Cara: Memberikan umpan balik risiko di Microsoft Entra ID Protection
Microsoft Entra ID Protection memungkinkan Anda memberikan umpan balik tentang penilaian risikonya. Dokumen berikut mencantumkan skenario di mana Anda ingin memberikan umpan balik tentang penilaian risiko Microsoft Entra ID Protection dan cara kami menggabungkannya.
Umpan balik Anda membantu kami mengoptimalkan deteksi di masa mendatang, meningkatkan akurasinya, dan mengurangi positif palsu.
Apa itu deteksi?
Deteksi Perlindungan ID adalah indikator aktivitas mencurigakan dari perspektif risiko identitas. Kegiatan mencurigakan ini disebut deteksi risiko. Deteksi berbasis identitas ini dapat didasarkan pada heuristik, pembelajaran mesin, atau dapat berasal dari produk mitra. Deteksi ini digunakan untuk menentukan risiko masuk dan risiko pengguna,
- Risiko pengguna menunjukkan probabilitas identitas disusupi.
- Risiko masuk mewakili probabilitas proses masuk disusupi (misalnya, pemilik identitas tidak mengotorisasi rincian masuk).
Mengapa saya harus memberikan umpan balik risiko untuk penilaian risiko?
Ada beberapa alasan mengapa Anda harus memberikan umpan balik risiko:
- Anda menemukan pengguna Microsoft Entra ID Protection atau penilaian risiko masuk salah. Misalnya, proses masuk yang ditunjukkan dalam laporan Proses masuk riskan adalah jinak dan semua deteksi pada proses masuk tersebut adalah false positive.
- Anda memvalidasi bahwa pengguna Microsoft Entra ID Protection atau penilaian risiko masuk sudah benar. Misalnya, rincian masuk yang ditunjukkan dalam laporan proses masuk Riskan memang berbahaya dan Anda ingin Microsoft Entra ID mengetahui bahwa semua deteksi pada rincian masuk tersebut adalah positif sejati.
- Anda memulihkan risiko pada pengguna tersebut di luar Microsoft Entra ID Protection dan Anda ingin tingkat risiko pengguna diperbarui.
Bagaimana Microsoft menggunakan umpan balik risiko saya?
Microsoft menggunakan umpan balik Anda untuk memperbarui risiko pengguna dan/atau masuk yang mendasar dan akurasi peristiwa ini. Umpan balik ini membantu mengamankan pengguna akhir. Misalnya, setelah Anda mengonfirmasi bahwa proses masuk disusupi, Kami segera meningkatkan risiko pengguna dan risiko agregat masuk (bukan risiko real time) menjadi tinggi. Jika pengguna ini disertakan dalam kebijakan risiko pengguna Anda untuk memaksa pengguna berisiko tinggi mengatur ulang kata sandi mereka dengan aman, mereka dapat secara otomatis memulihkan saat mereka masuk berikutnya.
Microsoft Entra ID Protection menawarkan tindakan berikut yang mungkin dilakukan administrator pada proses masuk berisiko:
- Konfirmasi risiko - Tindakan ini mengonfirmasi bahwa proses masuk adalah positif sejati. Rincian masuk dianggap berisiko sampai langkah-langkah remediasi diambil.
- Konfirmasi aman - Tindakan ini mengonfirmasi bahwa rincian masuk adalah positif palsu. Rincian masuk serupa tidak boleh dianggap berisiko di masa mendatang.
- Mengabaikan risiko - Tindakan ini digunakan untuk positif sejati yang jinak. Rincian masuk ini harus ditandai berisiko, tetapi tidak menimbulkan risiko langsung. Rincian masuk serupa harus terus dievaluasi untuk risiko ke depannya. Anda dapat menggunakan opsi ini selama pengujian penetrasi keamanan internal.
Bagaimana saya harus memberikan umpan balik risiko dan apa yang sebenarnya terjadi?
