方法: Microsoft Entra ID Protection でリスクに関するフィードバックを提供する
Microsoft Entra ID Protection では、リスク評価に関するフィードバックを提供することができます。 以下のドキュメントには、Microsoft Entra ID Protection のリスク評価に関するフィードバックを提供するシナリオと、フィードバックが取り込まれる方法が一覧表示されています。
フィードバックは、今後の検出の最適化、精度の向上、擬陽性の低減に役立ちます。
検出とは
ID Protection の検出とは、ID リスクの観点から疑わしいアクティビティを示すインジケーターです。 これらの疑わしいアクティビティは、リスク検出と呼ばれます。 これらの ID に基づく検出は、ヒューリスティックや機械学習に基づく場合や、パートナー製品から取得される場合があります。 これらの検出は、サインイン リスクおよびユーザーのリスクの判定に使用されます。
- ユーザー リスクは、ID のセキュリティが侵害されている可能性があることを表します。
- サインイン リスクは、サインインのセキュリティが侵害されている可能性があることを表します (たとえば、ID 所有者がサインインを承認しなかったなど)。
リスクに関するフィードバックをリスク評価に提供する理由
リスクに関するフィードバックを提供すべき理由をいくつか挙げます。
- Microsoft Entra ID 保護ユーザーまたはサインインのリスク評価が正しくないことがわかった。 たとえば、危険なサインイン レポートに表示されるサインインに問題がなく、そのサインインに関するすべての検出が偽陽性であった場合。
- Microsoft Entra ID 保護ユーザーまたはサインインのリスク評価が正しいことを検証した。 たとえば、"危険なサインイン" レポートに表示されるサインインが実際に悪意のあるもので、そのサインインに関するすべての検出が真陽性であったことを Microsoft Entra ID に認識させたい場合です。
- そのユーザーに対するリスクを Microsoft Entra ID Protection の外部で修復し、そのユーザーのリスク レベルを更新する必要がある。
Microsoft でのリスクに関するフィードバックの使用方法
Microsoft ではフィードバックを使用して、基になるユーザーやサインインのリスク、それらのイベントの正確性を更新します。 このフィードバックはエンド ユーザーの保護に役立ちます。 たとえば、サインインのセキュリティが侵害されたことを確認したら、Microsoft はすぐにユーザーのリスクとサインインの集約リスク (リアルタイム リスクではない) を "高" に引き上げます。 このユーザーが、危険性の高いユーザーにパスワードを安全にリセットさせることを強制するというユーザー リスク ポリシーに含まれる場合、ユーザーは次回サインインするときに自動的に修復できます。
Microsoft Entra ID 保護は、危険なサインインに対して管理者が取る可能性のある次のようなアクションを提供します。
- リスクの確認 - このアクションでは、サインインが真陽性であることを確認します。 修復手順が取られるまで、サインインは危険とみなされます。
- 安全性の確認 - このアクションでは、サインインが擬陽性であることを確認します。 同じようなサインインは、将来的に危険とみなされるべきではありません。
- リスクを無視する - このアクションは問題のない真陽性に使用されます。 このサインインは危険とマークする必要がありますが、直ちに危険ではありません。 同様のサインインについては、今後もリスクを評価する必要があります。 このオプションは、社内のセキュリティ侵入テストの際に使用できます。
リスクに関するフィードバックを提供する方法および内部的な動作
リスクに関するフィードバックを Microsoft Entra ID に提供するためのシナリオおよびメカニズムを以下に示します。
| シナリオ | フィードバックを提供する方法 | 内部的な動作 | ノート |
|---|---|---|---|
| サインインのセキュリティが侵害されていない (偽陽性) 危険なサインイン レポートには、危険なサインイン ([リスクの状態] = [危険]) が表示されていますが、サインインが侵害されていなかった場合。 |
サインイン、[サインインを安全と確認しますか?] の順に選びます。 | サインインの集約リスクを "なし" ([リスクの状態] = [安全であるとの確認済み]、[リスク レベル (集約)] = [-]) に変更し、ユーザー リスクへの影響を反転させます。 | 現時点では、[サインインを安全と確認しますか?] オプションは、危険なサインイン レポートでのみ使用できます。 |
| サインインのセキュリティが侵害された (真陽性) 危険なサインイン レポートには、危険なサインイン ([リスクの状態] = [危険]) が低い危険性 ([リスク レベル (集約)] = [低]) で表示されており、そのサインインが実際に侵害された場合。 |
