Instrucciones: Proporcionar comentarios de riesgo en Microsoft Entra ID Protection
Microsoft Entra ID Protection le permite enviar comentarios sobre su evaluación de riesgos. En el documento siguiente se enumeran los escenarios en los que puede enviar comentarios sobre la evaluación del riesgo de Microsoft Entra ID Protection y se proporciona información para incorporarlos.
¿Qué es una detección?
La detección de Protección de id. es un indicador de actividad sospechosa desde una perspectiva de riesgo de identidad. Estas actividades sospechosas se llaman detecciones de riesgo. Estas detecciones basadas en identidades pueden basarse en heurística, aprendizaje automático o pueden proceder de productos de asociados. Estas detecciones se usan para determinar el riesgo de inicio de sesión y el riesgo del usuario.
- El riesgo de usuario representa la probabilidad de que una identidad esté en peligro.
- El riesgo de inicio de sesión representa la probabilidad de que un inicio de sesión esté en peligro (por ejemplo, el propietario de la identidad no autoriza el inicio de sesión).
¿Por qué debo enviar comentarios sobre riesgo a las evaluaciones de riesgo de Microsoft Entra?
Hay varias razones por las que debería enviar comentarios sobre el riesgo de Microsoft Entra:
- Ha encontrado una evaluación de riesgo de inicio de sesión o usuario de Microsoft Entra ID incorrecta. Por ejemplo, un inicio de sesión que se muestra en el informe "Inicios de sesión de riesgo" era inofensivo y todas las detecciones en ese inicio de sesión eran falsos positivos.
- Ha validado que la evaluación de riesgo de inicio de sesión o usuario de Microsoft Entra ID era correcta. Por ejemplo, un inicio de sesión que se muestra en el informe "Inicios de sesión de riesgo" era realmente malintencionado y quiere que Microsoft Entra ID sepa que todas las detecciones en ese inicio de sesión eran verdaderos positivos.
- Ha corregido el riesgo de ese usuario fuera de Microsoft Entra ID Protection y quiere que el nivel de riesgo del usuario se actualice.
¿Cómo usa mis comentarios de riesgo Microsoft Entra ID?
Microsoft Entra ID usa sus comentarios para actualizar el riesgo del usuario o inicio de sesión subyacentes y la precisión de estos eventos. Estos comentarios le ayudan a proteger al usuario final. Por ejemplo, después de confirmar que un inicio de sesión está en peligro, Microsoft Entra ID aumenta inmediatamente el nivel de riesgo de usuario y riesgo agregado de inicio de sesión (no en tiempo real) a Alto. Si este usuario está incluido en la directiva de riesgo de usuario para forzar a los usuarios de alto riesgo a restablecer sus contraseñas de forma segura, el usuario se corregirá automáticamente la próxima vez que inicie sesión.
¿Cómo debo enviar comentarios sobre riesgo y qué sucede en segundo plano?
Estos son los escenarios y los mecanismos para enviar comentarios sobre riesgo a Microsoft Entra ID.
