Postupy: Poskytnutí zpětné vazby k rizikům ve službě Azure AD Identity Protection
Azure AD Identity Protection umožňuje poskytnout zpětnou vazbu k posouzení rizik. Následující dokument uvádí scénáře, ve kterých chcete poskytnout zpětnou vazbu k posouzení rizik služby Azure AD Identity Protection a způsobu, jakým ho začleňujeme.
Co je detekce?
Detekce služby Identity Protection je indikátorem podezřelé aktivity z hlediska rizik identity. Tyto podezřelé aktivity se nazývají detekce rizik. Tyto detekce založené na identitách můžou být založené na heuristice, strojovém učení nebo můžou pocházet z partnerských produktů. Tyto detekce se používají k určení rizika přihlášení a rizika uživatele.
- Uživatelské riziko představuje pravděpodobnost ohrožení identity.
- Riziko přihlášení představuje pravděpodobnost ohrožení zabezpečení přihlášení (například přihlášení není autorizováno vlastníkem identity).
Proč mám hodnocení rizik Azure AD poskytovat zpětnou vazbu k rizikům?
Existuje několik důvodů, proč byste měli poskytnout Azure AD zpětnou vazbu k riziku:
- Zjistili jste, že posouzení rizika uživatele nebo přihlášení Azure AD není správné. Například přihlášení zobrazené v sestavě rizikových přihlášení bylo neškodné a všechny detekce na tomto přihlášení byly falešně pozitivní.
- Ověřili jste, že posouzení rizika pro uživatele nebo přihlášení Azure AD bylo správné. Například přihlášení zobrazené v sestavě rizikových přihlášení bylo skutečně škodlivé a chcete, aby Azure AD věděl, že všechna zjištění na tomto přihlášení byla pravdivě pozitivní.
- Napravili jste riziko tohoto uživatele mimo službu Azure AD Identity Protection a chcete, aby se aktualizovala úroveň rizika uživatele.
Jak Azure AD využít mou zpětnou vazbu k riziku?
Azure AD používá vaši zpětnou vazbu k aktualizaci rizika souvisejícího uživatele a/nebo přihlášení a přesnosti těchto událostí. Tato zpětná vazba pomáhá zabezpečit koncového uživatele. Když například potvrdíte, že přihlášení je ohroženo, Azure AD okamžitě zvýší riziko uživatele a celkové riziko přihlášení (ne riziko v reálném čase) na vysoké. Pokud je tento uživatel součástí zásad rizik uživatelů, aby vynutili uživatele s vysokým rizikem bezpečně resetovat hesla, uživatel se při příštím přihlášení automaticky opraví.
Jak mám poskytnout zpětnou vazbu k riziku a co se stane pod pokličkou?
Tady jsou scénáře a mechanismy pro poskytnutí zpětné vazby k riziku Azure AD.
