How To:調查風險

Identity Protection 為組織提供報告，他們可用來調查其環境中的身分識別風險。 這些報告包括 有風險的使用者、 有風險的登入、 有風險的工作負載身分識別，以及 風險偵測。 事件調查是深入了解並找出任何安全性策略弱點的關鍵。 所有這些報告都允許在 中下載事件。CSV 格式或與其他安全性解決方案整合，例如專用 SIEM 工具來進一步分析。

組織可以利用 Microsoft Graph API 整合來彙總其他來源的資料 (如果這些來源是組織有權存取的話)。

這三份報告位於 Microsoft Entra 系統管理中心>保護>Identity Protection 中。

瀏覽報告

每種報告啟動時，都會隨附報告頂端所示期間所有偵測的清單。 系統管理員可以根據喜好設定，為每種報告新增或移除資料行。 系統管理員可以選擇下載 .CSV 或 .JSON 格式的資料。 橫跨報告頂端的篩選器可供篩選報告。

選取個別專案可能會啟用報表頂端的更多專案，例如能夠確認登入為遭入侵或安全、確認使用者遭入侵，或關閉用戶風險。

選取個別項目時，偵測下方即會展開詳細資料視窗。 詳細數據檢視可讓系統管理員調查並針對每個偵測採取動作。

風險性使用者

具風險的用戶報告會列出帳戶目前或被視為有入侵風險的所有使用者。 應調查並補救有風險的使用者，以防止未經授權的資源存取。

為什麼使用者會有風險？

使用者會在：

• 他們有一或多個有風險的登入。
• 在用戶帳戶上偵測到一或多個 風險 ，例如認證外洩。

如何調查有風險的使用者？

若要檢視及調查用戶有風險的登入，請選取 [最近有風險的登入] 索引卷標或 [用戶有風險的登入] 連結。

若要檢視和調查用戶帳戶上的風險，請選取 [偵測未連結至登入] 索引卷標或 [用戶的風險偵測] 連結。

[風險歷程記錄] 索引標籤也會顯示過去90天內導致用戶風險變更的所有事件。 此清單包含風險偵測，可增加用戶的風險，以及降低用戶風險的管理補救動作。 檢視它以瞭解用戶的風險如何變更。

系統管理員可以利用風險性使用者報告所提供的資訊來尋找：

• 哪些使用者正面臨風險、已補救風險，或者已關閉風險？
• 關於偵測的詳細資料
• 所有風險性登入的歷程記錄
• 風險歷程記錄

接著，系統管理員可以選擇對這些事件採取動作。 系統管理員可以選擇：

• 重設使用者密碼
• 確認使用者遭入侵
• 解除使用者風險
• 阻止使用者登入
• 使用 適用於身分識別的 Microsoft Defender 進一步調查

瞭解範圍

1. 請考慮為更新的組織旅行報告建立已知的旅行者資料庫，並將其用於交叉參考旅遊活動。
2. 將公司的 VPN 和 IP 位址範圍新增至具名位置，以減少誤判。
3. 檢閱記錄，以識別具有相同特性的類似活動。 這可能表示帳戶遭到入侵。
   1. 如果有一些常見的特性，例如IP位址、地理位置、成功/失敗等...，請考慮使用條件式存取原則來封鎖這些特性。
   2. 檢閱哪些資源可能遭到入侵，例如潛在的數據下載或系統管理修改。
   3. 透過條件式存取啟用自我補救原則
4. 如果您看到使用者執行其他有風險的活動，例如從新位置下載大量檔案，這表示可能遭到入侵。

有風險的登入

風險性登入報告包含最多過去 30 天 (一個月) 的可篩選資料。

系統管理員可以利用風險性登入報告所提供的資訊來尋找：

• 哪些登入分類為具有風險、已確認遭盜用、已確認安全、已關閉或已補救。
• 與登入嘗試相關聯的即時和彙總風險層級。
• 觸發的偵測類型
• 套用的條件式存取原則
• MFA 詳細資料
• 裝置資訊
• 申請資訊
• 位置資訊

接著，系統管理員可以選擇對這些事件採取動作。 系統管理員可以選擇：

• 確認登入遭入侵
• 確認登入安全

風險偵測

風險偵測報告包含最多過去 90 天 (三個月) 的可篩選資料。

系統管理員可以利用風險偵測報告所提供的資訊來尋找：

• 每項風險偵測的相關資訊，包括類型。
• 同時觸發的其他風險
• 登入嘗試位置
• 從 適用於雲端的 Microsoft Defender Apps 連結至更多詳細數據。

