什麼是風險偵測?
Microsoft Entra ID Protection 為組織提供其租使用者中可疑活動的資訊,並允許他們快速回應,以防止發生進一步的風險。 風險偵測是功能強大的資源,可包含與目錄中用戶帳戶相關的任何可疑或異常活動。 標識元保護風險偵測可以連結到個別使用者或登入事件,並參與風險用戶報告中找到的整體用戶風險分數。
當用戶風險偵測可能會將合法的使用者帳戶標幟為有風險時,當潛在威脅執行者藉由危害其認證或偵測到某種類型的異常用戶活動來存取帳戶時。 登入風險偵測代表指定驗證要求不是帳戶授權擁有者的機率。 能夠識別使用者和登入層級的風險,對於讓客戶能夠保護其租用戶至關重要。
風險層級
標識元保護會將風險分類為三個層級:低、中和高。 我們的機器學習演算法所計算的風險等級,並代表 Microsoft 對於未經授權的實體已知一或多個用戶的認證有多自信。
- 風險層級 高 的風險偵測表示 Microsoft 高度相信帳戶遭到入侵。
- 風險層級 低 的風險偵測表示登入或用戶認證中有異常,但我們不太相信這些異常表示帳戶遭到入侵。
根據偵測到的異常數目或嚴重性而定,許多偵測可能會引發超過一個風險層級。 例如, 不熟悉的登入屬性 可能會根據訊號的信賴度,在高、中或低時引發。 某些偵測,例如 認證外 泄和 已驗證的威脅執行者IP 一律會以高風險的形式傳遞。
決定要排定優先順序、調查及補救哪些偵測時,此風險層級很重要。 它們也會在設定以風險為基礎的條件式存取原則方面扮演重要角色,因為每個原則都可以設定為針對低、中、高或未偵測到任何風險觸發。 根據貴組織的風險承受能力,您可以在標識符保護偵測到其中一個使用者的特定風險層級時,建立需要 MFA 或密碼重設的原則。 這些原則可引導使用者自行補救,以解決風險。
重要
所有「低」風險等級偵測和用戶都會在產品中持續 6 個月,之後他們會自動淘汰,以提供更清潔的調查體驗。 中高風險層級會持續到補救或關閉為止。
根據貴組織的風險承受能力,您可以在標識符保護偵測到特定風險層級時,建立需要 MFA 或密碼重設的原則。 這些原則可能會引導使用者自行補救並解決風險,或根據您的容錯進行封鎖。
即時和離線偵測
標識元保護利用技術,藉由在驗證後即時或離線計算某些風險,來提升使用者和登入風險偵測的精確度。 在登入時即時偵測風險的優點是儘早識別風險,讓客戶可以快速調查潛在的危害。 在離線計算風險的偵測上,他們可以提供更多見解,以瞭解威脅執行者如何取得帳戶的存取權,以及對合法用戶的影響。 某些偵測可以同時在離線和登入期間觸發,這會增加對入侵的精確信心。
即時觸發的偵測需要 5-10 分鐘的時間,才能顯示報表中的詳細數據。 離線偵測最多需要48小時才會出現在報表中,因為評估潛在風險的屬性需要時間。
注意
我們的系統可能會偵測到造成風險用戶風險分數的風險事件可能是:
- 誤判
- 原則已補救用戶風險:
- 完成多重要素驗證
- 安全密碼變更
我們的系統將會關閉風險狀態,且 AI 確認登入安全的風險詳細數據會顯示,不再對使用者的整體風險造成貢獻。
對應至 riskEventType 的風險偵測
| 風險偵測 | 偵測類型 | 類型 | riskEventType |
|---|---|---|---|
| 登入風險偵測 | |||
| 來自匿名IP位址的活動 | 離線 | 高級 | riskyIPAddress |
| 偵測到其他風險 (登入) | 即時或離線 | Nonpremium | generic = 進階版 非 P2 租使用者的偵測分類 |
| 管理員 已確認使用者遭入侵 | 離線 | Nonpremium | adminConfirmedUserCompromised |
