Útmutató: Kockázati visszajelzés küldése Microsoft Entra ID-védelem
Microsoft Entra ID-védelem lehetővé teszi, hogy visszajelzést küldjön a kockázatértékelésről. Az alábbi dokumentum felsorolja azokat a forgatókönyveket, amelyekben visszajelzést szeretne küldeni Microsoft Entra ID-védelem kockázatértékeléséről és annak beépítésének módjáról.
Visszajelzései segítenek optimalizálni az észleléseket a jövőben, javítani a pontosságukat, és csökkenteni a hamis pozitív értékeket.
Mi az észlelés?
Az azonosítóvédelem észlelése az identitáskockázat szempontjából gyanús tevékenységek jelzése. Ezeket a gyanús tevékenységeket kockázatészlelésnek nevezzük. Ezek az identitásalapú észlelések heurisztikus és gépi tanuláson alapulhatnak, vagy partnertermékekből származhatnak. Ezek az észlelések a bejelentkezési kockázat és a felhasználói kockázat meghatározására szolgálnak,
- A felhasználói kockázat az identitás sérülésének valószínűségét jelenti.
- A bejelentkezési kockázat azt a valószínűséget jelenti, hogy a bejelentkezés sérül (például az identitástulajdonos nem engedélyezte a bejelentkezést).
Miért kell kockázatvisszajelzést adnom a kockázatértékeléseknek?
Több oka is van annak, hogy miért érdemes kockázati visszajelzést adni:
- Helytelennek találta Microsoft Entra ID-védelem felhasználó- vagy bejelentkezési kockázatértékelést. A Kockázatos bejelentkezések jelentésben látható bejelentkezés például jóindulatú volt, és a bejelentkezés összes észlelése hamis pozitív volt.
- Ön igazolta, hogy Microsoft Entra ID-védelem felhasználó vagy bejelentkezési kockázatértékelés helyes volt. A Kockázatos bejelentkezések jelentésben látható bejelentkezés például valóban rosszindulatú volt, és azt szeretné, hogy a Microsoft Entra-azonosító tudja, hogy a bejelentkezés minden észlelése valódi pozitív volt.
- Kijavította az adott felhasználóra vonatkozó kockázatot a Microsoft Entra ID-védelem kívül, és azt szeretné, hogy a felhasználó kockázati szintje frissüljön.
Hogyan használja a Microsoft a kockázati visszajelzésemet?
A Microsoft az Ön visszajelzésével frissíti a mögöttes felhasználó és/vagy bejelentkezés kockázatát és az események pontosságát. Ez a visszajelzés segít a végfelhasználó biztonságának biztosításában. Ha például megerősíti, hogy a bejelentkezés sérült, azonnal növeljük a felhasználó kockázatát, és a bejelentkezés összesített kockázatát (nem valós idejű kockázatot) magasra növeljük. Ha ez a felhasználó szerepel a felhasználói kockázati szabályzatban, amely arra kényszeríti a magas kockázatú felhasználókat, hogy biztonságosan visszaállítsák a jelszavukat, a következő bejelentkezéskor automatikusan szervizelhetik őket.
A rendszergazdák műveletet végezhetnek a kockázatos bejelentkezési eseményeken, és a következő lehetőségek közül választhatnak:
- Győződjön meg arról, hogy a bejelentkezés sérült – Ez a művelet megerősíti, hogy a bejelentkezés valódi pozitív. A bejelentkezés kockázatosnak minősül, amíg meg nem történik a szervizelési lépések végrehajtása.
- Erősítse meg a biztonságos bejelentkezést – Ez a művelet megerősíti, hogy a bejelentkezés hamis pozitív. A hasonló bejelentkezések a jövőben nem tekinthetők kockázatosnak.
- Bejelentkezési kockázat elvetése – Ezt a műveletet jóindulatú valódi pozitív értékre használja a rendszer. Az észlelt bejelentkezési kockázat valós, de nem rosszindulatú, mint egy ismert behatolási teszt vagy egy jóváhagyott alkalmazás által létrehozott ismert tevékenység. A kockázat továbbhaladása érdekében a hasonló bejelentkezéseket továbbra is értékelni kell.
A felhasználói szinten végzett műveletek az adott felhasználóhoz jelenleg társított összes észlelésre vonatkoznak. A rendszergazdák műveletet végezhetnek a felhasználókon, és a következő lehetőségek közül választhatnak:
- Jelszó alaphelyzetbe állítása – Ez a művelet visszavonja a felhasználó aktuális munkameneteit.
- Ellenőrizze, hogy a felhasználó sérült-e – Ez a művelet valódi pozitív eredményt ad . Az ID Protection magasra állítja a felhasználói kockázatot, és új észlelést ad hozzá, a rendszergazda megerősítette, hogy a felhasználó sérült. A felhasználót a szervizelési lépések végrehajtásáig kockázatosnak tekintjük.
- A felhasználó biztonságának megerősítése – Ez a művelet hamis pozitív értéken történik. Ezzel eltávolítja a felhasználóra vonatkozó kockázatokat és észleléseket, és tanulási módban helyezi el a használati tulajdonságok újratanulásához. Ezzel a beállítással hamis pozitív értékeket jelölhet meg.
- Felhasználói kockázat elvetése – Ez a művelet jóindulatú pozitív felhasználói kockázattal jár. Ez a felhasználói kockázat, amit észleltünk, valós, de nem rosszindulatú, mint egy ismert behatolási teszt. A kockázat továbbhaladásáért a hasonló felhasználókat továbbra is értékelni kell.
- Felhasználó letiltása – Ez a művelet megakadályozza, hogy a felhasználó bejelentkezhessen, ha a támadó hozzáfér a jelszóhoz, vagy képes az MFA végrehajtására.
- Vizsgálat a Microsoft 365 Defenderrel – Ez a művelet a rendszergazdákat a Microsoft Defender portálra viszi, hogy a rendszergazdák tovább vizsgálhassanak.
Az ID Protection kockázatészleléseivel kapcsolatos visszajelzések offline feldolgozásra kerülnek, és a frissítés eltarthat egy ideig. A kockázatfeldolgozási állapot oszlop a visszajelzések feldolgozásának aktuális állapotát adja meg.