サインイン、[サインインを侵害ありと確認しますか?] の順に選びます。 | サインインの集約リスクとユーザー リスクを "高" に変更します ([リスクの状態] = [セキュリティ侵害の確認済み]、[リスク レベル] = [高])。 | 現時点では、[サインインを侵害ありと確認しますか?] オプションは、危険なサインイン レポートでのみ使用できます。 |
| ユーザーのセキュリティが侵害された (真陽性) 危険なユーザー レポートには、危険なユーザー ([リスクの状態] = [危険]) が低い危険性 ([リスク レベル] = [低]) で表示されており、そのユーザーのセキュリティが実際に侵害された場合。 |
ユーザー、[ユーザーに対するセキュリティ侵害を確認しますか?] の順に選びます。 | ユーザー リスクを "高" に変更し ([リスクの状態] = [セキュリティ侵害の確認済み]、[リスク レベル] = [高])、新しい検出 [ユーザーに対する管理者確認済みのセキュリティ侵害] を追加します。 | 現時点では、[ユーザーに対するセキュリティ侵害を確認しますか?] オプションは、危険なユーザー レポートでのみ使用できます。 検出 [ユーザーに対するセキュリティ侵害を管理者が確認しました] は、危険なユーザー レポートの [Risk detections not linked to a sign-in]\(サインインにリンクされていないリスク検出\) タブに表示されます。 |
| ユーザーが Microsoft Entra ID Protection の外部で修復された (真陽性 + 修復済み) 危険なユーザー レポートには、危険なユーザーが表示されており、そのユーザーを後で Microsoft Entra ID Protection の外部で修復した。 |
1.ユーザー、[ユーザーに対するセキュリティ侵害を確認しますか?] の順に選びます。 (このプロセスでは、ユーザーのセキュリティが実際に侵害されたことを Microsoft Entra ID に確認します。) 2.ユーザーの、[リスク レベル] が "高" になるまで待機します。 (この時間は、上記のフィードバックをリスク エンジンに取り込むために Microsoft Entra ID が必要とする時間です。) 3.ユーザー、[ユーザー リスクを無視する] の順に選びます。 (このプロセスでは、ユーザーのセキュリティが侵害されなくなったことを Microsoft Entra ID に確認します)。 |
Microsoft Entra ID によって、ユーザー リスクが "なし" に変更され ([リスクの状態] = [無視]、[リスク レベル] = [-])、アクティブなリスクがあるすべての既存のサインインに関するリスクがクローズされます。 | [ユーザー リスクを無視する] をクリックすると、ユーザーおよび過去のサインインに対するすべてのリスクをクローズします。この削除操作は元に戻すことができません。 |
| ユーザーのセキュリティが侵害されていない (偽陽性) 危険なユーザー レポートに危険なユーザーが表示されるがユーザーのセキュリティは侵害されていない。 |
ユーザー、[ユーザー リスクを無視する] の順に選びます。 (このプロセスでは、ユーザーのセキュリティが侵害されていないことを Microsoft Entra ID に確認します)。 | Microsoft Entra ID によって、ユーザー リスクが "なし" に変更されます ([リスクの状態] = [無視]、[リスク レベル] = [-])。 | [ユーザー リスクを無視する] をクリックすると、ユーザーおよび過去のサインインに対するすべてのリスクをクローズします。この削除操作は元に戻すことができません。 |
| ユーザー リスクをクローズしたいが、ユーザーのセキュリティが侵害されているか安全なのかがわからない。 | ユーザー、[ユーザー リスクを無視する] の順に選びます。 (このプロセスでは、ユーザーのセキュリティが侵害されなくなったことを Microsoft Entra ID に確認します)。 | ユーザー リスクを "なし" に変更します ([リスクの状態] = [無視]、[リスク レベル] = [-])。 | [ユーザー リスクを無視する] をクリックすると、ユーザーおよび過去のサインインに対するすべてのリスクをクローズします。この削除操作は元に戻すことができません。 [パスワードのリセット] をクリックするか、自分の資格情報を安全にリセットおよび変更することをユーザーに要求することによって、ユーザーを修復することをお勧めします。 |
ID Protection のユーザー リスク検出に関するフィードバックはオフラインで処理されるため、更新に時間がかかる場合があります。 [リスク処理状態] 列にはフィードバック処理の現在の状態が表示されます。