ITDR 常見問題
尋找有關 Sophos ITDR 的常見問題解答。
哪些身分提供者受到支援?
Microsoft Entra ID 支援。
我可以新增多個 Microsoft Entra ID 租戶嗎?
是的,您可以在身分設定頁面中新增多個 Entra ID 租戶。如欲瞭解更多詳情,請參閱 身分設定。
我需要哪種 Microsoft Entra ID 授權?
ITDR 需要 Entra ID P1 或 P2 授權,此類授權可透過獨立產品、附加元件取得,或包含於其他 Microsoft 授權方案中,例如 Microsoft 365 E3 與 E5、Microsoft Business Premium,以及 Microsoft 365 前線工作者 F1、F3 和 F5 授權方案。
Microsoft Entra ID 免費版提供存取 Microsoft API 的權限,但會限制可匯入的部分資料以及可執行的態勢檢查項目。因此,部分使用 Entra ID Free 的 ITDR 整合會顯示 配置失敗 狀態。
從 Entra ID 免費版升級至 P1 或 P2 授權後,ITDR 需要多久時間才能更新?
ITDR 依賴 Microsoft API 來收集帳戶資訊。微軟亦會依據授權狀態限制特定 API 的存取 權限,因此在授權升級後,諸如使用者是否為管理員或已註冊多因素驗證等資訊,可能不會立即顯示。客戶升級授權後,微軟可能需要長達一週的時間才會提供更新後的用戶資訊。您可透過檢視 Microsoft Entra 管理中心的活動報告來驗證相關資訊。欲了解更多資訊,請參閱驗證方法活動。若使用者報告中的資訊未更新,ITDR 亦將處於過時狀態,直至 Microsoft 刷新相關資訊為止。
為什麼我的使用者顯示未受多因素驗證保護?
以下是幾個可能的原因:
- 您未持有所需的 Microsoft Entra ID 授權,例如 P1 或 P2 授權。
- 您最近升級了授權,但微軟尚未提供相關資料。詳細資訊請參閱「從 Entra ID 免費版升級至 P1 或 P2 授權後,ITDR 需要多久時間才能更新?」
-
您正在使用第三方多因素驗證供應商(例如 Okta 或 Duo),且採用的是舊式設定。在此情況下,多因素驗證狀態將無法正確回報,因為 Microsoft Entra ID 不會在使用者層級儲存外部多因素驗證供應商的相關資訊。然而,若您在 Entra ID 租戶設定中使用新的 Microsoft 外部驗證方法,則可推斷出系統正採用外部供應商服務。
更多資訊請參閱 Microsoft Entra 部落格。Duo 與 Okta 的額外設定細節可供查閱。更多資訊請參閱 Duo 文件 與 Okta 文件。
姿勢檢查多久執行一次?
ITDR包含一組評估程序,每項評估負責執行不同的檢查,這些檢查在以下間隔時間內進行:
- Entra ID 姿勢檢查:每 2 小時。
- 閒置資源檢查:每 2 小時。
Entra ID 的資料多久收集一次?
完成初始設定後,我們將從 Microsoft Entra ID 收集完整的資料目錄。之後,我們會根據以下所述的資料類型檢查更新:
- 使用者詳細資訊:每 10 分鐘。
- 服務主體與應用程式詳情:每 10 分鐘。
- 個群組:每 10 分鐘。
- 裝置:每 10 分鐘。
- 使用者多因素驗證設定:每 15 分鐘。
- 使用者活動(最後登入時間):每 6 小時。
- 網域資料:每 24 小時。
身份風險態勢評分多久更新一次?
身份風險態勢評分會根據前一日的變化每日更新。分數會根據是否觀察到新發現,或是否解決或駁回現有發現而增加或減少。
如何查看正在執行的檢查清單?
您可在身分設定頁面的姿勢檢查偏好設定索引標籤中檢視檢查項目清單。如欲瞭解更多詳情,請參閱 身分設定。
我能否自訂針對我的環境執行的檢查項目?
是的,您可以在身分設定頁面的姿勢檢查偏好設定索引標籤中開啟或關閉姿勢檢查功能。如欲瞭解更多詳情,請參閱 身分設定。
ITDR 是否為服務?
不,ITDR 是您用來監控的軟體。然而,若您已訂閱 MDR 服務,MDR 營運 團隊除原有調查範圍外,亦將針對基於身分的威脅展開調查。
如果我已訂閱 MDR 服務,MDR 營運 團隊會為我的偵測結果進行分級處理嗎?
MDR 營運 團隊主要專注於主動式身分威脅,並將檢視部分關鍵或高風險發現項目,這些項目可能顯示存在活躍威脅。然而,監控與管理調查結果是您的責任。
若我已擁有 MDR 服務,ITDR 如何協助 MDR 營運 團隊?
MDR 營運 團隊運用從 Microsoft Entra ID 收集的額外身分背景資訊,以更深入理解使用者及其相關風險,這有助於加速針對使用者相關偵測事件的調查與應對流程——無論該事件涉及身分相關偵測或非身分相關偵測。
什麼決定了某個身分是否被標記為管理員?
