Risk algılamaları nelerdir?
Microsoft Entra Kimlik Koruması, kuruluşlara kiracılarındaki şüpheli etkinliklerle ilgili bilgi sağlar ve daha fazla risk oluşmasını önlemek için hızlı bir şekilde yanıt vermelerini sağlar. Risk algılamaları, dizindeki bir kullanıcı hesabıyla ilgili şüpheli veya anormal etkinlikleri içerebilen güçlü bir kaynaktır. Kimlik Koruması risk algılamaları tek bir kullanıcıya veya oturum açma etkinliğine bağlanabilir ve Riskli Kullanıcılar raporunda bulunan genel kullanıcı risk puanına katkıda bulunabilir.
Kullanıcı riski algılamaları, olası bir tehdit aktörü kimlik bilgilerini tehlikeye atarak bir hesaba eriştiğinde veya bir tür anormal kullanıcı etkinliği algıladığında, yasal bir kullanıcı hesabını risk altında olarak işaretleyebilirsiniz. Oturum açma riski algılamaları, belirli bir kimlik doğrulama isteğinin hesabın yetkili sahibi olma olasılığını temsil eder. Kullanıcı ve oturum açma düzeyinde riski belirleme becerisine sahip olmak, müşterilerin kiracılarının güvenliğini sağlama yetkisine sahip olması açısından kritik öneme sahiptir.
Risk düzeyleri
Id Protection, riski üç katmana ayırır: düşük, orta ve yüksek. Makine öğrenmesi algoritmalarımız tarafından hesaplanan risk düzeyleri, Microsoft'un bir veya daha fazla kullanıcının kimlik bilgilerinin yetkisiz bir varlık tarafından bilindiği konusunda ne kadar emin olduğunu gösterir.
- Risk düzeyi Yüksek olan bir risk algılama, Microsoft'un hesabın gizliliğinin ihlal edilmiş olduğundan son derece emin olduğunu gösterir.
- Risk düzeyi Düşük olan bir risk algılama, oturum açmada veya kullanıcının kimlik bilgilerinde anomaliler olduğunu belirtir, ancak bu anomalilerin hesabın tehlikeye atıldığı anlamına geldiğini daha az güveniyoruz.
Birçok algılama, algılanan anomalilerin sayısına veya önem derecesine bağlı olarak risk düzeylerimizin birden fazlasinde tetiklenebilir. Örneğin, bilinmeyen oturum açma özellikleri sinyallerdeki güvene bağlı olarak yüksek, orta veya düşük düzeyde tetiklenebilir. Sızdırılan Kimlik Bilgileri ve Doğrulanmış Tehdit Aktörü IP'leri gibi bazı algılamalar her zaman yüksek riskli olarak sunulur.
Bu risk düzeyi, öncelik belirleme, araştırma ve düzeltme için hangi algılamaların belirlendiği konusunda önemlidir. Her ilke düşük, orta, yüksek veya hiçbir risk algılanmadığı için tetiklenecek şekilde ayarlanabildiği için risk tabanlı Koşullu Erişim ilkelerini yapılandırmada da önemli bir rol oynarlar. Kuruluşunuzun risk toleransını temel alarak, Kimlik Koruması kullanıcılarınızdan biri için belirli bir risk düzeyi algıladığında MFA veya parola sıfırlama gerektiren ilkeler oluşturabilirsiniz. Bu ilkeler, kullanıcıya riski çözümlemek için kendi kendine düzeltme konusunda yol gösterebilir.
Önemli
Tüm "düşük" risk düzeyi algılamaları ve kullanıcılar üründe 6 ay süreyle kalır ve daha temiz bir araştırma deneyimi sağlamak için otomatik olarak eskir. Orta ve yüksek risk düzeyleri düzeltilene veya kapatılana kadar devam eder.
