牌 即時或離線 進階
可疑瀏覽器 離線 進階
不熟悉的登入屬性 即時 進階
惡意IP位址 離線 進階
可疑的收件匣操作規則 離線 進階
密碼噴灑 離線 進階
不可能的移動 離線 進階
新國家/地區 離線 進階
來自匿名IP位址的活動 離線 進階
可疑的收件匣轉寄 離線 進階
大量存取敏感性檔案 離線 進階
已驗證的威脅執行者IP 即時 進階
偵測到其他風險 即時或離線 Nonpremium
匿名IP位址 即時 Nonpremium
管理員 已確認使用者遭入侵 離線 Nonpremium
Microsoft Entra 威脅情報 即時或離線 Nonpremium

用戶風險偵測

風險偵測 偵測類型 類型
可能嘗試存取主要重新整理權杖 (PRT) 離線 進階
異常用戶活動 離線 進階
用戶回報可疑活動 離線 進階
可疑的 API 流量 離線 進階
可疑的傳送模式 離線 進階
偵測到其他風險 即時或離線 Nonpremium
認證外洩 離線 Nonpremium
Microsoft Entra 威脅情報 離線 Nonpremium

進階版 偵測

只有 Microsoft Entra ID P2 客戶才能看到下列進階偵測。

進階版 登入風險偵測

非慣用登入位置

離線計算。 此風險偵測類型會識別兩個源自地理位置遙遠位置的登入,其中至少一個位置可能也對使用者而言不典型,因為過去的行為。 此演算法會考慮多個因素,包括兩個登入之間的時間,以及使用者從第一個位置移至第二個位置所需的時間。 此風險可能表示不同的使用者使用相同的認證。

演算法會忽略明顯「誤判」,導致不可能的旅行狀況,例如組織中的其他用戶經常使用的 VPN 和位置。 系統有最早 14 天或 10 次登入的初始學習期間,在此期間會學習新使用者的登入行為。

調查非典型旅行偵測
  1. 如果您能夠確認活動不是由合法使用者執行:
    1. 建議的動作:將登入標示為遭入侵,如果尚未透過自我補救執行,請叫用密碼重設。 如果攻擊者可以存取重設密碼或執行 MFA 並重設密碼,請封鎖使用者。
  2. 如果使用者已知在職責範圍內使用IP位址:
    1. 建議的動作:關閉警示
  3. 如果您能夠確認使用者最近已前往警示中詳述的目的地:
    1. 建議的動作:關閉警示。
  4. 如果您能夠確認IP位址範圍來自獲批准的 VPN。
    1. 建議的動作:將登入標示為安全,並將 VPN IP 位址範圍新增至 Microsoft Entra ID 和 適用於雲端的 Microsoft Defender Apps 中的具名位置。

異常令牌

即時或離線計算。 此偵測指出令牌中有異常特性,例如異常令牌存留期或從不熟悉的位置播放的令牌。 此偵測涵蓋會話令牌和重新整理令牌。

注意

異常令牌的微調,以產生比相同風險層級的其他偵測更多的雜訊。 選擇此取捨以增加偵測可能未注意到的重新執行令牌的可能性。 由於這是高雜訊偵測,因此此偵測所標幟的一些會話是誤判的機率高於一般。 建議您在使用者的其他登入內容中調查此偵測所標幟的會話。 如果使用者的位置、應用程式、IP 位址、使用者代理程式或其他特性非預期,租用戶系統管理員應該將此風險視為潛在令牌重新執行指標。

調查異常令牌偵測
  1. 如果您能夠使用風險警示、位置、應用程式、IP 位址、使用者代理程式或其他非預期特性的組合,確認活動不是由合法使用者執行:
    1. 建議的動作:將登入標示為遭入侵,如果尚未透過自我補救執行,請叫用密碼重設。 如果攻擊者可以存取重設密碼或執行 MFA 並重設密碼並撤銷所有令牌,請封鎖使用者。
  2. 如果您能夠確認使用者預期的位置、應用程式、IP 位址、使用者代理程式或其他特性,而且沒有其他入侵指示:
    1. 建議的動作:允許使用者使用條件式存取風險原則進行自我補救,或讓系統管理員確認登入為安全。

如需令牌型偵測的進一步調查,請參閱令牌策略:如何防止、偵測及回應雲端令牌竊取和令牌竊取調查劇本一文

令牌簽發者異常

離線計算。 此風險偵測指出相關聯 SAML 令牌的 SAML 令牌簽發者可能遭到入侵。 令牌中包含的宣告不尋常或符合已知的攻擊者模式。

調查令牌簽發者異常偵測
  1. 如果您能夠確認活動不是由合法使用者執行:
    1. 建議的動作:將登入標示為遭入侵,如果尚未透過自我補救執行,請叫用密碼重設。 如果攻擊者可以存取重設密碼或執行 MFA 並重設密碼並撤銷所有令牌,請封鎖使用者。
  2. 如果使用者確認此動作已由他們執行,而且沒有其他入侵指標:
    1. 建議的動作:允許使用者使用條件式存取風險原則進行自我補救,或讓系統管理員確認登入為安全。

