Instrucciones: Proporcionar comentarios de riesgo en Protección de Microsoft Entra ID
Protección de Microsoft Entra ID te permite enviar comentarios sobre su evaluación de riesgos. En el documento siguiente se enumeran los escenarios en los que puedes enviar comentarios sobre la evaluación del riesgo de Protección de Microsoft Entra ID y se proporciona información para incorporarlos.
Tus comentarios nos ayudan a optimizar las detecciones en el futuro, mejorar su precisión y reducir los falsos positivos.
¿Qué es una detección?
La detección de Protección de id. es un indicador de actividad sospechosa desde una perspectiva de riesgo de identidad. Estas actividades sospechosas se llaman detecciones de riesgo. Estas detecciones basadas en identidades pueden basarse en heurística, aprendizaje automático o pueden proceder de productos de asociados. Estas detecciones se usan para determinar el riesgo de inicio de sesión y el riesgo del usuario.
- El riesgo de usuario representa la probabilidad de que una identidad esté en peligro.
- El riesgo de inicio de sesión representa la probabilidad de que un inicio de sesión esté en peligro (por ejemplo, el propietario de la identidad no autoriza el inicio de sesión).
¿Por qué debo enviar comentarios de riesgo a las evaluaciones de riesgos?
Hay varias razones por las que debe enviar comentarios de riesgo:
- Has descubierto que la evaluación de riesgos de usuario o inicio de sesión de Protección de Microsoft Entra ID es incorrecta. Por ejemplo, un inicio de sesión que se muestra en el informe Inicios de sesión de riesgo era inofensivo y todas las detecciones en ese inicio de sesión eran falsos positivos.
- Validaste que la evaluación de riesgos de usuario o inicio de sesión de Protección de Microsoft Entra ID era correcta. Por ejemplo, un inicio de sesión que se muestra en el informe Inicios de sesión de riesgo era realmente malintencionado y quiere que Microsoft Entra ID sepa que todas las detecciones en ese inicio de sesión eran verdaderos positivos.
- Has corregido el riesgo de ese usuario fuera de Protección de Microsoft Entra ID y quieres que el nivel de riesgo del usuario se actualice.
¿Cómo usa mis comentarios de riesgo Microsoft?
Microsoft usa tus comentarios para actualizar el riesgo del usuario o inicio de sesión subyacentes y la precisión de estos eventos. Estos comentarios le ayudan a proteger al usuario final. Por ejemplo, una vez que confirmes que un inicio de sesión está en peligro, aumentamos inmediatamente el riesgo del usuario y el riesgo agregado del inicio de sesión (no en tiempo real) a alto. Si este usuario se incluye en la directiva de riesgo de usuario para forzar a los usuarios de alto riesgo a restablecer de forma segura sus contraseñas, podrá corregir automáticamente la próxima vez que inicie sesión.
Los administradores pueden tomar medidas en los eventos de inicio de sesión de riesgo y elegir lo siguiente:
- Confirmar vulnerabilidad de inicio de sesión: esta acción confirma que el inicio de sesión es un verdadero positivo. El inicio de sesión se considera arriesgado hasta que se realizan los pasos de corrección.
- Confirmar inicio de sesión seguro: esta acción confirma que el inicio de sesión es un falso positivo. Los inicios de sesión similares no deben considerarse peligrosos en el futuro.
- Descartar riesgo de inicio de sesión: esta acción se usa para un verdadero positivo benigno. Este riesgo de inicio de sesión detectado es real, pero no malintencionado, como los de una prueba de penetración conocida o una actividad conocida generada por una aplicación aprobada. Los inicios de sesión similares deben seguir evaluando el riesgo en el futuro.
La adopción de medidas en el nivel de usuario se aplica a todas las detecciones asociadas actualmente a ese usuario. Los administradores pueden adoptar medidas en los usuarios y elegir:
- Restablecer contraseña: esta acción revoca las sesiones actuales del usuario.
- Confirmar que el usuario está en peligro: esta acción se realiza en un verdadero positivo. La Protección de id. establece el riesgo de usuario en alto y agrega una nueva detección, vulneración de identidad de usuario confirmada por el administrador. El usuario se considera arriesgado hasta que se realizan los pasos de corrección.
- Confirmar la seguridad del usuario: esta acción se realiza en un falso positivo. Al hacerlo, se eliminan los riesgos y las detecciones de este usuario y se coloca en modo de aprendizaje para volver a aprender las propiedades de uso. Puedes usar esta opción para marcar falsos positivos.
- Descartar el riesgo del usuario: esta acción se realiza en un riesgo de usuario positivo benigno. Este riesgo de usuario detectado es real, pero no malintencionado, como los de una prueba de penetración conocida. Los usuarios similares deben seguir evaluando el riesgo en el futuro.
- Bloquear usuario: esta acción impide que un usuario inicie sesión si el atacante tiene acceso a la contraseña o la capacidad de realizar MFA.
- Investigar con Microsoft 365 Defender: esta acción lleva a los administradores al portal de Microsoft Defender para permitir que un administrador investigue más.
Los comentarios sobre las detecciones en la Protección de id. se procesan sin conexión y pueden tardar algún tiempo en actualizarse. La columna de estado de procesamiento de riesgo proporciona el estado actual del procesamiento de comentarios.