Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Защита идентификаторов Microsoft Entra может обеспечить широкий спектр обнаружения рисков, которые можно использовать для выявления подозрительных действий в вашей организации. В таблицах, включенных в эту статью, приведен список обнаружения рисков входа и пользователя, включая требования к лицензии или обнаружение в режиме реального времени или в автономном режиме. Дополнительные сведения о каждом обнаружении рисков можно найти в таблицах.
- Полные сведения о большинстве обнаружения рисков требуют идентификатора Microsoft Entra ID P2.
- Клиенты без лицензий Microsoft Entra ID P2 получают обнаружения с названием "Дополнительные риски", обнаруженные без сведений об обнаружении рисков.
- Дополнительные сведения см. в требованиях к лицензии.
- Сведения об обнаружении рисков идентификации рабочей нагрузки см. в разделе "Защита удостоверений рабочей нагрузки".
Note
Дополнительные сведения о автономных обнаружениях и уровнях риска в режиме реального времени см. в разделе " Типы и уровни обнаружения рисков".
Обнаружение рисков входа, сопоставленное с riskEventType
Выберите обнаружение рисков из списка, чтобы просмотреть описание обнаружения рисков, его работы и требований к лицензии. В таблице premium указывает, что для обнаружения требуется по крайней мере лицензия Microsoft Entra ID P2.
Nonpremium указывает, что обнаружение доступно бесплатно с идентификатором Microsoft Entra ID. Столбец riskEventType указывает значение, отображаемое в запросах API Microsoft Graph.
| Обнаружение рисков входа | Тип обнаружения | Type | riskEventType |
|---|---|---|---|
| Действие с анонимного IP-адреса | Offline | Premium | riskyIPAddress |
| Обнаружен дополнительный риск (вход) | В режиме реального времени или в автономном режиме | Nonpremium | родовой^ |
| Администратор подтвердил, что пользователь скомпрометирован | Offline | Nonpremium | adminConfirmedUserCompromised |
| Аномальный токен (авторизация) | В режиме реального времени или в автономном режиме | Premium | anomalousToken |
| Анонимный IP-адрес | Real-time | Nonpremium | anonymizedIPAddress |
| Нетипичное путешествие | Offline | Premium | unlikelyTravel |
| Неосуществимое перемещение | Offline | Premium | mcasImpossibleTravel |
| Вредоносный IP-адрес | Offline | Premium | maliciousIPAddress |
| Массовый доступ к конфиденциальным файлам | Offline | Premium | mcasFinSuspiciousFileAccess |
| Аналитика угроз Microsoft Entra (вход) | В режиме реального времени или в автономном режиме | Nonpremium | investigationsThreatIntelligence |
| Новая страна | Offline | Premium | newCountry |
| Распыление пароля | В режиме реального времени или в автономном режиме | Premium | passwordSpray |
| Подозрительный браузер | Offline | Premium | suspiciousBrowser |
| Подозрительная пересылка входящих писем | Offline | Premium | suspiciousInboxForwarding |
| Подозрительные правила для папки "Входящие" | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| Аномалия издателя токенов | Offline | Premium | tokenIssuerAnomaly |
| Незнакомые свойства входа | Real-time | Premium | unfamiliarFeatures |
| Проверенный IP-адрес субъекта угроз | Real-time | Premium | nationStateIP |
^ RiskEventType for Additional risk detection is generic for tenants with Microsoft Entra ID Free или Microsoft Entra ID P1. Мы обнаружили что-то рискованно, но сведения недоступны без лицензии Microsoft Entra ID P2.
