Что такое обнаружение рисков?
Защита идентификации Microsoft Entra предоставляет организациям информацию о подозрительных действиях в клиенте и позволяет им быстро реагировать на предотвращение дальнейшего риска. Обнаружение рисков — это мощный ресурс, который может включать любые подозрительные или аномальные действия, связанные с учетной записью пользователя в каталоге. Обнаружение рисков защиты идентификаторов может быть связано с отдельным пользователем или событием входа и внести свой вклад в общую оценку риска пользователей, найденную в отчете "Рискованные пользователи".
Обнаружение рисков пользователей может пометить законную учетную запись пользователя как риск, когда потенциальный субъект угроз получает доступ к учетной записи, компрометируя свои учетные данные или когда они обнаруживают некоторые типы аномальных действий пользователей. Обнаружение рисков входа представляет вероятность того, что заданный запрос проверки подлинности не является авторизованным владельцем учетной записи. Возможность выявления риска на уровне пользователя и входа имеет критическое значение для клиентов, чтобы они могли обеспечить безопасность своего арендатора.
Уровни риска
Защита идентификаторов классифицирует риск на три уровня: низкий, средний и высокий. Уровни риска, вычисляемые нашими алгоритмами машинного обучения, и представляют, насколько уверена корпорация Майкрософт в том, что одна или несколько учетных данных пользователя известны неавторизованной сущностью.
- Обнаружение рисков с высоким уровнем риска означает, что корпорация Майкрософт уверена, что учетная запись скомпрометирована.
- Обнаружение рисков с низким уровнем риска означает, что в учетных данных входа или учетных данных пользователя существуют аномалии, но мы менее уверены, что эти аномалии означают, что учетная запись скомпрометирована.
Многие обнаружения могут срабатывать на более чем одном уровне риска, в зависимости от количества или серьезности обнаруженных аномалий. Например, необычные свойства входа могут срабатывать на высоком, среднем или низком уровне в зависимости от уровня уверенности в сигналах. Некоторые обнаружения, такие как утечка учетных данных и проверенный IP-адрес субъекта угроз, всегда предоставляются как высокий риск.
Этот уровень риска важен при принятии решения о том, какие обнаружения следует расставить по приоритетам, исследовать и устранить. Они также играют ключевую роль в настройке политик условного доступа на основе рисков, так как каждая политика может сработать для низкого, среднего, высокого уровня риска или если риски не обнаружены. На основе допустимости рисков организации можно создавать политики, требующие многофакторной идентификации или сброса пароля при обнаружении определенного уровня риска для одного из пользователей. Эти политики могут помочь пользователю самостоятельно устранить риск.
Внимание
Все обнаружения и пользователи с "низким" уровнем риска будут сохраняться в продукте в течение шести месяцев, после чего они автоматически будут устраняться, чтобы обеспечить более упрощённый процесс расследования. Средние и высокие уровни риска будут сохраняться до устранения или увольнения.
В зависимости от толерантности к рискам вашей организации, вы можете создавать политики, которые требуют многофакторной аутентификации или сброса пароля, когда Защита идентификации обнаруживает определенный уровень риска. Эти политики могут направлять пользователя для самостоятельного исправления и устранения риска или блокировки в зависимости от допустимости.
Обнаружение в режиме реального времени и в автономном режиме
Защита идентификаторов использует методы для повышения точности обнаружения рисков для пользователей и входа, вычисляя некоторые риски в режиме реального времени или в автономном режиме после проверки подлинности. Обнаружение риска в режиме реального времени при входе дает преимущество выявления риска на ранней стадии, чтобы клиенты могли быстро исследовать потенциальный компромисс. При обнаружениях, которые оценивают риск в автономном режиме, можно получить больше сведений о том, как атакующий получил доступ к учетной записи и как это повлияло на правомерного пользователя. Некоторые обнаружения можно активировать как в автономном режиме, так и во время входа в систему, что повышает уверенность в точности в компрометации.
