Vorgehensweise: Übermitteln von Risikofeedback in Microsoft Entra ID Protection
Sie können Feedback zur Risikobewertung durch Microsoft Entra ID Protection geben. Im folgenden Dokument sind die Szenarien aufgelistet, in denen Sie Feedback zur Microsoft Entra ID Protection-Risikobewertung geben können, und Sie erfahren, wie es integriert wird.
Ihr Feedback hilft uns, Erkennungen in Zukunft zu optimieren, ihre Genauigkeit zu verbessern und False Positive-Ergebnisse zu reduzieren.
Was ist eine Erkennung?
Eine Erkennung von ID Protection ist ein Indikator für verdächtige Aktivität bezüglich des Identitätsrisikos. Diese verdächtigen Aktivitäten werden als Risikoerkennungen bezeichnet. Diese identitätsbasierenden Erkennungen können auf Heuristiken und Machine Learning basieren oder von Partnerprodukten stammen. Mit diesen Erkennungen werden Anmelde- und Benutzerrisiko bestimmt.
- Ein Benutzerrisiko entspricht der Wahrscheinlichkeit, dass eine bestimmte Identität kompromittiert wurde.
- Das Anmelderisiko entspricht der Wahrscheinlichkeit, dass eine Anmeldung gefährdet ist (z. B. hat der Identitätsbesitzer die Anmeldung nicht autorisiert).
Warum sollte ich Feedback zu Risikobewertungen senden?
Es gibt verschiedene Gründe, warum Sie Feedback zu Risikobewertungen übermitteln sollten:
- Sie haben festgestellt, dass die Benutzer- oder Anmelderisikobewertung von Microsoft Entra ID Protection falsch ist. Beispielsweise könnte eine im Bericht „Risikoanmeldungen“ aufgeführte Anmeldung unbedenklich und alle darauf bezogenen Erkennungen falsch positive Meldungen sein.
- Sie haben festgestellt, dass die Benutzer- oder Anmelderisikobewertung von Microsoft Entra ID Protection richtig ist. Beispiel: Eine im Bericht Risikoanmeldungen aufgeführte Anmeldung war tatsächlich bedenklich, und Sie möchten bestätigen, dass es sich bei allen von Microsoft Entra ID erkannten Anmeldungen um Risikoanmeldungen gehandelt hat.
- Sie haben das Risiko für einzelne Benutzende außerhalb von Microsoft Entra ID Protection behoben und möchten, dass die Benutzerrisikostufe aktualisiert wird.
Wie nutzt Microsoft mein Risikofeedback?
Microsoft verwendet Ihr Feedback, um das Risiko der zugrunde liegenden Benutzenden bzw. Anmeldungen sowie die Genauigkeit dieser Ereignisse zu aktualisieren. Dieses Feedback hilft dabei, den Endbenutzer zu schützen. Wenn Sie beispielsweise bestätigen, dass eine Anmeldung kompromittiert wurde, wird das Benutzerrisiko und das aggregierte Risiko der Anmeldungen (nicht das Echtzeitrisiko) auf „Hoch“ gesetzt. Wenn Sie diesen Benutzer oder diese Benutzerin in Ihrer Benutzerrisikorichtlinie den Benutzenden mit hohem Risiko zuordnen, bei denen erzwungen wird, dass sie ihre Kennwörter sicher zurücksetzen, behebt der Benutzer oder die Benutzerin bei seiner bzw. ihrer nächsten Anmeldung automatisch das Problem.
Microsoft Entra ID Protection bietet die folgenden Aktionen, die Administratorinnen oder Administratoren bei Risikoanmeldungen durchführen können:
- Risiko bestätigen: Mit dieser Aktion wird bestätigt, dass die Anmeldung ein True Positive-Ergebnis ist. Die Anmeldung wird als riskant eingestuft, bis Korrekturschritte ausgeführt wurden.
- Als sicher bestätigt: Mit dieser Aktion wird bestätigt, dass die Anmeldung ein False Positive-Ergebnis ist. Ähnliche Anmeldungen sollten in Zukunft nicht als riskant eingestuft werden.
- Risiko verwerfen: Diese Aktion wird für ein True Positive-Ergebnis verwendet. Diese Anmeldung sollte zwar als riskant eingestuft werden, es stellt jedoch kein unmittelbares Risiko dar. Ähnliche Anmeldungen sollten weiterhin als riskant eingestuft werden. Sie können diese Option während eines internen Sicherheitspenetrationtests verwenden.
Wie soll ich Risikofeedback senden, und was geschieht im Hintergrund?
