Citrix Analytics for Security

Microsoft Graph 安全性风险指示器

注意:

自 2023 年 7 月起,Microsoft 已将 Azure Active Directory (Azure AD) 重命名为 Microsoft Entra ID。在本文档中,任何提及 Azure Active Directory、Azure AD 或 AAD 的内容现在均指 Microsoft Entra ID。

Microsoft Graph 安全从 Azure AD 身份保护Microsoft Defender for Endpoint 安全提供商的数据,然后将这些信息发送给 Citrix Analytics。

Azure AD 身份保护会触发以下风险指示器并将信息发送到 Microsoft Graph 安全:

  • 匿名 IP 地址

  • 不可能前往非典型地点

  • 凭据泄露的用户

  • 从受感染的设备登录

  • 从具有可疑活动的 IP 地址登录

  • 从不熟悉的位置登录

有关 Defender for Endpoint 的信息,请参阅 Microsoft Defender for Endpoint

与风险指标相关的风险因素是基于 IP 的风险指标。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器

如何分析 Microsoft Graph 安全风险指标

考虑一个表现出前面提到的危险行为之一的用户 Maria Brown。Microsoft 检测到事件并生成警报。Citrix Analytics 会检索此警报,并将更新的风险评分分配给 Maria Brown。此外,适当的风险指标也会添加到 Maria Brown 的风险时间表中。

要查看用户的 Microsoft Graph Security 风险指示器条目,请导航到安全 > 用户,然后选择该用户。

从 Maria 的时间表中,您可以从风险时间表中选择最新的风险指标条目。其相应的详细信息面板显示在右窗格中。 发生了什么部分提供了风险指标的简要摘要。

如何获取有关风险指标的更多信息

有关详细信息,请参阅 Azure Active Directory 风险事件

您可以对用户应用什么操作

目前,无法通过 Microsoft Graph Security 数据源对用户帐户执行适当操作。

有关 Microsoft Graph 安全入门的信息,请参阅 Microsoft Graph 安全性

Microsoft Graph 安全性风险指示器