Обнаружение, срабатывающее в режиме реального времени, занимает 5–10 минут, чтобы отобразить подробности в отчетах. Автономные обнаружения появляются в отчетах в течение до 48 часов, поскольку необходимо время для оценки характеристик потенциального риска.
Примечание.
Наша система может обнаружить, что событие риска, которое способствовало оценке риска пользователей, было либо:
- Ложноположительный результат.
- Риск пользователя был исправлен политикой :
- выполнение многофакторной проверки подлинности;
- Безопасное изменение пароля
Наша система снимает состояние риска, и появляется информация о риске, что вход в систему подтвержден ИИ как безопасный, поэтому состояние риска больше не влияет на общий риск пользователя.
В подробных данных о рисках обнаружение времени фиксирует точный момент, когда риск выявляется во время входа пользователя, что позволяет оценивать риски в режиме реального времени и немедленно применять политику для защиты пользователя и организации. Последнее обновление обнаружения показывает последнее обновление обнаружения рисков, которое может быть связано с новыми сведениями, изменениями уровня риска или административными действиями и обеспечивает актуальное управление рисками.
Эти поля важны для мониторинга, реагирования на угрозы в режиме реального времени и обеспечения безопасного доступа к ресурсам организации.
Обнаружения рисков, сопоставленные с riskEventType
| Обнаружение риска | Тип обнаружения | Тип | типСобытияРиска |
|---|---|---|---|
| Обнаружение рисков входа | |||
| Действие с анонимного IP-адреса | Offline | Премиум | рискованный IP адрес |
| Обнаружен дополнительный риск (вход) | В режиме реального времени или в автономном режиме | Непремиальный | generic = Классификация обнаружения класса Premium для клиентов, отличных от P2 |
| Администратор подтвердил, что пользователь скомпрометирован | Offline | непремиумный | администратор подтвердил компрометацию пользователя |
| Аномальный токен (авторизация) | В режиме реального времени или в автономном режиме | Премиум | аномальный токен |
| Анонимный IP-адрес | Реальное время | Nonpremium | анонимный IP-адрес |
| Нетипичное путешествие | Offline | Премиум | невозможное путешествие |
| Неосуществимое перемещение | Offline | Премиум | Невозможное путешествие MCAS |
| Вредоносный IP-адрес | Offline | Премиум | вредоносный IP-адрес |
| Массовый доступ к конфиденциальным файлам | Offline | Премиум | mcasFinSuspiciousFileAccess |
| Аналитика угроз Microsoft Entra (вход) | В режиме реального времени или в автономном режиме | Nonpremium | расследования и анализ угроз |
| Новая страна | Offline | Премиум | новаяСтрана |
| Распыление пароля | В режиме реального времени или в автономном режиме | Премиум | passwordSpray |
| Подозрительный браузер | Offline | Премиум | подозрительный браузер |
| Подозрительная пересылка входящих писем | Offline | Премиум | подозрительная пересылка почты |
| Подозрительные правила для папки "Входящие" | Offline | Премиум | mcasПодозрительныеПравилаМанипуляцииСПочтовымЯщиком |
| Аномалия издателя токенов | Offline | Премиум | Аномалия эмитента токенов |
| Незнакомые свойства входа | Реальное время | Премиум | незнакомые функции |
| Проверенный IP-адрес субъекта угроз | Реальное время | Премиум | nationStateIP |
| Обнаружения рисков пользователей | |||
| Обнаружен дополнительный риск (пользователь) | В режиме реального времени или в автономном режиме | Не премиум | generic = Премиум-классификация обнаружения для арендаторов, не относящихся к P2 |
| аномальный токен пользователя | В режиме реального времени или в автономном режиме | Премиум | аномальный токен |
| Аномальное действие пользователя | Offline | Премиум | анормальная активность пользователя |
| Злоумышленник в середине | Offline | Премиум | злоумышленник вTheMiddle |
| Утечка учетных данных | Offline | непремиум | утекшие учетные данные |
| Аналитика угроз Microsoft Entra (пользователь) | В режиме реального времени или в автономном режиме | Nonpremium | исследованияThreatIntelligence |
| Возможная попытка доступа к основному токену обновления (PRT) | Offline | Элитный | попытка доступа к принтеру |
| Подозрительный трафик API | Offline | Премиум | подозрительный API трафик |
| Подозрительные шаблоны отправки | Offline | Премиум | подозрительные шаблоны отправки |
| Пользователь сообщил о подозрительном действии | Offline | Премиум | Пользователь сообщил о подозрительной активности |
Для получения дополнительных сведений об обнаружении рисков безопасности удостоверений рабочих нагрузок см. в разделе Защита удостоверений рабочих нагрузок.
