Procedura: Inviare commenti e suggerimenti sul rischio in Microsoft Entra ID Protection
Microsoft Entra ID Protection consente di fornire commenti e suggerimenti sulla valutazione dei rischi. Il documento seguente elenca gli scenari in cui si vuole inviare commenti e suggerimenti sulla valutazione dei rischi di Microsoft Entra ID Protection e sul modo in cui viene incorporato.
Il feedback degli utenti consente di ottimizzare i rilevamenti in futuro, migliorarne l'accuratezza e ridurre i falsi positivi.
Che cos'è un rilevamento?
Un rilevamento della protezione ID è un indicatore dell'attività sospetta dal punto di vista del rischio di identità. Queste attività sospette sono denominate rilevamenti dei rischi. Questi rilevamenti basati sull'identità possono essere basati sull'euristica, l'apprendimento automatico o possono provenire da prodotti partner. Questi rilevamenti vengono usati per determinare il rischio di accesso e il rischio utente,
- Il rischio utente rappresenta la probabilità che un'identità venga compromessa.
- Il rischio di accesso rappresenta la probabilità che un accesso venga compromesso( ad esempio, il proprietario dell'identità non ha autorizzato l'accesso).
Perché è consigliabile fornire feedback sui rischi alle valutazioni dei rischi?
Esistono diversi motivi per cui è consigliabile inviare commenti e suggerimenti sui rischi:
- È stata rilevata una valutazione errata del rischio di accesso o utente di Microsoft Entra ID Protection. Ad esempio, un report di accesso visualizzato nel report accessi a rischio è non dannoso e tutti i rilevamenti sull'accesso sono falsi positivi.
- È stato convalidato che la valutazione dei rischi per l'accesso o l'utente di Microsoft Entra ID Protection sia corretta. Ad esempio, un report di accesso visualizzato nel report Accessi a rischio è stato effettivamente dannoso e si vuole che l'ID di Microsoft Entra sappia che tutti i rilevamenti sull'accesso sono stati veri positivi.
- È stato corretto il rischio per l'utente all'esterno di Microsoft Entra ID Protection e si vuole aggiornare il livello di rischio dell'utente.
In che modo Microsoft usa il feedback sul rischio?
Microsoft usa i commenti e suggerimenti per aggiornare il rischio dell'utente e/o dell'accesso sottostante e l'accuratezza di questi eventi. Questo feedback consente di proteggere l'utente finale. Ad esempio, dopo aver verificato che un accesso è compromesso, aumenta immediatamente il rischio dell'utente e il rischio aggregato dell'utente (non rischio in tempo reale) ad alto livello. Se questo utente è incluso nei criteri di rischio utente per forzare gli utenti ad alto rischio a reimpostare le password in modo sicuro, è possibile correggere automaticamente la successiva accesso.
Gli amministratori possono intervenire sugli eventi di accesso rischiosi e scegliere di:
- Confermare la compromissione dell'accesso: questa azione conferma che l'accesso è un vero positivo. L'accesso viene considerato rischioso fino a quando non vengono eseguiti i passaggi di correzione.
- Confermare l'accesso sicuro : questa azione conferma che l'accesso è un falso positivo. Gli accessi simili non dovrebbero essere considerati rischiosi in futuro.
- Ignora rischio di accesso: questa azione viene usata per un vero positivo non dannoso. Questo rischio di accesso rilevato è reale, ma non dannoso, come quelli di un test di penetrazione noto o attività nota generata da un'applicazione approvata. Gli accessi simili devono continuare a essere valutati per il rischio in futuro.
L'esecuzione di azioni a livello di utente si applica a tutti i rilevamenti attualmente associati a tale utente. Gli amministratori possono intervenire sugli utenti e scegliere di:
- Reimposta password : questa azione revoca le sessioni correnti dell'utente.
- Confermare la compromissione dell'utente: questa azione viene eseguita su un vero positivo. Protezione ID imposta il rischio utente su alto e aggiunge un nuovo rilevamento, l'amministratore ha confermato che l'utente è compromesso. L'utente viene considerato rischioso fino a quando non vengono eseguiti i passaggi di correzione.
- Confermare la sicurezza dell'utente: questa azione viene eseguita su un falso positivo. In questo modo vengono rimossi i rischi e i rilevamenti su questo utente e lo inserisce in modalità di apprendimento per rivalutare le proprietà di utilizzo. È possibile usare questa opzione per contrassegnare i falsi positivi.
- Ignorare il rischio utente: questa azione viene eseguita su un rischio utente positivo non dannoso. Questo rischio utente rilevato è reale, ma non dannoso, come quelli di un test di penetrazione noto. Gli utenti simili devono continuare a essere valutati per il rischio in futuro.
- Blocca l'utente : questa azione impedisce a un utente di accedere se l'utente malintenzionato ha accesso alla password o la possibilità di eseguire l'autenticazione a più fattori.
- Analizzare con Microsoft 365 Defender : questa azione consente agli amministratori di passare al portale di Microsoft Defender per consentire a un amministratore di indagare ulteriormente.
Il feedback sui rilevamenti dei rischi in Protezione ID viene elaborato offline e potrebbe richiedere del tempo per l'aggiornamento. La colonna dello stato di elaborazione dei rischi fornisce lo stato corrente dell'elaborazione dei commenti e suggerimenti.