Postupy: Poskytnutí zpětné vazby k rizikům ve službě Microsoft Entra ID Protection
Microsoft Entra ID Protection umožňuje poskytnout zpětnou vazbu k posouzení rizik. Následující dokument uvádí scénáře, ve kterých byste chtěli poskytnout zpětnou vazbu k posouzení rizik společnosti Microsoft Entra ID Protection a způsobu jeho začlenění.
Vaše zpětná vazba nám pomůže optimalizovat detekce v budoucnu, zlepšit jejich přesnost a snížit falešně pozitivní výsledky.
Co je detekce?
Detekce ochrany ID je indikátorem podezřelé aktivity z hlediska rizika identity. Tyto podezřelé aktivity se nazývají detekce rizik. Tyto detekce založené na identitách můžou být založené na heuristikách, strojovém učení nebo můžou pocházet z partnerských produktů. Tyto detekce se používají k určení rizik přihlašování a rizik uživatelů,
- Riziko uživatele představuje pravděpodobnost ohrožení identity.
- Riziko přihlášení představuje pravděpodobnost ohrožení zabezpečení přihlášení (například vlastník identity neověřil přihlášení).
Proč bych měl poskytnout zpětnou vazbu k hodnocení rizik?
Existuje několik důvodů, proč byste měli poskytnout zpětnou vazbu na rizika.
- Zjistili jste, že uživatel nebo posouzení rizik přihlašování v rámci Microsoft Entra ID Protection je nesprávné. Například přihlášení zobrazené ve zprávě o rizikových přihlášeních bylo neškodné a všechny detekce během tohoto přihlášení byly falešně pozitivní.
- Ověřili jste, že bylo správně posouzeno riziko uživatele nebo přihlášení v rámci služby Microsoft Entra ID Protection. Například přihlášení zobrazené ve zprávě o rizikových přihlášeních bylo skutečně škodlivé a chcete, aby ID Microsoft Entra vědělo, že všechny detekce u tohoto přihlášení byly skutečné pozitivní výsledky.
- Opravili jste riziko u tohoto uživatele mimo microsoft Entra ID Protection a chcete, aby se úroveň rizika uživatele aktualizovala.
Jak Microsoft používá zpětnou vazbu k riziku?
Microsoft používá vaši zpětnou vazbu k aktualizaci rizika souvisejícího uživatele nebo přihlášení a přesnosti těchto událostí. Tato zpětná vazba pomáhá zabezpečit koncového uživatele. Když například potvrdíte, že je přihlášení ohroženo, okamžitě zvýšíme riziko uživatele a celkové riziko přihlášení (ne riziko v reálném čase) na vysoké. Pokud je tento uživatel zahrnut do zásad rizik uživatelů za účelem přinucení uživatelů s vysokým rizikem k bezpečné změně hesla, bude moct automaticky napravit při příštím přihlášení.
Správci můžou zasahovat při rizikových událostech přihlášení a zvolit:
- Potvrďte ohrožení přihlášení – tato akce potvrzuje, že přihlášení je skutečně pozitivní. Přihlášení se považuje za rizikové, dokud nejsou přijata nápravná opatření.
- Potvrďte bezpečné přihlášení – tato akce potvrzuje, že přihlášení bylo označeno falešně jako pozitivní. Podobné přihlášení by se v budoucnu neměly považovat za rizikové.
- Zamítnout riziko přihlášení – tato akce se používá pro neškodný skutečný pozitivní nález. Toto riziko přihlášení, které jsme zjistili, je reálné, ale ne škodlivé, jako jsou ty ze známého penetračního testu nebo známé aktivity vygenerované schválenou aplikací. Podobné přihlášení by se mělo dál vyhodnocovat z hlediska rizika.
Provádění akce na úrovni uživatele se vztahuje na všechny detekce, které jsou aktuálně přidružené k danému uživateli. Správci můžou s uživateli provádět akce a zvolit:
- Resetování hesla – Tato akce zruší uživatelovy aktuální relace.
- Potvrdit ohrožení uživatele – tato akce se provede v případě skutečně pozitivního výsledku. Ochrana ID nastaví riziko uživatele na vysoké a přidá novou detekci, správce potvrdil ohrožení zabezpečení uživatele. Uživatel se považuje za rizikové, dokud se nedočká nápravných kroků.
- Potvrďte bezpečnost uživatele – tato akce se provede u falešně pozitivních výsledků. Tím se odstraní rizika a detekce u tohoto uživatele a aktivuje se režim učení, aby se znovu naučil vlastnosti použití. Tuto možnost můžete použít k označení falešně pozitivních výsledků.
- Pominutí rizika uživatele – Tato akce se vztahuje na neškodné pozitivní riziko uživatele. Toto uživatelské riziko, které jsme zjistili, je skutečné, ale ne škodlivé, jako jsou ty ze známého penetračního testu. Podobným uživatelům by se mělo i nadále vyhodnocovat riziko.
- Blokovat uživatele – Tato akce blokuje přihlášení uživatele, pokud má útočník přístup k heslu nebo schopnost provádět vícefaktorové ověřování.
- Prověřit s Microsoft 365 Defenderem – Tato akce přesměruje správce na portál Microsoft Defender, aby mohl provést další šetření.
Zpětná vazba k detekci rizik ve službě ID Protection se zpracovává offline a aktualizace může nějakou dobu trvat. Sloupec stavu zpracování rizik poskytuje aktuální stav zpracování zpětné vazby.