Útmutató: Kockázati visszajelzés küldése Microsoft Entra ID-védelem
Microsoft Entra ID-védelem lehetővé teszi, hogy visszajelzést küldjön a kockázatértékelésről. Az alábbi dokumentum felsorolja azokat a forgatókönyveket, amelyekben visszajelzést szeretne küldeni Microsoft Entra ID-védelem kockázatértékeléséről és annak beépítésének módjáról.
Visszajelzései segítenek optimalizálni az észleléseket a jövőben, javítani a pontosságukat, és csökkenteni a hamis pozitív értékeket.
Mi az észlelés?
Az azonosítóvédelem észlelése az identitáskockázat szempontjából gyanús tevékenységek jelzése. Ezeket a gyanús tevékenységeket kockázatészlelésnek nevezzük. Ezek az identitásalapú észlelések heurisztikus és gépi tanuláson alapulhatnak, vagy partnertermékekből származhatnak. Ezek az észlelések a bejelentkezési kockázat és a felhasználói kockázat meghatározására szolgálnak,
- A felhasználói kockázat az identitás sérülésének valószínűségét jelenti.
- A bejelentkezési kockázat azt a valószínűséget jelenti, hogy a bejelentkezés sérül (például az identitástulajdonos nem engedélyezte a bejelentkezést).
Miért kell kockázatvisszajelzést adnom a kockázatértékeléseknek?
Több oka is van annak, hogy miért érdemes kockázati visszajelzést adni:
- Helytelennek találta Microsoft Entra ID-védelem felhasználó- vagy bejelentkezési kockázatértékelést. A Kockázatos bejelentkezések jelentésben látható bejelentkezés például jóindulatú volt, és a bejelentkezés összes észlelése hamis pozitív volt.
- Ön igazolta, hogy Microsoft Entra ID-védelem felhasználó vagy bejelentkezési kockázatértékelés helyes volt. A Kockázatos bejelentkezések jelentésben látható bejelentkezés például valóban rosszindulatú volt, és azt szeretné, hogy a Microsoft Entra-azonosító tudja, hogy a bejelentkezés minden észlelése valódi pozitív volt.
- Kijavította az adott felhasználóra vonatkozó kockázatot a Microsoft Entra ID-védelem kívül, és azt szeretné, hogy a felhasználó kockázati szintje frissüljön.
Hogyan használja a Microsoft a kockázati visszajelzésemet?
A Microsoft az Ön visszajelzésével frissíti a mögöttes felhasználó és/vagy bejelentkezés kockázatát és az események pontosságát. Ez a visszajelzés segít a végfelhasználó biztonságának biztosításában. Ha például megerősíti, hogy a bejelentkezés sérült, azonnal növeljük a felhasználó kockázatát, és a bejelentkezés összesített kockázatát (nem valós idejű kockázatot) magasra növeljük. Ha ez a felhasználó szerepel a felhasználói kockázati szabályzatban, amely arra kényszeríti a magas kockázatú felhasználókat, hogy biztonságosan visszaállítsák a jelszavukat, a következő bejelentkezéskor automatikusan szervizelhetik őket.
Microsoft Entra ID-védelem a következő műveleteket kínálja, amelyeket a rendszergazda kockázatos bejelentkezések esetén hajthat végre:
- Kockázat megerősítése – Ez a művelet megerősíti, hogy a bejelentkezés valódi pozitív. A bejelentkezés kockázatosnak minősül, amíg meg nem történik a szervizelési lépések végrehajtása.
- Győződjön meg a biztonságosságról – Ez a művelet megerősíti, hogy a bejelentkezés hamis pozitív. A hasonló bejelentkezések a jövőben nem tekinthetők kockázatosnak.
- Kockázat elvetése – Ezt a műveletet jóindulatú pozitív értékre használja a rendszer. Ennek a bejelentkezésnek kockázatosnak kell lennie, de nem jelent azonnali kockázatot. A kockázat továbbhaladása érdekében a hasonló bejelentkezéseket továbbra is értékelni kell. Ezt a lehetőséget egy belső biztonsági behatolási teszt során használhatja.
Hogyan adjak kockázati visszajelzést, és mi történik a motorháztető alatt?
Az alábbi forgatókönyvek és mechanizmusok nyújtanak kockázatvisszajelzést a Microsoft Entra ID-nak.
