Procedura: Inviare commenti e suggerimenti sul rischio in Microsoft Entra ID Protection
Microsoft Entra ID Protection consente di fornire commenti e suggerimenti sulla valutazione dei rischi. Il documento seguente elenca gli scenari in cui si vuole inviare commenti e suggerimenti sulla valutazione dei rischi di Microsoft Entra ID Protection e sul modo in cui viene incorporato.
Il feedback degli utenti consente di ottimizzare i rilevamenti in futuro, migliorarne l'accuratezza e ridurre i falsi positivi.
Che cos'è un rilevamento?
Un rilevamento della protezione ID è un indicatore dell'attività sospetta dal punto di vista del rischio di identità. Queste attività sospette sono denominate rilevamenti dei rischi. Questi rilevamenti basati sull'identità possono essere basati sull'euristica, l'apprendimento automatico o possono provenire da prodotti partner. Questi rilevamenti vengono usati per determinare il rischio di accesso e il rischio utente,
- Il rischio utente rappresenta la probabilità che un'identità venga compromessa.
- Il rischio di accesso rappresenta la probabilità che un accesso venga compromesso( ad esempio, il proprietario dell'identità non ha autorizzato l'accesso).
Perché è consigliabile fornire feedback sui rischi alle valutazioni dei rischi?
Esistono diversi motivi per cui è consigliabile inviare commenti e suggerimenti sui rischi:
- È stata rilevata una valutazione errata del rischio di accesso o utente di Microsoft Entra ID Protection. Ad esempio, un report di accesso visualizzato nel report accessi a rischio è non dannoso e tutti i rilevamenti sull'accesso sono falsi positivi.
- È stato convalidato che la valutazione dei rischi per l'accesso o l'utente di Microsoft Entra ID Protection sia corretta. Ad esempio, un report di accesso visualizzato nel report Accessi a rischio è stato effettivamente dannoso e si vuole che l'ID di Microsoft Entra sappia che tutti i rilevamenti sull'accesso sono stati veri positivi.
- È stato corretto il rischio per l'utente all'esterno di Microsoft Entra ID Protection e si vuole aggiornare il livello di rischio dell'utente.
In che modo Microsoft usa il feedback sul rischio?
Microsoft usa i commenti e suggerimenti per aggiornare il rischio dell'utente e/o dell'accesso sottostante e l'accuratezza di questi eventi. Questo feedback consente di proteggere l'utente finale. Ad esempio, dopo aver verificato che un accesso è compromesso, aumenta immediatamente il rischio dell'utente e il rischio aggregato dell'utente (non rischio in tempo reale) ad alto livello. Se questo utente è incluso nei criteri di rischio utente per forzare gli utenti ad alto rischio a reimpostare le password in modo sicuro, è possibile correggere automaticamente la successiva accesso.
Microsoft Entra ID Protection offre le azioni seguenti che un amministratore potrebbe intraprendere per gli accessi rischiosi:
- Confermare il rischio : questa azione conferma che l'accesso è un vero positivo. L'accesso viene considerato rischioso fino a quando non vengono eseguiti i passaggi di correzione.
- Conferma sicura : questa azione conferma che l'accesso è un falso positivo. Gli accessi simili non dovrebbero essere considerati rischiosi in futuro.
- Ignora rischio : questa azione viene usata per un vero positivo non dannoso. Questo accesso deve essere contrassegnato come rischioso, ma non comporta rischi immediati. Gli accessi simili devono continuare a essere valutati per il rischio in futuro. È possibile usare questa opzione durante un test di penetrazione della sicurezza interna.
Come devo fornire feedback sui rischi e cosa accade sotto le quinte?
Ecco gli scenari e i meccanismi per fornire feedback sui rischi a Microsoft Entra ID.
