Instrukcje: przekazywanie opinii o ryzyku w Ochrona tożsamości Microsoft Entra
Ochrona tożsamości Microsoft Entra umożliwia przekazanie opinii na temat oceny ryzyka. W poniższym dokumencie wymieniono scenariusze, w których chcesz przekazać opinię na temat oceny ryzyka Ochrona tożsamości Microsoft Entra oraz sposobu ich uwzględnienia.
Twoja opinia pomaga nam zoptymalizować wykrywanie w przyszłości, poprawić ich dokładność i zmniejszyć liczbę wyników fałszywie dodatnich.
Co to jest wykrywanie?
Wykrywanie ochrony identyfikatorów jest wskaźnikiem podejrzanej aktywności z perspektywy ryzyka związanego z tożsamością. Te podejrzane działania są nazywane wykrywaniem ryzyka. Te wykrycia oparte na tożsamościach mogą być oparte na heurystyce, uczeniu maszynowym lub mogą pochodzić z produktów partnerskich. Te wykrycia służą do określania ryzyka związanego z logowaniem i ryzyka związanego z użytkownikiem,
- Ryzyko użytkownika reprezentuje prawdopodobieństwo naruszenia zabezpieczeń tożsamości.
- Ryzyko logowania reprezentuje prawdopodobieństwo naruszenia zabezpieczeń logowania (na przykład właściciel tożsamości nie autoryzował logowania).
Dlaczego należy przekazać opinię na temat ryzyka do ocen ryzyka?
Istnieje kilka powodów, dla których należy przekazać opinię na temat ryzyka:
- Znaleziono Ochrona tożsamości Microsoft Entra użytkownika lub nieprawidłowej oceny ryzyka logowania. Na przykład raport ryzykownych logowań widoczny w raporcie Ryzykowne logowania był łagodny, a wszystkie wykrycia logowania były fałszywie dodatnie.
- Sprawdzono, że Ochrona tożsamości Microsoft Entra użytkownik lub ocena ryzyka logowania była poprawna. Na przykład raport Ryzykowne logowania był rzeczywiście złośliwy i chcesz, aby identyfikator Entra firmy Microsoft wiedział, że wszystkie wykrycia logowania były prawdziwie dodatnie.
- Skorygowaliśmy ryzyko dotyczące tego użytkownika spoza Ochrona tożsamości Microsoft Entra i chcesz zaktualizować poziom ryzyka użytkownika.
Jak firma Microsoft korzysta z moich opinii dotyczących ryzyka?
Firma Microsoft używa opinii w celu zaktualizowania ryzyka związanego z użytkownikiem bazowym i/lub logowaniem oraz dokładnością tych zdarzeń. Ta opinia pomaga zabezpieczyć użytkownika końcowego. Na przykład po potwierdzeniu naruszenia zabezpieczeń logowania natychmiast zwiększamy ryzyko użytkownika i łączne ryzyko logowania (nie ryzyko w czasie rzeczywistym) na wysokie. Jeśli ten użytkownik jest uwzględniony w zasadach ryzyka użytkownika, aby zmusić użytkowników wysokiego ryzyka do bezpiecznego resetowania swoich haseł, będzie mógł automatycznie skorygować przy następnym logowaniu.
Administratorzy mogą podejmować działania w przypadku ryzykownych zdarzeń logowania i zdecydować się na:
- Potwierdź naruszenie zabezpieczeń logowania — ta akcja potwierdza, że logowanie jest prawdziwie dodatnie. Logowanie jest uznawane za ryzykowne do momentu podjęcia kroków korygowania.
- Potwierdź bezpieczne logowanie — ta akcja potwierdza, że logowanie jest fałszywie dodatnie. Podobne logowania nie powinny być traktowane jako ryzykowne w przyszłości.
- Odrzuć ryzyko logowania — ta akcja jest używana dla łagodnego prawdziwie dodatniego wyniku. Wykryte ryzyko logowania jest prawdziwe, ale nie złośliwe, takie jak te ze znanego testu penetracyjnego lub znane działanie wygenerowane przez zatwierdzoną aplikację. Podobne logowania powinny nadal być oceniane pod kątem ryzyka w przyszłości.
Podjęcie akcji na poziomie użytkownika ma zastosowanie do wszystkich wykryć aktualnie skojarzonych z tym użytkownikiem. Administratorzy mogą podejmować działania na użytkownikach i zdecydować się na:
- Resetowanie hasła — ta akcja odwołuje bieżące sesje użytkownika.
- Potwierdź naruszenie zabezpieczeń użytkownika — ta akcja jest wykonywana na prawdziwie dodatnim. Usługa ID Protection ustawia ryzyko użytkownika na wysoki i dodaje nowe wykrywanie, administrator potwierdził naruszenie bezpieczeństwa użytkownika. Użytkownik jest uważany za ryzykowny do momentu podjęcia kroków korygowania.
- Potwierdzanie bezpieczeństwa użytkownika — ta akcja jest wykonywana w wyniku fałszywie dodatniego. Spowoduje to usunięcie ryzyka i wykryć na tym użytkowniku oraz umieszczenie go w trybie uczenia w celu ponownego zapoznania się z właściwościami użycia. Ta opcja może służyć do oznaczania wyników fałszywie dodatnich.
- Odrzucanie ryzyka związanego z użytkownikiem — ta akcja jest podejmowana w przypadku łagodnego pozytywnego ryzyka związanego z użytkownikiem. Wykryte przez nas ryzyko użytkownika jest prawdziwe, ale nie złośliwe, takie jak te ze znanego testu penetracyjnego. Podobni użytkownicy powinni nadal oceniać ryzyko w przyszłości.
- Blokuj użytkownika — ta akcja uniemożliwia użytkownikowi logowanie się, jeśli osoba atakująca ma dostęp do hasła lub możliwości wykonania uwierzytelniania wieloskładnikowego.
- Badanie za pomocą usługi Microsoft 365 Defender — ta akcja powoduje, że administratorzy są w portalu usługi Microsoft Defender, aby umożliwić administratorowi dalsze badanie.
Opinie na temat wykrywania ryzyka w usłudze ID Protection są przetwarzane w trybie offline i aktualizacja może zająć trochę czasu. Kolumna stanu przetwarzania ryzyka zawiera bieżący stan przetwarzania opinii.