Обнаружение рисков уровня "Премиум"
Следующие премиум-обнаружения отображаются только для клиентов Microsoft Entra ID P2.
Обнаружение рисков при входе для уровня "Премиум"
Действия, выполняемые с анонимных IP-адресов
Вычисляется в автономном режиме. Это обнаружение осуществляется с помощью сведений, предоставляемых Microsoft Defender для Приложений в облаке. Это обнаружение определяет, что пользователи были активны из IP-адреса, определяемого как анонимный IP-адрес прокси-сервера.
Аномальный токен (вход)
Вычисляется в режиме реального времени или в автономном режиме. Это обнаружение указывает на ненормальные характеристики токена, такие как необычное время существования или токен, использованный из незнакомого расположения. Это обнаружение охватывает токены сеанса и токены обновления.
Аномальный маркер настраивается на создание большего шума по сравнению с другими обнаружениями на том же уровне риска. Этот компромисс выбирается для повышения вероятности обнаружения повторенных маркеров, которые в противном случае могут быть незамечены. Существует более высокий, чем обычный шанс, что некоторые сеансы, помеченные этим обнаружением, являются ложными срабатываниями. Мы рекомендуем расследовать сеансы, отмеченные этим обнаружением, только в контексте других входов того же пользователя. Если расположение, приложение, IP-адрес, агент пользователя или другие характеристики являются неожиданными для пользователя, администратор должен рассмотреть этот риск как индикатор потенциального повторного использования токена.
Советы по исследованию обнаружения аномальных токенов.
Необычное перемещение
Вычисляется в автономном режиме. Этот тип обнаружения рисков определяет два входа, исходящих из географически удаленных расположений, где по крайней мере одно из расположений также может быть нетипичным для пользователя, учитывая прошлое поведение. Алгоритм учитывает несколько факторов, включая время между двумя входами и временем, которое потребуется пользователю для перемещения из первого расположения во второй. Этот риск может указывать на то, что другой пользователь использует одни и те же учетные данные.
Алгоритм игнорирует очевидные "ложные срабатывания", которые способствуют невозможным условиям перемещения, такие как VPN и расположения, которые постоянно используют другие пользователи в организации. В системе предусмотрен первоначальный период обучения — 14 дней или 10 входов в систему, в течение которых она изучает поведение нового пользователя при входе.
Советы по изучению нетипичных обнаружений путешествий.
Неосуществимое перемещение
Вычисляется в автономном режиме. Это обнаружение производится с использованием информации, предоставленной Microsoft Defender для приложений в облаке. Это обнаружение выявляет действия пользователей (в одном или нескольких сеансах), происходящие из географически удаленных мест в пределах времени, короче, чем требуется для перемещения из первого места во второе. Этот риск может указывать на то, что другой пользователь использует одни и те же учетные данные.
Вредоносный IP-адрес
Вычисляется в автономном режиме. Это обнаружение означает вход с вредоносного IP-адреса. IP-адрес считается вредоносным на основании высокой частоты сбоев из-за недопустимых учетных данных, полученных от IP-адреса, или других источников репутации IP-адресов. В некоторых случаях это обнаружение срабатывает из-за предыдущей вредоносной активности.
