Instrucciones: Proporcionar comentarios de riesgo en Microsoft Entra ID Protection
Microsoft Entra ID Protection le permite enviar comentarios sobre su evaluación de riesgos. En el documento siguiente se enumeran los escenarios en los que puede enviar comentarios sobre la evaluación del riesgo de Microsoft Entra ID Protection y se proporciona información para incorporarlos.
Sus comentarios nos ayudan a optimizar las detecciones en el futuro, mejorar su precisión y reducir los falsos positivos.
¿Qué es una detección?
La detección de Protección de id. es un indicador de actividad sospechosa desde una perspectiva de riesgo de identidad. Estas actividades sospechosas se llaman detecciones de riesgo. Estas detecciones basadas en identidades pueden basarse en heurística, aprendizaje automático o pueden proceder de productos de asociados. Estas detecciones se usan para determinar el riesgo de inicio de sesión y el riesgo del usuario.
- El riesgo de usuario representa la probabilidad de que una identidad esté en peligro.
- El riesgo de inicio de sesión representa la probabilidad de que un inicio de sesión esté en peligro (por ejemplo, el propietario de la identidad no autoriza el inicio de sesión).
¿Por qué debo enviar comentarios de riesgo a las evaluaciones de riesgos?
Hay varias razones por las que debe enviar comentarios de riesgo:
- Ha encontrado que el usuario o la evaluación de riesgos de inicio de sesión de Microsoft Entra ID Protection son incorrectas. Por ejemplo, un inicio de sesión que se muestra en el informe Inicios de sesión de riesgo era inofensivo y todas las detecciones en ese inicio de sesión eran falsos positivos.
- Validó que la evaluación de riesgos de usuario o inicio de sesión de Microsoft Entra ID Protection era correcta. Por ejemplo, un inicio de sesión que se muestra en el informe Inicios de sesión de riesgo era realmente malintencionado y quiere que Microsoft Entra ID sepa que todas las detecciones en ese inicio de sesión eran verdaderos positivos.
- Ha corregido el riesgo de ese usuario fuera de Microsoft Entra ID Protection y quiere que el nivel de riesgo del usuario se actualice.
¿Cómo usa mis comentarios de riesgo Microsoft?
Microsoft usa sus comentarios para actualizar el riesgo del usuario o inicio de sesión subyacentes y la precisión de estos eventos. Estos comentarios le ayudan a proteger al usuario final. Por ejemplo, una vez que confirme que un inicio de sesión está en peligro, aumentamos inmediatamente el riesgo del usuario y el riesgo agregado del inicio de sesión (no en tiempo real) a alto. Si este usuario se incluye en la directiva de riesgo de usuario para forzar a los usuarios de alto riesgo a restablecer de forma segura sus contraseñas, podrá corregir automáticamente la próxima vez que inicie sesión.
Microsoft Entra ID Protection ofrece las siguientes acciones que un administrador puede tomar en inicios de sesión arriesgados:
- Confirmar riesgo: Esta acción confirma que el inicio de sesión es un verdadero positivo. El inicio de sesión se considera arriesgado hasta que se realizan los pasos de corrección.
- Confirmar seguro: Esta acción confirma que el registro es un falso positivo. Los inicios de sesión similares no deben considerarse peligrosos en el futuro.
- Descartar riesgo: Esta acción se usa para un verdadero positivo benigno. Este inicio de sesión debe marcarse como arriesgado, pero no supone ningún riesgo inmediato. Los inicios de sesión similares deben seguir evaluando el riesgo en el futuro. Puede usar esta opción durante una prueba de penetración de seguridad interna.
¿Cómo debo enviar comentarios sobre riesgo y qué sucede en segundo plano?
Estos son los escenarios y los mecanismos para enviar comentarios sobre riesgo a Microsoft Entra ID.
