Threat Alerts
Οι τακτικές σαρώσεις σας δίνουν μια στιγμιαία εικόνα του πώς είναι διαμορφωμένος ο tenant σας. Οι Ειδοποιήσεις Απειλών είναι διαφορετικές: σας δείχνουν τι συμβαίνει αυτή τη στιγμή. Αντλούν τα τρέχοντα σήματα κινδύνου ταυτότητας από τον Microsoft 365 tenant σας και τα παρουσιάζουν σε ένα σημείο, ώστε να μπορείτε να εντοπίσετε έναν παραβιασμένο λογαριασμό και να αντιδράσετε χωρίς να εγκαταλείψετε το Aether365.
Οι Ειδοποιήσεις Απειλών χρησιμοποιούν τη σύνδεση AI Pilot σας. Είναι μόνο για ανάγνωση όσον αφορά την προβολή και προσθέτουν έναν τρόπο περιορισμού ενός επικίνδυνου χρήστη με ένα κλικ, όταν χρειάζεται να αντιδράσετε γρήγορα.
Απαιτείται σύνδεση AI Pilot
Οι Ειδοποιήσεις Απειλών διαβάζουν ζωντανά σήματα κινδύνου μέσω της σύνδεσης AI Pilot. Αν δεν έχετε ρυθμίσει ακόμη κάποια, δείτε το AI Pilot για το πώς να τη συνδέσετε. Η σύνδεση σάρωσης μόνο για ανάγνωση από μόνη της δεν τροφοδοτεί τις Ειδοποιήσεις Απειλών.
Τι εμφανίζουν οι Ειδοποιήσεις Απειλών
Η σελίδα Ειδοποιήσεων Απειλών είναι οργανωμένη σε τρεις πηγές. Καθεμία απαντά σε μια διαφορετική ερώτηση σχετικά με τον κίνδυνο ταυτότητας στον tenant σας.
Επικίνδυνοι χρήστες
Τα άτομα στον tenant σας των οποίων τους λογαριασμούς η Microsoft θεωρεί επί του παρόντος ότι διατρέχουν κίνδυνο. Για κάθε χρήστη βλέπετε ποιος είναι, το τρέχον επίπεδο κινδύνου του και γιατί έχει επισημανθεί. Αυτός είναι ο γρηγορότερος τρόπος να εντοπίσετε έναν λογαριασμό που μπορεί να έχει παραβιαστεί και να αποφασίσετε αν θα τον περιορίσετε.
Εντοπισμοί κινδύνου
Τα μεμονωμένα σήματα κινδύνου πίσω από αυτούς τους χρήστες: πράγματα όπως συνδέσεις από άγνωστες τοποθεσίες, ανώνυμες διευθύνσεις IP, διαρρευμένα διαπιστευτήρια ή μοτίβα αδύνατης μετακίνησης. Εκεί που μια προβολή σε επίπεδο χρήστη σας λέει "αυτός ο λογαριασμός φαίνεται επικίνδυνος", οι εντοπισμοί κινδύνου σας λένε τι ακριβώς οδήγησε σε αυτό το συμπέρασμα.
Απαιτείται Microsoft Entra ID P2
Οι εντοπισμοί κινδύνου προέρχονται από το Microsoft Entra ID Protection, το οποίο απαιτεί άδεια Microsoft Entra ID P2. Αν ο tenant σας δεν διαθέτει άδεια για αυτό, αυτή η πηγή εμφανίζει μια σημείωση "Δεν είναι ακόμη διαθέσιμο" αντί για δεδομένα. Δείτε την ενότητα Αδειοδότηση και η σημείωση "Δεν είναι ακόμη διαθέσιμο" παρακάτω.
Ειδοποιήσεις ασφαλείας
Ειδοποιήσεις ασφαλείας υψηλότερου επιπέδου που εγείρονται για τον tenant σας: ύποπτη δραστηριότητα που έχει συσχετιστεί σε μια ειδοποίηση που αξίζει μια πιο προσεκτική ματιά. Αυτές σας δίνουν την ευρύτερη εικόνα ασφάλειας παράλληλα με τα σήματα που αφορούν ειδικά την ταυτότητα.
Απαιτείται Microsoft Defender
Οι ειδοποιήσεις ασφαλείας προέρχονται από το Microsoft Defender. Αν ο tenant σας δεν διαθέτει πλάνο Microsoft Defender που παράγει αυτές τις ειδοποιήσεις, αυτή η πηγή εμφανίζει μια σημείωση "Δεν είναι ακόμη διαθέσιμο" αντί για δεδομένα.
Οι Ειδοποιήσεις Απειλών είναι μόνο για ανάγνωση όσον αφορά την προβολή
Η προβολή των Ειδοποιήσεων Απειλών δεν αλλάζει ποτέ τίποτα στον tenant σας. Διαβάζει την τρέχουσα κατάσταση κινδύνου και την εμφανίζει. Η μόνη ενέργεια που πραγματικά κάνει αλλαγή είναι η αντιμετώπιση παραβίασης που περιγράφεται παρακάτω και εκτελείται μόνο όταν την ενεργοποιείτε ρητά σε έναν συγκεκριμένο χρήστη.