接著，系統管理員可以選擇返回使用者的風險或登入報告，依據收集到的資訊採取行動。

調查架構

組織可以使用下列架構開始調查任何可疑活動。 調查可能需要與有問題的用戶進行交談、檢閱 登入記錄，或檢閱 稽核記錄 來命名一些。

1. 檢查記錄，並驗證指定的使用者是否正常執行可疑活動。
   1. 查看使用者的過去活動，包括至少下列屬性，以查看指定的使用者是否正常。
      1. 申請
      2. 裝置 - 裝置是否已註冊或相容？
      3. 位置 - 使用者是否前往不同位置或從多個位置存取裝置？
      4. IP 位址
      5. 使用者代理程式字串
   2. 如果您有 Microsoft Sentinel 等其他安全性工具的存取權，請檢查是否有可能表示較大問題的對應警示。
   3. 可存取 Microsoft 365 Defender 的組織可以透過其他相關警示和事件以及 MITRE ATT&CK 鏈結，追蹤用戶風險事件。
      1. 在 [具風險的使用者] 報告中選取使用者。
      2. 選取工具列中的省略號 （...），然後選擇 [使用 Microsoft 365 Defender 調查]。
2. 連絡使用者以確認他們是否辨識登入。 電子郵件或 Teams 之類的方法可能會遭到入侵。
   1. 確認您擁有的資訊，例如：
      1. Application
      2. 裝置
      3. Location
      4. IP 位址

調查 Microsoft Entra 威脅情報偵測

若要調查 Microsoft Entra Threat Intelligence 風險偵測，請遵循下列步驟：

如果偵測顯示詳細資訊：

1. 登入來自可疑的IP位址：
   1. 確認IP位址是否在您的環境中顯示可疑行為。
   2. IP 是否為目錄中的使用者或一組用戶產生大量失敗？
   3. IP 的流量是否來自非預期的通訊協定或應用程式，例如 Exchange 舊版通訊協定？
   4. 如果 IP 位址對應至雲端服務提供者，則排除沒有從相同 IP 執行的合法企業應用程式。
2. 此帳戶是密碼噴灑攻擊的受害者：
   1. 驗證目錄中沒有其他使用者是相同攻擊的目標。
   2. 其他使用者是否具有在相同時間範圍內偵測到登入中出現類似非典型模式的登入？ 密碼噴灑攻擊可能會在中顯示不尋常的模式：
      1. 使用者代理程式字串
      2. 申請
      3. 通訊協定
      4. IP/ASN 的範圍
      5. 登入的時間和頻率
3. 此偵測是由即時規則所觸發：
   1. 驗證目錄中沒有其他使用者是相同攻擊的目標。 這可透過指派給規則的 TI_RI_#### 編號找到。
   2. 實時規則可防範 Microsoft 威脅情報所識別的新攻擊。 如果您的目錄中有多個使用者是相同攻擊的目標，請調查登入其他屬性中的異常模式。

使用 Microsoft 365 Defender 調查風險

已部署 Microsoft 365 Defender 並 適用於身分識別的 Microsoft Defender 從 Identity Protection 訊號獲得額外價值的組織。 此值的形式是加強與組織其他部分數據之間的相互關聯，以及額外的 自動化調查和回應。

在 Microsoft 365 Defender 安全性專業人員和 管理員 istrators 中，可以從下列區域連線到可疑活動：

• 適用於身分識別的Defender中的警示
• 適用於端點的 Microsoft Defender
• 適用於雲端的 Microsoft Defender
• Microsoft Defender for Cloud Apps

如需如何使用 Microsoft 365 Defender 調查可疑活動的詳細資訊，請參閱調查 Microsoft 365 Defender 中 適用於身分識別的 Microsoft Defender 中的資產和調查 Microsoft 365 Defender 中的事件文章。

如需這些警示及其結構的詳細資訊，請參閱瞭解安全性警示一文。

調查狀態

當安全性人員調查 Microsoft 365 Defender 和適用於身分識別的 Defender 中的風險時，下列狀態和原因會在入口網站和 API 中返回 Identity Protection。

下一步

• 補救和解除封鎖使用者
• 可用來降低風險的原則
• 啟用登入和用戶風險原則