Procedure: risicofeedback geven in Microsoft Entra ID Protection
Met Microsoft Entra ID Protection kunt u feedback geven over de risicoanalyse. Het volgende document bevat de scenario's waarin u feedback wilt geven over de risicoanalyse van Microsoft Entra ID Protection en hoe we deze opnemen.
Uw feedback helpt ons om detecties in de toekomst te optimaliseren, hun nauwkeurigheid te verbeteren en fout-positieven te verminderen.
Wat is een detectie?
Een id-beveiligingsdetectie is een indicator van verdachte activiteiten vanuit het perspectief van identiteitsrisico's. Deze verdachte activiteiten worden risicodetecties genoemd. Deze detecties op basis van identiteiten kunnen worden gebaseerd op heuristiek, machine learning of afkomstig zijn van partnerproducten. Deze detecties worden gebruikt om aanmeldingsrisico's en gebruikersrisico's te bepalen,
- Gebruikersrisico's vertegenwoordigen de kans dat een identiteit wordt gecompromitteerd.
- Het aanmeldingsrisico vertegenwoordigt de kans dat een aanmelding is aangetast (bijvoorbeeld de eigenaar van de identiteit heeft de aanmelding niet geautoriseerd).
Waarom zou ik risicofeedback geven voor risicobeoordelingen?
Er zijn verschillende redenen waarom u risicofeedback moet geven:
- U hebt microsoft Entra ID Protection-gebruiker of aanmeldingsrisicobeoordeling onjuist gevonden. Een aanmelding die wordt weergegeven in het rapport Riskante aanmeldingen , is bijvoorbeeld goedaardig en alle detecties bij die aanmelding waren fout-positieven.
- U hebt gevalideerd dat microsoft Entra ID Protection-gebruiker of aanmeldingsrisicobeoordeling juist was. Een aanmelding die wordt weergegeven in het rapport Riskante aanmeldingen was bijvoorbeeld inderdaad schadelijk en u wilt dat Microsoft Entra ID weet dat alle detecties bij die aanmelding terecht positieven waren.
- U hebt het risico voor die gebruiker buiten Microsoft Entra ID Protection opgelost en u wilt dat het risiconiveau van de gebruiker wordt bijgewerkt.
Hoe gebruikt Microsoft mijn risicofeedback?
Microsoft gebruikt uw feedback om het risico van de onderliggende gebruiker en/of aanmelding en de nauwkeurigheid van deze gebeurtenissen bij te werken. Deze feedback helpt de eindgebruiker te beveiligen. Zodra u bijvoorbeeld bevestigt dat een aanmelding is gecompromitteerd, verhogen we onmiddellijk het risico van de gebruiker en verhogen we het geaggregeerde risico van de gebruiker (niet realtime risico) tot hoog. Als deze gebruiker is opgenomen in uw beleid voor gebruikersrisico's om gebruikers met een hoog risico te dwingen hun wachtwoorden veilig opnieuw in te stellen, kunnen ze de volgende keer dat ze zich aanmelden, automatisch herstellen.
Beheerders kunnen actie ondernemen op riskante aanmeldingsgebeurtenissen en ervoor kiezen om:
- Bevestig dat aanmelding is gecompromitteerd . Deze actie bevestigt dat de aanmelding een terecht positief is. De aanmelding wordt als riskant beschouwd totdat er herstelstappen worden uitgevoerd.
- Bevestig dat aanmelden veilig is. Met deze actie wordt bevestigd dat de aanmelding een fout-positief is. Soortgelijke aanmeldingen moeten in de toekomst niet als riskant worden beschouwd.
- Aanmeldingsrisico sluiten: deze actie wordt gebruikt voor een goedaardig terecht positief. Dit aanmeldingsrisico dat we hebben gedetecteerd, is echt, maar niet schadelijk, zoals die van een bekende penetratietest of bekende activiteit die is gegenereerd door een goedgekeurde toepassing. Soortgelijke aanmeldingen moeten in de toekomst nog steeds worden geëvalueerd voor risico's.
Het ondernemen van actie op gebruikersniveau is van toepassing op alle detecties die momenteel aan die gebruiker zijn gekoppeld. Beheerders kunnen actie ondernemen op gebruikers en ervoor kiezen om:
- Wachtwoord opnieuw instellen: met deze actie worden de huidige sessies van de gebruiker ingetrokken.
- Bevestig dat de gebruiker is gecompromitteerd . Deze actie wordt uitgevoerd op een terecht positief. Id Protection stelt het gebruikersrisico in op hoog en voegt een nieuwe detectie toe, beheerder heeft bevestigd dat de gebruiker is aangetast. De gebruiker wordt als riskant beschouwd totdat herstelstappen worden uitgevoerd.
- Bevestig dat de gebruiker veilig is. Deze actie wordt uitgevoerd op een fout-positief. Als u dit doet, worden risico's en detecties voor deze gebruiker verwijderd en in de leermodus geplaatst om de gebruikseigenschappen opnieuw te leren. U kunt deze optie gebruiken om fout-positieven te markeren.
- Gebruikersrisico negeren: deze actie wordt uitgevoerd op een goedaardig positief gebruikersrisico. Dit gebruikersrisico dat we hebben gedetecteerd, is echt, maar niet schadelijk, zoals die van een bekende penetratietest. Vergelijkbare gebruikers moeten in de toekomst nog steeds worden geëvalueerd op risico's.
- Gebruiker blokkeren: met deze actie voorkomt u dat een gebruiker zich aanmeldt als een aanvaller toegang heeft tot het wachtwoord of de mogelijkheid heeft om MFA uit te voeren.
- Onderzoeken met Microsoft 365 Defender : met deze actie worden beheerders naar de Microsoft Defender-portal verplaatst, zodat een beheerder verder kan onderzoeken.
Feedback over risicodetecties in ID Protection wordt offline verwerkt en kan enige tijd in beslag nemen om bij te werken. De kolom status van de risicoverwerking biedt de huidige status van de feedbackverwerking.