Сигнали за заплахи
Редовните ви сканирания ви дават моментна картина на това как е конфигуриран вашият tenant. Сигналите за заплахи са различни: показват ви какво се случва точно сега. Извличат текущите сигнали за риск за самоличността от вашия Microsoft 365 tenant и ги представят на едно място, така че да можете да забележите компрометиран акаунт и да реагирате, без да напускате Aether365.
Сигналите за заплахи използват вашата връзка AI Pilot. За преглед той е само за четене и добавя начин с едно щракване да ограничите рисков потребител, когато трябва да реагирате бързо.
Изисква AI Pilot connection
Сигналите за заплахи четат сигналите за риск в реално време чрез AI Pilot connection. Ако още не сте настроили такава, вижте AI Pilot за това как да я свържете. Връзката ви за сканиране само за четене сама по себе си не захранва Сигналите за заплахи.
Какво показват Сигналите за заплахи
Страницата Сигнали за заплахи е организирана в три източника. Всеки от тях отговаря на различен въпрос за риска за самоличността във вашия tenant.
Рискови потребители
Хората във вашия tenant, чиито акаунти Microsoft в момента счита за рискови. За всеки потребител виждате кой е той, текущото му ниво на риск и защо е маркиран. Това е най-бързият начин да откриете акаунт, който може да е компрометиран, и да решите дали да го ограничите.
Открити рискове
Отделните сигнали за риск зад тези потребители: неща като влизания от непознати местоположения, анонимни IP адреси, изтекли идентификационни данни или модели на невъзможно пътуване. Докато гледната точка на ниво потребител ви казва "този акаунт изглежда рисков", откритите рискове ви казват какво конкретно е довело до това заключение.
Изисква Microsoft Entra ID P2
Откритите рискове идват от Microsoft Entra ID Protection, който изисква лиценз Microsoft Entra ID P2. Ако вашият tenant не е лицензиран за него, този източник показва бележка "Not available yet" вместо данни. Вижте Лицензиране и бележката "Not available yet" по-долу.
Сигнали за сигурност
Сигнали за сигурност от по-високо ниво, повдигнати за вашия tenant: подозрителна активност, която е била съпоставена в сигнал, заслужаващ по-внимателен преглед. Те ви дават по-широката картина на сигурността заедно със сигналите, специфични за самоличността.
Изисква Microsoft Defender
Сигналите за сигурност идват от Microsoft Defender. Ако вашият tenant няма план на Microsoft Defender, който генерира тези сигнали, този източник показва бележка "Not available yet" вместо данни.
Сигналите за заплахи са само за четене при преглед
Прегледът на Сигналите за заплахи никога не променя нищо във вашия tenant. Той чете текущото състояние на риска и го показва. Единственото действие, което прави промяна, е реакцията при пробив, описана по-долу, и тя се изпълнява само когато изрично я задействате за конкретен потребител.
Реакция при пробив: ограничете рисков потребител с едно щракване
Когато откриете акаунт, който е компрометиран или се държи подозрително, можете да го ограничите директно от списъка с рискови потребители. Ограничаването на потребител прави две неща едновременно:
- Отменя активните сесии на потребителя, така че всеки влязъл нападател е принуден да влезе наново.
- Деактивира акаунта, така че никое ново влизане не може да бъде успешно, докато не го активирате повторно.
Заедно това бързо прекъсва достъпа на нападателя, докато вие разследвате.
За да ограничите потребител:
- Отворете Сигнали за заплахи от страничната лента.
- В списъка Рискови потребители намерете акаунта, който искате да ограничите.
- Щракнете върху Contain за този потребител и потвърдете.
- Aether365 отменя сесиите на потребителя и деактивира акаунта чрез вашата връзка AI Pilot.
Ограничаването е обратимо
Деактивирането на акаунт не го изтрива. След като сте разследвали и акаунтът е безопасен, можете да го активирате повторно от центъра за администриране на Microsoft Entra. Първо ограничете, после разследвайте: много по-лесно е да активирате повторно чист акаунт, отколкото да се възстановявате от активно проникване.
Тъй като реакцията при пробив записва във вашия tenant, тя разчита на връзката за запис AI Pilot. Ако даден tenant има само връзка за сканиране само за четене, изходните данни може все пак да се показват, но ограничаването на потребител не е достъпно, докато AI Pilot не бъде свързан.
Лицензиране и бележката "Not available yet"
Сигналите за заплахи извеждат онези сигнали на Microsoft, които вашият tenant е лицензиран да генерира. Източниците, които зависят от лиценз, който нямате, показват ясна бележка "Not available yet" вместо празни или подвеждащи данни:
| Източник | Изисква | Ако не е лицензиран |
|---|---|---|
| Рискови потребители | Сигнали за риск за самоличността | Показва се, когато е наличен |
| Открити рискове | Microsoft Entra ID P2 | Бележка "Not available yet" |
| Сигнали за сигурност | Microsoft Defender | Бележка "Not available yet" |
Бележката е информативна, а не грешка. Тя означава, че източникът е готов да заработи в момента, в който tenant-ът получи правилния лиценз, без допълнителна настройка от ваша страна. Източниците, за които сте лицензирани, продължават да работят както обикновено, независимо от това.
Свързани теми
- AI Pilot - връзката за запис, която захранва Сигналите за заплахи и реакцията при пробив
- Управление на политики - преглед и затягане на политиките за сигурност на вашия tenant
- Свързване на tenant - настройка на вашите връзки
- Модел на сигурност - само за четене по подразбиране и незадължителен достъп за запис