| 異常令牌 | 即時或離線 | 高級 | anomalousToken |
| 匿名IP位址 | 即時 | Nonpremium | anonymizedIPAddress |
| 非典型旅行 | 離線 | 高級 | unlikelyTravel |
| 不可能的移動 | 離線 | 高級 | mcasImpossibleTravel |
| 惡意IP位址 | 離線 | 高級 | maliciousIPAddress |
| 大量存取敏感性檔案 | 離線 | 高級 | mcasFinSuspiciousFileAccess |
| Microsoft Entra 威脅情報 (登入) | 即時或離線 | Nonpremium | investigationsThreatIntelligence |
| 新國家/地區 | 離線 | 高級 | newCountry |
| 密碼噴灑 | 離線 | 高級 | passwordSpray |
| 可疑瀏覽器 | 離線 | 高級 | suspiciousBrowser |
| 可疑的收件匣轉寄 | 離線 | 高級 | suspiciousInboxForwarding |
| 可疑的收件匣操作規則 | 離線 | 高級 | mcasSuspiciousInboxManipulationRules |
| 令牌簽發者異常 | 離線 | 高級 | tokenIssuerAnomaly |
| 不熟悉的登入屬性 | 即時 | 高級 | 不熟悉Features |
| 已驗證的威脅執行者IP | 即時 | 高級 | nationStateIP |
| 用戶風險偵測 | |||
| 偵測到的其他風險(使用者) | 即時或離線 | Nonpremium | generic = 進階版 非 P2 租使用者的偵測分類 |
| 異常用戶活動 | 離線 | 高級 | anomalousUserActivity |
| 中間的攻擊者 | 離線 | 高級 | attackerinTheMiddle |
| 認證外洩 | 離線 | Nonpremium | leakedCredentials |
| Microsoft Entra 威脅情報 (使用者) | 即時或離線 | Nonpremium | investigationsThreatIntelligence |
| 可能嘗試存取主要重新整理權杖 (PRT) | 離線 | 高級 | attemptedPrtAccess |
| 可疑的 API 流量 | 離線 | 高級 | suspiciousAPITraffic |
| 可疑的傳送模式 | 離線 | 高級 | suspiciousSendingPatterns |
| 用戶回報可疑活動 | 離線 | 高級 | userReportedSuspiciousActivity |
進階版 偵測
只有 Microsoft Entra ID P2 客戶才能看到下列進階偵測。
進階版 登入風險偵測
來自匿名 IP 位址的活動
離線計算。 此偵測是使用 適用於雲端的 Microsoft Defender Apps 所提供的資訊來探索。 此偵測會識別使用者是否來自識別為匿名 Proxy IP 位址的IP位址作用中。
異常令牌
即時或離線計算。 此偵測指出令牌中的異常特性,例如異常存留期或從不熟悉的位置播放的令牌。 此偵測涵蓋會話令牌和重新整理令牌。
異常令牌的微調,以產生比相同風險層級的其他偵測更多的雜訊。 選擇此取捨以增加偵測可能未注意到的重新執行令牌的可能性。 此偵測所標幟的一些會話是誤判的機率高於正常。 建議您在使用者的其他登入內容中調查此偵測所標幟的會話。 如果使用者的位置、應用程式、IP 位址、使用者代理程式或其他特性未預期,系統管理員應該將此風險視為潛在令牌重新執行指標。