Kuruluşunuzun risk toleransını temel alarak, Kimlik Koruması belirli bir risk düzeyi algıladığında MFA veya parola sıfırlama gerektiren ilkeler oluşturabilirsiniz. Bu ilkeler, kullanıcıya toleranslarınıza bağlı olarak riski veya engellemeyi kendi kendine düzeltmesi ve çözmesi için yol gösterebilir.
Gerçek zamanlı ve çevrimdışı algılamalar
Kimlik Koruması, kimlik doğrulamasından sonra gerçek zamanlı veya çevrimdışı olarak bazı riskleri hesaplayarak kullanıcı ve oturum açma riski algılamalarının duyarlığı artırmak için tekniklerden yararlanır. Oturum açma sırasında riski gerçek zamanlı olarak algılamak, müşterilerin olası riski hızla araştırabilmesi için riski erken belirleme avantajı sağlar. Riski çevrimdışı hesaplayan algılamalarda, tehdit aktörün hesaba nasıl erişebildiği ve geçerli kullanıcı üzerindeki etkisi hakkında daha fazla içgörü sağlayabilir. Bazı algılamalar hem çevrimdışı hem de oturum açma sırasında tetiklenebilir ve bu da güvenliğin aşılması konusunda kesin olma güvenini artırır.
Gerçek zamanlı olarak tetiklenen algılamaların ayrıntıları raporlarda ortaya çıkarması 5-10 dakika sürer. Olası riskin özelliklerini değerlendirmek zaman aldığından çevrimdışı algılamaların raporlarda ortaya çıkarması 48 saate kadar sürer.
Not
Sistemimiz risk kullanıcı risk puanına katkıda bulunan risk olayının aşağıdakilerden biri olduğunu algılayabilir:
- Hatalı pozitif
- Kullanıcı riski, ilke tarafından aşağıdakilerden biri tarafından düzeltildi:
- Çok faktörlü kimlik doğrulamasını tamamlama
- Güvenli parola değişikliği
Sistemimiz risk durumunu kapatacak ve yapay zeka tarafından onaylanan oturum açma kasasının risk ayrıntıları kullanıcının genel riskine katkıda bulunmayacaktır.
Riskle ilgili ayrıntılı verilerde Zaman Algılama, kullanıcının oturum açma işlemi sırasında bir riskin tam olarak belirlendiği anı kaydeder. Bu, kullanıcıyı ve kuruluşu korumak için gerçek zamanlı risk değerlendirmesine ve anında ilke uygulamasına olanak tanır. Algılama son güncelleştirmesinde , yeni bilgiler, risk düzeyi değişiklikleri veya yönetim eylemlerinden kaynaklanabilecek en son risk algılama güncelleştirmesi gösterilir ve güncel risk yönetimi sağlanır.
Bu alanlar gerçek zamanlı izleme, tehdit yanıtı ve kuruluş kaynaklarına güvenli erişimin korunması için gereklidir.
riskEventType ile eşlenen risk algılamaları
Risk algılama | Algılama türü | Tür | riskEventType |
---|---|---|---|
Oturum açma riski algılamaları | |||
Anonim IP adresinden etkinlik | Çevrimdışı | Premium | riskyIPAddress |
Ek risk algılandı (oturum açma) | Gerçek zamanlı veya Çevrimdışı | Şirket dışı | generic = P2 olmayan kiracılar için premium algılama sınıflandırması |
Yönetici, kullanıcının güvenliğinin aşıldığını doğruladı | Çevrimdışı | Şirket dışı | adminConfirmedUserCompromised |
Anormal Belirteç | Gerçek zamanlı veya Çevrimdışı | Premium | anomalousToken |
Anonim IP adresi | Gerçek zamanlı | Şirket dışı | anonymizedIPAddress |
Atipik seyahat | Çevrimdışı | Premium | olası OlmayanTravel |
İmkansız seyahat | Çevrimdışı | Premium | mcasImpossibleTravel |
