Nasıl yapılır: Microsoft Entra Kimlik Koruması'da risk geri bildirimi verme

Microsoft Entra Kimlik Koruması, risk değerlendirmesi hakkında geri bildirim göndermenize olanak tanır. Aşağıdaki belgede, Microsoft Entra Kimlik Koruması risk değerlendirmesi ve bunu nasıl dahil ettiğimiz hakkında geri bildirimde bulunmak istediğiniz senaryolar listelenmektedir.

Geri bildiriminiz gelecekte algılamaları iyileştirmemize, bunların doğruluğunu iyileştirmemize ve hatalı pozitif sonuçları azaltmamıza yardımcı olur.

Algılama nedir?

Kimlik Koruması algılama, kimlik riski açısından şüpheli etkinliğin göstergesidir. Bu şüpheli etkinliklere risk algılama denir. Bu kimlik tabanlı algılamalar buluşsal yöntemlere, makine öğrenimine dayalı olabilir veya iş ortağı ürünlerinden gelebilir. Bu algılamalar, oturum açma riskini ve kullanıcı riskini belirlemek için kullanılır,

  • Kullanıcı riski, kimliğin tehlikeye atılmış olma olasılığını temsil eder.
  • Oturum açma riski, bir oturum açmanın tehlikeye atılmış olma olasılığını temsil eder (örneğin, kimlik sahibi oturum açma yetkisi vermemiş olabilir).

Risk değerlendirmelerine neden risk geri bildirimi vermeliyim?

Riskle ilgili geri bildirimde bulunmanız için birkaç neden vardır:

  • Microsoft Entra Kimlik Koruması kullanıcı veya oturum açma riski değerlendirmesinin yanlış olduğunu belirlediniz. Örneğin Riskli oturum açma işlemleri raporunda gösterilen oturum açma işlemleri zararsızdı ve bu oturum açmadaki tüm algılamalar hatalı pozitifti.
  • Microsoft Entra Kimlik Koruması kullanıcı veya oturum açma riski değerlendirmesinin doğru olduğunu doğrulamıştınız. Örneğin Riskli oturum açma işlemleri raporunda gösterilen bir oturum açma gerçekten kötü amaçlıydı ve Microsoft Entra Id'nin bu oturum açmadaki tüm algılamaların gerçek pozitif olduğunu bilmesini istiyorsunuz.
  • Bu kullanıcı üzerindeki riski Microsoft Entra Kimlik Koruması dışında düzeltmiş ve kullanıcının risk düzeyinin güncelleştirilmesini istiyorsunuz.

Microsoft risk geri bildirimimi nasıl kullanır?

Microsoft, temel alınan kullanıcı ve/veya oturum açma riskini ve bu olayların doğruluğunu güncelleştirmek için geri bildiriminizi kullanır. Bu geri bildirim, son kullanıcının güvenliğini sağlar. Örneğin, bir oturum açmanın gizliliğinin ihlal edildiğini onayladıktan sonra kullanıcının riskini ve oturum açmanın toplam riskini (gerçek zamanlı risk değil) hemen yüksek düzeye çıkarıyoruz. Bu kullanıcı, yüksek riskli kullanıcıları parolalarını güvenli bir şekilde sıfırlamaya zorlamak için kullanıcı risk ilkenize dahil edilirse, bir sonraki oturum açışında otomatik olarak düzeltme yapabilir.

Yöneticiler riskli oturum açma olaylarında eylem gerçekleştirebilir ve şunları seçebilir:

  • Oturum açma güvenliğinin aşıldığını onaylayın – Bu eylem, oturum açma işleminin gerçek bir pozitif olduğunu onaylar. Düzeltme adımları atılana kadar oturum açma riskli kabul edilir. 
  • Oturum açmanın güvenli olduğunu onaylayın – Bu eylem, oturum açma işleminin hatalı pozitif olduğunu onaylar. Benzer oturum açma işlemleri gelecekte riskli olarak kabul edilmemelidir. 
  • Oturum açma riskini kapat – Bu eylem zararsız bir gerçek pozitif için kullanılır. Algıladığımız bu oturum açma riski, bilinen bir sızma testinden veya onaylanmış bir uygulama tarafından oluşturulan bilinen etkinlikten gelenler gibi gerçek, ancak kötü amaçlı değil. Benzer oturum açma işlemleri ileride risk açısından değerlendirilmeye devam etmelidir.

Kullanıcı düzeyinde işlem yapmak, o anda bu kullanıcıyla ilişkilendirilmiş olan tüm algılamalar için geçerlidir. Yöneticiler kullanıcılar üzerinde işlem yapabilir ve şunları seçebilir:

  • Parolayı sıfırla - Bu eylem kullanıcının geçerli oturumlarını iptal eder.
  • Kullanıcının güvenliğinin aşıldığını onaylayın - Bu eylem gerçek bir pozitif üzerinde gerçekleştirilen işlemdir. Kimlik Koruması, kullanıcı riskini yüksek olarak ayarlar ve yeni bir algılama ekler; Yönetici, kullanıcının güvenliğinin aşıldığını onaylar. Düzeltme adımları atılana kadar kullanıcı riskli kabul edilir.
  • Kullanıcının güvenli olduğunu onaylayın - Bu eylem hatalı pozitif olduğunda gerçekleştirilen bir işlemdir. Bunun yapılması, bu kullanıcı üzerindeki risk ve algılamaları kaldırır ve kullanım özelliklerini yeniden öğrenmek için öğrenme moduna alır. Hatalı pozitifleri işaretlemek için bu seçeneği kullanabilirsiniz.
  • Kullanıcı riskini kapat - Bu eylem iyi huylu pozitif bir kullanıcı riski üzerinde gerçekleştirilen bir işlemdir. Algıladığımız bu kullanıcı riski gerçek, ancak bilinen sızma testinden gelenler gibi kötü amaçlı değil. Benzer kullanıcıların ileride risk değerlendirmesine devam etmesi gerekir.
  • Kullanıcıyı engelle - Bu eylem, saldırganın parolaya erişimi veya MFA gerçekleştirme yeteneği varsa kullanıcının oturum açmasını engeller.
  • Microsoft 365 Defender ile araştırma - Bu eylem yöneticileri Microsoft Defender portalına götürerek bir yöneticinin daha fazla araştırma gerçekleştirmesini sağlar.

Kimlik Koruması'ndaki risk algılamalarıyla ilgili geri bildirim çevrimdışı işlenir ve güncelleştirilmek biraz zaman alabilir. Risk işleme durumu sütunu, geri bildirim işlemenin geçerli durumunu sağlar.