Советы по изучению обнаружения вредоносных IP-адресов.
Массовый доступ к конфиденциальным файлам
Вычисляется в автономном режиме. Это обнаружение выполнено с использованием информации, предоставленной Microsoft Defender for Cloud Apps. Это обнаружение анализирует вашу пользовательскую среду и активирует оповещения, когда пользователи получают доступ к нескольким файлам из Microsoft SharePoint Online или Microsoft OneDrive. Оповещение активируется только в том случае, если количество доступных файлов редко для пользователя, а файлы могут содержать конфиденциальную информацию.
Новая страна
Вычисляется в автономном режиме. Это обнаружение производится с помощью сведений, предоставленных Microsoft Defender for Cloud Apps. Это обнаружение учитывает предыдущие местоположения активности, чтобы определить новые и редкие расположения. Механизм обнаружения аномалий хранит информацию о предыдущих расположениях, используемых пользователями в организации.
Распыление пароля
Вычисляется в режиме реального времени или в автономном режиме. Атака методом распыления паролей заключается в том, что несколько учётных записей атакуются с использованием общих паролей единым методом грубой силы. Обнаружение рисков активируется, если пароль учетной записи действителен и имеет попытку входа. Это обнаружение сигнализирует о том, что пароль пользователя был правильно идентифицирован с помощью атаки с распыления паролем, а не о том, что злоумышленник смог получить доступ к любым ресурсам.
Советы по изучению обнаружения спреев паролей.
Подозрительный браузер
Вычисляется в автономном режиме. Обнаружение подозрительных браузеров указывает на аномальное поведение, основанное на подозрительной активности входа у нескольких арендаторов из разных стран/регионов в одном браузере.
Советы по расследованию подозрительных обнаружений браузеров.
Подозрительная пересылка входящих писем
Вычисляется в автономном режиме. Это обнаружение осуществляется с помощью сведений, предоставляемых Microsoft Defender для облачных приложений. Эта функция определяет подозрительные правила переадресации сообщений электронной почты, например, если пользователь создал правило для папки "Входящие", которое отправляет копию всех сообщений электронной почты на внешний адрес.
Подозрительные правила манипуляции с папкой "Входящие"
Вычисляется в автономном режиме. Это обнаружение происходит с помощью сведений, предоставляемых Microsoft Defender для облачных приложений. Это обнаружение анализирует вашу среду и активирует оповещения, когда на личной папке "Входящие" пользователя установлены подозрительные правила, которые удаляют или перемещают сообщения либо папки. Это обнаружение может указывать на то, что учетная запись пользователя скомпрометирована, сообщения намеренно скрыты, а почтовый ящик используется для распространения нежелательной почты или вредоносных программ в вашей организации.
Аномалия издателя токенов
Вычисляется в автономном режиме. Это обнаружение риска указывает на то, что издатель SAML токена для связанного SAML токена потенциально скомпрометирован. Утверждения, содержащиеся в маркере, являются необычными или соответствуют известным шаблонам злоумышленников.
Советы по расследованию случаев обнаружения аномалий эмитента токенов.
Необычные свойства входа
Вычисляется в режиме реального времени. Этот тип обнаружения риска учитывает прошлый журнал входа для поиска аномальных входов. Система хранит сведения о предыдущих входах и активирует обнаружение рисков при входе со свойствами, незнакомыми пользователю. Эти свойства могут включать протокол IP, ASN, расположение, устройство, браузер и IP-подсеть клиента. Пользователи, недавно созданные, находятся на этапе "обучения", когда выключено выявление рисков, связанных с незнакомыми параметрами входа, пока наши алгоритмы изучают поведение пользователей. Длительность режима обучения является динамической и зависит от того, сколько времени понадобится алгоритму для сбора достаточной информации о шаблонах входа пользователей. Минимальная длительность составляет 5 дней. Пользователь может вернуться в режим обучения после длительного бездействия.
