Alerte de amenințări
Scanările dumneavoastră obișnuite vă oferă o imagine la un moment dat a modului în care este configurat tenant-ul. Alertele de amenințări sunt diferite: vă arată ce se întâmplă chiar acum. Preiau semnalele curente de risc de identitate din tenant-ul dumneavoastră Microsoft 365 și le prezintă într-un singur loc, astfel încât să puteți depista un cont compromis și să acționați asupra lui fără a părăsi Aether365.
Alertele de amenințări folosesc conexiunea dumneavoastră AI Pilot. Pentru vizualizare este read-only și adaugă o modalitate cu un singur clic de a izola un utilizator cu risc atunci când trebuie să răspundeți rapid.
Necesită o conexiune AI Pilot
Alertele de amenințări citesc semnalele de risc în timp real prin conexiunea AI Pilot. Dacă nu ați configurat încă una, consultați AI Pilot pentru a afla cum o conectați. Conexiunea de scanare read-only nu alimentează de una singură Alertele de amenințări.
Ce arată Alertele de amenințări
Pagina Alerte de amenințări este organizată în trei surse. Fiecare răspunde la o întrebare diferită despre riscul de identitate din tenant-ul dumneavoastră.
Utilizatori cu risc
Persoanele din tenant-ul dumneavoastră ale căror conturi Microsoft le consideră în prezent expuse riscului. Pentru fiecare utilizator vedeți cine este, nivelul curent de risc și de ce este semnalat. Aceasta este cea mai rapidă cale de a găsi un cont care ar putea fi compromis și de a decide dacă să îl izolați.
Detecții de risc
Semnalele de risc individuale din spatele acelor utilizatori: lucruri precum autentificări din locații nefamiliare, adrese IP anonime, credențiale scurse sau tipare de călătorie imposibilă. Acolo unde o vedere la nivel de utilizator vă spune „acest cont pare riscant”, detecțiile de risc vă spun ce anume a declanșat acea concluzie.
Necesită Microsoft Entra ID P2
Detecțiile de risc provin din Microsoft Entra ID Protection, care necesită o licență Microsoft Entra ID P2. Dacă tenant-ul dumneavoastră nu este licențiat pentru aceasta, sursa afișează o notă „Indisponibil încă” în loc de date. Consultați Licențiere și nota „Indisponibil încă” mai jos.
Alerte de securitate
Alerte de securitate de nivel mai înalt ridicate pentru tenant-ul dumneavoastră: activitate suspectă care a fost corelată într-o alertă ce merită o privire mai atentă. Acestea vă oferă imaginea de securitate mai amplă, alături de semnalele specifice identității.
Necesită Microsoft Defender
Alertele de securitate provin din Microsoft Defender. Dacă tenant-ul dumneavoastră nu are un plan Microsoft Defender care produce aceste alerte, sursa afișează o notă „Indisponibil încă” în loc de date.
Alertele de amenințări sunt read-only pentru vizualizare
Vizualizarea Alertelor de amenințări nu schimbă niciodată nimic în tenant-ul dumneavoastră. Citește starea curentă de risc și o afișează. Singura acțiune care face o modificare este răspunsul la breșe descris mai jos, iar acesta rulează doar când îl declanșați explicit asupra unui anumit utilizator.
Răspuns la breșe: izolați un utilizator cu risc cu un singur clic
Când găsiți un cont care este compromis sau se comportă suspect, îl puteți izola direct din lista de utilizatori cu risc. Izolarea unui utilizator face două lucruri simultan:
- Revocă sesiunile active ale utilizatorului, astfel încât orice atacator autentificat este forțat să reia o autentificare nouă.
- Dezactivează contul, astfel încât nicio nouă autentificare nu poate reuși până când îl reactivați.
Împreună, acestea taie rapid accesul unui atacator în timp ce investigați.
Pentru a izola un utilizator:
- Deschideți Threat Alerts din bara laterală.
- În lista Utilizatori cu risc, găsiți contul pe care doriți să îl izolați.
- Faceți clic pe Contain la acel utilizator și confirmați.
- Aether365 revocă sesiunile utilizatorului și dezactivează contul prin conexiunea dumneavoastră AI Pilot.
Izolarea este reversibilă
Dezactivarea unui cont nu îl șterge. Odată ce ați investigat și contul este în siguranță, îl puteți reactiva din centrul de administrare Microsoft Entra. Mai întâi izolați, apoi investigați: este mult mai ușor să reactivați un cont curat decât să vă reveniți după o intruziune activă.
Deoarece răspunsul la breșe scrie în tenant-ul dumneavoastră, se bazează pe conexiunea de scriere AI Pilot. Dacă un tenant are doar o conexiune de scanare read-only, datele sursei pot apărea în continuare, dar izolarea unui utilizator nu este disponibilă până când nu este conectat AI Pilot.
Licențiere și nota „Indisponibil încă”
Alertele de amenințări scot la suprafață orice semnale Microsoft pe care tenant-ul dumneavoastră este licențiat să le producă. Sursele care depind de o licență pe care nu o aveți afișează o notă clară „Indisponibil încă” în loc de date goale sau înșelătoare:
| Sursă | Necesită | Dacă nu este licențiat |
|---|---|---|
| Utilizatori cu risc | Semnale de risc de identitate | Afișat când este disponibil |
| Detecții de risc | Microsoft Entra ID P2 | Nota „Indisponibil încă” |
| Alerte de securitate | Microsoft Defender | Nota „Indisponibil încă” |
Nota este informativă, nu o eroare. Înseamnă că sursa este pregătită să se activeze în momentul în care tenant-ul obține licența potrivită, fără nicio configurare suplimentară din partea dumneavoastră. Sursele pentru care sunteți licențiat continuă să funcționeze normal, indiferent de aceasta.
Conexe
- AI Pilot - conexiunea de scriere care alimentează Alertele de amenințări și răspunsul la breșe
- Gestionarea politicilor - examinarea și consolidarea politicilor de securitate ale tenant-ului
- Conectarea unui tenant - configurarea conexiunilor dumneavoastră
- Modelul de securitate - read-only implicit și acces de scriere opțional