Hier finden Sie Szenarios und Mechanismen zum Senden von Risikofeedback an Microsoft Entra ID.
| Szenario | Wie können Sie Feedback senden? | Was geschieht im Hintergrund? | Hinweise |
|---|---|---|---|
| Anmeldung nicht kompromittiert (falsch positiv) Der Bericht Riskante Anmeldungen zeigt eine riskante Anmeldung [Risikostatus = Gefährdet] an, aber diese Anmeldung war nicht kompromittiert. |
Wählen Sie die Anmeldung und dann Anmeldung als sicher bestätigen aus. | Wir heben das aggregierte Risiko der Anmeldung auf [Risikostatus = Als sicher bestätigt; Risikostufe (aggregiert) = -] und machen die Auswirkung auf das Benutzerrisiko rückgängig. | Die Option „Anmeldung als sicher bestätigen“ ist derzeit nur im Bericht „Risikoanmeldungen“ verfügbar. |
| Anmeldung kompromittiert (richtig positiv) Der Bericht „Risikoanmeldungen“ zeigt eine gefährdete Anmeldung [Risikostatus = Gefährdet] mit geringem Risiko [Risikostufe (aggregiert) = Niedrig] an, und diese Anmeldung wurde tatsächlich kompromittiert. |
Wählen Sie die Anmeldung und dann Anmeldung als gefährdet bestätigen aus. | Wir setzen das aggregierte Risiko der Anmeldung und das Benutzerrisiko auf „Hoch“ [Risikostatus = Gefährdung bestätigt; Risikostufe = Hoch]. | Die Option „Anmeldung als gefährdet bestätigen“ ist derzeit nur im Bericht „Risikoanmeldungen“ verfügbar. |
| Benutzer kompromittiert (richtig positiv) Der Bericht „Risikobenutzer“ zeigt einen gefährdeten Benutzer [Risikostatus = Gefährdet] mit geringem Risiko [Risikostufe = Niedrig] an, und dieser Benutzer wurde tatsächlich kompromittiert. |
Wählen Sie die Benutzenden und dann Benutzer als kompromittiert bestätigen aus. | Wir setzen das Benutzerrisiko auf „Hoch“ [Risikostatus = Gefährdung bestätigt; Risikostufe = Hoch] und fügen die neue Erkennung Benutzergefährdung durch Administrator bestätigt hinzu. | Die Option „Benutzergefährdung bestätigen“ ist derzeit nur im Bericht „Risikoanmeldungen“ verfügbar. Die Erkennung „Benutzergefährdung durch Administrator bestätigt“ wird im Bericht „Risikobenutzer“ auf der Registerkarte „Risikoerkennungen ohne Bezug zu einer Anmeldung“ angezeigt. |
| Benutzer außerhalb von Microsoft Entra ID Protection bereinigt (Richtig positiv + Bereinigt) Der Bericht Risikobenutzer enthält einen gefährdeten Benutzer, dessen Risiko Sie außerhalb von Microsoft Entra ID Protection behoben haben. |
1. Wählen Sie die Benutzenden und dann Benutzer als kompromittiert bestätigen aus. (Dieser Prozess bestätigt Microsoft Entra ID, dass der Benutzer tatsächlich kompromittiert wurde.) 2. Warten Sie, bis die Risikostufe der Benutzenden als „Hoch“ eingestuft wird. (Mit dem Warten räumen Sie Microsoft Entra ID die erforderliche Zeit ein, um das obige Feedback in das Risikomodul aufzunehmen.) 3. Wählen Sie die Benutzenden und dann Benutzerrisiko verwerfen aus. (Dieser Prozess bestätigt Microsoft Entra ID, dass der Benutzer nicht länger kompromittiert ist.) |
Microsoft Entra ID hebt das Benutzerrisiko auf [Risikostatus = Verworfen; Risikostufe = -] und schließt das Risiko für alle vorhandenen Anmeldungen mit aktivem Risiko. | Beim Auswählen von Benutzerrisiko verwerfen werden alle Risiken für die Benutzenden und für in der Vergangenheit liegende Anmeldungen geschlossen. Diese Aktion kann nicht rückgängig gemacht werden. |
| Benutzer nicht kompromittiert (falsch positiv) Der Bericht Risikobenutzer enthält einen gefährdeten Benutzer, der jedoch nicht kompromittiert ist. |
Wählen Sie die Benutzenden und dann Benutzerrisiko verwerfen aus. (Dieser Prozess bestätigt Microsoft Entra ID, dass der Benutzer nicht kompromittiert wurde.) | Microsoft Entra ID hebt das Benutzerrisiko auf [Risikostatus = Verworfen; Risikostufe = -]. | Beim Auswählen von Benutzerrisiko verwerfen werden alle Risiken für die Benutzenden und für in der Vergangenheit liegende Anmeldungen geschlossen. Diese Aktion kann nicht rückgängig gemacht werden. |
| Ich möchte das Benutzerrisiko schließen, aber ich bin mir nicht sicher, ob der Benutzer kompromittiert/sicher ist. | Wählen Sie die Benutzenden und dann Benutzerrisiko verwerfen aus. (Dieser Prozess bestätigt Microsoft Entra ID, dass der Benutzer nicht länger kompromittiert ist.) | Wir heben das Benutzerrisiko auf [Risikostatus = Verworfen; Risikostufe = -]. | Beim Auswählen von Benutzerrisiko verwerfen werden alle Risiken für die Benutzenden und für in der Vergangenheit liegende Anmeldungen geschlossen. Diese Aktion kann nicht rückgängig gemacht werden. Es wird empfohlen, für den Benutzer durch Klicken auf „Kennwort zurücksetzen“ eine Entschärfung durchzuführen oder ihn aufzufordern, auf sichere Weise seine Anmeldeinformationen zurückzusetzen/zu ändern. |
Feedback zu Benutzerrisikoerkennungen in ID Protection wird offline verarbeitet, und die Aktualisierung könnte einige Zeit dauern. Die Spalte Status der Risikoverarbeitung gibt den aktuellen Status der Feedbackverarbeitung an.