ITDR常見問題解答

Microsoft Entra ID 支援。

是的，您可以從**身分設定**頁面新增多個Entra ID租用戶。如欲瞭解更多詳情，請參閱 [](ITDRSettings.md)。

ITDR 需要 Entra ID P1 或 P2，這些產品可以作為獨立產品、附加元件使用，也可以包含在其他 Microsoft 授權中，例如 Microsoft 365 E3 和 E5、Microsoft Business Premium 以及 Microsoft 365 Frontline Worker F1、F3 和 F5。

Microsoft Entra ID Free 提供對 Microsoft API 的存取權限，但限制了可以擷取的一些資料和可以執行的姿態檢查。因此，一些使用 Entra ID Free 的 ITDR 整合會顯示「配置失敗」狀態。

ITDR 依賴 Microsoft API 來收集帳戶資訊。微軟還會根據許可限制對某些 API 的訪問，因此諸如用戶是否為管理員或是否已註冊 MFA 等資訊可能不會在許可證升級後立即顯示。客戶升級許可證後，微軟可能需要長達一週的時間才能提供更新的使用者資訊。您可以透過在 Microsoft Entra 管理中心查看活動報告來驗證該資訊。有關更多信息，請參閱[身份驗證方法活動](https://learn.microsoft.com/en-us/entra/identity/authentication/howto-authentication-methods-activity)。如果用戶報告中的資訊沒有更新，ITDR 也將過時，直到微軟刷新資訊為止。

以下是一些可能的原因：

- 您沒有所需的 Microsoft Entra ID 許可證，例如 P1 或 P2。
- 您最近升級了許可證，但微軟尚未提供相關數據。有關詳細信息，請參閱“從 Entra ID Free 升級到 P1 或 P2 許可證後，ITDR 需要多長時間才能更新？”
- 您正在使用 Okta 或 Duo 等第三方 MFA 供應商，但配置較為陳舊。在這種情況下，MFA 狀態將無法正確報告，因為 Microsoft Entra ID 不會在使用者層級儲存外部 MFA 提供者的 MFA 資訊。但是，如果您在 Entra ID 租用戶設定中使用新的 Microsoft 外部驗證方法，我們可以推斷正在使用外部提供者。

    有關更多信息，請參閱[Microsoft Entra Blog](https://techcommunity.microsoft.com/t5/microsoft-entra-blog/public-preview-external-authentication-methods-in-microsoft/ba-p/4078808)。Duo 和 Okta 的更多設定詳情請參閱相關文件。有關更多信息，請參閱[Duo 文件](https://duo.com/docs/microsoft-eam)和[Okta 文件](https://help.okta.com/en-us/content/topics/apps/office365/use_okta_mfa_azure_ad_mfa.htm)。

ITDR 包括一系列評估，每項評估負責執行不同的檢查，這些檢查以以下時間間隔執行：

- **Entra ID 姿勢檢查**：每 2 小時。
- **休眠資源檢查**：每 2 小時。
- **暗網情報**：每天。

完成初始設定後，我們從 Microsoft Entra ID 收集完整的資料目錄。之後，我們會根據以下所述的資料類型檢查更新：

- **使用者詳細資訊**:每 10 分鐘。
- **服務主體和應用程式詳情**：每 10 分鐘。
- **個群組**:每 10 分鐘。
- **裝置**:每 10 分鐘。
- **使用者多因素身份驗證配置**：每 15 分鐘。
- **使用者活動（上次登入時間）**：每 6 小時。
- **域名資料**：每 24 小時。

**身分風險狀況**評分每日更新，並根據與前一天的變化進行調整。根據是否觀察到新的發現，或者現有發現是否得到解決或被駁回，分數要么增加要么減少。

您可以在「身分設定」頁面的「姿勢檢查首選項」索引標籤中查看檢查清單。如欲瞭解更多詳情，請參閱 [](ITDRSettings.md)。

是的，您可以在「身分設定」頁面的「姿勢檢查首選項」索引標籤中開啟和關閉姿勢檢查。如欲瞭解更多詳情，請參閱 [](ITDRSettings.md)。

不，ITDR 是你用來監控的軟體。但是，如果您擁有MDR 服務， MDR營運團隊除了調查現有威脅外，還會調查基於身分的威脅。

MDR營運團隊主要專注於活躍的身份威脅，並將查看可能表明存在活躍威脅的嚴重或高風險結果子集。但是，監測和管理調查結果是您的責任。

MDR營運團隊利用從 Microsoft Entra ID 收集的額外身分上下文，更了解使用者和相關風險，這有助於加快已關聯使用者的身分和非身分檢測的調查和回應流程。