Обнаружения рисков пользователей, сопоставленные с riskEventType
Выберите обнаружение рисков из списка, чтобы просмотреть описание обнаружения рисков, его работы и требований к лицензии.
| Обнаружение рисков пользователей | Тип обнаружения | Type | riskEventType |
|---|---|---|---|
| Обнаружен дополнительный риск (пользователь) | В режиме реального времени или в автономном режиме | Nonpremium | родовой^ |
| аномальный токен пользователя | В режиме реального времени или в автономном режиме | Premium | anomalousToken |
| Аномальное действие пользователя | Offline | Premium | anomalousUserActivity |
| Злоумышленник в середине | Offline | Premium | attackerinTheMiddle |
| Утечка учетных данных | Offline | Nonpremium | leakedCredentials |
| Аналитика угроз Microsoft Entra (пользователь) | В режиме реального времени или в автономном режиме | Nonpremium | investigationsThreatIntelligence |
| Возможная попытка доступа к основному токену обновления (PRT) | Offline | Premium | attemptedPrtAccess |
| Подозрительный трафик API | Offline | Premium | suspiciousAPITraffic |
| Подозрительные шаблоны отправки | Offline | Premium | suspiciousSendingPatterns |
| Пользователь сообщил о подозрительном действии | Offline | Premium | userReportedSuspiciousActivity |
^ RiskEventType for Additional risk detection is generic for tenants with Microsoft Entra ID Free или Microsoft Entra ID P1. Мы обнаружили что-то рискованно, но сведения недоступны без лицензии Microsoft Entra ID P2.
Обнаружение рисков входа
Действия, выполняемые с анонимных IP-адресов
Это обнаружение осуществляется с помощью сведений, предоставляемых Microsoft Defender для Приложений в облаке. Это обнаружение определяет, что пользователи были активны из IP-адреса, определяемого как анонимный IP-адрес прокси-сервера.
- Вычисление в автономном режиме
- Требование лицензии:
- Microsoft Entra ID P2 и автономная лицензия для Microsoft Defender for Cloud Apps
- Microsoft 365 E5 с Enterprise Mobility + Security E5
Обнаружен дополнительный риск (вход)
Это обнаружение указывает на то, что был активирован один из обнаружений класса Premium. Так как обнаружения уровня "Премиум" отображаются только для клиентов Microsoft Entra ID P2, они помечены как дополнительные риски, обнаруженные для пользователей без лицензий Microsoft Entra ID P2.
- Вычисляется в режиме реального времени или в автономном режиме
- Требование лицензии: идентификатор Microsoft Entra ID free или Microsoft Entra ID P1
Администратор подтвердил компрометацию пользователя
Это обнаружение указывает, что администратор выбрал подтверждение компрометации пользователя в пользовательском интерфейсе рискованных пользователей или использовании API riskyUsers. Чтобы узнать, какой администратор подтвердил, что этот пользователь скомпрометирован, проверьте журнал рисков пользователя (с помощью пользовательского интерфейса или API).
- Вычисление в автономном режиме
- Требование лицензии: идентификатор Microsoft Entra ID free или Microsoft Entra ID P1
Аномальный токен (вход)
Это обнаружение указывает на ненормальные характеристики токена, такие как необычное время существования или токен, использованный из незнакомого расположения. Это обнаружение охватывает "Токены сеанса" и "Маркеры обновления". Если расположение, приложение, IP-адрес, агент пользователя или другие характеристики непредвиденно для пользователя, администратор должен рассмотреть этот риск как индикатор потенциального воспроизведения маркера.
Аномальный токен был исторически настроен на более шум, чем другие обнаружения. Недавние улучшения обнаружения сократили шум; однако есть еще более высокий, чем обычный шанс, что некоторые сеансы, помеченные этим обнаружением, являются ложными срабатываниями на низких и средних уровнях риска.
- Вычисляется в режиме реального времени или в автономном режиме
- Требование лицензии: Идентификатор Microsoft Entra ID P2
- Советы по исследованию обнаружения аномальных токенов.
Анонимный IP-адрес
Этот тип обнаружения риска указывает на вход с анонимного IP-адреса (например, браузер Tor, анонимайзеры VPN). Эти IP-адреса обычно используются субъектами, которые хотят скрыть свои данные для входа (IP-адрес, местоположение, устройство и т. д.) для потенциально преступных намерений.
