什么是风险检测？

项目
04/18/2024

Microsoft Entra ID 保护中的风险检测包括已识别的与目录中的用户帐户相关的任何可疑操作。风险检测（与用户和登录关联的检测）影响“风险用户”报告中发现的总体用户风险分数。

ID 保护向组织提供强大资源的访问权限，可快速查看和响应这些可疑操作。

显示有风险的用户和登录的安全概述

注意

仅当使用正确的凭据时，ID 保护才会生成风险检测。如果在登录时使用错误的凭据，不表示存在凭据泄露的风险。

风险类型和检测

有两个级别的风险检测（用户和登录）和两种类型的检测或计算（实时和脱机）。有些风险被视为仅适用于 Microsoft Entra ID P2 和高级版客户的风险，而有些风险则适用于免费版和 Microsoft Entra ID P1 客户。

登录风险表示给定身份验证请求不是授权的标识所有者的概率。对于未关联到特定恶意登录而是与用户本身关联的用户，可以检测到其风险活动。

实时检测可能在 5 至 10 分钟内不会显示在报告中。脱机检测可能在 48 小时内不会显示在报告中。

注意

系统可能会检测到影响风险用户风险评分的风险事件为：

假正
用户风险已通过以下任一策略得到修正：
- 完成多重身份验证
- 安全密码更改。

系统将消除风险状态，显示“AI 已确认登录安全”的风险详细信息，并且不再影响用户的整体风险。

风险检测	检测类型	类型
异常位置登录	Offline	高级
异常令牌	实时或脱机	高级
可疑浏览器	Offline	高级
不熟悉的登录属性	实时	高级
恶意 IP 地址	Offline	高级
可疑的收件箱操作规则	Offline	高级
密码喷射	Offline	高级
不可能旅行	Offline	高级
新国家/地区	Offline	高级
来自匿名 IP 地址的活动	Offline	高级
可疑收件箱转发	Offline	高级
对敏感文件的批量访问	Offline	高级
经过验证的威胁参与者 IP	实时	高级
检测到其他风险	实时或脱机	非高级
匿名 IP 地址	实时	非高级
管理员确认用户遭入侵	Offline	非高级
Microsoft Entra 威胁情报	实时或脱机	非高级

用户风险检测

风险检测	检测类型	类型
可能尝试访问主刷新令牌 (PRT)	Offline	高级
异常用户活动	Offline	高级
用户报告的可疑活动	Offline	高级
可疑 API 流量	离线	高级
可疑的发送模式	离线	高级
检测到其他风险	实时或脱机	非高级
凭据泄露	Offline	非高级
Microsoft Entra 威胁情报	脱机	非高级

高级检测

以下高级检测仅对 Microsoft Entra ID P2 客户可见。

异常位置登录

离线计算。此风险检测类型可标识从相距遥远的地理位置进行的两次登录，根据用户以往的行为，其中至少有一个位置属于异常。该算法考虑了多种因素，包括两次登录之间的时间以及用户从第一个位置到第二个位置所花费的时间。此风险可能表明另一位用户正在使用相同的凭据。

此算法会忽略明显的“误报”，从而改善不可能前往条件，例如组织中其他用户定期使用的 VPN 和位置。系统最早有一个 14 天或 10 次登录的初始学习期限，在此期间它将学习新用户的登录行为。

调查异常位置登录

如果能够确认该活动不是由合法用户执行的：
1. 建议的操作：将登录标记为已泄露，并调用密码重置（如果尚未通过自我修复执行）。如果攻击者有权重置密码或执行 MFA 并重置密码，则阻止用户。
如果已知用户在其职责范围内使用该 IP 地址：
1. 建议的操作：消除警报
如果能够确认用户最近去过警报中详细提到的目的地：
1. 建议的操作：消除警报。
如果能够确认 IP 地址范围来自受认可的 VPN。
1. 建议的操作：将登录标记为安全，并将 VPN IP 地址范围添加到 Microsoft Entra ID 和 Microsoft Defender for Cloud Apps 中的指定位置。

异常令牌

实时或离线计算。此检测指示令牌中存在异常特征，例如异常令牌生存期或从不熟悉的位置播放的令牌。此检测涵盖会话令牌和刷新令牌。

注意

异常令牌经过调整，比同一风险级别的其他检测产生的干扰更多。选择这种权衡是为提高检测重放令牌的可能性，否则重放令牌可能会被忽略。这项检测产生的干扰较多，因此相比一般情况，其标记的一些会话更有可能出现误报。建议你在用户的其他登录上下文中调查此检测标记的会话。如果用户的位置、应用程序、IP 地址、用户代理或其他特征出现异常，租户管理员应将此风险视为潜在令牌重放的指示信息。