Αντιμετώπιση παραβίασης: περιορίστε έναν επικίνδυνο χρήστη με ένα κλικ
Όταν εντοπίζετε έναν λογαριασμό που έχει παραβιαστεί ή συμπεριφέρεται ύποπτα, μπορείτε να τον περιορίσετε απευθείας από τη λίστα Επικίνδυνων χρηστών. Ο περιορισμός ενός χρήστη κάνει δύο πράγματα ταυτόχρονα:
- Ανακαλεί τις ενεργές περιόδους λειτουργίας του χρήστη, ώστε κάθε συνδεδεμένος εισβολέας να αναγκάζεται να επανασυνδεθεί από την αρχή.
- Απενεργοποιεί τον λογαριασμό, ώστε καμία νέα σύνδεση να μην μπορεί να επιτύχει μέχρι να τον επανενεργοποιήσετε.
Μαζί αυτά αποκόπτουν γρήγορα την πρόσβαση ενός εισβολέα όσο εσείς διερευνάτε.
Για να περιορίσετε έναν χρήστη:
- Ανοίξτε τις Threat Alerts από την πλαϊνή μπάρα.
- Στη λίστα Επικίνδυνοι χρήστες, βρείτε τον λογαριασμό που θέλετε να περιορίσετε.
- Κάντε κλικ στο Contain σε αυτόν τον χρήστη και επιβεβαιώστε.
- Το Aether365 ανακαλεί τις περιόδους λειτουργίας του χρήστη και απενεργοποιεί τον λογαριασμό μέσω της σύνδεσης AI Pilot σας.
Ο περιορισμός είναι αναστρέψιμος
Η απενεργοποίηση ενός λογαριασμού δεν τον διαγράφει. Μόλις ολοκληρώσετε τη διερεύνηση και ο λογαριασμός είναι ασφαλής, μπορείτε να τον επανενεργοποιήσετε από το κέντρο διαχείρισης Microsoft Entra. Περιορίστε πρώτα, διερευνήστε μετά: είναι πολύ ευκολότερο να επανενεργοποιήσετε έναν καθαρό λογαριασμό παρά να ανακάμψετε από μια ενεργή εισβολή.
Επειδή η αντιμετώπιση παραβίασης εγγράφει στον tenant σας, βασίζεται στη σύνδεση εγγραφής AI Pilot. Αν ένας tenant διαθέτει μόνο σύνδεση σάρωσης μόνο για ανάγνωση, τα δεδομένα της πηγής ενδέχεται να εξακολουθούν να εμφανίζονται, αλλά ο περιορισμός ενός χρήστη δεν είναι διαθέσιμος μέχρι να συνδεθεί το AI Pilot.
Αδειοδότηση και η σημείωση "Δεν είναι ακόμη διαθέσιμο"
Οι Ειδοποιήσεις Απειλών εμφανίζουν όποια σήματα της Microsoft είναι αδειοδοτημένος να παράγει ο tenant σας. Οι πηγές που εξαρτώνται από μια άδεια που δεν διαθέτετε εμφανίζουν μια σαφή σημείωση "Δεν είναι ακόμη διαθέσιμο" αντί για κενά ή παραπλανητικά δεδομένα:
| Πηγή | Απαιτεί | Αν δεν είναι αδειοδοτημένο |
|---|---|---|
| Επικίνδυνοι χρήστες | Σήματα κινδύνου ταυτότητας | Εμφανίζεται όταν είναι διαθέσιμο |
| Εντοπισμοί κινδύνου | Microsoft Entra ID P2 | Σημείωση "Δεν είναι ακόμη διαθέσιμο" |
| Ειδοποιήσεις ασφαλείας | Microsoft Defender | Σημείωση "Δεν είναι ακόμη διαθέσιμο" |
Η σημείωση είναι ενημερωτική, όχι σφάλμα. Σημαίνει ότι η πηγή είναι έτοιμη να ενεργοποιηθεί τη στιγμή που ο tenant θα αποκτήσει τη σωστή άδεια, χωρίς επιπλέον ρύθμιση από την πλευρά σας. Οι πηγές για τις οποίες είστε αδειοδοτημένοι συνεχίζουν να λειτουργούν κανονικά, ανεξαρτήτως.
Σχετικά
- AI Pilot - η σύνδεση εγγραφής που τροφοδοτεί τις Ειδοποιήσεις Απειλών και την αντιμετώπιση παραβίασης
- Διαχείριση Πολιτικών - εξέταση και θωράκιση των πολιτικών ασφαλείας του tenant σας
- Σύνδεση ενός Tenant - ρύθμιση των συνδέσεών σας
- Μοντέλο Ασφάλειας - προεπιλογή μόνο για ανάγνωση και προαιρετική πρόσβαση εγγραφής