在 Entra ID 中,被指派至被識別為管理員 角色或特權角色的使用者,其管理員標記將設定為 true。這些角色通常對目錄資源、使用者或安全性設定擁有顯著的控制權限。以下是將管理員標記設為 true 的 Entra ID 角色清單:
- 全球管理員:全面存取 Entra ID 中的所有管理功能。
- 特權角色管理員:管理 Entra ID 中的角色指派,包括指派其他管理員。
- 使用者管理員:管理使用者帳戶、群組及部分使用者屬性。
- 安全管理員:擁有所有安全功能與設定的完整存取權限。
- 合規管理員:管理合規相關功能,例如電子取證與稽核。
- 應用程式管理員:管理 Entra ID 中的應用程式註冊與設定。
- 驗證管理員:可檢視、設定及重設驗證方法與控制項目,包括密碼重設功能。
- 交換管理員:管理 Microsoft Exchange Online 的設定。
- SharePoint 管理員:管理 SharePoint Online 的設定。
- 團隊管理員:管理 Microsoft Teams 的設定。
- Intune 管理員:管理 Microsoft Intune 中的裝置管理設定與配置。
- 帳務管理員:管理訂閱、帳單及支援票券。
- 服務台管理員:僅限於密碼重設及基本故障排除。
- 服務支援管理員:管理服務支援相關的設定。
- 目錄讀取者(若與其他特權角色合併):可讀取目錄資訊;通常與其他角色結合以提升權限。
- 全球讀者(若與其他管理員角色合併):在 Entra ID 和 Microsoft 服務中具有唯讀存取權限;若與其他管理員角色結合使用時,可將管理員標記設為 true。
- 報告閱讀者(若與其他管理員角色合併):存取報告與記錄的權限,通常與其他管理職責相結合。
- 條件式存取管理員:管理條件式存取原則。
- 身分治理管理員:管理與身分治理、存取審查及權限管理相關的設定。
- 具備管理權限的自訂角色:具有與上述任何角色相當管理權限的自訂角色,亦可將 admin 標記設定為 true。
此清單涵蓋了在 Entra ID 中會影響管理員標記的標準角色。然而,若微軟更新這些角色或新增其他角色,管理員標記的行為可能會隨之改變。
什麼決定了身份是否被標記為休眠狀態?
若最後登入時間超過90天,我們將標記該用戶為休眠狀態。
您多久檢查一次外洩的憑證?
我們持續監控外洩的憑證資訊,一旦在資料集中發現匹配項目,便立即進行處理並判定其有效性。
帳戶遭入侵的發現是如何產生的?
為確保我們能產生可執行的研究結果,我們採取以下處理步驟來關聯並驗證所收集與分析的數據:
- 請確認在已設定的身份提供者中存在有效的身份。
- 根據現有歷史資料,確定明文密碼或雜湊值首次外洩的時間點。這點很重要,因為新發布的組合清單往往包含先前資料外洩事件中的舊資料。
- 若為明文密碼值,我們將比對此值是否符合 Microsoft Entra ID 的全球密碼複雜度要求,以篩除無效值。
- 最後,我們將密碼首次外洩的日期與該身分的最後一次密碼變更時間進行比對。若洩漏事件發生於上次密碼變更之後,我們將生成一項發現。
注意
帳戶遭入侵的偵測結果僅針對活躍身分產生。然而,您仍可在憑證遭竊取頁面查看原始資料。
帳戶遭入侵的風險等級是如何判斷的?
若我們已判定應產生偵測結果,接著便會檢查相關帳戶是否啟用多因素驗證(MFA),以及其驗證強度為何。以下是根據使用者類型、洩漏類型及多因素驗證(MFA)設定所對應的風險等級:
| 帳戶類型 | 密碼類型 | 無多因素驗證 | 多因素驗證啟用 | 防釣魚多因素驗證啟用 |
|---|---|---|---|---|
| 管理員帳戶 | 明文 | 關鍵級 | 高級 | 中級 |
| 管理員帳戶 | 雜湊值 | 高 | 中 | 低 |
| 非管理員帳戶 | 純文字 | 高 | 中 | 低 |
| 非管理員帳戶 | 雜湊值 | 中等 | 低 | 低 |
您是否收集並儲存雜湊值或密碼?
不,我們不會儲存任何明文密碼或雜湊值。我們同樣無法從身分提供者處擷取這些資訊。在掃描與收集數據時,我們會對觀察到的數值套用自訂雜湊函數,隨後將記錄歸類為明文或雜湊密碼。這使我們能夠在無需保留底層密碼值的情況下,確定密碼的唯一性並計算相關指標。
洩漏憑證監控使用哪些數據?
我們使用來自各類暗網市場的數據,例如俄羅斯市場(Russian Marketplace)與創世紀市場(Genesis market)、TOR網站、公開及隱藏的Telegram頻道,以及竊取程式日誌檔案。