Kötü amaçlı IP adresi | Çevrimdışı | Premium | maliciousIPAddress |
Hassas Dosyalara Toplu Erişim | Çevrimdışı | Premium | mcasFinSuspiciousFileAccess |
Microsoft Entra tehdit bilgileri (oturum açma) | Gerçek zamanlı veya Çevrimdışı | Şirket dışı | investigationsThreatIntelligence |
Yeni ülke | Çevrimdışı | Premium | newCountry |
Parola spreyi | Çevrimdışı | Premium | passwordSpray |
Şüpheli tarayıcı | Çevrimdışı | Premium | suspiciousBrowser |
Şüpheli gelen kutusu iletme | Çevrimdışı | Premium | suspiciousInboxForwarding |
Şüpheli gelen kutusu işleme kuralları | Çevrimdışı | Premium | mcasSuspiciousInboxManipulationRules |
Belirteç veren anomalisi | Çevrimdışı | Premium | tokenIssuerAnomaly |
Tanıdık olmayan oturum açma özellikleri | Gerçek zamanlı | Premium | tanıdık olmayanFeatures |
Doğrulanmış tehdit aktörü IP'si | Gerçek zamanlı | Premium | nationStateIP |
Kullanıcı riski algılamaları | |||
Ek risk algılandı (kullanıcı) | Gerçek zamanlı veya Çevrimdışı | Şirket dışı | generic = P2 olmayan kiracılar için premium algılama sınıflandırması |
Anormal kullanıcı etkinliği | Çevrimdışı | Premium | anomalousUserActivity |
Ortadaki Saldırgan | Çevrimdışı | Premium | attackerinTheMiddle |
Sızdırılan kimlik bilgileri | Çevrimdışı | Şirket dışı | leakedCredentials |
Microsoft Entra tehdit bilgileri (kullanıcı) | Gerçek zamanlı veya Çevrimdışı | Şirket dışı | investigationsThreatIntelligence |
Birincil Yenileme Belirteci'ne (PRT) erişme girişimi | Çevrimdışı | Premium | attemptedPrtAccess |
Şüpheli API Trafiği | Çevrimdışı | Premium | suspiciousAPITraffic |
Şüpheli gönderme desenleri | Çevrimdışı | Premium | suspiciousSendingPatterns |
Kullanıcı şüpheli etkinlik bildirdi | Çevrimdışı | Premium | userReportedSuspiciousActivity |
Premium algılamalar
Aşağıdaki premium algılamalar yalnızca Microsoft Entra ID P2 müşterileri tarafından görülebilir.
Premium oturum açma riski algılamaları
Anonim IP adresinden etkinlik
Çevrimdışı olarak hesaplanır. Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama, kullanıcıların anonim ara sunucu IP adresi olarak tanımlanan bir IP adresinden etkin olduğunu tanımlar.
Anormal belirteç
Gerçek zamanlı veya çevrimdışı olarak hesaplanır. Bu algılama, belirteçteki olağan dışı yaşam süresi veya bilinmeyen bir konumdan oynatılan belirteç gibi anormal özellikleri gösterir. Bu algılama, Oturum Belirteçlerini ve Yenileme Belirteçlerini kapsar.
Anormal belirteç, aynı risk düzeyindeki diğer algılamalardan daha fazla kirliliğe neden olacak şekilde ayarlanır. Bu denge, aksi takdirde fark edilmeyen yeniden oynatılan belirteçleri algılama olasılığını artırmak için seçilir. Bu algılama tarafından bayrak eklenmiş oturumlardan bazılarının hatalı pozitif olma olasılığı normalden yüksektir. Kullanıcıdan gelen diğer oturum açma işlemleri bağlamında bu algılama tarafından bayrak eklenmiş oturumları araştırmanızı öneririz. Konum, uygulama, IP adresi, Kullanıcı Aracısı veya diğer özellikler kullanıcı için beklenmedikse, yönetici bu riski olası belirtecin yeniden oynatılması göstergesi olarak düşünmelidir.
Anormal belirteç algılamalarını araştırma ipuçları.