非慣用登入位置
離線計算。 此風險偵測類型會識別兩個源自地理位置遙遠位置的登入,其中至少一個位置可能也對使用者而言不典型,因為過去的行為。 此演算法會考慮多個因素,包括兩個登入之間的時間,以及使用者從第一個位置移至第二個位置所需的時間。 此風險可能表示不同的使用者使用相同的認證。
演算法會忽略明顯「誤判」,導致不可能的旅行狀況,例如組織中的其他用戶經常使用的 VPN 和位置。 系統有最早 14 天或 10 次登入的初始學習期間,在此期間會學習新使用者的登入行為。
不可能的移動
離線計算。 此偵測是使用 適用於雲端的 Microsoft Defender Apps 所提供的資訊來探索。 此偵測會識別用戶活動(在單一或多個會話中),其源自異地距離位置的時間比從第一個位置移至第二個位置所花費的時間短。 此風險可能表示不同的使用者使用相同的認證。
惡意IP位址
離線計算。 此偵測表示從惡意IP位址登入。 由於從IP位址或其他IP信譽來源收到的認證無效,因此IP位址會根據高失敗率來視為惡意位址。
大量存取敏感性檔案
離線計算。 此偵測是使用 適用於雲端的 Microsoft Defender Apps 所提供的資訊來探索。 此偵測會查看您的環境,並在使用者從 Microsoft Office SharePoint Online 或 Microsoft OneDrive 存取多個檔案時觸發警示。 只有當使用者存取的檔案數目不常見,且檔案可能包含敏感性資訊時,才會觸發警示。
新國家/地區
離線計算。 此偵測是使用 適用於雲端的 Microsoft Defender Apps 所提供的資訊來探索。 這項偵測會考量過去的活動位置來判斷新的和非經常性的位置。 異常偵測引擎會儲存組織中使用者先前使用的位置資訊。
密碼噴灑
離線計算。 密碼噴洒攻擊是使用統一暴力密碼破解方式攻擊多個用戶名稱,以取得未經授權的存取。 執行密碼噴灑攻擊時,就會觸發此風險偵測。 例如,在偵測到的實例中,攻擊者已成功驗證。
可疑瀏覽器
離線計算。 可疑瀏覽器偵測會根據來自相同瀏覽器不同國家/地區之多個租使用者的可疑登入活動,指出異常行為。
可疑的收件匣轉寄
離線計算。 此偵測是使用 適用於雲端的 Microsoft Defender Apps 所提供的資訊來探索。 此偵測可尋找可疑電子郵件轉寄規則,例如使用者建立會將所有電子郵件複本轉寄到外部地址的收件匣規則。
可疑的收件匣操作規則
離線計算。 此偵測是使用 適用於雲端的 Microsoft Defender Apps 所提供的資訊來探索。 此偵測會查看您的環境,並在使用者收件匣上設定刪除或移動郵件或資料夾的可疑規則時觸發警示。 此偵測可能表示:使用者的帳戶遭到入侵、郵件被刻意隱藏,且信箱正用來在您的組織中散佈垃圾郵件或惡意代碼。
令牌簽發者異常
離線計算。 此風險偵測指出相關聯 SAML 令牌的 SAML 令牌簽發者可能遭到入侵。 令牌中包含的宣告不尋常或符合已知的攻擊者模式。
不熟悉的登入屬性
實時計算。 此風險偵測類型會考慮過去的登入歷程記錄,以尋找異常登入。系統會儲存先前登入的相關信息,並在使用者不熟悉的屬性發生登入時觸發風險偵測。 這些屬性可以包含IP、ASN、位置、裝置、瀏覽器和租使用者IP子網。 新建立的使用者處於「學習模式」期間,當演算法瞭解用戶的行為時,會關閉不熟悉的登入屬性風險偵測。 學習模式持續時間是動態的,取決於演算法收集使用者登入模式的足夠資訊所花費的時間。 持續時間下限為五天。 用戶可在長時間閑置后回到學習模式。
我們也會針對基本身份驗證(或舊版通訊協定)執行此偵測。 由於這些通訊協議沒有新式屬性,例如用戶端標識符,因此有有限的數據可減少誤判。 我們建議客戶移至新式驗證。
