Condividi tramite

Procedura: Inviare commenti e suggerimenti sul rischio in Microsoft Entra ID Protection

  • Articolo

Microsoft Entra ID Protection consente di fornire commenti e suggerimenti sulla valutazione dei rischi. Il documento seguente elenca gli scenari in cui si vuole inviare commenti e suggerimenti sulla valutazione dei rischi di Microsoft Entra ID Protection e sul modo in cui viene incorporato.

Il feedback degli utenti consente di ottimizzare i rilevamenti in futuro, migliorarne l'accuratezza e ridurre i falsi positivi.

Che cos'è un rilevamento?

Un rilevamento della protezione ID è un indicatore dell'attività sospetta dal punto di vista del rischio di identità. Queste attività sospette sono denominate rilevamenti dei rischi. Questi rilevamenti basati sull'identità possono essere basati sull'euristica, l'apprendimento automatico o possono provenire da prodotti partner. Questi rilevamenti vengono usati per determinare il rischio di accesso e il rischio utente,

  • Il rischio utente rappresenta la probabilità che un'identità venga compromessa.
  • Il rischio di accesso rappresenta la probabilità che un accesso venga compromesso( ad esempio, il proprietario dell'identità non ha autorizzato l'accesso).

Perché è consigliabile fornire feedback sui rischi alle valutazioni dei rischi?

Esistono diversi motivi per cui è consigliabile inviare commenti e suggerimenti sui rischi:

  • È stata rilevata una valutazione errata del rischio di accesso o utente di Microsoft Entra ID Protection. Ad esempio, un report di accesso visualizzato nel report accessi a rischio è non dannoso e tutti i rilevamenti sull'accesso sono falsi positivi.
  • È stato convalidato che la valutazione dei rischi per l'accesso o l'utente di Microsoft Entra ID Protection sia corretta. Ad esempio, un report di accesso visualizzato nel report Accessi a rischio è stato effettivamente dannoso e si vuole che l'ID di Microsoft Entra sappia che tutti i rilevamenti sull'accesso sono stati veri positivi.
  • È stato corretto il rischio per l'utente all'esterno di Microsoft Entra ID Protection e si vuole aggiornare il livello di rischio dell'utente.

In che modo Microsoft usa il feedback sul rischio?

Microsoft usa i commenti e suggerimenti per aggiornare il rischio dell'utente e/o dell'accesso sottostante e l'accuratezza di questi eventi. Questo feedback consente di proteggere l'utente finale. Ad esempio, dopo aver verificato che un accesso è compromesso, aumenta immediatamente il rischio dell'utente e il rischio aggregato dell'utente (non rischio in tempo reale) ad alto livello. Se questo utente è incluso nei criteri di rischio utente per forzare gli utenti ad alto rischio a reimpostare le password in modo sicuro, è possibile correggere automaticamente la successiva accesso.

Microsoft Entra ID Protection offre le azioni seguenti che un amministratore potrebbe intraprendere per gli accessi rischiosi:

  • Confermare il rischio : questa azione conferma che l'accesso è un vero positivo. L'accesso viene considerato rischioso fino a quando non vengono eseguiti i passaggi di correzione. 
  • Conferma sicura : questa azione conferma che l'accesso è un falso positivo. Gli accessi simili non dovrebbero essere considerati rischiosi in futuro. 
  • Ignora rischio : questa azione viene usata per un vero positivo non dannoso. Questo accesso deve essere contrassegnato come rischioso, ma non comporta rischi immediati. Gli accessi simili devono continuare a essere valutati per il rischio in futuro. È possibile usare questa opzione durante un test di penetrazione della sicurezza interna.

Come devo fornire feedback sui rischi e cosa accade sotto le quinte?

Ecco gli scenari e i meccanismi per fornire feedback sui rischi a Microsoft Entra ID.