Olağandışı yolculuk
Çevrimdışı olarak hesaplanır. Bu risk algılama türü, coğrafi olarak uzak konumlardan kaynaklanan ve geçmişteki davranışlar göz önüne alındığında konumlardan en az birinin de kullanıcı için atipik olabileceği iki oturum açma işlemini tanımlar. Algoritma, iki oturum açma işlemi arasındaki süre ve kullanıcının ilk konumdan ikinciye geçmesi için gereken süre dahil olmak üzere birden çok faktörü dikkate alır. Bu risk, farklı bir kullanıcının aynı kimlik bilgilerini kullandığını gösterebilir.
Algoritma, vpn'ler ve kuruluştaki diğer kullanıcılar tarafından düzenli olarak kullanılan konumlar gibi imkansız seyahat koşullarına katkıda bulunan belirgin "hatalı pozitif sonuçları" yoksayar. Sistemin ilk öğrenme süresi en erken 14 gün veya 10 oturum açma işlemidir ve bu süre boyunca yeni bir kullanıcının oturum açma davranışını öğrenir.
Atipik seyahat algılamalarını araştırma ipuçları.
Mümkün olmayan seyahat
Çevrimdışı olarak hesaplanır. Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama, coğrafi olarak uzak konumlardan kaynaklanan kullanıcı etkinliklerini (tek veya birden çok oturumda) ilk konumdan ikinciye gitmek için geçen süreden daha kısa bir süre içinde tanımlar. Bu risk, farklı bir kullanıcının aynı kimlik bilgilerini kullandığını gösterebilir.
Kötü amaçlı IP adresi
Çevrimdışı olarak hesaplanır. Bu algılama, kötü amaçlı bir IP adresinden oturum açmayı gösterir. BIR IP adresi, IP adresinden veya diğer IP saygınlığı kaynaklarından alınan geçersiz kimlik bilgileri nedeniyle yüksek hata oranlarına bağlı olarak kötü amaçlı olarak kabul edilir. Bazı durumlarda, bu algılama önceki kötü amaçlı etkinliklerde tetikler.
Kötü amaçlı IP adresi algılamalarını araştırma ipuçları.
Hassas dosyalara toplu erişim
Çevrimdışı olarak hesaplanır. Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama ortamınıza bakar ve kullanıcılar Microsoft Office SharePoint Online veya Microsoft OneDrive'dan birden çok dosyaya eriştiğinde uyarıları tetikler. Uyarı, yalnızca kullanıcı için erişilen dosyaların sayısı sık karşılaşılan bir durumsa ve dosyalar hassas bilgiler içerebileceğinden tetiklenebilir.
Yeni ülke
Çevrimdışı olarak hesaplanır. Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama, yeni ve seyrek konumları belirlemek için geçmiş etkinlik konumlarını dikkate alır. Anomali algılama altyapısı, kuruluştaki kullanıcılar tarafından kullanılan önceki konumlar hakkındaki bilgileri depolar.
Parola spreyi
Çevrimdışı olarak hesaplanır. Parola spreyi saldırısı, ortak parolalar kullanılarak birleşik deneme yanılma şeklinde birden çok kimliğin saldırıya uğramasıdır. Bir hesabın parolası geçerli olduğunda ve oturum açmaya çalıştığında risk algılama tetikleniyor. Bu algılama, kullanıcının parolasının parola spreyi saldırısıyla doğru şekilde tanımlandığını gösterir, saldırganın herhangi bir kaynağa erişemediğini gösterir.
Kötü amaçlı IP adresi algılamalarını araştırma ipuçları.
Şüpheli tarayıcı
Çevrimdışı olarak hesaplanır. Şüpheli tarayıcı algılama, aynı tarayıcıdaki farklı ülkelerdeki birden çok kiracıda şüpheli oturum açma etkinliğine dayalı anormal davranışı gösterir.
Şüpheli tarayıcı algılamalarını araştırma ipuçları.
