Grėsmių įspėjimai
Įprasti nuskaitymai suteikia jums tam tikro momento vaizdą, kaip sukonfigūruota jūsų organizacija. Grėsmių įspėjimai yra kitokie: jie parodo, kas vyksta dabar. Jie ištraukia esamus tapatybės rizikos signalus iš jūsų Microsoft 365 organizacijos ir pateikia juos vienoje vietoje, kad galėtumėte aptikti pažeistą paskyrą ir su ja susitvarkyti neišeidami iš Aether365.
Grėsmių įspėjimai naudoja jūsų AI Pilot prijungimą. Peržiūrai jie veikia tik skaitymo režimu ir prideda vieno spustelėjimo būdą sustabdyti rizikingą naudotoją, kai reikia greitai reaguoti.
Reikalingas AI Pilot prijungimas
Grėsmių įspėjimai skaito tiesioginius rizikos signalus per AI Pilot prijungimą. Jei dar jo nenustatėte, skiltyje AI Pilot sužinosite, kaip jį prijungti. Vien jūsų tik skaitymo nuskaitymo prijungimas Grėsmių įspėjimų neaktyvuoja.
Ką rodo Grėsmių įspėjimai
Grėsmių įspėjimų puslapis suskirstytas į tris šaltinius. Kiekvienas iš jų atsako į skirtingą klausimą apie tapatybės riziką jūsų organizacijoje.
Rizikingi naudotojai
Jūsų organizacijos žmonės, kurių paskyras Microsoft šiuo metu laiko rizikingomis. Apie kiekvieną naudotoją matote, kas jis yra, jo dabartinį rizikos lygį ir kodėl jis pažymėtas. Tai greičiausias būdas rasti paskyrą, kuri galbūt pažeista, ir nuspręsti, ar ją sustabdyti.
Rizikos aptikimai
Atskiri rizikos signalai, slypintys už tų naudotojų: tokie dalykai kaip prisijungimai iš neįprastų vietovių, anoniminiai IP adresai, nutekinti prisijungimo duomenys arba neįmanomos kelionės šablonai. Kai naudotojo lygmens vaizdas sako „ši paskyra atrodo rizikinga", rizikos aptikimai pasako, kas konkrečiai privedė prie tos išvados.
Reikalinga Microsoft Entra ID P2
Rizikos aptikimai ateina iš Microsoft Entra ID Protection, kuriai reikia Microsoft Entra ID P2 licencijos. Jei jūsų organizacija jos neturi, šis šaltinis vietoj duomenų rodo pastabą „Not available yet". Žr. Licencijavimas ir pastaba „Not available yet" žemiau.
Saugumo įspėjimai
Aukštesnio lygio saugumo įspėjimai, sukelti jūsų organizacijai: įtartina veikla, sugretinta į įspėjimą, vertą atidesnio žvilgsnio. Jie suteikia platesnį saugumo vaizdą šalia su tapatybe susijusių signalų.
Reikalingas Microsoft Defender
Saugumo įspėjimai ateina iš Microsoft Defender. Jei jūsų organizacija neturi Microsoft Defender plano, kuris generuoja šiuos įspėjimus, šis šaltinis vietoj duomenų rodo pastabą „Not available yet".
Grėsmių įspėjimai peržiūrai veikia tik skaitymo režimu
Grėsmių įspėjimų peržiūra niekada nieko nekeičia jūsų organizacijoje. Ji skaito esamą rizikos būseną ir ją parodo. Vienintelis veiksmas, kuris iš tiesų atlieka pakeitimą, yra žemiau aprašytas reagavimas į pažeidimą, ir jis vykdomas tik tada, kai aiškiai jį suaktyvinate konkrečiam naudotojui.
Reagavimas į pažeidimą: sustabdykite rizikingą naudotoją vienu spustelėjimu
Kai randate paskyrą, kuri pažeista arba elgiasi įtartinai, galite ją sustabdyti tiesiai iš rizikingų naudotojų sąrašo. Naudotojo sustabdymas vienu metu atlieka du dalykus:
- Atšaukia naudotojo aktyvius seansus, todėl bet kuris prisijungęs užpuolikas priverčiamas prisijungti iš naujo.
- Išjungia paskyrą, todėl joks naujas prisijungimas negali pavykti, kol jos vėl neįjungsite.
Kartu tai greitai nukerta užpuoliko prieigą, kol atliekate tyrimą.
Norėdami sustabdyti naudotoją:
- Šoninėje juostoje atidarykite Grėsmių įspėjimai.
- Sąraše Rizikingi naudotojai suraskite paskyrą, kurią norite sustabdyti.
- Spustelėkite Contain ties tuo naudotoju ir patvirtinkite.
- Aether365 atšaukia naudotojo seansus ir išjungia paskyrą per jūsų AI Pilot prijungimą.
Sustabdymas yra atšaukiamas
Paskyros išjungimas jos neištrina. Atlikę tyrimą ir įsitikinę, kad paskyra saugi, galite ją vėl įjungti iš Microsoft Entra administravimo centro. Pirma sustabdykite, paskui tirkite: kur kas lengviau vėl įjungti švarią paskyrą nei atsigauti po aktyvaus įsilaužimo.
Kadangi reagavimas į pažeidimą įrašo į jūsų organizaciją, jis remiasi AI Pilot rašymo prijungimu. Jei organizacija turi tik skaitymo nuskaitymo prijungimą, šaltinio duomenys vis tiek gali būti rodomi, tačiau naudotojo sustabdymas neprieinamas, kol neprijungta AI Pilot.
Licencijavimas ir pastaba „Not available yet"
Grėsmių įspėjimai pateikia tuos Microsoft signalus, kuriuos jūsų organizacija licencijuota generuoti. Šaltiniai, priklausantys nuo licencijos, kurios neturite, vietoj tuščių ar klaidinančių duomenų rodo aiškią pastabą „Not available yet":
| Šaltinis | Reikia | Jei nelicencijuota |
|---|---|---|
| Rizikingi naudotojai | Tapatybės rizikos signalai | Rodoma, kai prieinama |
| Rizikos aptikimai | Microsoft Entra ID P2 | Pastaba „Not available yet" |
| Saugumo įspėjimai | Microsoft Defender | Pastaba „Not available yet" |
Pastaba yra informacinė, o ne klaida. Ji reiškia, kad šaltinis pasiruošęs įsijungti tą akimirką, kai organizacija įgyja tinkamą licenciją, be jokio papildomo nustatymo iš jūsų pusės. Šaltiniai, kuriems esate licencijuoti, ir toliau veikia kaip įprasta, nepriklausomai nuo to.
Susiję
- AI Pilot - rašymo prijungimas, kuris aktyvuoja Grėsmių įspėjimus ir reagavimą į pažeidimą
- Politikų valdymas - peržiūrėkite ir sustiprinkite savo organizacijos saugumo politikas
- Organizacijos prijungimas - jūsų prijungimų nustatymas
- Saugumo modelis - tik skaitymo numatytasis režimas ir neprivaloma rašymo prieiga