调查异常令牌检测

如果能够使用风险警报、位置、应用程序、IP 地址、用户代理或用户意外的其他特征的组合来确认该活动不是由合法用户执行的：
1. 建议的操作：将登录标记为已泄露，并调用密码重置（如果尚未通过自我修复执行）。如果攻击者有权重置密码或执行 MFA、重置密码并撤销所有令牌，则阻止用户。
如果能够确认用户预期的位置、应用程序、IP 地址、用户代理或其他特征，并且没有其他泄露迹象：
1. 建议的操作：允许用户使用条件访问风险策略进行自我修复或让管理员确认登录是安全的。

有关基于令牌的检测的进一步调查，请参阅文章令牌策略：如何防止、检测和响应云令牌盗窃和令牌盗窃调查剧本。

令牌颁发者异常

离线计算。此风险检测指示关联 SAML 令牌的 SAML 令牌颁发者可能遭到入侵。令牌中包含的声明异常或匹配已知的攻击者模式。

调查令牌颁发者异常情况检测

如果能够确认该活动不是由合法用户执行的：
1. 建议的操作：将登录标记为已泄露，并调用密码重置（如果尚未通过自我修复执行）。如果攻击者有权重置密码或执行 MFA、重置密码并撤销所有令牌，则阻止用户。
如果用户确认此操作是由他们执行的并且没有其他泄露迹象：
1. 建议的操作：允许用户使用条件访问风险策略进行自我修复或让管理员确认登录是安全的。

有关基于令牌的检测的进一步调查，请参阅文章令牌策略：如何防止、检测和响应云令牌盗窃。

可疑浏览器

离线计算。可疑浏览器检测指示基于同一浏览器中不同国家/地区多个租户的可疑登录活动的异常行为。

调查可疑浏览器检测

浏览器不是用户常用的，或者浏览器内的活动与用户通常的行为不匹配。
- 建议的操作：将登录标记为已泄露，并调用密码重置（如果尚未通过自我修复执行）。如果攻击者有权重置密码或执行 MFA、重置密码并撤销所有令牌，则阻止用户。

实时计算。此风险检测类型考虑过去的登录历史记录以查找异常登录。系统存储有关以前的登录的信息，并在使用用户不熟悉的属性登录时触发风险检测。这些属性可以包括 IP、ASN、位置、设备、浏览器和租户 IP 子网。新创建的用户处于“学习模式”阶段，在此期间，当我们的算法学习用户的行为时，将关闭不熟悉的登录属性风险检测。学习模式持续时间是动态的，取决于算法收集足够的用户登录模式信息所需的时间。最短持续时间为五天。用户可以在长时间处于非活动状态后返回到学习模式。

我们还对基本身份验证（或旧版协议）运行此检测。由于这些协议没有新型属性（如客户端 ID），因此用来减少误报的数据较为有限。建议客户采用新式身份验证。

在交互式和非交互式登录中都可以检测到不熟悉的登录属性。当在非交互式登录时检测到此检测时，由于令牌重放攻击的风险，因此值得加强审查。

选择不熟悉的登录属性风险可让你看到“其他信息”，其中显示有关触发此风险原因的更多详细信息。下面的屏幕截图展示了这些详细信息的示例。

恶意 IP 地址

离线计算。此检测表明登录是通过恶意 IP 地址进行的。由于从 IP 地址或其他 IP 信誉源接收到无效的凭据，因此会根据高失败率将 IP 地址视为恶意。

调查恶意 IP 地址检测

如果能够确认该活动不是由合法用户执行的：
1. 建议的操作：将登录标记为已泄露，并调用密码重置（如果尚未通过自我修复执行）。如果攻击者有权重置密码或执行 MFA、重置密码并撤销所有令牌，则阻止用户。
如果已知用户在其职责范围内使用该 IP 地址：
1. 建议的操作：消除警报

可疑的收件箱操作规则

离线计算。此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。此检测会检查你的环境，并在用户的收件箱上设置了删除或移动邮件或文件夹的可疑规则时触发警报。此检测可能表明：用户帐户已遭入侵、消息被故意隐藏、邮箱被人用来在组织中分发垃圾邮件或恶意软件。

密码喷射

离线计算。密码喷射攻击是指使用常见密码以统一的暴力攻击方式攻击多个用户名以获取未经授权的访问。成功实施密码喷射攻击时，会触发此风险检测。例如，攻击者在检测到的实例中成功通过身份验证。

