Alerty o zagrożeniach
Regularne skany dają Ci obraz tego, jak skonfigurowany jest Twój tenant w danym momencie. Alerty o zagrożeniach działają inaczej: pokazują, co dzieje się właśnie teraz. Pobierają bieżące sygnały ryzyka tożsamości z Twojego tenanta Microsoft 365 i prezentują je w jednym miejscu, dzięki czemu możesz wychwycić skompromitowane konto i zareagować na nie bez opuszczania Aether365.
Alerty o zagrożeniach korzystają z Twojego połączenia AI Pilot. Sam podgląd jest w trybie tylko do odczytu, a funkcja dodaje sposób na zablokowanie ryzykownego użytkownika jednym kliknięciem, gdy musisz zareagować szybko.
Wymaga połączenia AI Pilot
Alerty o zagrożeniach odczytują bieżące sygnały ryzyka przez połączenie AI Pilot. Jeśli jeszcze go nie skonfigurowałeś, w sekcji AI Pilot opisano, jak je połączyć. Samo połączenie do skanowania w trybie tylko do odczytu nie zasila Alertów o zagrożeniach.
Co pokazują Alerty o zagrożeniach
Strona Alertów o zagrożeniach jest podzielona na trzy źródła. Każde z nich odpowiada na inne pytanie o ryzyko tożsamości w Twoim tenancie.
Ryzykowni użytkownicy
Osoby w Twoim tenancie, których konta Microsoft uznaje obecnie za zagrożone. Dla każdego użytkownika widzisz, kim jest, jaki jest jego bieżący poziom ryzyka i dlaczego został oznaczony. To najszybszy sposób, by znaleźć konto, które może być skompromitowane, i zdecydować, czy je zablokować.
Wykrycia ryzyka
Pojedyncze sygnały ryzyka stojące za tymi użytkownikami: takie jak logowania z nieznanych lokalizacji, anonimowe adresy IP, wykradzione poświadczenia czy wzorce niemożliwych podróży. Tam, gdzie widok na poziomie użytkownika mówi „to konto wygląda ryzykownie”, wykrycia ryzyka pokazują, co konkretnie doprowadziło do tego wniosku.
Wymaga Microsoft Entra ID P2
Wykrycia ryzyka pochodzą z Microsoft Entra ID Protection, które wymaga licencji Microsoft Entra ID P2. Jeśli Twój tenant nie ma na nią licencji, to źródło pokazuje informację „Jeszcze niedostępne” zamiast danych. Zobacz Licencjonowanie i informacja „Jeszcze niedostępne” poniżej.
Alerty bezpieczeństwa
Alerty bezpieczeństwa wyższego poziomu zgłaszane dla Twojego tenanta: podejrzana aktywność, którą skorelowano w alert wart bliższego przyjrzenia się. Dają one szerszy obraz bezpieczeństwa obok sygnałów dotyczących samej tożsamości.
Wymaga Microsoft Defender
Alerty bezpieczeństwa pochodzą z Microsoft Defender. Jeśli Twój tenant nie ma planu Microsoft Defender, który generuje takie alerty, to źródło pokazuje informację „Jeszcze niedostępne” zamiast danych.
Alerty o zagrożeniach są w trybie tylko do odczytu przy podglądzie
Przeglądanie Alertów o zagrożeniach nigdy niczego nie zmienia w Twoim tenancie. Funkcja odczytuje bieżący stan ryzyka i go wyświetla. Jedyną akcją, która wprowadza zmianę, jest reagowanie na naruszenie opisane poniżej, i uruchamia się ono tylko wtedy, gdy jawnie wywołasz je na konkretnym użytkowniku.
Reagowanie na naruszenie: zablokuj ryzykownego użytkownika jednym kliknięciem
Gdy znajdziesz konto, które zostało skompromitowane lub zachowuje się podejrzanie, możesz je zablokować bezpośrednio z listy ryzykownych użytkowników. Zablokowanie użytkownika robi dwie rzeczy naraz:
- Unieważnia aktywne sesje użytkownika, więc każdy zalogowany atakujący zostaje zmuszony do ponownego logowania.
- Wyłącza konto, więc żadne nowe logowanie nie powiedzie się, dopóki go ponownie nie włączysz.
Razem szybko odcina to dostęp atakującego, gdy prowadzisz dochodzenie.
Aby zablokować użytkownika:
- Otwórz Alerty o zagrożeniach z paska bocznego.
- Na liście Ryzykowni użytkownicy znajdź konto, które chcesz zablokować.
- Kliknij Zablokuj przy tym użytkowniku i potwierdź.
- Aether365 unieważnia sesje użytkownika i wyłącza konto za pośrednictwem Twojego połączenia AI Pilot.
Blokowanie jest odwracalne
Wyłączenie konta nie usuwa go. Gdy przeprowadzisz dochodzenie i konto będzie bezpieczne, możesz włączyć je ponownie z centrum administracyjnego Microsoft Entra. Najpierw zablokuj, potem prowadź dochodzenie: o wiele łatwiej jest ponownie włączyć czyste konto niż odzyskać kontrolę po aktywnym włamaniu.
Ponieważ reagowanie na naruszenie zapisuje do Twojego tenanta, opiera się na połączeniu AI Pilot ze zgodą na zapis. Jeśli tenant ma tylko połączenie do skanowania w trybie tylko do odczytu, dane źródłowe nadal mogą się pojawiać, ale zablokowanie użytkownika nie jest dostępne, dopóki nie połączysz AI Pilot.
Licencjonowanie i informacja „Jeszcze niedostępne”
Alerty o zagrożeniach pokazują wszystkie sygnały Microsoft, które Twój tenant ma licencję generować. Źródła zależne od licencji, której nie posiadasz, pokazują wyraźną informację „Jeszcze niedostępne” zamiast pustych lub mylących danych:
| Źródło | Wymaga | Jeśli brak licencji |
|---|---|---|
| Ryzykowni użytkownicy | Sygnały ryzyka tożsamości | Pokazywane, gdy dostępne |
| Wykrycia ryzyka | Microsoft Entra ID P2 | Informacja „Jeszcze niedostępne” |
| Alerty bezpieczeństwa | Microsoft Defender | Informacja „Jeszcze niedostępne” |
Informacja ta ma charakter wyjaśniający, a nie jest błędem. Oznacza, że źródło jest gotowe zadziałać w chwili, gdy tenant uzyska odpowiednią licencję, bez dodatkowej konfiguracji po Twojej stronie. Źródła, na które masz licencję, działają normalnie bez względu na to.
Powiązane
- AI Pilot - połączenie ze zgodą na zapis, które zasila Alerty o zagrożeniach i reagowanie na naruszenia
- Zarządzanie zasadami - przegląd i wzmacnianie zasad bezpieczeństwa Twojego tenanta
- Połącz tenant - konfiguracja połączeń
- Model bezpieczeństwa - domyślny tryb tylko do odczytu i opcjonalny dostęp do zapisu