Мы также запускаем это обнаружение для базовой аутентификации (или устаревших протоколов). Поскольку эти протоколы не имеют современных свойств, таких как идентификатор клиента, имеется ограниченное количество данных для уменьшения ложных срабатываний. Мы рекомендуем нашим клиентам перейти на современные способы проверки подлинности.
Необычные свойства входа можно обнаружить как при интерактивных, так и при неинтерактивных входах. При обнаружении таких свойств для неинтерактивных входов стоит повысить точность проверки из-за риска атак с помощью воспроизведения маркеров.
Выбор незнакомых свойств входа позволяет просмотреть дополнительные сведения о том, почему этот риск активируется.
Проверенный IP-адрес субъекта угроз
Вычисляется в режиме реального времени. Этот тип обнаружения рисков указывает на активность входа, которая соответствует известным IP-адресам, связанным с государственными субъектами или группами кибер-преступлений, на основе данных Центра аналитики угроз (MSTIC).
Обнаружение рисков для премиум-пользователя
Аномальный токен (пользователь)
Вычисляется в режиме реального времени или в автономном режиме. Это обнаружение указывает на ненормальные характеристики в токене, такие как необычное время существования или токен, используемый из незнакомого местоположения. Это обнаружение охватывает токены сеансов и токены обновления.
Аномальный маркер приспосабливается к большему шуму, чем другие сигналы на том же уровне риска. Этот компромисс выбирается для повышения вероятности обнаружения повторенных маркеров, которые в противном случае могут быть незамечены. Существует более высокая, чем обычно, вероятность, что некоторые сеансы, помеченные этим обнаружением, являются ложными срабатываниями. Мы рекомендуем расследовать сеансы, отмеченные этим обнаружением, только в контексте других входов того же пользователя. Если местоположение, приложение, IP-адрес, агент пользователя или другие характеристики неожиданны для пользователя, администратор должен рассмотреть этот риск как индикатор потенциального повторного использования токена.
Советы по исследованию выявления аномальных токенов.
Аномальное действие пользователя
Вычисляется в автономном режиме. Эта система обнаружения рисков определяет нормальное поведение административных пользователей в Microsoft Entra ID и выявляет аномальные шаблоны поведения, такие как подозрительные изменения в каталоге. Обнаружение срабатывает в отношении администратора, вносящего изменения, или объекта, который был изменен.
Злоумышленник в середине
Вычисляется в автономном режиме. Также называемый "Злоумышленник в середине", этот высокоточный механизм обнаружения активируется, когда аутентификационная сессия связана с вредоносным обратным прокси-сервером. В такой атаке злоумышленник может перехватывать учетные данные пользователя, включая маркеры, выданные пользователю. Команда Microsoft Security Research использует Microsoft 365 Defender для отслеживания идентифицированного риска и повышения риска пользователя к высокому риску. Мы рекомендуем администраторам вручную изучить пользователя, когда срабатывает это обнаружение, чтобы убедиться, что риск устранен. Очистка этого риска может потребовать безопасного сброса пароля или отзыва существующих сеансов.
Возможная попытка доступа к первичному маркеру обновления
Вычисляется в автономном режиме. Этот тип обнаружения риска определяется с помощью данных, предоставляемых Microsoft Defender для конечных устройств (MDE). Первичный токен обновления (PRT) — это ключевой элемент проверки подлинности Microsoft Entra на устройствах с Windows 10, Windows Server 2016 и более поздних версиях, а также на устройствах iOS и Android. PRT — это веб-токен JSON (JWT), выданный сторонним брокерам маркеров Майкрософт, чтобы включить единый вход (SSO) в приложениях, используемых на этих устройствах. Злоумышленники могут попытаться получить доступ к этому ресурсу для последующей атаки на организацию или кражи учетных данных. Это обнаружение переводит пользователей в категорию высокого риска и срабатывает только в организациях, которые развертывают MDE. Это обнаружение несет высокий риск, и мы рекомендуем немедленное исправление для этих пользователей. Она редко встречается в большинстве организаций из-за низкого объема.
