Cara: Memberikan umpan balik risiko di Microsoft Entra ID Protection
Microsoft Entra ID Protection memungkinkan Anda memberikan umpan balik tentang penilaian risikonya. Dokumen berikut mencantumkan skenario di mana Anda ingin memberikan umpan balik tentang penilaian risiko Microsoft Entra ID Protection dan cara kami menggabungkannya.
Apa itu deteksi?
Deteksi Perlindungan ID adalah indikator aktivitas mencurigakan dari perspektif risiko identitas. Kegiatan mencurigakan ini disebut deteksi risiko. Deteksi berbasis identitas ini dapat didasarkan pada heuristik, pembelajaran mesin, atau dapat berasal dari produk mitra. Deteksi ini digunakan untuk menentukan risiko masuk dan risiko pengguna,
- Risiko pengguna menunjukkan probabilitas identitas disusupi.
- Risiko masuk mewakili probabilitas proses masuk disusupi (misalnya, pemilik identitas tidak mengotorisasi rincian masuk).
Mengapa saya harus memberikan umpan balik risiko ke penilaian risiko ID Microsoft Entra?
Ada beberapa alasan mengapa Anda harus memberikan umpan balik risiko Microsoft Entra:
- Anda menemukan pengguna ID Microsoft Entra atau penilaian risiko masuk salah. Misalnya, proses masuk yang ditunjukkan dalam laporan 'Proses masuk riskan' adalah jinak dan semua deteksi pada proses masuk tersebut adalah false positive.
- Anda memvalidasi bahwa penilaian risiko masuk atau pengguna ID Microsoft Entra sudah benar. Misalnya, rincian masuk yang ditunjukkan dalam laporan 'Proses masuk riskan' memang berbahaya dan Anda ingin Microsoft Entra ID mengetahui bahwa semua deteksi pada rincian masuk tersebut adalah positif sejati.
- Anda memulihkan risiko pada pengguna tersebut di luar Microsoft Entra ID Protection dan Anda ingin tingkat risiko pengguna diperbarui.
Bagaimana MICROSOFT Entra ID menggunakan umpan balik risiko saya?
MICROSOFT Entra ID menggunakan umpan balik Anda untuk memperbarui risiko pengguna dan/atau masuk yang mendasar dan akurasi peristiwa ini. Umpan balik ini membantu mengamankan pengguna akhir. Misalnya, setelah Anda mengonfirmasi bahwa proses masuk disusupi, ID Microsoft Entra segera meningkatkan risiko pengguna dan risiko agregat masuk (bukan risiko real time) ke Tinggi. Jika pengguna ini termasuk dalam kebijakan risiko pengguna Anda untuk memaksa pengguna berisiko tinggi untuk mengatur ulang kata sandi mereka dengan aman, pengguna akan secara otomatis memulihkan dirinya saat berikutnya mereka masuk.
Bagaimana saya harus memberikan umpan balik risiko dan apa yang sebenarnya terjadi?
Berikut adalah skenario dan mekanisme untuk memberikan umpan balik risiko ke ID Microsoft Entra.