Şüpheli gelen kutusu iletme
Çevrimdışı olarak hesaplanır. Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama, örneğin bir kullanıcı tüm e-postaların bir kopyasını dış adrese ileden bir gelen kutusu kuralı oluşturduysa şüpheli e-posta iletme kurallarını arar.
Şüpheli gelen kutusu işleme kuralları
Çevrimdışı olarak hesaplanır. Bu algılama, Bulut için Microsoft Defender Uygulamalar tarafından sağlanan bilgiler kullanılarak bulunur. Bu algılama ortamınıza bakar ve kullanıcının gelen kutusunda iletileri veya klasörleri silip taşıyabilen şüpheli kurallar ayarlandığında uyarıları tetikler. Bu algılama şunları gösterebilir: Kullanıcının hesabının güvenliği aşıldı, iletiler kasıtlı olarak gizleniyor ve posta kutusu kuruluşunuzda istenmeyen posta veya kötü amaçlı yazılım dağıtmak için kullanılıyor.
Belirteç veren anomalisi
Çevrimdışı olarak hesaplanır. Bu risk algılama, ilişkili SAML belirteci için SAML belirteci verenin potansiyel olarak risk altında olduğunu gösterir. Belirteçte yer alan talepler olağan dışıdır veya bilinen saldırgan desenleri ile eşleşilir.
Belirteç veren anomali algılamalarını araştırma ipuçları.
Bilinmeyen oturum açma özellikleri
Gerçek zamanlı olarak hesaplanır. Bu risk algılama türü, anormal oturum açmaları aramak için geçmiş oturum açma geçmişini dikkate alır. Sistem, önceki oturum açma işlemleriyle ilgili bilgileri depolar ve kullanıcıya yabancı özelliklerle oturum açma gerçekleştiğinde risk algılamayı tetikler. Bu özellikler IP, ASN, konum, cihaz, tarayıcı ve kiracı IP alt ağı içerebilir. Yeni oluşturulan kullanıcılar, algoritmalarımız kullanıcının davranışını öğrenirken tanıdık olmayan oturum açma özellikleri risk algılamanın kapatıldığı bir "öğrenme modunda" dönemdedir. Öğrenme modu süresi dinamiktir ve kullanıcının oturum açma desenleri hakkında yeterli bilgi toplamak için algoritmanın ne kadar zaman aldığına bağlıdır. En düşük süre beş gündür. Kullanıcı, uzun süre etkinlik dışı kaldıktan sonra öğrenme moduna geri dönebilir.
Ayrıca bu algılamayı temel kimlik doğrulaması (veya eski protokoller) için de çalıştırıyoruz. Bu protokoller istemci kimliği gibi modern özelliklere sahip olmadığından hatalı pozitif sonuçları azaltmak için sınırlı veri vardır. Müşterilerimizin modern kimlik doğrulamasına geçmelerini öneririz.
Hem etkileşimli hem de etkileşimli olmayan oturum açmalarda tanıdık olmayan oturum açma özellikleri algılanabilir. Etkileşimli olmayan oturum açma işlemlerinde bu algılama algılandığında, belirteç yeniden yürütme saldırıları riski nedeniyle daha fazla incelemeyi hak eder.
Tanıdık olmayan bir oturum açma özellikleri riski seçmek, bu riskin neden tetiklediği hakkında daha fazla ayrıntı gösteren daha fazla bilgi görmenize olanak tanır.
Doğrulanmış tehdit aktörü IP'si
Gerçek zamanlı olarak hesaplanır. Bu risk algılama türü, Microsoft Tehdit Bilgileri Merkezi'nden (MSTIC) alınan verilere bağlı olarak, ulus devlet aktörleri veya siber suç gruplarıyla ilişkili bilinen IP adresleriyle tutarlı oturum açma etkinliğini gösterir.
Premium kullanıcı risk algılamaları
Anormal kullanıcı etkinliği
Çevrimdışı olarak hesaplanır. Bu risk algılama, Microsoft Entra Id'deki normal yönetici kullanıcı davranışını temel alır ve dizinde şüpheli değişiklikler gibi anormal davranış desenleri belirler. Algılama, değişikliği yapan yöneticiye veya değiştirilen nesneye karşı tetiklendi.