- Вычисляется в режиме реального времени
- Требование лицензии: идентификатор Microsoft Entra ID free или Microsoft Entra ID P1
Atypical travel
Этот тип обнаружения рисков определяет два входа, исходящих из географически удаленных расположений, где по крайней мере одно из расположений также может быть нетипичным для пользователя, учитывая прошлое поведение. Алгоритм учитывает несколько факторов, включая время между двумя входами и временем, которое потребуется пользователю для перемещения из первого расположения во второй. Этот риск может указывать на то, что другой пользователь использует одни и те же учетные данные.
Алгоритм игнорирует очевидные "ложные срабатывания", которые способствуют невозможным условиям перемещения, такие как VPN и расположения, которые постоянно используют другие пользователи в организации. В системе предусмотрен первоначальный период обучения — 14 дней или 10 входов в систему, в течение которых она изучает поведение нового пользователя при входе.
- Вычисление в автономном режиме
- Требование лицензии: Идентификатор Microsoft Entra ID P2
- Советы по изучению нетипичных обнаружений путешествий.
Impossible travel
Это обнаружение осуществляется с помощью сведений, предоставляемых Microsoft Defender для Приложений в облаке. Это обнаружение выявляет действия пользователей (в одном или нескольких сеансах), происходящие из географически удаленных мест в пределах времени, короче, чем требуется для перемещения из первого места во второе. Этот риск может указывать на то, что другой пользователь использует одни и те же учетные данные.
- Вычисление в автономном режиме
- Требование лицензии:
- Microsoft Entra ID P2 и автономная лицензия для Microsoft Defender for Cloud Apps
- Microsoft 365 E5 с Enterprise Mobility + Security E5
Вредоносный IP-адрес
Это обнаружение означает вход с вредоносного IP-адреса. IP-адрес считается вредоносным на основании высокой частоты сбоев из-за недопустимых учетных данных, полученных от IP-адреса, или других источников репутации IP-адресов. В некоторых случаях это обнаружение срабатывает из-за предыдущей вредоносной активности.
- Вычисление в автономном режиме
- Требование лицензии: Идентификатор Microsoft Entra ID P2
- Советы по изучению обнаружения вредоносных IP-адресов.
Массовый доступ к конфиденциальным файлам
Это обнаружение осуществляется с помощью сведений, предоставляемых Microsoft Defender для Приложений в облаке. Это обнаружение анализирует вашу пользовательскую среду и активирует оповещения, когда пользователи получают доступ к нескольким файлам из Microsoft SharePoint Online или Microsoft OneDrive. Оповещение активируется только в том случае, если количество доступных файлов редко для пользователя, а файлы могут содержать конфиденциальную информацию.
- Вычисление в автономном режиме
- Требование лицензии:
- Microsoft Entra ID P2 и автономная лицензия для Microsoft Defender for Cloud Apps
- Microsoft 365 E5 с Enterprise Mobility + Security E5
Аналитика угроз Microsoft Entra (вход)
Аналитика угроз Microsoft Entra указывает на активность пользователя, которая является необычной для пользователя или согласуется с известными шаблонами атак. Это обнаружение основано на внутренних и внешних источниках анализа угроз Microsoft. Эти обнаружения отображаются как "Аналитика угроз Microsoft Entra" в журналах и отчетах защиты удостоверений.
- Вычисляется в режиме реального времени или в автономном режиме
- Требование лицензии: идентификатор Microsoft Entra ID free или Microsoft Entra ID P1
- Советы по изучению обнаружений на основе анализа угроз Microsoft Entra.
New country
Это обнаружение осуществляется с помощью сведений, предоставляемых Microsoft Defender для Приложений в облаке. Это обнаружение учитывает предыдущие местоположения активности, чтобы определить новые и редкие расположения. Механизм обнаружения аномалий хранит информацию о предыдущих расположениях, используемых пользователями в организации.
