Hoe risicofeedback te geven in Microsoft Entra ID Protection
Met Microsoft Entra ID Protection kunt u feedback geven over de risicoanalyse. Het volgende document bevat de scenario's waarin u feedback wilt geven over de risicoanalyse van Microsoft Entra ID Protection en hoe we deze opnemen.
Uw feedback helpt ons om detecties in de toekomst te optimaliseren, hun nauwkeurigheid te verbeteren en fout-positieven te verminderen.
Wat is een detectie?
Een id-beveiligingsdetectie is een indicator van verdachte activiteiten vanuit het perspectief van identiteitsrisico's. Deze verdachte activiteiten worden risicodetecties genoemd. Deze detecties op basis van identiteiten kunnen worden gebaseerd op heuristiek, machine learning of afkomstig zijn van partnerproducten. Deze detecties worden gebruikt om aanmeldingsrisico's en gebruikersrisico's te bepalen,
- Gebruikersrisico's vertegenwoordigen de kans dat een identiteit wordt gecompromitteerd.
- Het aanmeldingsrisico vertegenwoordigt de kans dat een aanmelding is aangetast (bijvoorbeeld de eigenaar van de identiteit heeft de aanmelding niet geautoriseerd).
Waarom zou ik risicofeedback geven voor risicobeoordelingen?
Er zijn verschillende redenen waarom u risicofeedback moet geven:
- U hebt de risicobeoordeling van Microsoft Entra ID Protection voor gebruikers of aanmeldingen onjuist bevonden. Een aanmelding die wordt weergegeven in het rapport Riskante aanmeldingen was bijvoorbeeld onschuldig en alle detecties bij die aanmelding waren valse positieven.
- U hebt gevalideerd dat de risicobeoordeling van de gebruiker of aanmelding in Microsoft Entra ID-bescherming correct was. Een aanmelding die wordt weergegeven in het rapport Riskante aanmeldingen was bijvoorbeeld inderdaad schadelijk en u wilt dat Microsoft Entra ID weet dat alle detecties bij die aanmelding terecht positieven waren.
- U hebt het risico voor die gebruiker buiten Microsoft Entra ID Protection opgelost en u wilt dat het risiconiveau van de gebruiker wordt bijgewerkt.
Hoe gebruikt Microsoft mijn risicofeedback?
Microsoft gebruikt uw feedback om het risico van de onderliggende gebruiker en/of aanmelding en de nauwkeurigheid van deze gebeurtenissen bij te werken. Deze feedback helpt de eindgebruiker te beveiligen. Zodra u bijvoorbeeld bevestigt dat een aanmelding is gecompromitteerd, verhogen we onmiddellijk zowel het risico van de gebruiker als het geaggregeerde risico van de aanmelding (niet het realtime risico) tot een hoog niveau. Als deze gebruiker is opgenomen in uw beleid voor gebruikersrisico's om gebruikers met een hoog risico te dwingen hun wachtwoorden veilig opnieuw in te stellen, kunnen ze de volgende keer dat ze zich aanmelden, automatisch herstellen.
Beheerders kunnen actie ondernemen op riskante aanmeldingsgebeurtenissen en ervoor kiezen om:
- Bevestig dat aanmelding is gecompromitteerd . Deze actie bevestigt dat de aanmelding een terecht positief is. De aanmelding wordt als riskant beschouwd totdat er herstelstappen worden uitgevoerd.
- Bevestig veilige aanmelding – Met deze actie wordt bevestigd dat de aanmelding een vals-positief is. Soortgelijke aanmeldingen moeten in de toekomst niet als riskant worden beschouwd.
- Aanmeldingsrisico negeren: deze actie wordt gebruikt voor een goedaardig positief resultaat. Dit aanmeldingsrisico dat we hebben gedetecteerd, is echt, maar niet schadelijk, zoals die van een bekende penetratietest of bekende activiteit die is gegenereerd door een goedgekeurde toepassing. Soortgelijke aanmeldingen moeten in de toekomst nog steeds worden geëvalueerd voor risico's.
Het ondernemen van actie op gebruikersniveau is van toepassing op alle detecties die momenteel aan die gebruiker zijn gekoppeld. Beheerders kunnen actie ondernemen op gebruikers en ervoor kiezen om:
- Wachtwoord opnieuw instellen: met deze actie worden de huidige sessies van de gebruiker ingetrokken.
- Bevestig dat de gebruiker is gecompromitteerd - Deze actie wordt uitgevoerd op een waarheidsgetrouw positief. Id Protection stelt het gebruikersrisico in op hoog en voegt een nieuwe detectie toe, beheerder heeft bevestigd dat de gebruiker is aangetast. De gebruiker wordt als riskant beschouwd totdat herstelstappen worden uitgevoerd.
- Bevestig dat de gebruiker veilig is. Deze actie is bedoeld voor een vals-positief. Als u dit doet, worden risico's en detecties voor deze gebruiker verwijderd en in de leermodus geplaatst om de gebruikseigenschappen opnieuw te leren. U kunt deze optie gebruiken om valse positieven te markeren.
- Gebruikersrisico negeren: deze actie wordt uitgevoerd op een goedaardig positief gebruikersrisico. Dit gebruikersrisico dat we hebben gedetecteerd, is echt, maar niet schadelijk, zoals die van een bekende penetratietest. Vergelijkbare gebruikers moeten in de toekomst nog steeds worden geëvalueerd op risico's.
- Gebruiker blokkeren: met deze actie voorkomt u dat een gebruiker zich aanmeldt als een aanvaller toegang heeft tot het wachtwoord of de mogelijkheid heeft om MFA uit te voeren.
- Onderzoeken met Microsoft 365 Defender : met deze actie worden beheerders naar de Microsoft Defender-portal verplaatst, zodat een beheerder verder kan onderzoeken.
Feedback over risicodetecties in ID Protection wordt offline verwerkt en kan enige tijd in beslag nemen om bij te werken. De kolom status van de risicoverwerking biedt de huidige status van de feedbackverwerking.