Ortadaki Saldırgan
Çevrimdışı olarak hesaplanır. Ortadaki Saldırgan olarak da bilinen bu yüksek duyarlıklı algılama, bir kimlik doğrulama oturumu kötü amaçlı ters ara sunucuya bağlandığında tetikleniyor. Bu tür bir saldırıda saldırgan, kullanıcıya verilen belirteçler de dahil olmak üzere kullanıcının kimlik bilgilerini kesebilir. Microsoft Güvenlik Araştırması ekibi, tanımlanan riski yakalamak için Microsoft 365 Defender'ı kullanır ve kullanıcıyı Yüksek risk düzeyine yükseltir. Yöneticilerin riskin temizlendiğinden emin olmak için bu algılama tetiklendiğinde kullanıcıyı el ile araştırmasını öneririz. Bu riskin temizlenmesi için güvenli parola sıfırlama veya mevcut oturumların iptal edilmesi gerekebilir.
Birincil Yenileme Belirteci'ne (PRT) erişme girişimi
Çevrimdışı olarak hesaplanır. Bu risk algılama türü, Uç Nokta için Microsoft Defender (MDE) tarafından sağlanan bilgiler kullanılarak bulunur. Birincil Yenileme Belirteci (PRT), Windows 10, Windows Server 2016 ve sonraki sürümler, iOS ve Android cihazlarda Microsoft Entra kimlik doğrulamasının önemli bir yapıtıdır. PRT, bu cihazlarda kullanılan uygulamalarda çoklu oturum açmayı (SSO) etkinleştirmek için Microsoft birinci taraf belirteç aracılarına verilen bir JSON Web Belirtecidir (JWT). Saldırganlar, bir kuruluşa ya da kimlik bilgisi hırsızlığı gerçekleştirmek için bu kaynağa erişmeye çalışabilir. Bu algılama, kullanıcıları yüksek riske taşır ve yalnızca MDE dağıtan kuruluşlarda tetikler. Bu algılama yüksek risklidir ve bu kullanıcıların hızlı bir şekilde düzeltilmesi önerilir. Düşük hacmi nedeniyle çoğu kuruluşta seyrek görünür.
Şüpheli API trafiği
Çevrimdışı olarak hesaplanır. Anormal GraphAPI trafiği veya dizin numaralandırması gözlemlendiğinde bu risk algılama bildirilir. Şüpheli API trafiği, bir kullanıcının gizliliğinin tehlikeye girdiğini ve ortamda keşif gerçekleştirdiğini gösterebilir.
Şüpheli gönderme desenleri
Çevrimdışı olarak hesaplanır. Bu risk algılama türü, Office 365 için Microsoft Defender (MDO) tarafından sağlanan bilgiler kullanılarak bulunur. Bu uyarı, kuruluşunuzdaki bir kişi şüpheli e-posta gönderdiğinde ve e-posta gönderme riski altında olduğunda veya e-posta göndermesi kısıtlandığında oluşturulur. Bu algılama, kullanıcıları orta düzeyde risklere taşır ve yalnızca MDO dağıtan kuruluşlarda tetikler. Bu algılama düşük hacimli bir algılamadır ve çoğu kuruluşta seyrek görülür.
Kullanıcı şüpheli etkinlik bildirdi
Çevrimdışı olarak hesaplanır. Bu risk algılama, kullanıcı çok faktörlü kimlik doğrulaması (MFA) istemini reddedip şüpheli etkinlik olarak bildirdiğinde bildirilir. Kullanıcı tarafından başlatılmayan bir MFA istemi, kimlik bilgilerinin tehlikeye atıldığı anlamına gelebilir.