| Escenario | Cómo enviar comentarios | Qué sucede en segundo plano | Notas |
|---|---|---|---|
| Inicio de sesión que no está en peligro (falso positivo) En el informe Inicios de sesión de riesgo se muestra un inicio de sesión de riesgo [Estado de riesgo = En riesgo], pero ese inicio de sesión no estaba en peligro. |
Seleccione el inicio de sesión y, a continuación, Confirmar seguridad de inicio de sesión. | Moveremos el riesgo agregado de inicio de sesión a Ninguno [Estado de riesgo = Confirmado seguro; Nivel de riesgo (agregado) = -] e invertiremos su efecto sobre el riesgo de usuario. | Actualmente, la opción Confirmar inicio de sesión seguro solo está disponible en el informe Inicios de sesión de riesgo. |
| Inicio de sesión en peligro (verdadero positivo) En el informe Inicios de sesión de riesgo se muestra un inicio de sesión de riesgo [Estado de riesgo = En riesgo] con nivel bajo de riesgo [Nivel de riesgo (agregado) = Bajo] y que ese inicio de sesión estaba en peligro en realidad. |
Seleccione el inicio de sesión y, a continuación, Confirmar inicio de sesión en peligro. | Moveremos el nivel de riesgo agregado de inicio de sesión y el riesgo de usuario a Alto [Estado de riesgo = Confirmado en peligro; Nivel de riesgo = Alto]. | Actualmente, la opción Confirmar inicio de sesión en peligro solo está disponible en el informe Inicios de sesión de riesgo. |
| Usuario en peligro (verdadero positivo) En el informe Usuarios de riesgo se muestra un usuario de riesgo [Estado de riesgo = En riesgo] con nivel bajo de riesgo [Nivel de riesgo = Bajo] y que ese usuario estaba en peligro en realidad. |
Seleccione el usuario y, a continuación, Confirme que el usuario está en peligro. | Moveremos el nivel del usuario de riesgo a Alto [Estado de riesgo = Confirmado en peligro; Nivel de riesgo = Alto] y agregará una nueva detección Vulneración de identidad de usuario confirmada por el administrador. | Actualmente, la opción Confirmar usuario en peligro solo está disponible en el informe Usuarios de riesgo. La detección Vulneración de identidad de usuario confirmada por el administrador se muestra en la pestaña Detecciones de riesgo no vinculadas a un inicio de sesión en el informe Usuarios de riesgo. |
| Usuario corregido fuera de Microsoft Entra ID Protection (verdadero positivo + corregido) En el informe Usuarios de riesgo se muestra un usuario en riesgo y, posteriormente, he corregido el usuario fuera de Microsoft Entra ID Protection. |
1. Seleccione el usuario y, a continuación, Confirme que el usuario está en peligro. (Este proceso confirma a Microsoft Entra ID que el usuario estaba en peligro realmente). 2. Espere a que el nivel de riesgo del usuario pase a Alto. (Esto le ofrece a Microsoft Entra ID el tiempo necesario para tener en cuenta los comentarios anteriores para el motor de riesgo). 3. Seleccione el usuario y, después, Descartar riesgo de usuario. (Este proceso confirma a Microsoft Entra ID que el usuario ya no está en peligro). |
Microsoft Entra ID mueve el riesgo del usuario a Ninguno [Estado de riesgo = Descartado; Nivel de riesgo = -] y cierra el riesgo en todos los inicios de sesión existentes con riesgo activo. | Al hacer clic en Descartar riesgo de usuario cierra todo el riesgo en el usuario y en los inicios de sesión anteriores. Esta acción no se puede deshacer. |
| Usuario que no está en peligro (falso positivo) En el informe Usuarios de riesgo se muestra el usuario en riesgo, pero este no está en peligro. |
Seleccione el usuario y, después, Descartar riesgo de usuario. (Este proceso confirma a Microsoft Entra ID que el usuario no está en peligro). | Microsoft Entra ID mueve el riesgo del usuario a Ninguno [Estado de riesgo = Descartado; Nivel de riesgo = -]. | Al hacer clic en Descartar riesgo de usuario cierra todo el riesgo en el usuario y en los inicios de sesión anteriores. Esta acción no se puede deshacer. |
| Quiero cerrar el riesgo del usuario pero no estoy seguro de si el usuario está en peligro o seguro. | Seleccione el usuario y, después, Descartar riesgo de usuario. (Este proceso confirma a Microsoft Entra ID que el usuario ya no está en peligro). | Movemos el riesgo del usuario a Ninguno [Estado de riesgo = Descartado; Nivel de riesgo = -]. | Al hacer clic en Descartar riesgo de usuario cierra todo el riesgo en el usuario y en los inicios de sesión anteriores. Esta acción no se puede deshacer. Se recomienda corregir el usuario haciendo clic en Restablecer contraseña o solicitar al usuario que restablezca o cambie sus credenciales de forma segura. |
Los comentarios sobre las detecciones de riesgo de usuario en Protección de id. se procesan sin conexión y pueden tardar algún tiempo en actualizarse. La columna de estado de procesamiento de riesgo proporciona el estado actual del procesamiento de comentarios.