您可以在互動式和非互動式登入上偵測到不熟悉的登入屬性。當在非互動式登入上偵測到此偵測時,由於令牌重新執行攻擊的風險,應該受到更高的審查。
選取不熟悉的登入屬性風險可讓您查看其他資訊,其中顯示此風險觸發原因的詳細數據。
已驗證的威脅執行者IP
實時計算。 此風險偵測類型會根據 Microsoft 威脅情報中心 (MSTIC) 的數據,指出與與國家/地區執行者或網路犯罪群組相關聯的已知 IP 位址一致的登入活動。
進階版用戶風險偵測
異常用戶活動
離線計算。 此風險偵測會比較 Microsoft Entra ID 中的一般系統管理用戶行為,並發現異常的行為模式,例如目錄的可疑變更。 偵測會針對進行變更的系統管理員或已變更的物件觸發。
中間的攻擊者
離線計算。 也稱為中間的敵人,當驗證會話連結到惡意反向 Proxy 時,就會觸發這個高精確度偵測。 在這類攻擊中,敵人可以攔截用戶的認證,包括發給使用者的令牌。 Microsoft 安全性研究小組會利用 Microsoft 365 Defender 來擷取已識別的風險,並將使用者提升為 高風險 。 我們建議系統管理員在觸發此偵測時手動調查使用者,以確保清除風險。 清除此風險可能需要安全密碼重設或撤銷現有的會話。
可能嘗試存取主要重新整理權杖 (PRT)
離線計算。 此風險偵測類型是使用 適用於端點的 Microsoft Defender (MDE) 所提供的資訊來探索。 主要重新整理令牌 (PRT) 是 Windows 10、Windows Server 2016 和更新版本、iOS 和 Android 裝置上 Microsoft Entra 驗證的主要成品。 PRT 是向 Microsoft 第一方令牌代理程式發出的 JSON Web 令牌 (JWT),可在這些裝置上使用的應用程式上啟用單一登錄(SSO)。 攻擊者可以嘗試存取此資源,以便橫向移至組織或執行認證竊取。 此偵測會將使用者移至高風險,且只會在部署 MDE 的組織引發。 此偵測是高風險的,我們建議提示補救這些使用者。 由於組織數量低,因此在大部分組織中似乎不常出現。
可疑的 API 流量
離線計算。 當觀察到異常的 GraphAPI 流量或目錄列舉時,就會報告此風險偵測。 可疑的 API 流量可能會建議使用者遭到入侵,並在環境中進行偵察。
可疑的傳送模式
離線計算。 此風險偵測類型是使用 適用於 Office 365 的 Microsoft Defender (MDO) 所提供的資訊來探索。 當您組織中的某人傳送可疑的電子郵件,且有傳送電子郵件的風險或限制傳送電子郵件時,就會產生此警示。 此偵測會將使用者移至中度風險,且只會在部署 MDO 的組織引發。 此偵測量很低,而且在大部分組織中不常看到。
用戶回報可疑活動
離線計算。 當使用者拒絕多重要素驗證 (MFA) 提示,並將它回報為可疑活動時,就會報告此風險偵測。 使用者未起始的 MFA 提示可能表示其認證遭到入侵。
非premium 偵測
沒有 Microsoft Entra ID P2 授權的客戶會收到名為 「其他風險偵測」 的偵測,而不會收到有關具有 P2 授權之客戶偵測的詳細資訊。 如需詳細資訊,請參閱 授權需求。
非premium 登入風險偵測
偵測到其他風險 (登入)
即時或離線計算。 此偵測表示偵測到其中一個進階偵測。 由於進階偵測只對 Microsoft Entra ID P2 客戶可見,因此會針對 沒有 Microsoft Entra ID P2 授權的客戶偵測 到其他風險。
管理員 已確認使用者遭入侵
