Como enviar comentários de risco no Microsoft Entra ID Protection
O Microsoft Entra ID Protection permite que você forneça comentários sobre a avaliação de risco. O documento a seguir lista os cenários em que é recomendado fazer comentários sobre a avaliação de risco do Microsoft Entra ID Protection e como a incorporamos.
Os seus comentários nos ajudam a otimizar as detecções no futuro, melhorar a precisão e reduzir falsos positivos.
O que é uma detecção?
Uma detecção do ID Protection é um indicador de atividade suspeita sob a perspectiva de risco de identidade. Essas atividades suspeitas são chamadas de detecções de risco. As detecções baseadas em identidade podem ter origem na heurística, no machine learning ou vir de produtos de parceiros. Essas detecções são usadas para determinar o risco de entrada e do usuário,
- O risco do usuário representa a probabilidade da identidade estar comprometida.
- O risco de entrada representa a probabilidade de uma entrada ser comprometida (por exemplo, o proprietário da identidade não autorizou a entrada).
Por que devo fazer comentários de risco para avaliações de risco?
Há vários motivos pelos quais você deve fazer comentários de risco:
- Você achou incorreta a avaliação de risco de entrada ou usuário do Microsoft Entra ID Protection. Por exemplo, uma entrada exibida no relatório Entradas suspeitas foi benigna, e todas as detecções nessa entrada eram falsos positivos.
- Você validou que a avaliação de risco de entrada ou usuário do Microsoft Entra ID Protection estava correta. Por exemplo, uma entrada mostrada no relatório de Entradas arriscadas foi realmente mal-intencionada e você deseja que o Microsoft Entra ID saiba que todas as detecções nessa entrada eram verdadeiros positivos.
- Você corrigiu o risco nesse usuário fora do Microsoft Entra ID Protection e deseja que o nível de risco do usuário seja atualizado.
Como a Microsoft usa meus comentários de risco?
A Microsoft usa seus comentários para atualizar o risco do usuário subjacente e/ou entrada e a precisão desses eventos. Os comentários ajudam a proteger o usuário final. Por exemplo, depois que você confirmar que uma entrada está comprometida, aumentaremos imediatamente o risco do usuário e o risco agregado de entrada (não o risco em tempo real) para Alto. Se este usuário estiver incluído em sua política de risco de usuário para forçar usuários de alto risco a redefinir suas senhas com segurança, ele poderá corrigir automaticamente na próxima vez que entrar.
Os administradores poderão tomar medidas sobre eventos de entradas suspeitas e escolher por:
- Confirmar a entrada comprometida – Esta ação confirma que a entrada é um verdadeiro positivo. A entrada é considerada arriscada até que as etapas de correção sejam tomadas.
- Confirmar a entrada segura – Esta ação confirma que a entrada é um falso positivo. Entradas semelhantes não devem ser consideradas arriscadas no futuro.
- Ignorar o risco de entrada – Esta ação é usada para um verdadeiro positivo benigno. Esse risco de entrada que detectamos é real, mas não malicioso, como os de um teste de penetração conhecido ou atividade conhecida gerada por um aplicativo aprovado. Entradas semelhantes devem continuar sendo avaliadas quanto ao risco daqui para frente.
A ação no nível do usuário se aplica a todas as detecções atualmente associadas a esse usuário. Os administradores podem tomar medidas sobre os usuários e optar por:
- Redefinir senha – Esta ação revoga as sessões atuais do usuário.
- Confirmar comprometimento do usuário – Essa ação é executada em um verdadeiro positivo. O ID Protection define o risco do usuário como alto e adiciona uma nova detecção, o Usuário comprometido confirmado pelo administrador. O usuário considerado suspeito até que as etapas de correção sejam tomadas.
- Confirmar a segurança do usuário – Essa ação é executada em um falso positivo. Isso remove o risco e as detecções desse usuário e o coloca no modo de aprendizado para reaprender as propriedades de uso. Você pode usar essa opção para marcar falsos positivos.
- Ignorar risco do usuário – Essa ação é executada em um risco benigno positivo do usuário. Esse risco do usuário que detectamos é real, mas não malicioso, como os de um teste de penetração conhecido. Usuários semelhantes devem continuar sendo avaliados quanto ao risco daqui para frente.
- Bloquear usuário – Essa ação impede que um usuário entre se o invasor tiver acesso à senha ou capacidade de executar MFA.
- Investigar com Microsoft 365 Defender – Essa ação leva os administradores ao portal do Microsoft Defender para permitir que um administrador investigue mais.
Os comentários sobre as detecções de riscos na Proteção de ID são processados offline e pode levar algum tempo para serem atualizados. A coluna de estado de processamento de risco fornece o estado atual do processamento de comentários.