Как предоставить обратную связь о рисках в Microsoft Entra ID Protection
Защита идентификации Microsoft Entra позволяет дать отзыв об оценке рисков. В следующем документе перечислены сценарии, где вы можете оставить отзыв об оценке рисков Microsoft Entra ID Protection и как мы интегрируем ее.
Ваши отзывы помогут нам оптимизировать обнаружения в будущем, повысить их точность и уменьшить ложные срабатывания.
Что такое обнаружение?
Обнаружение защиты идентификаторов — это индикатор подозрительной активности с точки зрения риска идентификации. Эти подозрительные действия называются обнаружением риска. Идентификационные обнаружения могут основываться на эвристике или машинном обучении, или поступать из продуктов партнеров. Обнаружения используются для определения риска при входе и риска для пользователей.
- Риск для пользователя представляет собой вероятность того, что его удостоверение было скомпрометировано.
- Риск входа представляет собой вероятность того, что вход скомпрометирован (например, владелец учетной записи не авторизовал вход).
Почему я должен дать отзыв о рисках для оценки рисков?
Существует несколько причин, по которым вы должны дать отзыв о рисках:
- Вы обнаружили, что оценка рисков для пользователей или входа в системе Microsoft Entra ID Protection была некорректна. Например, вход, показанный в отчете Рискованные входы, был безопасным, и все обнаружения на этом входе были ложноположительными.
- Вы проверили, что оценка риска пользователя или входа в Защите идентификации Microsoft Entra была правильной. Например, вход, показанный в отчете о рисковых входах, действительно был вредоносным, и вы хотите, чтобы Microsoft Entra ID знал, что все обнаружения, связанные с этим входом, были истинными положительными.
- Вы устранили риск для этого пользователя вне системы Защиты идентификации Microsoft Entra и хотите, чтобы уровень риска пользователя был обновлён.
Как корпорация Майкрософт использует отзывы о рисках?
Корпорация Майкрософт использует ваши отзывы для обновления риска, связанного с пользователем и/или попытки входа, а также точности этих событий. Эти отзывы помогают защитить конечных пользователей. Например, после того, как вы подтвердите, что вход скомпрометирован, мы немедленно увеличим риск пользователя и агрегированный риск входа (не риск в режиме реального времени) до высокого уровня. Если этот пользователь включен в политику риска пользователя, чтобы заставить пользователей с высоким уровнем риска безопасно сбросить пароли, они смогут автоматически устранить проблемы при следующем входе в систему.
Администраторы могут принять меры по событиям рискованного входа и выбрать следующее:
- Убедитесь, что вход скомпрометирован . Это действие подтверждает, что вход является истинным положительным. Вход считается рискованным до тех пор, пока не будут приняты меры по исправлению.
- Подтвердите безопасный вход. Это действие подтверждает, что вход является ложным срабатыванием. Аналогичные авторизации не должны считаться рискованными в будущем.
- Отключение риска входа — это действие используется для доброкачественного истинного положительного результата. Этот риск входа, который мы обнаружили, является реальным, но не вредоносным, например, как при известном тесте на проникновение или известной активности, возникающей от утвержденного приложения. Аналогичные входы в систему должны продолжать оцениваться на наличие рисков.
Выполнение действий на уровне пользователя применяется ко всем обнаружениям, связанным с этим пользователем. Администраторы могут принять меры для пользователей и выбрать следующее:
- Сброс пароля . Это действие отменяет текущие сеансы пользователя.
- Убедитесь, что пользователь скомпрометирован . Это действие выполняется с истинным положительным результатом. Защита идентификаторов задает для пользователя высокий риск и добавляет новое обнаружение, администратор подтвердил, что пользователь скомпрометирован. Пользователь считается рискованным до тех пор, пока не будут приняты меры по исправлению.
- Подтвердите безопасность пользователя. Это действие выполняется при ложном срабатывании. Это позволяет удалять риски и обнаружения для этого пользователя и помещать его в режим обучения для повторного получения свойств использования. Этот параметр можно использовать для пометки ложных срабатываний тревоги.
- Снятие риска пользователя - Это действие выполняется с неповреждающим положительным риском пользователя. Этот риск, связанный с пользователем, который мы обнаружили, является реальным, но не вредоносным, как в случае известного теста на проникновение. Аналогичные пользователи должны и дальше оцениваться на предмет риска.
- Блокировать пользователя . Это действие блокирует вход пользователя, если злоумышленник имеет доступ к паролю или возможности выполнять MFA.
- Расследование с помощью Microsoft 365 Defender - Это действие перенаправляет администраторов на портал Microsoft Defender, чтобы дать возможность дальнейшего расследования.
Отзывы об обнаружении рисков в защите идентификаторов обрабатываются в автономном режиме и могут занять некоторое время для обновления. Столбец состояния обработки рисков предоставляет текущее состояние обработки отзывов.