방법: Microsoft Entra ID 보호에서 위험 피드백 제공
Microsoft Entra ID 보호를 사용하면 위험 평가에 대한 피드백을 제공할 수 있습니다. 다음 문서에는 Microsoft Entra ID 보호의 위험 평가에 피드백을 제공하는 시나리오 및 피드백 통합 방법이 나와 있습니다.
사용자의 피드백은 향후 검색을 최적화하고 정확도를 개선하며 가양성을 줄이는 데 도움이 됩니다.
검색이란 무엇인가요?
ID 보호 검색은 ID 위험 관점에서 의심스러운 활동을 나타내는 표시기입니다. 의심스러운 활동을 위험 검색이라고 합니다. ID 기반 검색은 추론 또는 기계 학습을 기반으로 하거나 파트너 제품에서 제공될 수 있습니다. 이 검색은 로그인 위험 및 사용자 위험을 확인하는 데 사용됩니다.
- 사용자 위험은 ID가 손상되었을 가능성을 나타냅니다.
- 로그인 위험은 로그인이 손상되었을 가능성을 나타냅니다(예: ID 소유자가 로그인 권한을 부여하지 않음).
위험 평가에 위험 피드백을 제공해야 하는 이유는 무엇인가요?
위험 피드백을 제공해야 하는 몇 가지 이유는 다음과 같습니다.
- Microsoft Entra ID 보호 사용자 또는 로그인 위험 평가가 잘못되었음을 발견했습니다. 예를 들어 위험한 로그인 보고서에 표시된 로그인이 무해하고 해당 로그인에 대한 모든 검색이 가양성인 경우입니다.
- Microsoft Entra ID 보호 사용자 또는 로그인 위험 평가가 올바른지 유효성을 검사했습니다. 예를 들어 위험한 로그인 보고서에 표시된 로그인이 실제로 악성이고 해당 로그인에 대한 모든 검색이 진양성인 것을 Microsoft Entra ID에 알리려는 경우입니다.
- Microsoft Entra ID 보호 외부에서 해당 사용자의 위험을 해결했으며 사용자의 위험 수준을 업데이트하려는 경우입니다.
Microsoft는 내 위험 피드백을 어떻게 사용하나요?
Microsoft는 피드백을 사용하여 기본 사용자 및/또는 로그인의 위험과 관련 이벤트의 정확도를 업데이트합니다. 이 피드백은 최종 사용자를 보호하는 데 도움이 됩니다. 예를 들어, 로그인이 손상된 것을 확인하면 즉시 사용자의 위험과 로그인의 총 위험(실시간 위험 아님)을 최고 수준으로 높입니다. 이 사용자가 사용자 위험 정책에 포함되어 위험도가 높은 사용자가 암호를 안전하게 다시 설정하도록 강제하는 경우 해당 사용자는 다음에 로그인할 때 자동으로 수정할 수 있습니다.
관리자는 위험한 로그인 이벤트에 대한 조치를 취하고 다음을 선택할 수 있습니다.
- 로그인이 손상되어 있는지 확인합니다. 이 작업은 로그인이 진정한 긍정임을 확인합니다. 문제 수정 단계가 수행될 때까지 로그인은 위험한 것으로 간주됩니다.
- 로그인 안전 확인 – 이 작업은 로그인이 가양성인지 확인합니다. 앞으로는 유사한 로그인을 위험한 것으로 간주해서는 안 됩니다.
- 로그인 위험 해제 – 이 작업은 무해한 참 긍정에 사용됩니다. 감지한 이 로그인 위험은 알려진 침투 테스트 또는 승인된 애플리케이션에서 생성된 알려진 활동과 같이 실제이지만 악성이 아닙니다. 앞으로도 유사한 로그인에 대한 위험을 계속 평가해야 합니다.
사용자 수준에서 작업을 수행하면 현재 해당 사용자와 연결된 모든 검색에 적용됩니다. 관리자는 사용자에 대해 조치를 취하고 다음을 선택할 수 있습니다.
- 암호 재설정 - 이 작업은 사용자의 현재 세션을 해지합니다.
- 사용자 손상 확인 - 이 작업은 진정한 긍정으로 수행됩니다. ID 보호는 사용자 위험을 높음으로 설정하고 새 검색을 추가합니다. 관리자는 사용자가 손상된 것으로 확인했습니다. 수정 단계가 수행될 때까지 사용자는 위험한 것으로 간주됩니다.
- 사용자 안전 확인 - 이 작업은 가양성으로 수행됩니다. 이렇게 하면 이 사용자에 대한 위험 및 검색이 제거되고 학습 모드에 배치되어 사용 속성을 다시 학습시킵니다. 이 옵션을 사용하여 가양성 표시를 할 수 있습니다.
- 사용자 위험 해제 - 이 작업은 양성 긍정 사용자 위험에 대해 수행됩니다. 감지한 이 사용자 위험은 알려진 침투 테스트와 같이 실제이지만 악의적이지는 않습니다. 유사한 사용자는 앞으로도 위험을 계속 평가해야 합니다.
- 사용자 차단 - 공격자가 암호에 액세스하거나 MFA를 수행할 수 있는 권한이 있는 경우 사용자가 로그인하지 못하도록 차단합니다.
- Microsoft 365 Defender 로 조사 - 이 작업을 수행하면 관리자가 Microsoft Defender 포털로 이동하여 관리자가 추가 조사를 수행할 수 있습니다.
ID 보호의 위험 검색에 대한 피드백은 오프라인으로 처리되며 업데이트하는 데 다소 시간이 걸릴 수 있습니다. 위험 처리 상태 열에 피드백 처리의 현재 상태가 제공됩니다.