Procedura: Inviare commenti e suggerimenti sul rischio in Microsoft Entra ID Protection
Microsoft Entra ID Protection consente di fornire commenti e suggerimenti sulla valutazione dei rischi. Il documento seguente elenca gli scenari in cui si vuole inviare commenti e suggerimenti sulla valutazione dei rischi di Microsoft Entra ID Protection e sul modo in cui viene incorporato.
Il feedback degli utenti consente di ottimizzare i rilevamenti in futuro, migliorarne l'accuratezza e ridurre i falsi positivi.
Che cos'è un rilevamento?
Un rilevamento della protezione ID è un indicatore dell'attività sospetta dal punto di vista del rischio di identità. Queste attività sospette sono denominate rilevamenti dei rischi. Questi rilevamenti basati sull'identità possono essere basati sull'euristica, l'apprendimento automatico o possono provenire da prodotti partner. Questi rilevamenti vengono usati per determinare il rischio di accesso e il rischio utente,
- Il rischio utente rappresenta la probabilità che un'identità venga compromessa.
- Il rischio di accesso rappresenta la probabilità che un accesso venga compromesso( ad esempio, il proprietario dell'identità non ha autorizzato l'accesso).
Perché è consigliabile fornire feedback sui rischi alle valutazioni dei rischi?
Esistono diversi motivi per cui è consigliabile inviare commenti e suggerimenti sui rischi:
- Hai trovato una valutazione errata del rischio di utente o accesso di Microsoft Entra ID Protection. Ad esempio, un accesso segnalato nel report accessi a rischio è risultato non dannoso e tutti i rilevamenti su quell'accesso sono stati falsi positivi.
- Hai convalidato che la valutazione del rischio dell'utente o dell'accesso di Microsoft Entra ID Protection fosse corretta. Ad esempio, un accesso visualizzato nel rapporto Accessi rischiosi è stato effettivamente dannoso e si desidera che Microsoft Entra ID sappia che tutti i rilevamenti su quell'accesso sono risultati veri positivi.
- È stato corretto il rischio per l'utente all'esterno di Microsoft Entra ID Protection e si vuole aggiornare il livello di rischio dell'utente.
In che modo Microsoft usa il feedback sul rischio?
Microsoft usa i commenti e suggerimenti per aggiornare il rischio dell'utente e/o dell'accesso sottostante e l'accuratezza di questi eventi. Questo feedback consente di proteggere l'utente finale. Ad esempio, una volta confermato che un accesso è compromesso, aumentiamo immediatamente il livello di rischio dell'utente e il rischio aggregato dell'accesso (non il rischio in tempo reale) a livello elevato. Se questo utente è incluso nella tua politica di rischio utente per forzare gli utenti ad alto rischio a reimpostare le proprie password in modo sicuro, saranno in grado di risolvere automaticamente al prossimo accesso.
Gli amministratori possono intervenire sugli eventi di accesso rischiosi e scegliere di:
- Confermare l'accesso compromesso: questa azione conferma che l'accesso è effettivamente compromesso. L'accesso viene considerato rischioso fino a quando non vengono eseguiti i passaggi di correzione.
- Conferma che l'accesso è sicuro – Questa azione conferma che l'avviso di accesso è un falso positivo. Gli accessi simili non dovrebbero essere considerati rischiosi in futuro.
- Ignora rischio di accesso: questa azione viene usata per un vero positivo non dannoso. Questo rischio di accesso rilevato è reale, ma non dannoso, come quelli di un test di penetrazione noto o attività nota generata da un'applicazione approvata. Gli accessi simili devono continuare a essere valutati per il rischio in futuro.
L'esecuzione di azioni a livello di utente si applica a tutti i rilevamenti attualmente associati a tale utente. Gli amministratori possono intervenire sugli utenti e scegliere di:
- Reimposta password : questa azione revoca le sessioni correnti dell'utente.
- Confermare che l'utente è compromesso - Questa azione viene eseguita su un riscontro positivo. Protezione ID imposta il livello di rischio utente a elevato e aggiunge una nuova rilevazione, confermata la compromissione dell'utente dall'amministratore. L'utente viene considerato rischioso fino a quando non vengono eseguiti i passaggi di correzione.
- Conferma utente sicuro - Questa azione viene eseguita su un falso positivo. In questo modo vengono rimossi i rischi e i rilevamenti su questo utente e lo inserisce in modalità di apprendimento per rivalutare le proprietà di utilizzo. È possibile usare questa opzione per contrassegnare i falsi positivi.
- Ignorare il rischio utente: questa azione viene eseguita su un rischio utente positivo non dannoso. Questo rischio utente rilevato è reale, ma non dannoso, come quelli di un test di penetrazione noto. Gli utenti simili devono continuare a essere valutati per il rischio in futuro.
- Blocca l'utente : questa azione impedisce a un utente di accedere se l'utente malintenzionato ha accesso alla password o la possibilità di eseguire l'autenticazione a più fattori.
- Analizzare con Microsoft 365 Defender : questa azione consente agli amministratori di passare al portale di Microsoft Defender per consentire a un amministratore di indagare ulteriormente.
Il feedback sui rilevamenti dei rischi in Protezione ID viene elaborato offline e potrebbe richiedere del tempo per l'aggiornamento. La colonna dello stato di elaborazione dei rischi fornisce lo stato corrente dell'elaborazione dei commenti e suggerimenti.