跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=identity-detection-faq

ITDR常見問題

尋找有關 Sophos ITDR 授權常見問題的解答。

支持哪些身份提供程序?

支持 Microsoft Entra ID。

可以添加多个 Microsoft Entra ID 租户吗?

是的,您可以从 添加多个 Entra ID 租户 身份設定 頁面。如需更多資訊,請參閱 身分識別設定

需要哪种 Microsoft Entra ID 许可证?

ITDR 需要 Entra ID P1 或 P2,这些许可证可以单独购买,也可以作为附加组件随其他 Microsoft 许可证一起提供,例如 Microsoft 365 E3 和 E5、Microsoft 商业高级版以及 Microsoft 365 前线员工 F1、F3 和 F5。Microsoft Entra ID 免费版可访问 Microsoft API,但会限制可以摄取的数据和可以运行的状态检查。

从 Entra ID 免费版升级到 P1 或 P2 许可证后,ITDR 更新需要多长时间?

ITDR 依赖 Microsoft API 来收集帐户信息。Microsoft 还根据许可证限制对某些 API 的访问权限,因此,用户是否是管理员或是否已注册 MFA 等信息在许可证升级后可能不会立即显示。客戶升級許可證後,Microsoft 提供更新的用戶資訊可能需要長達一周的時間。您可以通過查看 Microsoft Entra 管理中心的活動報告來驗證這些資訊。有关详细信息,请参阅 身份验证方法活动.如果用戶報告中包含的資訊未更新,則 ITDR 亦會過時,直到 Microsoft 更新該資訊。

為什麼我的用戶顯示為未受 MFA 保護?

以下是幾個可能的原因:

  • 您沒有所需的 Microsoft Entra ID 許可證,例如 P1 或 P2。
  • 您最近升級了許可證,但 Microsoft 尚未提供該數據。有關詳細信息,請參閱“從 Entra ID 免費版升級到 P1 或 P2 許可證後,ITDR 更新需要多長時間?”

  • 您正在使用第三方 MFA 提供商(如 Okta 或 Duo)搭配舊版配置。在这种情况下,MFA 状态无法正确报告,因为 Microsoft Entra ID 不会在用户级别为外部 MFA 提供程序存储 MFA 信息。但是,如果您在 Entra ID 租户配置中使用新的 Microsoft 外部身份验证方法,我们可以推断出正在使用外部提供程序。

    有关详细信息,请参阅 Microsoft Entra 博客.Duo 和 Okta 的其他设置详细信息。有关详细信息,请参阅 Duo 文档Okta 文档.

姿势检查的运行频率如何?

ITDR 包含一套评估,每个评估负责运行不同的检查,这些检查按以下间隔执行:

  • Entra ID 姿勢檢查: 每 2 小時。
  • 休眠资源检查: 每 2 小時。
从 Entra ID 收集数据的频率如何?

初始设置后,我们会从 Microsoft Entra ID 收集完整的数据目录。之后,我们会根据以下数据类型检查更新:

  • 使用者詳細資訊:每 10 分鐘。
  • 服務主要負責人和應用程序詳細信息: 每 10 分鐘。
  • 群組:每 10 分鐘。
  • 設備:每 10 分鐘。
  • 用戶多因素身份驗證配置: 每 15 分鐘。
  • 用戶活動(最後登入): 每 6 小時。
  • 網域資料: 每 24 小時。
多久一次 身份風險態勢 分数更新了吗?

中國 身份風險態勢 分数每天都会根据前一天的变化进行更新。评分会根据是否观察到新的发现或解决了或驳回现有发现而增加或减少。

我如何查看正在执行的检查列表?

您可以在 身份设置 页面的 姿势检查首选项 标签中查看检查列表。如需更多資訊,請參閱 身分識別設定

我可以自定义针对我的环境运行的检查吗?

是的,您可以在 * 內開啟和關閉姿勢檢查 *姿勢檢查偏好 选项卡 身份設定 頁面。如需更多資訊,請參閱 身分識別設定

ITDR 是服务吗?

不,ITDR 是您监控的软件。但是,如果您有 MDR 服务,MDR 运营团队除了他们已经调查的内容外,还会调查基于身份的威胁。

如果我拥有 MDR 服务,MDR 运营团队会对我的调查结果进行分类处理吗?

MDR 运营团队主要关注活跃的身份威胁,并将查看可能指示活跃威胁的关键或高调查结果子集。但是,监控和管理调查结果是您的责任。

如果我拥有 MDR 服务,ITDR 如何帮助 MDR 运营团队?