- Вычисление в автономном режиме
- Требование лицензии:
- Microsoft Entra ID P2 и автономная лицензия для Microsoft Defender for Cloud Apps
- Microsoft 365 E5 с Enterprise Mobility + Security E5
Password spray
Атака методом распыления паролей заключается в том, что несколько учётных записей атакуются с использованием общих паролей единым методом грубой силы. Обнаружение рисков активируется, если пароль учетной записи действителен и имеет попытку входа. Это обнаружение сигнализирует о том, что пароль пользователя был правильно идентифицирован с помощью атаки с распыления паролем, а не о том, что злоумышленник смог получить доступ к любым ресурсам.
- Вычисляется в режиме реального времени или в автономном режиме
- Требование лицензии: Идентификатор Microsoft Entra ID P2
- Советы по изучению обнаружения спреев паролей.
Подозрительный браузер
Обнаружение подозрительных браузеров указывает на аномальное поведение, основанное на подозрительной активности входа у нескольких арендаторов из разных стран/регионов в одном браузере.
- Вычисление в автономном режиме
- Требование лицензии: Идентификатор Microsoft Entra ID P2
- Советы по расследованию подозрительных обнаружений браузеров.
Подозрительная пересылка входящих писем
Это обнаружение осуществляется с помощью сведений, предоставляемых Microsoft Defender для Приложений в облаке. Эта функция определяет подозрительные правила переадресации сообщений электронной почты, например, если пользователь создал правило для папки "Входящие", которое отправляет копию всех сообщений электронной почты на внешний адрес.
- Вычисление в автономном режиме
- Требование лицензии:
- Microsoft Entra ID P2 и автономная лицензия для Microsoft Defender for Cloud Apps
- Microsoft 365 E5 с Enterprise Mobility + Security E5
Подозрительные правила манипуляции с папкой "Входящие"
Это обнаружение осуществляется с помощью сведений, предоставляемых Microsoft Defender для Приложений в облаке. Это обнаружение анализирует вашу среду и активирует оповещения, когда на личной папке "Входящие" пользователя установлены подозрительные правила, которые удаляют или перемещают сообщения либо папки. Это обнаружение может указывать на то, что учетная запись пользователя скомпрометирована, сообщения намеренно скрыты, а почтовый ящик используется для распространения нежелательной почты или вредоносных программ в вашей организации.
- Вычисление в автономном режиме
- Требование лицензии:
- Microsoft Entra ID P2 и автономная лицензия для Microsoft Defender for Cloud Apps
- Microsoft 365 E5 с Enterprise Mobility + Security E5
Аномалия издателя токенов
Это обнаружение риска указывает на то, что издатель SAML токена для связанного SAML токена потенциально скомпрометирован. Утверждения, содержащиеся в маркере, являются необычными или соответствуют известным шаблонам злоумышленников.
- Вычисление в автономном режиме
- Требование лицензии: Идентификатор Microsoft Entra ID P2
- Советы по расследованию случаев обнаружения аномалий эмитента токенов.
Необычные свойства входа
Этот тип обнаружения риска учитывает прошлый журнал входа для поиска аномальных входов. Система хранит сведения о предыдущих входах и активирует обнаружение рисков при входе со свойствами, незнакомыми пользователю. Эти свойства могут включать протокол IP, ASN, расположение, устройство, браузер и IP-подсеть клиента. Пользователи, недавно созданные, находятся на этапе "обучения", когда выключено выявление рисков, связанных с незнакомыми параметрами входа, пока наши алгоритмы изучают поведение пользователей. Длительность режима обучения является динамической и зависит от того, сколько времени понадобится алгоритму для сбора достаточной информации о шаблонах входа пользователей. Минимальная длительность составляет 5 дней. Пользователь может вернуться в режим обучения после длительного бездействия.