调查密码喷射检测

如果能够确认该活动不是由合法用户执行的：
1. 建议的操作：将登录标记为已泄露，并调用密码重置（如果尚未通过自我修复执行）。如果攻击者有权重置密码或执行 MFA、重置密码并撤销所有令牌，则阻止用户。
如果已知用户在其职责范围内使用该 IP 地址：
1. 建议的操作：消除警报
如果能够确认该帐户未遭到入侵，并且没有看到针对该帐户的暴力破解或密码喷射指示器。
1. 建议的操作：允许用户使用条件访问风险策略进行自我修复或让管理员确认登录是安全的。

有关密码喷射风险检测的进一步调查，请参阅文章识别和调查密码喷射攻击的指南。

Impossible travel

离线计算。此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。项检测可识别来源于保持一定地理距离的位置的用户活动（一个或多个会话），而完成这两个活动的时间段短于该用户从第一个位置移动到第二个位置所需的时间。此风险可能表明另一位用户正在使用相同的凭据。

新国家/地区

离线计算。此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。此项检测考虑过去的活动位置，以确定新的和不常见的位置。异常情况检测引擎将存储组织中用户以往用过的位置的相关信息。

来自匿名 IP 地址的活动

离线计算。此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。此项检测可以识别使用已标识为匿名代理 IP 地址的 IP 地址展开活动的用户。

可疑收件箱转发

离线计算。此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。此检测查找可疑的电子邮件转发规则，例如，如果用户创建了将所有电子邮件副本转发到外部地址的收件箱规则。

对敏感文件的批量访问

离线计算。此检测使用 Microsoft Defender for Cloud Apps 提供的信息发现。此检测会检查你的环境，并在用户从 Microsoft SharePoint 或 Microsoft OneDrive 访问多个文件时触发警报。只有在被访问文件的数量对于该用户而言异常并且这些文件可能包含敏感信息时，才触发警报

经过验证的威胁参与者 IP

实时计算。此风险检测类型基于 Microsoft 威胁情报中心(MSTIC)指示与国家/地区参与者或网络犯罪集团关联的已知 IP 地址一致的登录活动。

高级用户风险检测

可能尝试访问主刷新令牌 (PRT)

离线计算。此检测使用 Microsoft Defender for Endpoint (MDE) 提供的信息发现。主刷新令牌 (PRT) 是 Windows 10、Windows Server 2016 及更高版本、iOS 和 Android 设备上 Microsoft Entra 身份验证的关键项目。 PRT 是专门颁发给 Microsoft 第一方令牌代理的 JSON Web 令牌 (JWT)，用于在这些设备上使用的应用程序之间实现单一登录 (SSO)。攻击者可能会尝试访问此资源以横向进入组织或执行凭据盗窃。此检测会将用户移至高风险状态，并且仅在部署了 MDE 的组织中触发。此检测是一种低容量检测，在大多数组织中并不常见。如果出现这种检测，则存在高风险，应对用户进行修正。

异常用户活动

离线计算。此风险检测以 Microsoft Entra ID 中的正常管理用户行为为基准，并发现异常行为模式（例如，对目录的可疑更改）。针对进行更改的管理员或已更改的对象触发检测。

用户报告的可疑活动

离线计算。当用户拒绝多重身份验证 (MFA) 提示并将其报告为可疑活动时，会报告此风险检测。未由用户发起的 MFA 提示可能意味着用户的凭据已泄露。

可疑的 API 流量

离线计算。当用户观察到异常的 Graph 流量或目录枚举时，会报告此风险检测。可疑的 API 流量可能表明用户遭到入侵并在其环境中进行侦察。

可疑的发送模式

离线计算。此检测使用 Microsoft Defender for Office (MDO) 提供的信息发现。当组织中的某人发送可疑电子邮件且可能受到限制发送电子邮件或已限制发送电子邮件时，将生成此警报。此检测会将用户移至中风险状态，并且仅在部署了 MDO 的组织中触发。此检测是一种低容量检测，在大多数组织中并不常见。

非高级检测

没有 Microsoft Entra ID P2 许可证的客户会收到标题为“检测到其他风险”的检测，而没有具有 P2 许可证的客户所做检测的相关详细信息。

实时或离线计算。此检测表明已检测到某个高级检测。由于高级检测仅对 Microsoft Entra ID P2 客户可见，因此对于没有 Microsoft Entra ID P2 许可证的客户，其标题为“检测到的其他风险”。

匿名 IP 地址

实时计算。此风险检测类型指示从匿名 IP 地址登录（例如 Tor 浏览器或匿名 VPN）。这些 IP 地址通常由希望隐藏其登录信息（IP 地址、位置、设备等）的参与者使用以实现潜在恶意目的。

管理员确认用户遭入侵

离线计算。此检测表明管理员已通过风险用户 UI 或 riskyUsers API 选择了“确认用户遭入侵”。若要查看哪位管理员确认了此用户遭入侵，请（通过 UI 或 API）检查用户的风险历史记录。

