方法: Microsoft Entra ID Protection でリスクに関するフィードバックを提供する
Microsoft Entra ID Protection では、リスク評価に関するフィードバックを提供することができます。 以下のドキュメントには、Microsoft Entra ID Protection のリスク評価に関するフィードバックを提供するシナリオと、フィードバックが取り込まれる方法が一覧表示されています。
フィードバックは、今後の検出の最適化、精度の向上、擬陽性の低減に役立ちます。
検出とは
ID Protection の検出とは、ID リスクの観点から疑わしいアクティビティを示すインジケーターです。 これらの疑わしいアクティビティは、リスク検出と呼ばれます。 これらの ID に基づく検出は、ヒューリスティックや機械学習に基づく場合や、パートナー製品から取得される場合があります。 これらの検出は、サインイン リスクおよびユーザーのリスクの判定に使用されます。
- ユーザー リスクは、ID のセキュリティが侵害されている可能性があることを表します。
- サインイン リスクは、サインインのセキュリティが侵害されている可能性があることを表します (たとえば、ID 所有者がサインインを承認しなかったなど)。
リスクに関するフィードバックをリスク評価に提供する理由
リスクに関するフィードバックを提供すべき理由をいくつか挙げます。
- Microsoft Entra ID 保護ユーザーまたはサインインのリスク評価が正しくないことがわかった。 たとえば、危険なサインイン レポートに表示されるサインインに問題がなく、そのサインインに関するすべての検出が偽陽性であった場合。
- Microsoft Entra ID 保護ユーザーまたはサインインのリスク評価が正しいことを検証した。 たとえば、"危険なサインイン" レポートに表示されるサインインが実際に悪意のあるもので、そのサインインに関するすべての検出が真陽性であったことを Microsoft Entra ID に認識させたい場合です。
- そのユーザーに対するリスクを Microsoft Entra ID Protection の外部で修復し、そのユーザーのリスク レベルを更新する必要がある。
Microsoft でのリスクに関するフィードバックの使用方法
Microsoft ではフィードバックを使用して、基になるユーザーやサインインのリスク、それらのイベントの正確性を更新します。 このフィードバックはエンド ユーザーの保護に役立ちます。 たとえば、サインインのセキュリティが侵害されたことを確認したら、Microsoft はすぐにユーザーのリスクとサインインの集約リスク (リアルタイム リスクではない) を "高" に引き上げます。 このユーザーが、危険性の高いユーザーにパスワードを安全にリセットさせることを強制するというユーザー リスク ポリシーに含まれる場合、ユーザーは次回サインインするときに自動的に修復できます。
管理者は危険なサインイン イベントに対してアクションを実行し、次の操作を選ぶことができます。
- サインインを侵害ありと確認 - このアクションでは、サインインが真陽性であることを確認します。 修復手順が取られるまで、サインインは危険とみなされます。
- サインインを安全と確認 - このアクションでは、サインインが擬陽性であることを確認します。 同じようなサインインは、将来的に危険とみなされるべきではありません。
- サインイン リスクを無視する - このアクションは無害な真陽性に使用されます。 検出されたこのサインイン リスクは実際のものですが、既知の侵入テストや承認済みアプリケーションで生成された既知のアクティビティによるリスクと同様に、悪意のあるものではありません。 同様のサインインについては、今後もリスクを評価する必要があります。
ユーザー レベルでアクションを実行すると、そのユーザーに現在関連付けられているすべての検出に適用されます。 管理者はユーザーに対してアクションを実行し、次の操作を選ぶことができます。
- パスワードのリセット - このアクションにより、ユーザーの現在のセッションが取り消されます。
- ユーザーが侵害されたことを確認する - このアクションは真陽性に対して実行されます。 ID Protection は、ユーザー リスクを高く設定し、新しい検出を追加します。管理者がユーザーの侵害を確認しました。 修復手順が取られるまで、サインインは危険とみなされます。
- ユーザーの安全を確認する - このアクションは誤検知に対して実行されます。 その結果、このユーザーのリスクと検出が削除され、使用プロパティを再学習するための学習モードに配置されます。 このオプションを使用して、誤検知をマークすることができます。
- ユーザー リスクを無視する - このアクションは、無害な陽性のユーザー リスクに対して実行されます。 検出されたこのユーザー リスクは実際のものですが、既知の侵入テストによるリスクのような悪意のあるものではありません。 同様のユーザーについては、今後もリスクを評価する必要があります。
- ユーザーのブロック - このアクションは、攻撃者がパスワードへのアクセス権や MFA の実行能力を持っている場合に、ユーザーがサインインするのをブロックします。
- Microsoft 365 Defender で調査する - このアクションを実行すると、管理者は Microsoft Defender ポータルに移動して、さらに調査できるようになります。
ID Protection のリスク検出に関するフィードバックはオフラインで処理されるため、更新に時間がかかる場合があります。 [リスク処理状態] 列にはフィードバック処理の現在の状態が表示されます。