Мы также запускаем это обнаружение для базовой аутентификации (или устаревших протоколов). Поскольку эти протоколы не имеют современных свойств, таких как идентификатор клиента, имеется ограниченное количество данных для уменьшения ложных срабатываний. Мы рекомендуем нашим клиентам перейти на современные способы проверки подлинности.
Необычные свойства входа можно обнаружить как при интерактивных, так и при неинтерактивных входах. При обнаружении таких свойств для неинтерактивных входов стоит повысить точность проверки из-за риска атак с помощью воспроизведения маркеров.
Выбор незнакомых свойств входа позволяет просмотреть дополнительные сведения о том, почему этот риск активируется.
- Вычисляется в режиме реального времени
- Требование лицензии: Идентификатор Microsoft Entra ID P2
Проверенный IP-адрес субъекта угроз
Вычисляется в режиме реального времени. Этот тип обнаружения рисков указывает на активность входа, которая соответствует известным IP-адресам, связанным с государственными субъектами или группами кибер-преступлений, на основе данных Центра аналитики угроз (MSTIC).
- Вычисляется в режиме реального времени
- Требование лицензии: Идентификатор Microsoft Entra ID P2
Обнаружения рисков пользователей
Обнаружен дополнительный риск (пользователь)
Это означает, что был обнаружен один из рисков уровня "Премиум". Поскольку обнаружения премиум-уровня видны только клиентам Microsoft Entra ID P2, они называются Обнаружены дополнительные риски для клиентов без лицензий Microsoft Entra ID P2.
- Вычисляется в режиме реального времени или в автономном режиме
- Требование лицензии: идентификатор Microsoft Entra ID free или Microsoft Entra ID P1
Аномальный токен (пользователь)
Это обнаружение указывает на ненормальные характеристики токена, такие как необычное время существования или токен, использованный из незнакомого расположения. Это обнаружение охватывает "Токены сеанса" и "Маркеры обновления". Если расположение, приложение, IP-адрес, агент пользователя или другие характеристики непредвиденно для пользователя, администратор должен рассмотреть этот риск как индикатор потенциального воспроизведения маркера.
Аномальный токен был исторически настроен на более шум, чем другие обнаружения. Недавние улучшения обнаружения сократили шум; однако есть еще более высокий, чем обычный шанс, что некоторые сеансы, помеченные этим обнаружением, являются ложными срабатываниями на низких и средних уровнях риска.
- Вычисляется в режиме реального времени или в автономном режиме
- Требование лицензии: Идентификатор Microsoft Entra ID P2
- Советы по исследованию обнаружения аномальных токенов.
Аномальное действие пользователя
Эта система обнаружения рисков определяет нормальное поведение административных пользователей в Microsoft Entra ID и выявляет аномальные шаблоны поведения, такие как подозрительные изменения в каталоге. Обнаружение срабатывает в отношении администратора, вносящего изменения, или объекта, который был изменен.
- Вычисление в автономном режиме
- Требование лицензии: Идентификатор Microsoft Entra ID P2
Злоумышленник в середине
Также называется злоумышленником в середине, это обнаружение высокой точности активируется, когда сеанс проверки подлинности связан с вредоносным обратным прокси-сервером. В такой атаке злоумышленник может перехватывать учетные данные пользователя, включая маркеры, выданные пользователю. Команда Microsoft Security Research использует Microsoft Defender для облачных приложений для фиксации идентифицированного риска и повышения уровня риска пользователя до высокого. Мы рекомендуем администраторам вручную изучить пользователя, когда срабатывает это обнаружение, чтобы убедиться, что риск устранен. Очистка этого риска может потребовать безопасного сброса пароля или отзыва существующих сеансов.