Şirket dışı algılamalar
Microsoft Entra ID P2 lisansı olmayan müşteriler, P2 lisansına sahip müşterilerin yaptığı algılamayla ilgili ayrıntılı bilgi olmadan Algılanan ek risk başlıklı algılamaları alır. Daha fazla bilgi için bkz . lisans gereksinimleri.
Genel olmayan oturum açma riski algılamaları
Ek risk algılandı (oturum açma)
Gerçek zamanlı veya çevrimdışı olarak hesaplanır. Bu algılama, premium algılamalardan birinin algılandığını gösterir. Premium algılamalar yalnızca Microsoft Entra ID P2 müşterileri tarafından görülebildiğinden, Microsoft Entra ID P2 lisansı olmayan müşteriler için ek risk algılandı başlığına sahipler.
Yönetici, kullanıcının güvenliğinin aşıldığını doğruladı
Çevrimdışı olarak hesaplanır. Bu algılama, riskli kullanıcılar kullanıcı arabiriminde veya riskliKullanıcılar API'sini kullanarak kullanıcının güvenliğinin aşıldığını onayla'yı seçen bir yöneticiyi gösterir. Bu kullanıcının gizliliğinin ihlal edildiğini onaylayan yöneticiyi görmek için kullanıcının risk geçmişini denetleyin (kullanıcı arabirimi veya API aracılığıyla).
Anonim IP adresi
Gerçek zamanlı olarak hesaplanır. Bu risk algılama türü, anonim bir IP adresinden (örneğin, Tor tarayıcısı veya anonim VPN) oturum açmaları gösterir. Bu IP adresleri genellikle kötü amaçlı olabilecek amaçlar için oturum açma bilgilerini (IP adresi, konum, cihaz vb.) gizlemek isteyen aktörler tarafından kullanılır.
Microsoft Entra tehdit bilgileri (oturum açma)
Gerçek zamanlı veya çevrimdışı olarak hesaplanır. Bu risk algılama türü, kullanıcı için olağan dışı veya bilinen saldırı desenleriyle tutarlı olan kullanıcı etkinliğini gösterir. Bu algılama, Microsoft'un iç ve dış tehdit bilgileri kaynaklarını temel alır.
Microsoft Entra tehdit bilgileri algılamalarını araştırma ipuçları.
Şirket dışı kullanıcı risk algılamaları
Ek risk algılandı (kullanıcı)
Gerçek zamanlı veya çevrimdışı olarak hesaplanır. Bu algılama, premium algılamalardan birinin algılandığını gösterir. Premium algılamalar yalnızca Microsoft Entra ID P2 müşterileri tarafından görülebildiğinden, Microsoft Entra ID P2 lisansı olmayan müşteriler için ek risk algılandı başlığına sahipler.
Sızdırılan kimlik bilgileri
Çevrimdışı olarak hesaplanır. Bu risk algılama türü, kullanıcının geçerli kimlik bilgilerinin sızdırıldığını gösterir. Siber suçlular meşru kullanıcıların geçerli parolalarını tehlikeye attığında, genellikle bu toplanan kimlik bilgilerini paylaşırlar. Bu paylaşım genellikle karanlık ağda herkese açık olarak yayınlanarak, siteleri yapıştırarak veya karaborsada kimlik bilgilerini alıp satarak yapılır. Microsoft sızdırılan kimlik bilgileri hizmeti koyu web'den, yapıştırma sitelerinden veya diğer kaynaklardan kullanıcı kimlik bilgilerini edindiğinde, geçerli eşleşmeleri bulmak için Microsoft Entra kullanıcılarının geçerli geçerli kimlik bilgilerine karşı denetlenir. Sızdırılan kimlik bilgileri hakkında daha fazla bilgi için sık sorulan sorulara bakın.
Sızdırılan kimlik bilgileri algılamalarını araştırma ipuçları.
Microsoft Entra tehdit bilgileri (kullanıcı)
Çevrimdışı olarak hesaplanır. Bu risk algılama türü, kullanıcı için olağan dışı veya bilinen saldırı desenleriyle tutarlı olan kullanıcı etkinliğini gösterir. Bu algılama, Microsoft'un iç ve dış tehdit bilgileri kaynaklarını temel alır.
