Threat Alerts
De vanlige skanningene dine gir deg et øyeblikksbilde av hvordan leietakeren din er konfigurert. Threat Alerts er annerledes: den viser deg hva som skjer akkurat nå. Den henter de gjeldende signalene om identitetsrisiko fra Microsoft 365-leietakeren din og presenterer dem på ett sted, slik at du kan oppdage en kompromittert konto og handle på den uten å forlate Aether365.
Threat Alerts bruker AI Pilot-tilkoblingen din. Den er skrivebeskyttet for visning, og den legger til en måte å isolere en risikoutsatt bruker på med ett klikk når du må reagere raskt.
Krever en AI Pilot-tilkobling
Threat Alerts leser sanntidssignaler om risiko gjennom AI Pilot-tilkoblingen. Hvis du ikke har satt opp en ennå, se AI Pilot for hvordan du kobler den til. Den skrivebeskyttede skannetilkoblingen din driver ikke Threat Alerts alene.
Hva Threat Alerts viser
Threat Alerts-siden er organisert i tre kilder. Hver av dem svarer på et eget spørsmål om identitetsrisiko i leietakeren din.
Risikoutsatte brukere
Personene i leietakeren din hvis kontoer Microsoft for øyeblikket anser som risikoutsatte. For hver bruker ser du hvem de er, deres gjeldende risikonivå, og hvorfor de er flagget. Dette er den raskeste måten å finne en konto som kan være kompromittert og avgjøre om den bør isoleres.
Risikodeteksjoner
De enkelte risikosignalene bak disse brukerne: ting som innlogginger fra ukjente lokasjoner, anonyme IP-adresser, lekkede legitimasjoner eller umulige reisemønstre. Der en visning på brukernivå forteller deg at "denne kontoen ser risikoutsatt ut," forteller risikodeteksjoner deg hva som konkret utløste den konklusjonen.
Krever Microsoft Entra ID P2
Risikodeteksjoner kommer fra Microsoft Entra ID Protection, som krever en Microsoft Entra ID P2-lisens. Hvis leietakeren din ikke er lisensiert for det, viser denne kilden en "Ikke tilgjengelig ennå"-merknad i stedet for data. Se Lisensiering og "Ikke tilgjengelig ennå"-merknaden nedenfor.
Sikkerhetsvarsler
Sikkerhetsvarsler på høyere nivå som er reist for leietakeren din: mistenkelig aktivitet som er korrelert til et varsel verdt en nærmere titt. Disse gir deg det bredere sikkerhetsbildet ved siden av de identitetsspesifikke signalene.
Krever Microsoft Defender
Sikkerhetsvarsler kommer fra Microsoft Defender. Hvis leietakeren din ikke har en Microsoft Defender-plan som produserer disse varslene, viser denne kilden en "Ikke tilgjengelig ennå"-merknad i stedet for data.
Threat Alerts er skrivebeskyttet for visning
Å vise Threat Alerts endrer aldri noe i leietakeren din. Den leser den gjeldende risikotilstanden og viser den. Den ene handlingen som faktisk gjør en endring, er innbruddsresponsen beskrevet nedenfor, og den kjører bare når du eksplisitt utløser den på en bestemt bruker.
Innbruddsrespons: isoler en risikoutsatt bruker med ett klikk
Når du finner en konto som er kompromittert eller oppfører seg mistenkelig, kan du isolere den direkte fra listen over risikoutsatte brukere. Å isolere en bruker gjør to ting samtidig:
- Tilbakekaller brukerens aktive økter, slik at en eventuell innlogget angriper tvinges tilbake til en ny innlogging.
- Deaktiverer kontoen, slik at ingen ny innlogging kan lykkes før du aktiverer den på nytt.
Til sammen kutter dette en angripers tilgang raskt mens du undersøker.
Slik isolerer du en bruker:
- Åpne Threat Alerts fra sidemenyen.
- I listen over risikoutsatte brukere finner du kontoen du vil isolere.
- Klikk Isoler på den brukeren og bekreft.
- Aether365 tilbakekaller brukerens økter og deaktiverer kontoen gjennom AI Pilot-tilkoblingen din.
Isolering kan reverseres
Å deaktivere en konto sletter den ikke. Når du har undersøkt og kontoen er trygg, kan du aktivere den på nytt fra Microsoft Entra-administrasjonssenteret. Isoler først, undersøk etterpå: det er langt enklere å aktivere en ren konto på nytt enn å gjenopprette etter et aktivt innbrudd.
Fordi innbruddsrespons skriver til leietakeren din, er den avhengig av AI Pilots skrivetilkobling. Hvis en leietaker bare har en skrivebeskyttet skannetilkobling, kan kildedataene fortsatt vises, men å isolere en bruker er ikke tilgjengelig før AI Pilot er tilkoblet.
Lisensiering og "Ikke tilgjengelig ennå"-merknaden
Threat Alerts henter frem alle Microsoft-signalene leietakeren din er lisensiert til å produsere. Kilder som avhenger av en lisens du ikke har, viser en tydelig "Ikke tilgjengelig ennå"-merknad i stedet for tomme eller villedende data:
| Kilde | Krever | Hvis ikke lisensiert |
|---|---|---|
| Risikoutsatte brukere | Signaler om identitetsrisiko | Vises når tilgjengelig |
| Risikodeteksjoner | Microsoft Entra ID P2 | "Ikke tilgjengelig ennå"-merknad |
| Sikkerhetsvarsler | Microsoft Defender | "Ikke tilgjengelig ennå"-merknad |
Merknaden er informativ, ikke en feil. Den betyr at kilden er klar til å aktiveres i det øyeblikket leietakeren får den riktige lisensen, uten ekstra oppsett fra din side. Kildene du er lisensiert for, fortsetter å fungere som normalt uansett.
Relatert
- AI Pilot - skrivetilkoblingen som driver Threat Alerts og innbruddsrespons
- Policy Management - gjennomgå og herde leietakerens sikkerhetsregler
- Koble til en leietaker - sette opp tilkoblingene dine
- Sikkerhetsmodell - skrivebeskyttet standard og valgfri skrivetilgang