- Вычисление в автономном режиме
- Требование лицензии:
- Microsoft Entra ID P2 и автономная лицензия для Microsoft Defender for Cloud Apps
- Microsoft 365 E5 с Enterprise Mobility + Security E5
Leaked credentials
Этот тип обнаружения рисков указывает на утечку допустимых учетных данных пользователя. Когда злоумышленники компрометируют допустимые пароли законных пользователей, они часто используют эти собранные учетные данные. Обычно их публикуют в даркнете или на сайтах для размещения текстов, либо обмениваются и продают учетные данные на черном рынке. Когда служба Microsoft по обработке утечек учетных данных получает учетные данные пользователей из темного интернета, сайтов с утечками или других источников, они проверяются на соответствие текущим допустимым учетным данным пользователей Microsoft Entra, чтобы найти допустимые совпадения. Дополнительные сведения об утечке учетных данных см. в часто задаваемых вопросых.
- Вычисление в автономном режиме
- Требование лицензии: идентификатор Microsoft Entra ID free или Microsoft Entra ID P1
- Советы по изучению обнаружения утечки учетных данных.
Аналитика угроз Microsoft Entra (пользователь)
Этот тип обнаружения рисков определяет активность пользователей, которая необычна для пользователя или соответствует известным шаблонам атак. Это обнаружение основано на внутренних и внешних источниках анализа угроз Microsoft.
- Вычисление в автономном режиме
- Требование лицензии: идентификатор Microsoft Entra ID free или Microsoft Entra ID P1
- Советы по изучению обнаружений на основе анализа угроз Microsoft Entra.
Возможная попытка доступа к первичному маркеру обновления
Этот тип обнаружения риска определяется с помощью данных, предоставляемых Microsoft Defender для конечных устройств (MDE). Первичный токен обновления (PRT) — это ключевой элемент проверки подлинности Microsoft Entra на устройствах с Windows 10, Windows Server 2016 и более поздних версиях, а также на устройствах iOS и Android. PRT — это веб-токен JSON (JWT), выданный сторонним брокерам маркеров Майкрософт, чтобы включить единый вход (SSO) в приложениях, используемых на этих устройствах. Злоумышленники могут попытаться получить доступ к этому ресурсу для последующей атаки на организацию или кражи учетных данных. Это обнаружение переводит пользователей в категорию высокого риска и срабатывает только в организациях, которые развертывают MDE. Это обнаружение несет высокий риск, и мы рекомендуем немедленное исправление для этих пользователей. Она редко встречается в большинстве организаций из-за низкого объема.
- Вычисление в автономном режиме
- Требование лицензии:
- Microsoft Entra ID P2 и автономная лицензия для Microsoft Defender for Cloud Apps
- Microsoft 365 E5 с Enterprise Mobility + Security E5
Подозрительный трафик API
Это обнаружение рисков сообщается, когда наблюдается ненормальный трафик API Graph или сканирование каталогов. Подозрительный трафик API может указывать на то, что пользователь скомпрометирован и осуществляет разведку в среде.
- Вычисление в автономном режиме
- Требование лицензии: Идентификатор Microsoft Entra ID P2
Подозрительные шаблоны отправки
Этот тип обнаружения рисков обнаруживается с помощью сведений, предоставляемых Microsoft Defender для Office 365 (MDO). Это оповещение создается, когда кто-то в вашей организации отправил подозрительное электронное письмо и либо рискует быть, либо уже ограничен в отправке электронной почты. Это обнаружение перемещает пользователей в категорию среднего риска и срабатывает только в организациях, которые развертывают MDO. Это обнаружение является низким объемом и редко наблюдается в большинстве организаций.
- Вычисление в автономном режиме
- Требование лицензии:
- Microsoft Entra ID P2 и автономная лицензия для Microsoft Defender for Cloud Apps
- Microsoft 365 E5 с Enterprise Mobility + Security E5
Пользователь сообщил о подозрительном действии
Это обнаружение рисков сообщается, когда пользователь отклоняет запрос многофакторной аутентификации (MFA) и сообщает об этом как о подозрительной активности. Запрос MFA, не инициированный пользователем, может означать, что их учетные данные скомпрометированы.
- Вычисление в автономном режиме
- Требование лицензии: Идентификатор Microsoft Entra ID P2