Berikut adalah skenario dan mekanisme untuk memberikan umpan balik risiko ke ID Microsoft Entra.
| Skenario | Bagaimana cara memberikan umpan balik? | Apa yang sebenarnya terjadi? | Catatan |
|---|---|---|---|
| Proses masuk tidak disusupi (False positive) Laporan proses masuk berisiko menunjukkan rincian masuk berisiko [Status risiko = Berisiko] tetapi rincian masuk tersebut tidak disusupi. |
Pilih rincian masuk, lalu Konfirmasi rincian masuk dengan aman. | Kami memindahkan risiko agregat masuk ke tidak ada [Status risiko = Dikonfirmasi aman; Tingkat risiko (Agregat) = -] dan membalikkan efeknya pada risiko pengguna. | Saat ini, opsi Konfirmasi proses masuk aman hanya tersedia dalam laporan Proses masuk riskan. |
| Proses masuk disusupi (True positive) Laporan proses masuk riskan menunjukkan proses masuk berisiko [Risk state = At risk] with low risk [Risk level (Aggregate) = Low] dan bahwa proses masuknya memang disusupi. |
Pilih rincian masuk, lalu Konfirmasi masuk disusupi. | Kami memindahkan risiko agregat masuk dan risiko pengguna ke Tinggi [Status risiko = Dikonfirmasi disusupi; Tingkat risiko = Tinggi]. | Saat ini, opsi Konfirmasi proses disusupi hanya tersedia dalam laporan Proses masuk riskan. |
| Pengguna disusupi (True positive) Laporan pengguna riskan menunjukkan pengguna berisiko [Risk state = At risk] dengan risiko rendah [Risk level = Low] dan pengguna tersebut memang disusupi. |
Pilih pengguna, lalu Konfirmasi pengguna disusupi. | Kami memindahkan risiko pengguna ke Tinggi [Status risiko = Dikonfirmasi disusupi; Tingkat risiko = Tinggi] dan tambahkan Admin deteksi baru yang dikonfirmasi pengguna disusupi. | Saat ini, opsi Konfirmasi pengguna disusupi hanya tersedia dalam laporan Pengguna riskan. Deteksi Admin mengonfirmasi pengguna disusupi ditampilkan di tab Deteksi risiko tidak ditautkan ke proses masuk dalam laporan Pengguna riskan. |
| Pengguna diperbaiki di luar Microsoft Entra ID Protection (True positive + Remediated) Laporan pengguna berisiko menunjukkan pengguna berisiko dan saya kemudian telah memulihkan pengguna di luar Microsoft Entra ID Protection. |
1. Pilih pengguna, lalu Konfirmasi pengguna disusupi. (Proses ini mengonfirmasi ke ID Microsoft Entra bahwa pengguna memang disusupi.) 2. Tunggu tingkat Risiko pengguna masuk ke Tinggi. (Kali ini memberi Microsoft Entra ID waktu yang diperlukan untuk mengambil umpan balik di atas ke mesin risiko.) 3. Pilih pengguna, lalu Tutup risiko pengguna. (Proses ini mengonfirmasi ke ID Microsoft Entra bahwa pengguna tidak lagi disusupi.) |
ID Microsoft Entra memindahkan risiko pengguna ke tidak ada [Status risiko = Dihentikan; Tingkat risiko = -] dan menutup risiko pada semua rincian masuk yang ada memiliki risiko aktif. | Mengklik Tutup risiko pengguna menutup semua risiko pada pengguna dan masuk sebelumnya. Tindakan ini tidak dapat dibatalkan. |
| Pengguna tidak disusupi (False positive) Laporan pengguna berisiko menunjukkan pengguna berisiko tetapi pengguna tidak disusupi. |
Pilih pengguna, lalu Tutup risiko pengguna. (Proses ini mengonfirmasi ke ID Microsoft Entra bahwa pengguna tidak disusupi.) | ID Microsoft Entra memindahkan risiko pengguna ke tidak ada [Status risiko = Dihentikan; Tingkat risiko = -]. | Mengklik Tutup risiko pengguna menutup semua risiko pada pengguna dan masuk sebelumnya. Tindakan ini tidak dapat dibatalkan. |
| Saya ingin menutup risiko pengguna, tetapi saya tidak yakin apakah pengguna disusupi/aman. | Pilih pengguna, lalu Tutup risiko pengguna. (Proses ini mengonfirmasi ke ID Microsoft Entra bahwa pengguna tidak lagi disusupi.) | Kami memindahkan risiko pengguna ke tidak ada [Status risiko = Diberhentikan; Tingkat risiko = -]. | Mengklik Tutup risiko pengguna menutup semua risiko pada pengguna dan masuk sebelumnya. Tindakan ini tidak dapat dibatalkan. Sebaiknya pulihkan pengguna dengan mengeklik Reset kata sandi atau minta pengguna untuk mengatur ulang/mengubah kredensial mereka dengan aman. |
Umpan balik tentang deteksi risiko pengguna dalam Perlindungan ID diproses secara offline dan mungkin perlu waktu untuk diperbarui. Kolom status pemrosesan risiko menyediakan status pemrosesan umpan balik saat ini.