Scenario | Come inviare commenti e suggerimenti? | Cosa succede sotto le quinte? | Note |
---|---|---|---|
Accesso non compromesso (falso positivo) Il report sugli accessi a rischio mostra un accesso a rischio [Stato del rischio = A rischio] ma tale accesso non è stato compromesso. |
Selezionare l'accesso, quindi Conferma accesso sicuro. | Il rischio aggregato dell'accesso viene spostato su nessuno [Stato di rischio = Confermato sicuro; Livello di rischio (aggregazione) = -] e invertire l'effetto sul rischio utente. | Attualmente, l'opzione Conferma accesso sicuro è disponibile solo nel report Accessi a rischio . |
Accesso compromesso (vero positivo) Il report sugli accessi a rischio mostra un accesso a rischio [stato di rischio = a rischio] con basso rischio [livello di rischio (aggregazione) = basso] e che l'accesso è stato effettivamente compromesso. |
Selezionare l'accesso, quindi Confermare l'accesso compromesso. | Il rischio aggregato dell'accesso e il rischio utente viene spostato su [Stato rischio elevato = Confermato compromesso; Livello di rischio = Alto]. | Attualmente, l'opzione Conferma accesso compromesso è disponibile solo nel report Accessi a rischio . |
Utente compromesso (vero positivo) Il report utenti a rischio mostra un utente a rischio [stato di rischio = a rischio] con basso rischio [livello di rischio = basso] e che l'utente è stato effettivamente compromesso. |
Selezionare l'utente, quindi Confermare la compromissione dell'utente. | Il rischio utente viene spostato su alto [stato di rischio = confermato compromesso; Livello di rischio = Alto] e aggiungere un nuovo rilevamento Amministrazione confermato compromesso dell'utente. | Attualmente, l'opzione Conferma la compromissione dell'utente è disponibile solo nel report Utenti a rischio. Il rilevamento Amministrazione confermato che l'utente compromesso viene visualizzato nella scheda Rilevamenti dei rischi non collegati a un accesso nel report Utenti rischiosi. |
Correzione dell'utente all'esterno di Microsoft Entra ID Protection (vero positivo + corretto) Il report Utenti a rischio mostra un utente a rischio e ho quindi corretto l'utente all'esterno di Microsoft Entra ID Protection. |
1. Selezionare l'utente, quindi Confermare la compromissione dell'utente. Questo processo conferma a Microsoft Entra ID che l'utente è stato effettivamente compromesso. 2. Attendere che il livello di rischio dell'utente vada su Alto. Questa volta fornisce a Microsoft Entra ID il tempo necessario per inviare il feedback precedente al motore di rischio. 3. Selezionare l'utente, quindi Ignorare il rischio utente. Questo processo conferma a Microsoft Entra ID che l'utente non è più compromesso. |
Microsoft Entra ID sposta il rischio utente su nessuno [Stato di rischio = Ignorato; Livello di rischio = -] e chiude il rischio per tutti gli accessi esistenti con rischio attivo. | Facendo clic su Ignora rischio utente si chiude tutto il rischio per l'utente e gli accessi precedenti. Questa azione non può essere annullata. |
Utente non compromesso (falso positivo) Il report utenti a rischio mostra un utente a rischio, ma l'utente non viene compromesso. |
Selezionare l'utente, quindi Ignora rischio utente. Questo processo conferma a Microsoft Entra ID che l'utente non è compromesso. | Microsoft Entra ID sposta il rischio utente su nessuno [Stato di rischio = Ignorato; Livello di rischio = -]. | Facendo clic su Ignora rischio utente si chiude tutto il rischio per l'utente e gli accessi precedenti. Questa azione non può essere annullata. |
Voglio chiudere il rischio utente, ma non sono sicuro se l'utente è compromesso/sicuro. | Selezionare l'utente, quindi Ignora rischio utente. Questo processo conferma a Microsoft Entra ID che l'utente non è più compromesso. | Il rischio utente viene spostato su nessuno [Stato di rischio = Ignorato; Livello di rischio = -]. | Facendo clic su Ignora rischio utente si chiude tutto il rischio per l'utente e gli accessi precedenti. Questa azione non può essere annullata. È consigliabile correggere l'utente facendo clic su Reimposta password o richiedendo all'utente di reimpostare/modificare le credenziali in modo sicuro. |
Il feedback sui rilevamenti dei rischi utente in Protezione ID viene elaborato offline e potrebbe richiedere del tempo per l'aggiornamento. La colonna dello stato di elaborazione dei rischi fornisce lo stato corrente dell'elaborazione dei commenti e suggerimenti.
Contenuto correlato
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per