| Skenario | Bagaimana cara memberikan umpan balik? | Apa yang sebenarnya terjadi? | Catatan |
|---|---|---|---|
| Proses masuk tidak disusupi (False positive) Laporan ‘proses masuk riskan’ menunjukkan proses masuk berisiko [Risk state = At risk] tetapi proses masuk tersebut tidak disusupi. |
Pilih proses masuk, lalu ‘Konfirmasi proses masuk aman’. | Kami memindahkan risiko agregat masuk ke tidak ada [Status risiko = Dikonfirmasi aman; Tingkat risiko (Agregat) = -] dan membalikkan efeknya pada risiko pengguna. | Saat ini, opsi 'Konfirmasi proses masuk aman' hanya tersedia dalam laporan 'Proses masuk riskan'. |
| Proses masuk disusupi (True positive) Laporan 'Proses masuk riskan' menunjukkan proses masuk berisiko [Risk state = At risk] with low risk [Risk level (Aggregate) = Low] dan bahwa proses masuknya memang disusupi. |
Pilih masuk dan klik ‘Konfirmasi proses masuk disusupi’. | Kami memindahkan risiko agregat masuk dan risiko pengguna ke Tinggi [Status risiko = Dikonfirmasi disusupi; Tingkat risiko = Tinggi]. | Saat ini, opsi 'Konfirmasi proses disusupi' hanya tersedia dalam laporan 'Proses masuk riskan'. |
| Pengguna disusupi (True positive) Laporan 'Pengguna berisiko' menunjukkan pengguna berisiko [Risk state = At risk] dengan risiko rendah [Risk level = Low] dan pengguna tersebut memang disusupi. |
Pilih pengguna, lalu ‘Konfirmasi pengguna disusupi’. | Kami memindahkan risiko pengguna ke Tinggi [Status risiko = Dikonfirmasi disusupi; Tingkat risiko = Tinggi] dan tambahkan deteksi baru 'Admin mengonfirmasi pengguna disusupi'. | Saat ini, opsi 'Konfirmasi pengguna disusupi' hanya tersedia dalam laporan 'Pengguna berisiko'. Deteksi 'Admin mengonfirmasi pengguna disusupi' ditampilkan di tab 'Deteksi risiko tidak ditautkan ke proses masuk' dalam laporan 'Pengguna berisiko'. |
| Pengguna diperbaiki di luar Microsoft Entra ID Protection (True positive + Remediated) Laporan 'Pengguna berisiko' menunjukkan pengguna berisiko dan saya kemudian telah memulihkan pengguna di luar Microsoft Entra ID Protection. |
1. Pilih pengguna, lalu ‘Konfirmasi pengguna disusupi’. (Proses ini mengonfirmasi ke ID Microsoft Entra bahwa pengguna memang disusupi.) 2. Tunggu 'Tingkat risiko' menjadi Tinggi. (Kali ini memberi Microsoft Entra ID waktu yang diperlukan untuk mengambil umpan balik di atas ke mesin risiko.) 3. Pilih pengguna, lalu ‘Abaikan risiko pengguna’. (Proses ini mengonfirmasi ke ID Microsoft Entra bahwa pengguna tidak lagi disusupi.) |
ID Microsoft Entra memindahkan risiko pengguna ke tidak ada [Status risiko = Dihentikan; Tingkat risiko = -] dan menutup risiko pada semua rincian masuk yang ada memiliki risiko aktif. | Mengklik 'Tutup risiko pengguna' menutup semua risiko pada pengguna dan rincian masuk sebelumnya. Tindakan ini tidak dapat dibatalkan. |
| Pengguna tidak disusupi (False positive) Laporan ‘Pengguna riskan’ menunjukkan pengguna berisiko tetapi pengguna disusupi. |
Pilih pengguna, lalu ‘Abaikan risiko pengguna’. (Proses ini mengonfirmasi ke ID Microsoft Entra bahwa pengguna tidak disusupi.) | ID Microsoft Entra memindahkan risiko pengguna ke tidak ada [Status risiko = Dihentikan; Tingkat risiko = -]. | Mengklik 'Tutup risiko pengguna' menutup semua risiko pada pengguna dan rincian masuk sebelumnya. Tindakan ini tidak dapat dibatalkan. |
| Saya ingin menutup risiko pengguna, tetapi saya tidak yakin apakah pengguna disusupi/aman. | Pilih pengguna, lalu ‘Abaikan risiko pengguna’. (Proses ini mengonfirmasi ke ID Microsoft Entra bahwa pengguna tidak lagi disusupi.) | Kami memindahkan risiko pengguna ke tidak ada [Status risiko = Diberhentikan; Tingkat risiko = -]. | Mengklik 'Tutup risiko pengguna' menutup semua risiko pada pengguna dan rincian masuk sebelumnya. Tindakan ini tidak dapat dibatalkan. Kami sarankan Anda memulihkan pengguna dengan mengklik 'Atur ulang kata sandi' atau meminta pengguna untuk mengatur ulang/mengubah kredensial mereka dengan aman. |
Umpan balik tentang deteksi risiko pengguna dalam Perlindungan ID diproses secara offline dan mungkin perlu waktu untuk diperbarui. Kolom status pemrosesan risiko menyediakan status pemrosesan umpan balik saat ini.