Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Защита идентификаторов Microsoft Entra предоставляет организациям информацию о подозрительной активности в клиенте и позволяет быстро реагировать на предотвращение дальнейшего риска. Обнаружение рисков — это мощный ресурс, который может включать любые подозрительные или аномальные действия, связанные с учетными записями пользователей и субъектами-службами в каталоге. Обнаружение рисков защиты идентификаторов может быть связано с отдельным пользователем или событием входа и внести свой вклад в общую оценку риска пользователей, найденную в отчете о рискованных пользователях.
Обнаружение рисков пользователей может пометить законную учетную запись пользователя как риск, когда потенциальный субъект угроз получает доступ к учетной записи, компрометируя свои учетные данные или когда обнаружена аномальная активность пользователя. Обнаружение рисков входа представляет вероятность того, что заданный запрос проверки подлинности не является авторизованным владельцем учетной записи. Возможность выявления риска на уровне пользователя и входа имеет критическое значение для клиентов, чтобы они могли обеспечить безопасность своего арендатора.
Замечание
Полный список обнаружения рисков, их вычисление и требования к лицензии см. в разделе " Обнаружение рисков" и типы событий.
Уровни риска
Защита идентификаторов классифицирует риск на три уровня: низкий, средний и высокий. Уровни риска вычисляются нашими алгоритмами машинного обучения и представляют, насколько уверена корпорация Майкрософт в том, что одна или несколько учетных данных пользователя известны несанкционированной сущностью.
Обнаружение может срабатывать на нескольких уровнях риска в зависимости от уровня уверенности. Например, незнакомые свойства входа могут срабатать на высоком, среднем или низком уровне на основе уровня знакомства со свойствами входа. Другие обнаружения, такие как утечка учетных данных и ПРОВЕРЕННЫй IP-адрес субъекта угроз , всегда предоставляются как высокий риск, так как мы обнаружили подтверждение утечки учетных данных или субъекта угрозы.
Уровень риска важен при принятии решения о том, какие обнаружения следует проставлять приоритеты, расследовать и устранять проблемы. Уровень риска помогает определить приоритеты усилий по расследованию и исправлению.
Уровни риска также играют ключевую роль в настройке политик условного доступа на основе рисков, так как каждая политика может быть активирована для низкой, средней, высокой или нет обнаруженных рисков. На основе допустимости рисков в организации можно создать политики условного доступа, требующие многофакторной проверки подлинности или сброса пароля при обнаружении определенного уровня риска для одного из пользователей. Эти политики могут помочь пользователю самостоятельно устранить риск.
Это важно
Обнаружения рисков низкого уровня и данные о пользователях сохраняются в продукте в течение шести месяцев, после чего они автоматически удаляются, чтобы упростить процесс расследования. Средние и высокие уровни риска сохраняются до устранения или увольнения.
Обнаружение рисков с уровнем риска:
- Высокий уровень означает, что корпорация Майкрософт уверена в том, что учетная запись скомпрометирована. Такие сигналы, как аналитика угроз и известные шаблоны атак, учитывают уровень достоверности обнаружения рисков.
- Средний указывает, что обнаружена одна или несколько аномалий умеренной серьезности, но есть меньше уверенности в том, что учетная запись скомпрометирована. Шаблоны входа, поведение и другие сигналы учитываются при определении уровня уверенности в выявлении рисков.
- Низкий уровень уверенности означает, что при входе или использовании учетных данных пользователя обнаружены аномалии, но мы менее уверены, что учетная запись не была скомпрометирована. Шаблоны входа до и во время входа используются для определения того, существует ли шаблон или если вход является аномалией.
Обнаружение в режиме реального времени и в автономном режиме
Защита идентификаторов использует методы для повышения точности обнаружения рисков для пользователей и входа, вычисляя некоторые риски в режиме реального времени или в автономном режиме после проверки подлинности. Обнаружение риска в режиме реального времени при входе дает преимущество выявления риска на ранней стадии, чтобы пользователи могли самостоятельно устранять проблему в процессе входа, а администраторы быстро исследовать потенциальный компромисс. Политики условного доступа, активированные во время входа, могут остановить плохого субъекта, прежде чем получить доступ к учетной записи.
Обнаружения, вычисляемые в автономном режиме, могут получить больше сведений о том, как субъект угроз получил доступ к учетной записи и влияние на законного пользователя. Некоторые обнаружения можно активировать как в автономном режиме, так и во время входа, что повышает уверенность в обнаружении компрометации.
Обнаружение, срабатывающее в режиме реального времени, занимает 5–10 минут, чтобы отобразить подробности в отчетах. Автономные обнаружения появляются в отчетах в течение до 48 часов, поскольку необходимо время для оценки характеристик потенциального риска. Важно помнить, что уровни риска могут изменяться, так как некоторые обнаружения рисков вычисляются в автономном режиме после входа.
| Тип обнаружения | Риск входа в систему | Риск пользователя |
|---|---|---|
| Реальное время | Обнаружение подозрительного входа может быть устранено в режиме реального времени с помощью политики условного доступа, например, требуя многофакторную аутентификацию. | Обнаружен риск пользователя и может быть исправлен с помощью политики условного доступа, например принудительного изменения пароля в режиме реального времени. |
| Офлайн | Риск входа определяется после авторизации. Если этот риск не устранен, может привести к риску пользователя, если обнаружены и агрегированы дополнительные риски. | Пользователь считается рискованным после входа. Если политика условного доступа настроена, пользователь блокируется, пока не будет выполнен самостоятельный сброс пароля при следующей проверке подлинности. |
Замечание
Наша система может определить, что событие риска, которое способствовало оценке риска пользователя, было либо:
- Ложноположительное срабатывание или
- Риск пользователя был исправлен политикой (путем завершения многофакторной проверки подлинности или безопасного изменения пароля).
Наша система отменяет состояние риска и устанавливает подробности риска на вход подтвержден ИИ как безопасный, поэтому состояние риска больше не учитывается в общем уровне риска пользователя.
Обнаружение времени
В подробных данных о рисках обнаружение времени фиксирует точный момент, когда риск выявляется во время входа пользователя, что позволяет оценивать риски в режиме реального времени и немедленно применять политику для защиты пользователя и организации. Последнее обновление обнаружения показывает последнее обновление обнаружения рисков, которое может быть связано с новыми сведениями, изменениями уровня риска или административными действиями и обеспечивает актуальное управление рисками.
Эти поля важны для мониторинга, реагирования на угрозы в режиме реального времени и обеспечения безопасного доступа к ресурсам организации.
Местоположения
Расположение в обнаружениях рисков определяется с помощью поиска IP-адресов. Входы из доверенных именованных местоположений повышают точность вычисления рисков в Microsoft Entra ID Protection, снижая риск входа пользователя, когда они используют аутентификацию из места, обозначенного как доверенное.
Замечание
Ищете обнаружения рисков, сопоставленные с таблицей RiskEventType ? Он переместился в новую статью об обнаружении рисков и типах событий .
Обнаружения агентов (предварительная версия)
Отчет об обнаружении рисков включает выделенную вкладку для обнаружения агентов, которая отображает обнаружения рисков специально для автономных ИИ-агентов с использованием идентификатора Microsoft Entra Agent. Эти обнаружения помогают выявлять подозрительные действия, связанные с агентами, позволяя администраторам эффективно отслеживать и реагировать на потенциальные угрозы. Список обнаружения рисков, связанных с агентами, см. в разделе "Защита идентификаторов" для агентов.
