Postupy: Poskytnutí zpětné vazby k rizikům ve službě Microsoft Entra ID Protection
Microsoft Entra ID Protection umožňuje poskytnout zpětnou vazbu k posouzení rizik. Následující dokument uvádí scénáře, ve kterých byste chtěli poskytnout zpětnou vazbu k posouzení rizik společnosti Microsoft Entra ID Protection a způsobu jeho začlenění.
Co je detekce?
Detekce ochrany ID je indikátorem podezřelé aktivity z hlediska rizika identity. Tyto podezřelé aktivity se nazývají detekce rizik. Tyto detekce založené na identitách můžou být založené na heuristikách, strojovém učení nebo můžou pocházet z partnerských produktů. Tyto detekce se používají k určení rizik přihlašování a rizik uživatelů,
- Riziko uživatele představuje pravděpodobnost ohrožení identity.
- Riziko přihlášení představuje pravděpodobnost ohrožení zabezpečení přihlášení (například vlastník identity neověřil přihlášení).
Proč mám poskytnout zpětnou vazbu k rizikům microsoftu Entra ID?
Existuje několik důvodů, proč byste měli microsoft Entra poskytnout zpětnou vazbu k riziku:
- Zjistili jste, že uživatel nebo posouzení rizik přihlašování v Microsoft Entra ID je nesprávné. Například přihlášení zobrazené v sestavě rizikových přihlášení bylo neškodné a všechna zjištění na tomto přihlášení byla falešně pozitivní.
- Ověřili jste, že uživatel nebo posouzení rizik přihlašování od Microsoftu entra ID bylo správné. Například přihlášení zobrazené v sestavě Rizikových přihlášení bylo skutečně škodlivé a chcete, aby ID Microsoft Entra věděl, že všechna zjištění na tomto přihlášení byla pravdivě pozitivní.
- Opravili jste riziko u tohoto uživatele mimo microsoft Entra ID Protection a chcete, aby se úroveň rizika uživatele aktualizovala.
Jak Id Microsoft Entra používá mou zpětnou vazbu k riziku?
Microsoft Entra ID používá vaši zpětnou vazbu k aktualizaci rizika souvisejícího uživatele nebo přihlášení a přesnosti těchto událostí. Tato zpětná vazba pomáhá zabezpečit koncového uživatele. Když například potvrdíte ohrožení zabezpečení přihlášení, ID Microsoft Entra okamžitě zvýší riziko uživatele a celkové riziko přihlášení (ne riziko v reálném čase) na vysoké. Pokud je tento uživatel součástí zásad rizik uživatelů, aby uživatelé s vysokým rizikem bezpečně resetovali hesla, uživatel se automaticky opraví při příštím přihlášení.
Jak mám poskytnout zpětnou vazbu k riziku a co se stane pod kapotou?
Tady jsou scénáře a mechanismy pro poskytnutí zpětné vazby k riziku pro ID Microsoft Entra.