如需令牌型偵測的進一步調查,請參閱令牌策略:如何防止、偵測及回應雲端令牌竊取一文

可疑瀏覽器

離線計算。 可疑瀏覽器偵測會根據來自相同瀏覽器不同國家/地區之多個租使用者的可疑登入活動,指出異常行為。

調查可疑的瀏覽器偵測
  • 瀏覽器通常不會由使用者或瀏覽器內的活動使用,與使用者通常的行為不符。
    • 建議的動作:將登入標示為遭入侵,如果尚未透過自我補救執行,請叫用密碼重設。 如果攻擊者可以存取重設密碼或執行 MFA 並重設密碼並撤銷所有令牌,請封鎖使用者。

不熟悉的登入屬性

實時計算。 此風險偵測類型會考慮過去的登入歷程記錄,以尋找異常登入。系統會儲存先前登入的相關信息,並在使用者不熟悉的屬性發生登入時觸發風險偵測。 這些屬性可以包含IP、ASN、位置、裝置、瀏覽器和租使用者IP子網。 新建立的使用者處於「學習模式」期間,當演算法瞭解用戶的行為時,會關閉不熟悉的登入屬性風險偵測。 學習模式持續時間是動態的,取決於演算法收集使用者登入模式的足夠資訊所花費的時間。 持續時間下限為五天。 用戶可在長時間閑置后回到學習模式。

我們也會針對基本身份驗證(或舊版通訊協定)執行此偵測。 由於這些通訊協議沒有新式屬性,例如用戶端標識符,因此有有限的數據可減少誤判。 我們建議客戶移至新式驗證。

您可以在互動式和非互動式登入上偵測到不熟悉的登入屬性。當在非互動式登入上偵測到此偵測時,由於令牌重新執行攻擊的風險,應該受到更高的審查。

選取不熟悉的登入屬性風險可讓您查看 [其他資訊 ],其中顯示更多有關為何觸發此風險的詳細數據。 下列螢幕快照顯示這些詳細數據的範例。

Screenshot showing an example of unfamiliar sign-in properties risk detection.

惡意IP位址

離線計算。 此偵測表示從惡意IP位址登入。 由於從IP位址或其他IP信譽來源收到的認證無效,因此IP位址會根據高失敗率來視為惡意位址。

調查惡意IP位址偵測
  1. 如果您能夠確認活動不是由合法使用者執行:
    1. 建議的動作:將登入標示為遭入侵,如果尚未透過自我補救執行,請叫用密碼重設。 如果攻擊者可以存取重設密碼或執行 MFA 並重設密碼並撤銷所有令牌,請封鎖使用者。
  2. 如果使用者已知在職責範圍內使用IP位址:
    1. 建議的動作:關閉警示

可疑的收件匣操作規則

離線計算。 此偵測是使用 適用於雲端的 Microsoft Defender Apps 所提供的資訊來探索。 此偵測會查看您的環境,並在使用者收件匣上設定刪除或移動郵件或資料夾的可疑規則時觸發警示。 此偵測可能表示:使用者的帳戶遭到入侵、郵件被刻意隱藏,且信箱正用來在您的組織中散佈垃圾郵件或惡意代碼。

密碼噴灑

離線計算。 密碼噴洒攻擊是使用統一暴力密碼破解方式攻擊多個用戶名稱,以取得未經授權的存取。 成功執行密碼噴灑攻擊時,就會觸發此風險偵測。 例如,在偵測到的實例中,攻擊者已成功驗證。

調查密碼噴洒偵測
  1. 如果您能夠確認活動不是由合法使用者執行:
    1. 建議的動作:將登入標示為遭入侵,如果尚未透過自我補救執行,請叫用密碼重設。 如果攻擊者可以存取重設密碼或執行 MFA 並重設密碼並撤銷所有令牌,請封鎖使用者。
  2. 如果使用者已知在職責範圍內使用IP位址:
    1. 建議的動作:關閉警示
  3. 如果您能夠確認帳戶尚未遭入侵,而且不會看到帳戶的暴力密碼破解或密碼噴洒指標。
    1. 建議的動作:允許使用者使用條件式存取風險原則進行自我補救,或讓系統管理員確認登入為安全。