Microsoft Entra tehdit bilgileri algılamalarını araştırma ipuçları.
Sık sorulan sorular
Oturum açmaya çalışmak için yanlış kimlik bilgileri kullanıldıysa ne olur?
Kimlik Koruması yalnızca doğru kimlik bilgileri kullanıldığında risk algılamaları oluşturur. Oturum açmada yanlış kimlik bilgileri kullanılıyorsa, kimlik bilgilerinin tehlikeye atılmasına neden olmaz.
Parola karması eşitlemesi gerekiyor mu?
Sızdırılan kimlik bilgileri gibi risk algılamaları, algılamanın gerçekleşmesi için parola karmalarının varlığını gerektirir. Parola karması eşitlemesi hakkında daha fazla bilgi için Microsoft Entra Connect Sync ile parola karması eşitlemesi uygulama makalesine bakın.
Devre dışı bırakılan hesaplar için risk algılamaları neden oluşturulur?
Devre dışı durumdaki kullanıcı hesapları yeniden etkinleştirilebilir. Devre dışı bırakılmış bir hesabın kimlik bilgileri tehlikeye girerse ve hesap yeniden etkinleştirilirse, hatalı aktörler erişim kazanmak için bu kimlik bilgilerini kullanabilir. Id Protection, müşterileri olası hesap güvenliğinin aşılmasına karşı uyarmak üzere bu devre dışı bırakılmış hesaplara karşı şüpheli etkinlikler için risk algılamaları oluşturur. Bir hesap artık kullanımda değilse ve yeniden etkinleştirilmezse, müşterilerin güvenliğin aşılmasını önlemek için hesabı silmeyi göz önünde bulundurması gerekir. Silinen hesaplar için risk algılaması oluşturulmaz.
Yaygın sızdırılan kimlik bilgileri soruları
Microsoft, sızdırılan kimlik bilgilerini nerede bulur?
Microsoft, aşağıdakiler de dahil olmak üzere çeşitli yerlerde sızdırılan kimlik bilgilerini bulur:
- Kötü aktörlerin genellikle bu tür malzemeleri göndereceği genel yapıştırma siteleri.
- Kolluk kuvvetleri.
- Microsoft'taki diğer gruplar koyu web araştırması yapıyor.
Neden sızdırılmış kimlik bilgileri görmüyorum?
Sızdırılan kimlik bilgileri, Microsoft yeni ve genel kullanıma açık bir toplu iş bulduğunda işlenir. Hassas yapısı nedeniyle, sızdırılan kimlik bilgileri işlendikten kısa bir süre sonra silinir. Yalnızca parola karması eşitlemesini (PHS) etkinleştirdikten sonra bulunan yeni sızdırılan kimlik bilgileri kiracınızda işlenir. Daha önce bulunan kimlik bilgileri çiftlerine karşı doğrulama yapılmaz.
Sızdırılan kimlik bilgisi risk olayı görmüyorum
Sızdırılan kimlik bilgisi risk olayı görmüyorsanız, bunun nedeni aşağıdaki nedenlerdendir:
- Kiracınız için PHS etkin değil.
- Microsoft, kullanıcılarınızla eşleşen herhangi bir sızdırılmış kimlik bilgisi çifti bulamadı.
Microsoft yeni kimlik bilgilerini ne sıklıkta işler?
Kimlik bilgileri, bulunduktan hemen sonra, normalde günde birden çok toplu işte işlenir.
Yerleşimler
Risk algılamalarındaki konum, IP adresi araması kullanılarak belirlenir. Güvenilen adlandırılmış konumlardan yapılan oturum açma işlemleri, Microsoft Entra Kimlik Koruması risk hesaplamasının doğruluğunu artırır ve güvenilen olarak işaretlenmiş bir konumdan kimlik doğrulaması yaptıklarında kullanıcının oturum açma riskini azaltır.