实时或离线计算。此风险检测类型指示对于给定用户来说属于异常的用户活动，或者与已知攻击模式一致的用户活动。此检测基于 Microsoft 的内部和外部威胁智能源。

非高级用户风险检测

检测到其他风险（用户）

凭据泄露

离线计算。此风险检测类型指示用户的有效凭据已泄露。当网络犯罪分子泄露合法用户的有效密码时，他们通常会共享这些收集的凭据。共享方式通常是将凭据公开发布在暗网或粘贴网站上，或者在黑市上交易或出售凭据。当 Microsoft 凭据泄露服务从暗网、粘贴网站或其他来源获取用户凭据时，会根据 Microsoft Entra 用户当前的有效凭据对其进行检查，找到有效的匹配项。有关凭据泄露的详细信息，请查看常见问题。

调查泄露凭据检测

如果此检测信号已针对用户的凭据泄露发出警报：
- 建议的操作：将登录标记为已泄露，并调用密码重置（如果尚未通过自我修复执行）。如果攻击者有权重置密码或执行 MFA、重置密码并撤销所有令牌，则阻止用户。

Microsoft Entra 威胁情报（用户）

离线计算。此风险检测类型指示对于给定用户来说属于异常的用户活动，或者与已知攻击模式一致的用户活动。此检测基于 Microsoft 的内部和外部威胁智能源。

常见问题

风险级别

ID 保护将风险分为三级：低、中、高。机器学习算法计算的风险级别，并表示 Microsoft 对用户凭证中是否有一项或多项被未经授权的实体知晓的自信程度。风险级别高的风险检测表明，Microsoft 非常确信账户已被入侵。低风险表示登录或用户凭据中存在异常，但我们不确定这些异常是否意味着账户被入侵。

许多检测可以在多个级别触发，具体取决于检测到的异常的数量或严重性。例如，对用户进行高风险不熟悉的登录属性检测具有更高的可信度，即 Microsoft 认为该帐户遭到入侵的风险高于低风险或中等风险，不熟悉的登录属性检测。某些检测（如泄露的凭据和验证的威胁执行组件 IP）会始终以高风险的形式传递。

在决定要对哪些检测进行优先调查和修正时，风险级别非常重要。他们还在配置基于风险的条件访问策略起关键作用，因为可以将每个策略设置为针对低、中、高或未检测到风险进行触发。

重要

所有“低” 风险级别检测和用户将在产品中保留 6 个月，之后它们将自动过期以提供更简洁的调查体验。中高风险级别将一直持续到得到修正或消除。

根据组织的风险容忍度，可以在 ID 保护检测到特定风险级别时创建需要 MFA 或密码重置的策略。这些策略可能会指导用户自行修正和解决风险或将其阻止，具体取决于容忍度。

密码哈希同步

凭据泄露等风险检测要求存在密码哈希才能进行检测。有关密码哈希同步的详细信息，请参阅使用 Microsoft Entra Connect 同步实现密码哈希同步一文。

为什么对已禁用的用户帐户生成风险检测？

可以重新启用已禁用的用户帐户。如果已禁用帐户的凭据遭泄露，并且重新启用该帐户，则不良参与者可能会使用这些凭据来获取访问权限。 ID 保护会针对已禁用的用户帐户生成可疑活动的风险检测，以提醒客户有关潜在帐户泄露问题。如果某个帐户已不再使用并且不会重新启用，则客户应考虑将其删除以防止泄露。不会为删除的帐户生成任何风险检测。

Microsoft 在哪里查找凭据泄露？

Microsoft 在各种位置查找凭据泄露，包括：

公共粘贴网站（例如 pastebin.com 和 paste.ca），不良参与者常会在此粘贴这类信息。此位置是大多数不良参与者查找盗用凭据的第一站。
执法机构。
Microsoft 的其他小组开展暗网研究。

为什么我没有看到任何凭据泄露？

每当 Microsoft 发现新的公开可用的批处理时，都会处理凭据泄露情况。由于其敏感性质，泄露的凭据会在处理后很快删除。只有在启用密码哈希同步 (PHS) 后找到的新泄露的凭据才会针对你的租户进行处理。不会对先前找到的凭据对执行验证。

我已经很长时间没有看到任何凭据泄露风险事件了

如果未看到任何凭据泄露风险事件，则有以下原因：

没有为租户启用 PHS。
Microsoft 找不到任何与你的用户匹配且已遭泄露的凭据对。

Microsoft 多久处理一次新凭据？

凭据会在找到后立即处理，通常每天分多批处理。

位置

风险检测中的位置使用 IP 地址查找来确定。