MDR 運營團隊使用從 Microsoft Entra ID 收集的額外身份上下文,以更好地了解用戶和相關風險,這有助於加速調查和響應過程,無論是身份檢測還是非身份檢測,只要用戶已經被相關聯。

什麼決定了身份是否被標記為管理員?

在 Entra ID 中,對於被指派為管理或特權角色的用戶,Entra ID 中的管理員標誌被設為 true。這些角色通常對目錄資源、用戶或安全設置具有重要的控制權。以下是將管理員標誌設為 true 的 Entra ID 角色列表:

  • 全球系統管理員: 完全訪問 Entra ID 中的所有管理功能。
  • 特權角色管理員: 管理 Entra ID 中的角色指派,包括指派其他系統管理員。
  • 使用者管理員: 管理用户帐户、组和一些用户属性。
  • 安全管理员: 可以完全访问所有安全功能和设置。
  • 合規管理員: 管理与合规性相关的功能,如电子发现和审计。
  • 應用程式管理員: 管理 Entra ID 中的应用程序注册和设置。
  • 驗證管理員: 可以查看、设置和重置身份验证方法和控件,包括密码重置。
  • Exchange 系統管理員: 管理 Microsoft Exchange Online 设置。
  • SharePoint 系統管理員: 管理 SharePoint Online 设置。
  • 團隊管理員: 管理 Microsoft Teams 设置。
  • Intune 管理员: 管理 Microsoft Intune 中的设备管理设置和配置。
  • 帳單管理員: 管理订阅、计费和支持票证。
  • 客服管理员: 僅限密碼重設和基本故障排除。
  • 服務支援管理員: 管理服務支持相關設置。
  • 目录阅读器 (如果与其他特权角色结合使用):可以讀取目錄信息;通常與另一個角色結合以提升權限。
  • 全球閱讀者 (如果與另一個管理員角色結合):在 Entra ID 和 Microsoft 服務之間進行只讀訪問;如果與另一個管理員角色結合,可以將管理員標誌設置為 true。
  • 報告閱讀器 (如果與另一個管理員角色結合):訪問報告和日誌,通常與其他行政職責結合。
  • 有條件存取系統管理員: 建立條件式存取原則
  • 身份治理管理員: 管理与身份治理、访问审查和权限管理相关的设置。
  • 具有管理权限的自定义角色: 具有与上述任何角色相当的管理权限的自定义角色也可以将管理员标志设置为 true。

此列表涵盖了影响管理员标志的 Entra ID 中的标准角色。然而,如果 Microsoft 更新这些角色或添加新角色,管理员标志的行为可能会相应地发生变化。

什么决定了身份是否被标记为休眠?

如果最后一次登录时间超过 90 天,我们将用户标记为休眠。

您多久检查一次泄露的凭据?

我们持续监控泄露的凭据,一旦在数据集内找到匹配项,我们就会处理它并确定其有效性。

如何生成帳戶受損的結果?

為確保我們生成可操作的結果,我們採取以下處理步驟來關聯和驗證我們正在收集和分析的數據:

  1. 驗證在配置的身份提供者中是否存在有效的身份。
  2. 根據可用的歷史數據,確定明文密碼或哈希值首次洩露的時間。這很重要,因為新發布的組合列表通常包含來自之前洩露的舊數據。
  3. 如果它是明文密碼值,我們會將其與 Microsoft Entra ID 全域密碼複雜性要求進行比較,以排除無效值。
  4. 最後,我們將密碼首次洩露的日期與該身份的最後密碼變更時間進行比較。如果洩露首次發生在最後密碼變更之後,我們會生成一個結果。

注意

只有對活躍身份才會生成帳戶受損的結果。然而,您仍然可以在 * 上查看原始数据 *憑證洩露 頁面。

如何确定帐户受损风险等级?

如果我们确定应生成一个调查结果,我们会检查相关帐户,查看其是否启用了 MFA 以及启用了多强的 MFA。以下是根据用户类型、泄露类型和 MFA 配置确定的相关风险等级:

帳戶類型 密碼類型 无 MFA 已啟用 MFA 启用防网络钓鱼 MFA
管理員帳戶 純文字 重要
管理員帳戶 雜湊
非管理员帐户 純文字
非管理员帐户 雜湊
你们是否收集和存储哈希值或密码?

不,我们不会存储任何明文密码或哈希值。我们也没有从身份提供商处获取这些信息的能力。在扫描和收集数据时,我们会对观察到的值应用自定义哈希,然后将记录归类为明文密码或哈希密码。这使我们能够确定密码的唯一性,并计算指标,而无需保留底层密码值。

泄露凭据监控使用哪些数据?

我们使用来自各种暗网市场的俄罗斯市场和 Genesis 市场、TOR 站点、公开和隐藏的 Telegram 频道以及窃取日志文件的数据。