Подозрительный трафик API
Вычисляется в автономном режиме. Это обнаружение рисков сообщается, когда наблюдается ненормальный трафик API Graph или сканирование каталогов. Подозрительный трафик API может указывать на то, что пользователь скомпрометирован и осуществляет разведку в среде.
Подозрительные шаблоны отправки
Вычисляется в автономном режиме. Этот тип обнаружения рисков обнаруживается с помощью сведений, предоставляемых Microsoft Defender для Office 365 (MDO). Это оповещение создается, когда кто-то в вашей организации отправил подозрительное электронное письмо и либо рискует быть, либо уже ограничен в отправке электронной почты. Это обнаружение перемещает пользователей в категорию среднего риска и срабатывает только в организациях, которые развертывают MDO. Это обнаружение является низким объемом и редко наблюдается в большинстве организаций.
Пользователь сообщил о подозрительном действии
Вычисляется в автономном режиме. Это обнаружение рисков сообщается, когда пользователь отклоняет запрос многофакторной аутентификации (MFA) и сообщает об этом как о подозрительной активности. Запрос MFA, не инициированный пользователем, может означать, что их учетные данные скомпрометированы.
Обнаружения не премиальных
Клиенты без лицензий Microsoft Entra ID P2 получают обнаружения с названием "Дополнительные риски обнаружены" без подробных сведений об обнаружении, которые получают клиенты с лицензиями P2. Дополнительные сведения см. в требованиях к лицензии.
Обнаружение рисков при входе для непремиальных пользователей
Обнаружен дополнительный риск (вход)
Вычисляется в режиме реального времени или в автономном режиме. Это означает, что был обнаружен один из рисков уровня "Премиум". Поскольку обнаружения премиум-уровня видны только клиентам Microsoft Entra ID P2, они называются Обнаружены дополнительные риски для клиентов без лицензий Microsoft Entra ID P2.
Администратор подтвердил компрометацию пользователя
Вычисляется в автономном режиме. Это обнаружение указывает, что администратор выбрал подтверждение компрометации пользователя в пользовательском интерфейсе рискованных пользователей или использовании API riskyUsers. Чтобы узнать, какой администратор подтвердил, что этот пользователь скомпрометирован, проверьте журнал рисков пользователя (с помощью пользовательского интерфейса или API).
Анонимный IP-адрес
Вычисляется в режиме реального времени. Этот тип обнаружения риска указывает на вход с анонимного IP-адреса (например, браузер Tor, анонимайзеры VPN). Эти IP-адреса обычно используются субъектами, которые хотят скрыть свои данные для входа (IP-адрес, местоположение, устройство и т. д.) для потенциально преступных намерений.
Аналитика угроз Microsoft Entra (вход)
Вычисляется в режиме реального времени или в автономном режиме. Этот тип обнаружения рисков определяет активность пользователей, которая необычна для пользователя или соответствует известным шаблонам атак. Это обнаружение основано на внутренних и внешних источниках анализа угроз Microsoft.
Советы по изучению обнаружений на основе анализа угроз Microsoft Entra.
Обнаружение рисков для непремиальных пользователей
Обнаружен дополнительный риск (пользователь)
Вычисляется в режиме реального времени или в автономном режиме. Это обнаружение указывает на то, что был выявлен один из выявлений премиум-класса. Премиум-обнаружения доступны только клиентам Microsoft Entra ID P2, они значатся как Обнаружен дополнительный риск для клиентов без лицензий Microsoft Entra ID P2.
Утечка учетных данных
Вычисляется в автономном режиме. Этот тип обнаружения рисков указывает на утечку допустимых учетных данных пользователя. Когда злоумышленники компрометируют допустимые пароли законных пользователей, они часто используют эти собранные учетные данные. Обычно их публикуют в даркнете или на сайтах для размещения текстов, либо обмениваются и продают учетные данные на черном рынке. Когда служба Microsoft по обработке утечек учетных данных получает учетные данные пользователей из темного интернета, сайтов с утечками или других источников, они проверяются на соответствие текущим допустимым учетным данным пользователей Microsoft Entra, чтобы найти допустимые совпадения. Дополнительные сведения об утечке учетных данных см. в разделе распространенные вопросы.