| Escenario | Cómo enviar comentarios | Qué sucede en segundo plano | Notas |
|---|---|---|---|
| Inicio de sesión que no está en peligro (falso positivo) En el informe "Inicios de sesión de riesgo" se muestra un inicio de sesión de riesgo [Estado de riesgo = En riesgo], pero ese inicio de sesión no estaba en peligro. |
Seleccione el inicio de sesión y, a continuación, "Confirmar inicio de sesión seguro". | Moveremos el riesgo agregado de inicio de sesión a Ninguno [Estado de riesgo = Confirmado seguro; Nivel de riesgo (agregado) = -] e invertiremos su efecto sobre el riesgo de usuario. | Actualmente, la opción "Confirmar inicio de sesión seguro" solo está disponible en el informe "Inicios de sesión de riesgo". |
| Inicio de sesión en peligro (verdadero positivo) En el informe "Inicios de sesión de riesgo" se muestra un inicio de sesión de riesgo [Estado de riesgo = En riesgo] con nivel bajo de riesgo [Nivel de riesgo (agregado) = Bajo] y que ese inicio de sesión estaba en peligro en realidad. |
Seleccione el inicio de sesión y, a continuación, "Confirmar inicio de sesión en peligro". | Moveremos el nivel de riesgo agregado de inicio de sesión y el riesgo de usuario a Alto [Estado de riesgo = Confirmado en peligro; Nivel de riesgo = Alto]. | Actualmente, la opción "Confirmar inicio de sesión en peligro" solo está disponible en el informe "Inicios de sesión de riesgo". |
| Usuario en peligro (verdadero positivo) En el informe "Usuarios de riesgo" se muestra un usuario de riesgo [Estado de riesgo = En riesgo] con nivel bajo de riesgo [Nivel de riesgo = Bajo] y que ese usuario estaba en peligro en realidad. |
Seleccione el usuario y, a continuación, "Confirmar usuario en peligro". | Moveremos el nivel del usuario de riesgo a Alto [Estado de riesgo = Confirmado en peligro; Nivel de riesgo = Alto] y agregará una nueva detección "Vulneración de identidad de usuario confirmada por el administrador". | Actualmente, la opción "Confirmar usuario en peligro" solo está disponible en el informe "Usuarios de riesgo". La detección "Vulneración de identidad de usuario confirmada por el administrador" se muestra en la pestaña "Detecciones de riesgo no vinculadas a un inicio de sesión" en el informe "Usuarios de riesgo". |
| Usuario corregido fuera de Microsoft Entra ID Protection (verdadero positivo + corregido) En el informe "Usuarios de riesgo" se muestra un usuario en riesgo y, posteriormente, he corregido el usuario fuera de Microsoft Entra ID Protection. |
1. Seleccione el usuario y, a continuación, "Confirmar usuario en peligro". (Este proceso confirma a Microsoft Entra ID que el usuario estaba en peligro realmente). 2. Espere a que el "nivel de riesgo" del usuario pase a Alto. (Esto le ofrece a Microsoft Entra ID el tiempo necesario para tener en cuenta los comentarios anteriores para el motor de riesgo). 3. Seleccione el usuario y, a continuación, "Descartar el riesgo del usuario". (Este proceso confirma a Microsoft Entra ID que el usuario ya no está en peligro). |
Microsoft Entra ID mueve el riesgo del usuario a Ninguno [Estado de riesgo = Descartado; Nivel de riesgo = -] y cierra el riesgo en todos los inicios de sesión existentes con riesgo activo. | Al hacer clic en "Descartar el riesgo del usuario", se cierran todos los riesgos del usuario y de los inicios de sesión pasados. Esta operación no se puede deshacer. |
| Usuario que no está en peligro (falso positivo) En el informe "Usuarios de riesgo" se muestra el usuario en riesgo, pero este no está en peligro. |
Seleccione el usuario y, a continuación, "Descartar el riesgo del usuario". (Este proceso confirma a Microsoft Entra ID que el usuario no está en peligro). | Microsoft Entra ID mueve el riesgo del usuario a Ninguno [Estado de riesgo = Descartado; Nivel de riesgo = -]. | Al hacer clic en "Descartar el riesgo del usuario", se cierran todos los riesgos del usuario y de los inicios de sesión pasados. Esta operación no se puede deshacer. |
| Quiero cerrar el riesgo del usuario pero no estoy seguro de si el usuario está en peligro o seguro. | Seleccione el usuario y, a continuación, "Descartar el riesgo del usuario". (Este proceso confirma a Microsoft Entra ID que el usuario ya no está en peligro). | Movemos el riesgo del usuario a Ninguno [Estado de riesgo = Descartado; Nivel de riesgo = -]. | Al hacer clic en "Descartar el riesgo del usuario", se cierran todos los riesgos del usuario y de los inicios de sesión pasados. Esta operación no se puede deshacer. Se recomienda corregir el usuario haciendo clic en "Restablecer contraseña" o solicitar al usuario que restablezca o cambie sus credenciales de forma segura. |
Los comentarios sobre las detecciones de riesgo de usuario en Protección de id. se procesan sin conexión y pueden tardar algún tiempo en actualizarse. La columna de estado de procesamiento de riesgo proporciona el estado actual del procesamiento de comentarios.
