Postupy: Poskytnutí zpětné vazby k rizikům ve službě Microsoft Entra ID Protection
Microsoft Entra ID Protection umožňuje poskytnout zpětnou vazbu k posouzení rizik. Následující dokument uvádí scénáře, ve kterých byste chtěli poskytnout zpětnou vazbu k posouzení rizik společnosti Microsoft Entra ID Protection a způsobu jeho začlenění.
Vaše zpětná vazba nám pomůže optimalizovat detekce v budoucnu, zlepšit jejich přesnost a snížit falešně pozitivní výsledky.
Co je detekce?
Detekce ochrany ID je indikátorem podezřelé aktivity z hlediska rizika identity. Tyto podezřelé aktivity se nazývají detekce rizik. Tyto detekce založené na identitách můžou být založené na heuristikách, strojovém učení nebo můžou pocházet z partnerských produktů. Tyto detekce se používají k určení rizik přihlašování a rizik uživatelů,
- Riziko uživatele představuje pravděpodobnost ohrožení identity.
- Riziko přihlášení představuje pravděpodobnost ohrožení zabezpečení přihlášení (například vlastník identity neověřil přihlášení).
Proč mám dát hodnocení rizik zpětnou vazbu?
Existuje několikdůvodůch
- Zjistili jste, že uživatel služby Microsoft Entra ID Protection nebo posouzení rizik přihlašování je nesprávné. Například přihlášení zobrazené v sestavě rizikových přihlášení bylo neškodné a všechny detekce na tomto přihlášení byly falešně pozitivní.
- Ověřili jste, že uživatel služby Microsoft Entra ID Protection nebo posouzení rizik přihlašování byl správný. Například přihlášení zobrazené v sestavě rizikových přihlášení bylo skutečně škodlivé a chcete, aby ID Microsoft Entra věděl, že všechny detekce na tomto přihlášení byly skutečně pozitivní.
- Opravili jste riziko u tohoto uživatele mimo microsoft Entra ID Protection a chcete, aby se úroveň rizika uživatele aktualizovala.
Jak Microsoft používá zpětnou vazbu k riziku?
Microsoft používá vaši zpětnou vazbu k aktualizaci rizika souvisejícího uživatele nebo přihlášení a přesnosti těchto událostí. Tato zpětná vazba pomáhá zabezpečit koncového uživatele. Když například potvrdíte, že je přihlášení ohroženo, okamžitě zvýšíme riziko uživatele a celkové riziko přihlášení (ne riziko v reálném čase) na vysoké. Pokud je tento uživatel součástí zásad rizik uživatelů, aby uživatelé s vysokým rizikem bezpečně resetovali svá hesla, budou moct při příštím přihlášení automaticky napravit.
Správci můžou provádět akce s rizikovými událostmi přihlášení a zvolit:
- Potvrďte ohrožení zabezpečení přihlášení – tato akce potvrzuje, že přihlášení je pravdivě pozitivní. Přihlášení se považuje za rizikové, dokud se nedočká nápravných kroků.
- Potvrďte bezpečné přihlášení – tato akce potvrzuje, že přihlášení je falešně pozitivní. Podobné přihlášení by se v budoucnu neměly považovat za rizikové.
- Zavřít riziko přihlášení – tato akce se používá pro neškodné pravdivě pozitivní. Toto riziko přihlášení, které jsme zjistili, je reálné, ale ne škodlivé, jako jsou ty ze známého penetračního testu nebo známé aktivity vygenerované schválenou aplikací. Podobné přihlášení by se mělo dál vyhodnocovat z hlediska rizika.
Provedení akce na úrovni uživatele platí pro všechna zjištění, která jsou aktuálně přidružená k danému uživateli. Správci můžou s uživateli provádět akce a zvolit:
- Resetování hesla – Tato akce odvolá aktuální relace uživatele.
- Potvrďte ohrožení zabezpečení uživatele – tato akce se provede u pravdivě pozitivních akcí. Ochrana ID nastaví riziko uživatele na vysoké a přidá novou detekci, správce potvrdil ohrožení zabezpečení uživatele. Uživatel se považuje za rizikové, dokud se nedočká nápravných kroků.
- Potvrďte bezpečnost uživatele – tato akce se provede u falešně pozitivních výsledků. Tím se odeberou rizika a detekce u tohoto uživatele a umístí ho do režimu učení, aby se znovu naučily vlastnosti využití. Tuto možnost můžete použít k označení falešně pozitivních výsledků.
- Zavření rizika uživatele – Tato akce se provádí u neškodného pozitivního rizika uživatele. Toto uživatelské riziko, které jsme zjistili, je skutečné, ale ne škodlivé, jako jsou ty ze známého penetračního testu. Podobným uživatelům by se mělo i nadále vyhodnocovat riziko.
- Blokovat uživatele – Tato akce blokuje přihlášení uživatele, pokud má útočník přístup k heslu nebo schopnost provádět vícefaktorové ověřování.
- Prošetření pomocí programu Microsoft 365 Defender – Tato akce provede správce na portálu Microsoft Defender, aby správce mohl další šetření.
Zpětná vazba k detekci rizik ve službě ID Protection se zpracovává offline a aktualizace může nějakou dobu trvat. Sloupec stavu zpracování rizik poskytuje aktuální stav zpracování zpětné vazby.