離線計算。 此偵測指出系統管理員已選取 [確認使用者在有風險的使用者 UI 中遭入侵 或使用 riskyUsers API] 。 若要查看哪個系統管理員確認此使用者遭入侵,請檢查使用者的風險歷程記錄(透過UI或API)。
匿名 IP 位址
實時計算。 此風險偵測類型表示來自匿名IP位址的登入(例如 Tor 瀏覽器或匿名 VPN)。 這些IP位址通常供想要隱藏其登入資訊(IP 位址、位置、裝置等)的動作專案使用,以取得潛在的惡意意圖。
Microsoft Entra 威脅情報 (登入)
即時或離線計算。 此風險偵測類型表示用戶活動不尋常,或與已知的攻擊模式一致。 此偵測是以 Microsoft 的內部與外部威脅情報來源為基礎。
非premium 用戶風險偵測
偵測到的其他風險(使用者)
即時或離線計算。 此偵測表示偵測到其中一個進階偵測。 由於進階偵測只對 Microsoft Entra ID P2 客戶可見,因此會針對 沒有 Microsoft Entra ID P2 授權的客戶偵測 到其他風險。
認證外洩
離線計算。 此風險偵測類型表示使用者的有效認證外洩。 當網路犯罪分子入侵合法使用者的有效密碼時,他們通常會共用這些收集的認證。 此共用通常是將認證公開張貼在暗網或分享網站上,或是在黑市上交易和銷售認證。 當 Microsoft 外洩認證服務從暗網、分享網站或其他來源取得使用者認證時,會將其與 Microsoft Entra 使用者目前的有效認證互相檢查,以尋找有效的相符項目。 如需認證外洩的詳細資訊,請參閱 常見問題。
Microsoft Entra 威脅情報 (使用者)
離線計算。 此風險偵測類型表示用戶活動不尋常,或與已知的攻擊模式一致。 此偵測是以 Microsoft 的內部與外部威脅情報來源為基礎。
常見問題
如果使用不正確的認證嘗試登入,該怎麼辦?
只有在使用正確的認證時,標識符保護才會產生風險偵測。 如果登入時使用了不正確的認證,則它並不代表認證洩露的風險。
是否需要密碼哈希同步處理?
認證外洩等風險偵測需要密碼哈希的存在,才能進行偵測。 如需密碼哈希同步處理的詳細資訊,請參閱使用 Microsoft Entra 連線 Sync 實作密碼哈希同步處理一文。
為什麼為停用的帳戶產生風險偵測?
處於停用狀態的用戶帳戶可以重新啟用。 如果已停用帳戶的認證遭到入侵,且帳戶重新啟用,不良執行者可能會使用這些認證來取得存取權。 標識元保護會針對這些已停用帳戶產生可疑活動的風險偵測,以警示客戶潛在帳戶遭入侵。 如果帳戶不再使用且不會重新啟用,客戶應該考慮將其刪除,以避免遭到入侵。 刪除的帳戶不會產生任何風險偵測。
常見的認證外洩問題
Microsoft 在哪裡找到外洩的認證?
Microsoft 會在各種位置尋找外洩的認證,包括:
- 公開貼上網站,不良執行者通常會張貼這類內容。
- 執法機關。
- Microsoft 進行深色網路研究的其他群組。
為什麼我看不到任何外洩的認證?
每當 Microsoft 找到新的公開可用批次時,就會處理外洩的認證。 由於敏感性性質,洩漏的認證會在處理后不久刪除。 在您啟用密碼哈希同步處理 (PHS) 之後,只會針對您的租用戶處理新的外洩認證。 未針對先前找到的認證組進行驗證。
我看不到任何洩漏的認證風險事件
如果您沒有看到任何洩漏的認證風險事件,這是因為下列原因:
- 您的租用戶未啟用 PHS。
- Microsoft 找不到任何與您使用者相符的認證配對。
Microsoft 處理新認證的頻率為何?
認證會在找到認證后立即處理,通常是每天以多個批次處理。
位置
風險偵測中的位置是使用IP位址查閱來決定。 來自受信任 具名位置 的登入可改善 Microsoft Entra ID Protection 風險計算的正確性,降低使用者在從標示為受信任之位置進行驗證時的登入風險。