Scénář | Jak poskytnout zpětnou vazbu? | Co se stane pod kapotou? | Notes |
---|---|---|---|
Přihlášení není ohroženo (falešně pozitivní) Sestava rizikových přihlášení zobrazuje přihlášení s rizikem [Stav rizika = Ohroženo] ale přihlášení nebylo ohroženo. |
Vyberte přihlášení a pak potvrďte bezpečné přihlášení. | Agregované riziko přihlášení přesuneme na žádné [Stav rizika = Potvrzeno bezpečné; Úroveň rizika (Agregace) = -] a obrátit její účinek na riziko uživatele. | V současné době je možnost Potvrdit bezpečné přihlášení k dispozici pouze v sestavě Rizikových přihlášení. |
Ohrožené přihlášení (pravdivě pozitivní) Sestava rizikových přihlášení zobrazuje přihlášení s rizikem [Stav rizika = Ohroženo] s nízkou úrovní rizika [Úroveň rizika (agregace) = Nízká] a že přihlášení bylo skutečně ohroženo. |
Vyberte přihlášení a pak potvrďte ohrožení zabezpečení přihlášení. | Přesuneme agregované riziko přihlášení a riziko uživatele do stavu Vysoké [Stav rizika = Potvrzeno ohrožení zabezpečení; Úroveň rizika = vysoká]. | V současné době je v sestavě Rizikových přihlášení k dispozici možnost Potvrdit ohrožení zabezpečení. |
Ohrožení zabezpečení uživatele (pravdivě pozitivní) Sestava Rizikových uživatelů zobrazuje rizikového uživatele [Stav rizika = Riziko] s nízkým rizikem [Úroveň rizika = Nízká] a uživatel byl skutečně ohrožen. |
Vyberte uživatele a pak potvrďte ohrožení zabezpečení uživatele. | Riziko uživatele přesuneme na vysoké [Stav rizika = Potvrzeno ohrožení zabezpečení; Úroveň rizika = vysoká] a přidejte novou detekci "Správa potvrzeno ohrožení zabezpečení uživatelem". | V současné době je možnost Potvrdit ohrožení zabezpečení uživatele dostupná pouze v sestavě Rizikových uživatelů. Detekce Správa potvrzené ohrožení zabezpečení uživatelem se zobrazuje na kartě Detekce rizik, která nejsou propojená s přihlášením v sestavě Rizikových uživatelů. |
Náprava uživatele mimo Microsoft Entra ID Protection (True positive + Remediated) Sestava Rizikových uživatelů zobrazuje rizikového uživatele a poté jsem uživatele opravili mimo Microsoft Entra ID Protection. |
1. Vyberte uživatele a pak potvrďte ohrožení zabezpečení uživatele. (Tento proces potvrzuje id Microsoft Entra, že byl uživatel skutečně ohrožen.) 2. Počkejte, až uživatel přejde na Úroveň rizika. (Tentokrát poskytne Microsoft Entra ID potřebné k tomu, aby se výše uvedená zpětná vazba k rizikovému modulu projevila.) 3. Vyberte uživatele a pak "Zavřít riziko uživatele". (Tento proces potvrdí ID Microsoft Entra, že uživatel již není ohrožen.) |
ID Microsoft Entra přesune riziko uživatele na žádné [Stav rizika = Zamítnuto; Úroveň rizika = -] a uzavře riziko u všech existujících přihlášení s aktivním rizikem. | Kliknutím na Tlačítko Zavřít riziko uživatele zavřete všechna rizika u uživatele a předchozích přihlášení. Tuto akci nelze vrátit zpět. |
Uživatel nebyl ohrožen (falešně pozitivní) Sestava Rizikových uživatelů se zobrazuje na rizikovém uživateli, ale uživatel není ohrožen. |
Vyberte uživatele a pak "Zavřít riziko uživatele". (Tento proces potvrdí id Microsoft Entra, že uživatel není ohrožen.) | ID Microsoft Entra přesune riziko uživatele na žádné [Stav rizika = Zamítnuto; Úroveň rizika = -]. | Kliknutím na Tlačítko Zavřít riziko uživatele zavřete všechna rizika u uživatele a předchozích přihlášení. Tuto akci nelze vrátit zpět. |
Chci zavřít riziko uživatele, ale nejsem si jistý, jestli je uživatel ohrožen nebo bezpečný. | Vyberte uživatele a pak "Zavřít riziko uživatele". (Tento proces potvrdí ID Microsoft Entra, že uživatel již není ohrožen.) | Riziko uživatele přesuneme na žádné [Stav rizika = Zamítnuto; Úroveň rizika = -]. | Kliknutím na Tlačítko Zavřít riziko uživatele zavřete všechna rizika u uživatele a předchozích přihlášení. Tuto akci nelze vrátit zpět. Doporučujeme, abyste uživatele opravili kliknutím na Resetovat heslo nebo požádejte uživatele, aby bezpečně resetoval nebo změnil své přihlašovací údaje. |
Zpětná vazba k detekci rizik uživatelů ve službě ID Protection se zpracovává offline a aktualizace může nějakou dobu trvat. Sloupec stavu zpracování rizik poskytuje aktuální stav zpracování zpětné vazby.