Советы по изучению обнаружения утечки учетных данных.
Аналитика угроз Microsoft Entra (пользователь)
Вычисляется в автономном режиме. Этот тип обнаружения рисков определяет активность пользователей, которая необычна для пользователя или соответствует известным шаблонам атак. Это обнаружение основано на источниках внутренних и внешних данных о киберугрозах Microsoft.
Советы по расследованию обнаружений, основанных на аналитике угроз Microsoft Entra.
Часто задаваемые вопросы
Что делать, если неверные учетные данные использовались для попытки входа?
Защита идентификаторов создает обнаружение рисков только в том случае, если используются правильные учетные данные. Если неверные учетные данные используются при входе, он не представляет риска компрометации учетных данных.
Требуется ли синхронизация хэша паролей?
Для обнаружения рисков, таких как утечки учетных данных, требуется наличие хэшей паролей. Дополнительные сведения о синхронизации хэша паролей см. в статье "Реализация синхронизации хэша паролей с помощью Службы синхронизации Microsoft Entra Connect".
Почему обнаружения рисков создаются для отключенных учетных записей?
Учетные записи пользователей в отключенном состоянии можно повторно включить. Если учетные данные отключенной учетной записи были скомпрометированы и учетная запись снова включена, злоумышленники смогут использовать эти учетные данные для получения доступа. Защита идентификаторов создает обнаружение рисков подозрительных действий для этих отключенных учетных записей, чтобы предупредить клиентов о потенциальном взломе учетной записи. Если учетная запись больше не используется и не будет включена повторно, клиенты должны рассмотреть возможность удаления учетной записи, чтобы предотвратить компрометацию. Для удаленных учетных записей сигналы риска не создаются.
Я пытался отсортировать отчет об обнаружении рисков по столбцу Время обнаружения, но это не работает.
Сортировка по времени обнаружения в отчете об обнаружении рисков может не всегда дать правильный результат из-за известного технического ограничения. Чтобы отсортировать по времени обнаружения, выберите «Скачать», чтобы экспортировать данные в виде CSV-файла и сортировать их соответствующим образом.
Распространенные вопросы о утечке учетных данных
Где Майкрософт находит утечки учетных данных?
Майкрософт находит утечки учетных данных в различных местах, в том числе:
- Общедоступные сайты размещения, где злоумышленники обычно публикуют подобные материалы.
- Правоохранительные органы.
- другие группы в Microsoft, которые занимаются исследованием даркнета.
Почему я не вижу утечки учетных данных?
Утечки учетных данных обрабатываются всякий раз, когда корпорация Майкрософт находит новый пакет в общественном доступе. Поскольку эти сведения конфиденциальны, утерянные учетные данные удаляются вскоре после обработки. Только новые утечки учетных данных, обнаруженные после включения синхронизации хэша паролей (PHS), обрабатываются в клиенте. Проверка по ранее найденным парам учетных данных не выполняется.
Я не вижу каких-либо событий риска утечки учетных данных
Если вы не видите никаких событий риска утечки учетных данных, это связано со следующими причинами:
- Вы не включили PHS для вашего клиента.
- Корпорация Майкрософт не обнаружила утечки пар учетных данных, соответствующих вашим пользователям.
Как часто корпорация Майкрософт обрабатывает новые учетные данные?
Учетные данные обрабатываются сразу после их обнаружения, обычно в нескольких пакетах в день.
Местоположения
Расположение в обнаружениях рисков определяется с помощью поиска IP-адресов. Входы из доверенных именованных местоположений повышают точность вычисления рисков в Microsoft Entra ID Protection, снижая риск входа пользователя, когда они используют аутентификацию из места, обозначенного как доверенное.