如需進一步調查密碼噴洒風險偵測,請參閱識別和調查密碼噴洒攻擊的指引一文

不可能的移動

離線計算。 此偵測是使用 適用於雲端的 Microsoft Defender Apps 所提供的資訊來探索。 此偵測會識別用戶活動(是單一或多個會話),其源自於時間週期內遠距的地理位置,比從第一個位置移至第二個位置所花費的時間還短。 此風險可能表示不同的使用者使用相同的認證。

新國家/地區

離線計算。 此偵測是使用 適用於雲端的 Microsoft Defender Apps 所提供的資訊來探索。 這項偵測會考量過去的活動位置來判斷新的和非經常性的位置。 異常偵測引擎會儲存組織中使用者先前使用的位置資訊。

來自匿名 IP 位址的活動

離線計算。 此偵測是使用 適用於雲端的 Microsoft Defender Apps 所提供的資訊來探索。 這項偵測會識別使用者透過已識別為匿名 Proxy IP 位址的 IP 位址來活動。

可疑的收件匣轉寄

離線計算。 此偵測是使用 適用於雲端的 Microsoft Defender Apps 所提供的資訊來探索。 此偵測可尋找可疑電子郵件轉寄規則,例如使用者建立會將所有電子郵件複本轉寄到外部地址的收件匣規則。

大量存取敏感性檔案

離線計算。 此偵測是使用 適用於雲端的 Microsoft Defender Apps 所提供的資訊來探索。 此偵測會查看您的環境,並在使用者從 Microsoft SharePoint 或 Microsoft OneDrive 存取多個檔案時觸發警示。 只有當使用者存取的檔案數目不常見,且檔案可能包含敏感性資訊時,才會觸發警示

已驗證的威脅執行者IP

實時計算。 此風險偵測類型會根據 Microsoft 威脅情報中心(MSTIC),指出與與國家/地區執行者或網路犯罪群組相關聯的已知 IP 位址一致的登入活動。

進階版用戶風險偵測

可能嘗試存取主要重新整理權杖 (PRT)

離線計算。 您可以使用 適用於端點的 Microsoft Defender (MDE) 所提供的資訊來探索此風險偵測類型。 主要重新整理令牌 (PRT) 是 Windows 10、Windows Server 2016 和更新版本、iOS 和 Android 裝置上 Microsoft Entra 驗證的主要成品。 PRT 是一種 JSON Web 令牌 (JWT),專門發行給 Microsoft 第一方令牌代理程式,以在這些裝置上使用的應用程式啟用單一登錄(SSO)。 攻擊者可以嘗試存取此資源,以便橫向移至組織或執行認證竊取。 此偵測會將使用者移至高風險,且只會在已部署 MDE 的組織引發。 此偵測量很低,而且在大部分組織中不常看到。 當此偵測顯示為高風險時,應該補救使用者。

異常用戶活動

離線計算。 此風險偵測會比較 Microsoft Entra ID 中的一般系統管理用戶行為,並發現異常的行為模式,例如目錄的可疑變更。 偵測會針對進行變更的系統管理員或已變更的物件觸發。

用戶回報可疑活動

離線計算。 當使用者拒絕多重要素驗證 (MFA) 提示,並將 它回報為可疑活動時,就會報告此風險偵測。 使用者未起始的 MFA 提示可能表示其認證遭到入侵。

可疑的 API 流量

離線計算。 當使用者觀察到異常的 Graph 流量或目錄列舉時,就會報告此風險偵測。 可疑的 API 流量可能會建議使用者遭到入侵,並在其環境中進行偵察。

可疑的傳送模式

離線計算。 此風險偵測類型是使用適用於 Office 的 Microsoft Defender 所提供的資訊來探索的。 當貴組織中的某人傳送可疑的電子郵件,且有傳送電子郵件的風險,或已限制傳送電子郵件時,就會產生此警示。 此偵測會將使用者移至中度風險,且只會在已部署 MDO 的組織引發。 此偵測量很低,而且在大部分組織中不常看到。

非premium 偵測

沒有 Microsoft Entra ID P2 授權的客戶會收到名為「偵測到其他風險」的偵測,而不需要有關具有 P2 授權之客戶偵測的詳細資訊。

非premium 登入風險偵測

偵測到其他風險 (登入)

即時或離線計算。 此偵測表示偵測到其中一個進階偵測。 由於進階偵測只對 Microsoft Entra ID P2 客戶可見,因此它們會針對沒有 Microsoft Entra ID P2 授權的客戶,標題為「偵測到其他風險」。

匿名 IP 位址

實時計算。 此風險偵測類型表示來自匿名IP位址的登入(例如 Tor 瀏覽器或匿名 VPN)。 這些IP位址通常供想要隱藏其登入資訊(IP 位址、位置、裝置等)的動作專案使用,以取得潛在的惡意意圖。

