Сповіщення про загрози
Ваші регулярні сканування дають вам зріз того, як налаштовано ваш tenant у конкретний момент. Сповіщення про загрози влаштовано інакше: вони показують, що відбувається просто зараз. Вони витягують поточні сигнали ризику ідентичності з вашого tenant Microsoft 365 і збирають їх в одному місці, тож ви можете виявити скомпрометований обліковий запис і відреагувати на нього, не виходячи з Aether365.
Сповіщення про загрози використовують ваше підключення AI Pilot. Вони працюють у режимі лише для читання під час перегляду й додають спосіб стримати ризикового користувача в один клік, коли потрібно швидко відреагувати.
Потрібне підключення AI Pilot
Сповіщення про загрози читають живі сигнали ризику через підключення AI Pilot. Якщо ви ще його не налаштували, дивіться розділ AI Pilot, щоб дізнатися, як підключити. Саме лише ваше підключення для сканування в режимі лише для читання не забезпечує роботу Сповіщень про загрози.
Що показують Сповіщення про загрози
Сторінку Сповіщень про загрози впорядковано за трьома джерелами. Кожне з них відповідає на окреме запитання про ризики ідентичності у вашому tenant.
Ризикові користувачі
Люди у вашому tenant, чиї облікові записи Microsoft наразі вважає ризиковими. Для кожного користувача ви бачите, хто це, його поточний рівень ризику та чому він позначений. Це найшвидший спосіб знайти обліковий запис, який може бути скомпрометований, і вирішити, чи варто його стримати.
Виявлення ризиків
Окремі сигнали ризику за цими користувачами: наприклад, входи з незвичних місць, анонімні IP-адреси, витоки облікових даних або шаблони неможливих переміщень. Там, де огляд на рівні користувача каже вам «цей обліковий запис виглядає ризиковим», виявлення ризиків кажуть, що саме призвело до цього висновку.
Потрібен Microsoft Entra ID P2
Виявлення ризиків надходять від Microsoft Entra ID Protection, що потребує ліцензії Microsoft Entra ID P2. Якщо ваш tenant не ліцензовано для неї, це джерело замість даних показує примітку «Not available yet». Дивіться Ліцензування та примітка «Not available yet» нижче.
Сповіщення безпеки
Сповіщення безпеки вищого рівня, створені для вашого tenant: підозріла активність, зведена в сповіщення, що заслуговує на пильніший розгляд. Вони дають ширшу картину безпеки поряд із сигналами, специфічними для ідентичності.
Потрібен Microsoft Defender
Сповіщення безпеки надходять від Microsoft Defender. Якщо ваш tenant не має плану Microsoft Defender, що формує ці сповіщення, це джерело замість даних показує примітку «Not available yet».
Сповіщення про загрози працюють у режимі лише для читання під час перегляду
Перегляд Сповіщень про загрози ніколи нічого не змінює у вашому tenant. Вони читають поточний стан ризику й відображають його. Єдина дія, що справді вносить зміну, - це реагування на компрометацію, описане нижче, і вона запускається лише тоді, коли ви явно ініціюєте її для конкретного користувача.
Реагування на компрометацію: стримайте ризикового користувача в один клік
Коли ви знаходите обліковий запис, який скомпрометовано або який поводиться підозріло, ви можете стримати його прямо зі списку ризикових користувачів. Стримування користувача робить дві речі одночасно:
- Відкликає активні сеанси користувача, тож будь-який зловмисник, який увійшов, змушений повернутися до нового входу.
- Вимикає обліковий запис, тож жоден новий вхід не зможе пройти успішно, доки ви знову не ввімкнете його.
Разом це швидко відрізає доступ зловмисника, поки ви проводите розслідування.
Щоб стримати користувача:
- Відкрийте Сповіщення про загрози на бічній панелі.
- У списку Ризикові користувачі знайдіть обліковий запис, який хочете стримати.
- Натисніть Contain для цього користувача та підтвердьте.
- Aether365 відкликає сеанси користувача та вимикає обліковий запис через ваше підключення AI Pilot.
Стримування оборотне
Вимкнення облікового запису не видаляє його. Щойно ви проведете розслідування й переконаєтеся, що обліковий запис безпечний, ви можете знову ввімкнути його з Microsoft Entra admin center. Спершу стримуйте, потім розслідуйте: знову ввімкнути чистий обліковий запис набагато простіше, ніж відновлюватися після активного вторгнення.
Оскільки реагування на компрометацію записує дані у ваш tenant, воно покладається на підключення AI Pilot із доступом на запис. Якщо tenant має лише підключення для сканування в режимі лише для читання, вихідні дані все одно можуть відображатися, але стримування користувача недоступне, доки не підключено AI Pilot.
Ліцензування та примітка «Not available yet»
Сповіщення про загрози показують ті сигнали Microsoft, які ваш tenant ліцензовано формувати. Джерела, що залежать від ліцензії, якої у вас немає, показують чітку примітку «Not available yet» замість порожніх або оманливих даних:
| Джерело | Потребує | Якщо не ліцензовано |
|---|---|---|
| Ризикові користувачі | Сигнали ризику ідентичності | Показується за наявності |
| Виявлення ризиків | Microsoft Entra ID P2 | Примітка «Not available yet» |
| Сповіщення безпеки | Microsoft Defender | Примітка «Not available yet» |
Примітка є інформаційною, а не помилкою. Вона означає, що джерело готове запрацювати тієї миті, коли tenant отримає потрібну ліцензію, без жодного додаткового налаштування з вашого боку. Джерела, для яких у вас є ліцензія, продовжують працювати як зазвичай, незалежно від цього.
Пов'язане
- AI Pilot - підключення з доступом на запис, що забезпечує роботу Сповіщень про загрози і реагування на компрометацію
- Керування політиками - перегляд і посилення політик безпеки вашого tenant
- Підключення tenant - налаштування ваших підключень
- Модель безпеки - типовий режим лише для читання та необов'язковий доступ на запис