Vorgehensweise: Übermitteln von Risikofeedback in Microsoft Entra ID Protection
Sie können Feedback zur Risikobewertung durch Microsoft Entra ID Protection geben. Im folgenden Dokument sind die Szenarien aufgelistet, in denen Sie Feedback zur Microsoft Entra ID Protection-Risikobewertung geben können, und Sie erfahren, wie es integriert wird.
Ihr Feedback hilft uns, Erkennungen in Zukunft zu optimieren, ihre Genauigkeit zu verbessern und False Positive-Ergebnisse zu reduzieren.
Was ist eine Erkennung?
Eine Erkennung von ID Protection ist ein Indikator für verdächtige Aktivität bezüglich des Identitätsrisikos. Diese verdächtigen Aktivitäten werden als Risikoerkennungen bezeichnet. Diese identitätsbasierenden Erkennungen können auf Heuristiken und Machine Learning basieren oder von Partnerprodukten stammen. Mit diesen Erkennungen werden Anmelde- und Benutzerrisiko bestimmt.
- Ein Benutzerrisiko entspricht der Wahrscheinlichkeit, dass eine bestimmte Identität kompromittiert wurde.
- Das Anmelderisiko entspricht der Wahrscheinlichkeit, dass eine Anmeldung gefährdet ist (z. B. hat der Identitätsbesitzer die Anmeldung nicht autorisiert).
Warum sollte ich Feedback zu Risikobewertungen senden?
Es gibt verschiedene Gründe, warum Sie Feedback zu Risikobewertungen übermitteln sollten:
- Sie haben festgestellt, dass die Benutzer- oder Anmelderisikobewertung von Microsoft Entra ID Protection falsch ist. Beispielsweise könnte eine im Bericht „Risikoanmeldungen“ aufgeführte Anmeldung unbedenklich und alle darauf bezogenen Erkennungen falsch positive Meldungen sein.
- Sie haben festgestellt, dass die Benutzer- oder Anmelderisikobewertung von Microsoft Entra ID Protection richtig ist. Beispiel: Eine im Bericht Risikoanmeldungen aufgeführte Anmeldung war tatsächlich bedenklich, und Sie möchten bestätigen, dass es sich bei allen von Microsoft Entra ID erkannten Anmeldungen um Risikoanmeldungen gehandelt hat.
- Sie haben das Risiko für einzelne Benutzende außerhalb von Microsoft Entra ID Protection behoben und möchten, dass die Benutzerrisikostufe aktualisiert wird.
Wie nutzt Microsoft mein Risikofeedback?
Microsoft verwendet Ihr Feedback, um das Risiko der zugrunde liegenden Benutzenden bzw. Anmeldungen sowie die Genauigkeit dieser Ereignisse zu aktualisieren. Dieses Feedback hilft dabei, den Endbenutzer zu schützen. Wenn Sie beispielsweise bestätigen, dass eine Anmeldung kompromittiert wurde, wird das Benutzerrisiko und das aggregierte Risiko der Anmeldungen (nicht das Echtzeitrisiko) auf „Hoch“ gesetzt. Wenn Sie diesen Benutzer oder diese Benutzerin in Ihrer Benutzerrisikorichtlinie den Benutzenden mit hohem Risiko zuordnen, bei denen erzwungen wird, dass sie ihre Kennwörter sicher zurücksetzen, behebt der Benutzer oder die Benutzerin bei seiner bzw. ihrer nächsten Anmeldung automatisch das Problem.
Administrierende können bei riskanten Anmeldevorgängen Maßnahmen ergreifen und sich dafür entscheiden, Folgendes zu tun:
- Bestätigen, dass die Anmeldung kompromittiert ist - Diese Aktion bestätigt, dass die Anmeldung True Positive ist. Die Anmeldung wird als riskant eingestuft, bis Korrekturschritte ausgeführt wurden.
- Bestätigen, dass die Anmeldung sicher ist - Diese Aktion bestätigt, dass die Anmeldung ein falsches Positiv ist. Ähnliche Anmeldungen sollten in Zukunft nicht als riskant eingestuft werden.
- Risiko verwerfen: Diese Aktion wird für ein True Positive-Ergebnis verwendet. Das von uns entdeckte Anmeldungsrisiko ist real, aber nicht bösartig, wie bei einem bekannten Penetrationstest oder einer bekannten Aktivität, die von einer genehmigten Anwendung erzeugt wird. Ähnliche Anmeldungen sollten weiterhin als riskant eingestuft werden.
Maßnahmen auf der Ebene des Benutzenden gelten für alle Erkennungen, die momentan mit diesem Benutzenden verbunden sind. Administratoren können Maßnahmen gegen Benutzende ergreifen und sich dafür entscheiden:
- Passwort zurücksetzen - Diese Aktion widerruft die momentane Sitzung des Benutzenden.
- Bestätigen Sie, dass der Benutzende angegriffen wurde - Diese Aktion wird bei einem echten Positivbefund durchgeführt. ID Protection legt das Benutzerrisiko auf "hoch" fest und fügt eine neue Erkennung hinzu: Admin bestätigt, dass der Benutzende kompromittiert wurde. Der Benutzende gilt als risikoreich, bis Abhilfemaßnahmen ergriffen werden.
- Benutzende als sicher bestätigen - Diese Aktion wird bei einem falsch positiven Ergebnis durchgeführt. Dadurch werden Risiken und Erkennungen für diesen Benutzenden entfernt und im Lernmodus platziert, um die Verwendungseigenschaften erneut zu erlernen. Sie können diese Option verwenden, um falsch positive Ergebnisse zu markieren.
- Benutzerrisiko schließen – Diese Aktion wird auf ein positives Benutzerrisiko angewendet. Dieses von uns entdeckte Benutzerrisiko ist real, aber nicht bösartig, wie bei einem bekannten Penetrationstest. Ähnliche Benutzende sollten auch in Zukunft einer Risikobewertung unterzogen werden.
- Benutzende sperren - Diese Aktion blockiert die Anmeldung eines Benutzenden, wenn der Angreifende Zugriff auf das Passwort oder die Möglichkeit hat, MFA durchzuführen.
- Untersuchung mit Microsoft 365 Defender - Diese Aktion führt Administrierende zum Microsoft Defender-Portal, damit ein Administrierender weitere Untersuchungen durchführen kann.
Rückmeldungen zu Risikoerkennungen in ID Schutz werden offline verarbeitet und die Aktualisierung kann einige Zeit in Anspruch nehmen. Die Spalte Status der Risikoverarbeitung gibt den aktuellen Status der Feedbackverarbeitung an.