| Scenario | Jak poskytnout zpětnou vazbu? | Co se stane pod pokličkou? | Poznámky |
|---|---|---|---|
| Přihlášení není ohroženo (falešně pozitivní) Sestava rizikových přihlášení zobrazuje přihlášení s rizikem [Stav rizika = Ohrožení], ale toto přihlášení nebylo ohroženo. | Vyberte přihlašovací adresu a pak potvrďte bezpečné přihlášení. | Azure AD přesune agregované riziko přihlášení na žádné [Stav rizika = Potvrzeno bezpečné; Úroveň rizika (agregace) = -] a vrátí svůj dopad na riziko uživatele. | V současné době je možnost Potvrdit bezpečné přihlášení k dispozici pouze v sestavě rizikových přihlášení. |
| Ohrožení zabezpečení přihlášení (pravdivě pozitivní) Sestava rizikových přihlášení zobrazuje přihlášení s rizikem [stav rizika = ohrožení] s nízkým rizikem [úroveň rizika (agregace) = nízká] a toto přihlášení bylo skutečně ohroženo. | Vyberte přihlášení a pak potvrďte ohrožení zabezpečení přihlášení. | Azure AD přesune agregované riziko přihlášení a riziko uživatele na hodnotu Vysoká [Stav rizika = Potvrzeno ohrožení zabezpečení; Úroveň rizika = vysoká]. | V současné době je možnost Potvrdit ohrožení zabezpečení přihlášení k dispozici pouze v sestavě rizikových přihlášení. |
| Ohrožení zabezpečení uživatelem (pravdivě pozitivní) Sestava rizikových uživatelů zobrazuje rizikového uživatele [Stav rizika = Ohrožení] s nízkým rizikem [Úroveň rizika = Nízká] a tento uživatel byl skutečně ohrožen. | Vyberte uživatele a pak potvrďte ohrožení zabezpečení uživatele. | Azure AD přesune riziko uživatele na hodnotu High [Rizikový stav = Potvrzeno ohrožení zabezpečení; Úroveň rizika = Vysoká] a přidá novou detekci "Správa potvrzeno ohrožení zabezpečení uživatele". | V současné době je možnost Potvrdit ohrožení zabezpečení uživatele dostupná jenom v sestavě Rizikových uživatelů. V sestavě Rizikových uživatelů se na kartě Detekce rizik, která nejsou propojená s přihlášením, zobrazuje detekce Správa potvrzeného ohrožení zabezpečení uživatele. |
| Sestava rizikových uživatelů napravených mimo Azure AD Identity Protection (pravdivě pozitivní a napraveno) zobrazuje rizikového uživatele a já ho napravil mimo Azure AD Identity Protection. | 1. Vyberte uživatele a pak potvrďte ohrožení zabezpečení uživatele. (Tento proces potvrzuje, že Azure AD, že došlo k ohrožení zabezpečení uživatele.) 2. Počkejte, až úroveň rizika uživatele přejde na Vysokou. (Tento čas poskytuje Azure AD potřebný čas k tomu, aby výše uvedenou zpětnou vazbu převezmou do modulu rizik.) 3. Vyberte uživatele a pak zavřete riziko uživatele. (Tento proces potvrzuje, že Azure AD, že uživatel již není ohrožen.) | Azure AD přesune riziko uživatele na žádné [Stav rizika = Zamítnuto; Úroveň rizika = -] a uzavře riziko u všech existujících přihlášení s aktivním rizikem. | Kliknutím na Zavřít riziko uživatele zavřete všechna rizika pro uživatele a předchozí přihlášení. Tuto akci nejde vrátit zpět. |
| Uživatel nebyl ohrožen (falešně pozitivní) Sestava rizikových uživatelů zobrazuje ohroženého uživatele, ale uživatel není ohrožen. | Vyberte uživatele a pak zavřete riziko uživatele. (Tento proces potvrzuje, že Azure AD, že uživatel není ohrožen.) | Azure AD přesune riziko uživatele na žádné [Stav rizika = Zamítnuto; Úroveň rizika = -]. | Kliknutím na Zavřít riziko uživatele zavřete všechna rizika pro uživatele a předchozí přihlášení. Tuto akci nejde vrátit zpět. |
| Chci ukončit riziko uživatele, ale nejsem si jist(a), jestli je uživatel ohrožený nebo bezpečný. | Vyberte uživatele a pak zavřete riziko uživatele. (Tento proces potvrzuje, že Azure AD, že uživatel již není ohrožen.) | Azure AD přesune riziko uživatele na žádné [Stav rizika = Zamítnuto; Úroveň rizika = -]. | Kliknutím na Zavřít riziko uživatele zavřete všechna rizika pro uživatele a předchozí přihlášení. Tuto akci nejde vrátit zpět. Doporučujeme uživatele napravit kliknutím na Resetovat heslo nebo požádat uživatele, aby bezpečně resetoval nebo změnil své přihlašovací údaje. |
Zpětná vazba k detekci rizik uživatelů ve službě Identity Protection se zpracovává offline a aktualizace může nějakou dobu trvat. Sloupec stav zpracování rizika bude poskytovat aktuální stav zpracování zpětné vazby.