管理員 已確認使用者遭入侵

離線計算。 此偵測指出系統管理員已在具風險的使用者 UI 或使用 riskyUsers API 中選取 [確認使用者遭入侵]。 若要查看哪個系統管理員已確認此使用者遭入侵,請檢查使用者的風險歷程記錄(透過 UI 或 API)。

Microsoft Entra 威脅情報 (登入)

即時或離線計算。 此風險偵測類型表示用戶活動不尋常,或與已知的攻擊模式一致。 此偵測是以 Microsoft 的內部與外部威脅情報來源為基礎。

非premium 用戶風險偵測

偵測到的其他風險(使用者)

即時或離線計算。 此偵測表示偵測到其中一個進階偵測。 由於進階偵測只對 Microsoft Entra ID P2 客戶可見,因此它們會針對沒有 Microsoft Entra ID P2 授權的客戶,標題為「偵測到其他風險」。

認證外洩

離線計算。 此風險偵測類型能指出使用者的有效認證已外洩。 當網路犯罪分子入侵合法使用者的有效密碼時,他們通常會共用這些收集的認證。 此共用通常是將認證公開張貼在暗網或分享網站上,或是在黑市上交易和銷售認證。 當 Microsoft 外洩認證服務從暗網、分享網站或其他來源取得使用者認證時,會將其與 Microsoft Entra 使用者目前的有效認證互相檢查,以尋找有效的相符項目。 如需認證外洩的詳細資訊,請參閱 常見問題

調查洩漏的認證偵測
  • 如果此偵測訊號已針對使用者發出洩漏認證警示:
    • 建議的動作:將登入標示為遭入侵,如果尚未透過自我補救執行,請叫用密碼重設。 如果攻擊者可以存取重設密碼或執行 MFA 並重設密碼並撤銷所有令牌,請封鎖使用者。

Microsoft Entra 威脅情報 (使用者)

離線計算。 此風險偵測類型表示用戶活動不尋常,或與已知的攻擊模式一致。 此偵測是以 Microsoft 的內部與外部威脅情報來源為基礎。

常見問題

風險層級

標識元保護會將風險分類為三個層級:低、中和高。 設定標識元保護原則時,您也可以將它設定為在 [無風險層級] 時觸發。 沒有風險表示沒有任何作用中指示使用者身分識別遭到入侵。

Microsoft 不提供如何計算風險的特定詳細資料。 每個風險層級都會提高使用者或登入遭到入侵的信賴度。 例如,相較於使用者的其中一個執行個體出現不熟悉的登入屬性,將認證洩漏給其他使用者的情況比較嚴重。

密碼雜湊同步處理

認證外洩等風險偵測需要密碼哈希的存在,才能進行偵測。 如需密碼哈希同步處理的詳細資訊,請參閱使用 Microsoft Entra 連線 Sync 實作密碼哈希同步處理一文

為什麼針對停用的用戶帳戶產生風險偵測?

停用的用戶帳戶可以重新啟用。 如果已停用帳戶的認證遭到入侵,且帳戶重新啟用,不良執行者可能會使用這些認證來取得存取權。 標識元保護會針對已停用的用戶帳戶產生可疑活動的風險偵測,以警示客戶潛在帳戶遭入侵。 如果帳戶不再使用且不會重新啟用,客戶應該考慮將其刪除,以避免遭到入侵。 刪除的帳戶不會產生任何風險偵測。

Microsoft 在哪裡找到外洩的認證?

Microsoft 會在各種位置尋找外洩的認證,包括:

  • 公開貼上網站,例如 pastebin.com 和 paste.ca,壞演員通常會張貼這類材料。 這個位置是最壞演員在追捕時第一站尋找被盜的認證。
  • 執法機關。
  • Microsoft 進行深色網路研究的其他群組。

為什麼我看不到任何外洩的認證?

每當 Microsoft 找到新的公開可用批次時,就會處理外洩的認證。 由於敏感性性質,洩漏的認證會在處理后不久刪除。 在您啟用密碼哈希同步處理 (PHS) 之後,只會針對您的租用戶處理新的外洩認證。 未針對先前找到的認證組進行驗證。

我一段時間沒有看到任何洩露的認證風險事件

如果您尚未看到任何洩漏的認證風險事件,這是因為下列原因:

  • 您的租用戶未啟用 PHS。
  • Microsoft 找不到符合使用者的任何外泄認證組。

Microsoft 處理新認證的頻率為何?

認證會在找到認證之後立即處理,通常是每天以多個批次處理。

位置

風險偵測中的位置是使用IP位址查閱來決定。

下一步