| Eset | Hogyan adhat visszajelzést? | Mi történik a motorháztető alatt? | Jegyzetek |
|---|---|---|---|
| A bejelentkezés nem sérült (hamis pozitív) A kockázatos bejelentkezések jelentése egy kockázattal járó bejelentkezést [Kockázati állapot = Veszélyeztetett] jelenít meg, de a bejelentkezés nem sérült. |
Válassza ki a bejelentkezést, majd erősítse meg a biztonságos bejelentkezést. | A bejelentkezés összesített kockázatát egyikre sem helyezzük át [Kockázati állapot = Megerősített biztonságos; Kockázati szint (Összesítés) = -] és a felhasználói kockázatra gyakorolt hatás megfordítása. | A Biztonságos bejelentkezés megerősítése lehetőség jelenleg csak a Kockázatos bejelentkezések jelentésben érhető el. |
| A bejelentkezés sérült (igaz pozitív) A kockázatos bejelentkezések jelentése egy kockázatos bejelentkezést [Kockázati állapot = Veszélyeztetett] alacsony kockázatú [Kockázati szint (Összesítés) = Alacsony] kockázattal mutat, és hogy a bejelentkezés valóban veszélybe került. |
Válassza ki a bejelentkezést, majd erősítse meg, hogy a bejelentkezés sérült. | A bejelentkezés összesített kockázatát és a felhasználói kockázatot magasra helyezzük [Kockázati állapot = Megerősített sérült; Kockázati szint = Magas]. | Jelenleg a Bejelentkezési biztonság megerősítése lehetőség csak a Kockázatos bejelentkezések jelentésben érhető el. |
| Felhasználó biztonsága sérült (igaz pozitív) A kockázatos felhasználók jelentése egy kockázatos felhasználót [Kockázati állapot = Veszélyeztetett] alacsony kockázattal [Kockázati szint = Alacsony] mutat, és ez a felhasználó valóban sérült. |
Jelölje ki a felhasználót, majd erősítse meg a felhasználó sérülését. | A felhasználói kockázatot magas [Kockázati állapot = Igazoltan sérült; Kockázati szint = Magas], és adjon hozzá egy új észlelést, Rendszergazda a felhasználó biztonsága sérült. | A Felhasználó feltörésének megerősítése lehetőség jelenleg csak a kockázatos felhasználók jelentésében érhető el. Az észlelési Rendszergazda megerősített felhasználó biztonsága a kockázatos felhasználók jelentéshez nem kapcsolódó kockázatészlelések lapon jelenik meg. |
| Microsoft Entra ID-védelem kívül szervizelt felhasználó (Igaz pozitív + Szervizelt) A kockázatos felhasználók jelentése egy veszélyeztetett felhasználót jelenít meg, és ezt követően kijavítottam a felhasználót a Microsoft Entra ID-védelem kívül. |
1. Jelölje ki a felhasználót, majd ellenőrizze, hogy a felhasználó sérült-e. (Ez a folyamat megerősíti a Microsoft Entra-azonosítónak, hogy a felhasználó valóban sérült.) 2. Várja meg, amíg a felhasználó kockázati szintje a Magas értékre kerül. (Ez az idő megadja a Microsoft Entra ID-nak a szükséges időt, hogy a fenti visszajelzést elküldje a kockázati motornak.) 3. Jelölje ki a felhasználót, majd zárja be a felhasználói kockázatot. (Ez a folyamat megerősíti a Microsoft Entra-azonosítónak, hogy a felhasználó már nem sérült.) |
A Microsoft Entra ID a felhasználói kockázatot egyikre sem helyezi át [Kockázati állapot = Elvetve; Kockázati szint = -] és bezárja a kockázatot az összes aktív kockázattal rendelkező meglévő bejelentkezésnél. | A Felhasználói kockázat elvetése gombra kattintva bezárja a felhasználóra és a korábbi bejelentkezésekre vonatkozó összes kockázatot. Ez a művelet nem vonható vissza. |
| A felhasználó nem sérült (hamis pozitív) A kockázatos felhasználók jelentése kockázatos felhasználónál jelenik meg, de a felhasználó nem sérült. |
Jelölje ki a felhasználót, majd zárja be a felhasználói kockázatot. (Ez a folyamat megerősíti a Microsoft Entra-azonosítónak, hogy a felhasználó nem sérült.) | A Microsoft Entra ID a felhasználói kockázatot egyikre sem helyezi át [Kockázati állapot = Elvetve; Kockázati szint = -]. | A Felhasználói kockázat elvetése gombra kattintva bezárja a felhasználóra és a korábbi bejelentkezésekre vonatkozó összes kockázatot. Ez a művelet nem vonható vissza. |
| Szeretném bezárni a felhasználói kockázatot, de nem vagyok biztos benne, hogy a felhasználó sérült / biztonságos. | Jelölje ki a felhasználót, majd zárja be a felhasználói kockázatot. (Ez a folyamat megerősíti a Microsoft Entra-azonosítónak, hogy a felhasználó már nem sérült.) | A felhasználói kockázatot egyikre sem helyezzük át [Kockázati állapot = Elvetve; Kockázati szint = -]. | A Felhasználói kockázat elvetése gombra kattintva bezárja a felhasználóra és a korábbi bejelentkezésekre vonatkozó összes kockázatot. Ez a művelet nem vonható vissza. Javasoljuk, hogy orvosolja a felhasználót az Új jelszó kérése gombra kattintva, vagy kérje meg a felhasználót a hitelesítő adataik biztonságos visszaállítására/módosítására. |
Az ID Protection felhasználói kockázatészleléseivel kapcsolatos visszajelzések offline feldolgozásra kerülnek, és eltarthat egy ideig a frissítés. A kockázatfeldolgozási állapot oszlop a visszajelzések feldolgozásának aktuális állapotát adja meg.