Scenario Come inviare commenti e suggerimenti? Cosa succede sotto le quinte? Note
Accesso non compromesso (falso positivo)
Il report sugli accessi a rischio mostra un accesso a rischio [Stato del rischio = A rischio] ma tale accesso non è stato compromesso.		 Selezionare l'accesso, quindi Conferma accesso sicuro. Il rischio aggregato dell'accesso viene spostato su nessuno [Stato di rischio = Confermato sicuro; Livello di rischio (aggregazione) = -] e invertire l'effetto sul rischio utente. Attualmente, l'opzione Conferma accesso sicuro è disponibile solo nel report Accessi a rischio .
Accesso compromesso (vero positivo)
Il report sugli accessi a rischio mostra un accesso a rischio [stato di rischio = a rischio] con basso rischio [livello di rischio (aggregazione) = basso] e che l'accesso è stato effettivamente compromesso.		 Selezionare l'accesso, quindi Confermare l'accesso compromesso. Il rischio aggregato dell'accesso e il rischio utente viene spostato su [Stato rischio elevato = Confermato compromesso; Livello di rischio = Alto]. Attualmente, l'opzione Conferma accesso compromesso è disponibile solo nel report Accessi a rischio .
Utente compromesso (vero positivo)
Il report utenti a rischio mostra un utente a rischio [stato di rischio = a rischio] con basso rischio [livello di rischio = basso] e che l'utente è stato effettivamente compromesso.		 Selezionare l'utente, quindi Confermare la compromissione dell'utente. Il rischio utente viene spostato su alto [stato di rischio = confermato compromesso; Livello di rischio = Alto] e aggiungere un nuovo rilevamento Amministrazione confermato compromesso dell'utente. Attualmente, l'opzione Conferma la compromissione dell'utente è disponibile solo nel report Utenti a rischio.
Il rilevamento Amministrazione confermato che l'utente compromesso viene visualizzato nella scheda Rilevamenti dei rischi non collegati a un accesso nel report Utenti rischiosi.
Correzione dell'utente all'esterno di Microsoft Entra ID Protection (vero positivo + corretto)
Il report Utenti a rischio mostra un utente a rischio e ho quindi corretto l'utente all'esterno di Microsoft Entra ID Protection.		 1. Selezionare l'utente, quindi Confermare la compromissione dell'utente. Questo processo conferma a Microsoft Entra ID che l'utente è stato effettivamente compromesso.
2. Attendere che il livello di rischio dell'utente vada su Alto. Questa volta fornisce a Microsoft Entra ID il tempo necessario per inviare il feedback precedente al motore di rischio.
3. Selezionare l'utente, quindi Ignorare il rischio utente. Questo processo conferma a Microsoft Entra ID che l'utente non è più compromesso.		 Microsoft Entra ID sposta il rischio utente su nessuno [Stato di rischio = Ignorato; Livello di rischio = -] e chiude il rischio per tutti gli accessi esistenti con rischio attivo. Facendo clic su Ignora rischio utente si chiude tutto il rischio per l'utente e gli accessi precedenti. Questa azione non può essere annullata.
Utente non compromesso (falso positivo)
Il report utenti a rischio mostra un utente a rischio, ma l'utente non viene compromesso.		 Selezionare l'utente, quindi Ignora rischio utente. Questo processo conferma a Microsoft Entra ID che l'utente non è compromesso. Microsoft Entra ID sposta il rischio utente su nessuno [Stato di rischio = Ignorato; Livello di rischio = -]. Facendo clic su Ignora rischio utente si chiude tutto il rischio per l'utente e gli accessi precedenti. Questa azione non può essere annullata.
Voglio chiudere il rischio utente, ma non sono sicuro se l'utente è compromesso/sicuro. Selezionare l'utente, quindi Ignora rischio utente. Questo processo conferma a Microsoft Entra ID che l'utente non è più compromesso. Il rischio utente viene spostato su nessuno [Stato di rischio = Ignorato; Livello di rischio = -]. Facendo clic su Ignora rischio utente si chiude tutto il rischio per l'utente e gli accessi precedenti. Questa azione non può essere annullata. È consigliabile correggere l'utente facendo clic su Reimposta password o richiedendo all'utente di reimpostare/modificare le credenziali in modo sicuro.

Il feedback sui rilevamenti dei rischi utente in Protezione ID viene elaborato offline e potrebbe richiedere del tempo per l'aggiornamento. La colonna dello stato di elaborazione dei rischi fornisce lo stato corrente dell'elaborazione dei commenti e suggerimenti.

Contenuto correlato