Entra ID 中的管理員標誌對於指派到 Entra ID 中被認定為管理員或特權角色的使用者設定為 true。這些角色通常對目錄資源、使用者或安全性設定擁有重大控制權。以下是設定管理員標誌為 true 的 Entra ID 角色清單：

- **全域管理員**：完全存取Entra ID的所有管理功能。
- **特權角色管理員**：管理 Entra ID 中的角色分配，包括分配其他管理員。
- **使用者管理員**：管理使用者帳戶、使用者群組和一些使用者屬性。
- **安全性管理員**：擁有對所有安全功能和設定的完全存取權限。
- **合規管理員**：管理合規相關功能，例如電子取證和審計。
- **應用程式管理員**：管理Entra ID中的應用程式註冊和設定。
- **身份驗證管理員**：可以查看、設定和重設身份驗證方法和控件，包括密碼重設。
- **Exchange 管理員**：管理 Microsoft Exchange Online 的設定。
- **SharePoint 管理員**：管理 SharePoint Online 的設定。
- **團隊管理員**：管理 Microsoft Teams 的設定。
- **Intune 管理員**：管理 Microsoft Intune 中的裝置管理設定和配置。
- **帳單管理員**：管理訂閱、帳單和支援工單。
- **服務台管理員**：僅限密碼重設和基本故障排除。
- **服務支援管理員**：管理服務支援相關設定。
- **目錄讀取者**（如果與其他特權角色結合使用）：可以讀取目錄資訊；通常與其他角色結合使用以提升權限。
- **全域讀者**（如果與其他管理員角色結合使用）：對 Entra ID 和 Microsoft 服務具有唯讀存取權限；與另一個管理員角色結合使用時，可能會將管理員標誌設為 true。
- **報表閱讀器**（如果與其他管理員角色組合使用）：查閱報告和日誌，通常還需承擔其他行政職責。
- **條件存取管理員**：管理條件存取策略。
- **身分治理管理員**：管理與身分治理、存取審查和權限管理相關的設定。
- **具有管理權限的自訂角色**：具有與上述任何角色相當的管理權限的自訂 角色也可以將管理員標誌設為 true。

此清單涵蓋了 Entra ID 中影響管理員標誌的標準角色。但是，如果微軟更新這些角色或新增角色，管理員標誌的行為可能會隨之改變。

如果上次登入時間超過 90 天，我們將該使用者標記為不活躍使用者。

我們會持續監控洩漏的憑證，一旦在資料集中發現匹配項，我們就會對其進行處理並確定其是否有效。

為了確保我們得出可操作的結論，我們採取以下處理步驟來關聯和驗證我們收集和分析的資料：

1. 確認已設定的身分提供者中是否存在有效身分。
1. 根據現有的歷史數據，確定明文密碼或雜湊值首次洩露的時間。這一點很重要，因為新發布的組合清單通常包含來自先前洩漏的舊資料。
1. 如果是明文密碼值，我們會將其與 Microsoft Entra ID 全域密碼複雜度需求進行比較，以剔除無效值。
1. 最後，我們將密碼首次洩漏的日期與該身分最後一次更改密碼的時間進行比較。如果洩漏事件首次發生在上次密碼變更之後，我們會產生一份調查結果。

!!! note "注意"

    帳戶洩漏調查結果僅針對活躍帳戶產生。不過，您仍然可以在**暗網情報**頁面上看到原始資料。

如果確定需要產生調查結果，我們會檢查關聯的帳戶，查看其是否啟用了 MFA 以及 MFA 的強度如何。以下是根據使用者類型、洩漏類型和多因素身份驗證 (MFA) 配置劃分的相關風險等級：

| 帳戶類型 | 密碼類型 | 未啟用多因素身份驗證 | 已啟用多因素身份驗證 | 已啟用防釣魚多因素身份驗證 |
| --- | --- | --- | --- | --- |
| 管理員帳號 | 明文 | 嚴重 | 高 | 中 |
| 管理員帳號 | 雜湊值 | 高 | 中 | 低 |
| 非管理員帳號 | 純文字 | 高 | 中 | 低 |
| 非管理員帳號 | 雜湊值 | 中等 | 低 | 低 |

不，我們不會儲存任何明文密碼或雜湊值。我們也沒有能力從身分提供者那裡獲取這些資訊。在掃描和收集資料時，我們會對觀察到的值套用自訂雜湊值，然後將記錄分類為明文密碼或雜湊密碼。這樣，我們就可以在不保留底層密碼值的情況下，確定密碼的唯一性並計算指標。

我們使用來自各種暗網市場（如俄羅斯市場和 Genesis 市場）、TOR 網站、公開和隱藏的 Telegram 頻道以及竊取者日誌檔案的資料。