방법: Microsoft Entra ID 보호에서 위험 피드백 제공
Microsoft Entra ID 보호를 사용하면 위험 평가에 대한 피드백을 제공할 수 있습니다. 다음 문서에서는 Microsoft Entra ID Protection의 위험 평가 및 통합 방법에 대한 피드백을 제공하려는 시나리오를 나열합니다.
피드백은 향후 검색을 최적화하고, 정확도를 향상시키며, 가양성을 줄이는 데 도움이 됩니다.
검색이란 무엇인가요?
ID 보호 검색은 ID 위험 관점에서 의심스러운 활동을 나타내는 지표입니다. 의심스러운 활동을 위험 검색이라고 합니다. ID 기반 검색은 추론 또는 기계 학습을 기반으로 하거나 파트너 제품에서 제공될 수 있습니다. 이 검색은 로그인 위험 및 사용자 위험을 확인하는 데 사용됩니다.
- 사용자 위험은 ID가 손상되었을 가능성을 나타냅니다.
- 로그인 위험은 로그인이 손상되었을 가능성을 나타냅니다(예: ID 소유자가 로그인 권한을 부여하지 않음).
위험 평가에 위험 피드백을 제공해야 하는 이유는 무엇인가요?
위험 피드백을 제공해야 하는 몇 가지 이유가 있습니다.
- Microsoft Entra ID Protection 사용자 또는 로그인 위험 평가가 잘못되었습니다. 예를 들어 위험한 로그인 보고서에 표시된 로그인이 무해하고 해당 로그인에 대한 모든 검색이 가양성인 경우입니다.
- Microsoft Entra ID Protection 사용자 또는 로그인 위험 평가가 올바른지 확인했습니다. 예를 들어 위험한 로그인 보고서에 표시된 로그인은 실제로 악의적이며 Microsoft Entra ID에서 해당 로그인에 대한 모든 검색이 참 긍정임을 알 수 있도록 합니다.
- Microsoft Entra ID Protection 외부에서 해당 사용자의 위험을 수정했으며 사용자의 위험 수준을 업데이트하려고 합니다.
Microsoft는 내 위험 피드백을 어떻게 사용하나요?
Microsoft는 피드백을 사용하여 기본 사용자 및/또는 로그인의 위험과 이러한 이벤트의 정확도를 업데이트합니다. 이 피드백은 최종 사용자를 보호하는 데 도움이 됩니다. 예를 들어 로그인이 손상된 것을 확인하면 즉시 사용자의 위험과 로그인의 집계 위험(실시간 위험이 아님)이 높아집니다. 이 사용자가 사용자 위험 정책에 포함되어 위험 수준이 높은 사용자가 암호를 안전하게 재설정하도록 강제하는 경우 다음에 로그인할 때 자동으로 수정할 수 있습니다.
Microsoft Entra ID Protection은 관리자가 위험한 로그인에 대해 수행할 수 있는 다음 작업을 제공합니다.
- 위험 확인 – 이 작업은 로그인이 진정한 긍정임을 확인합니다. 로그인은 수정 단계를 수행할 때까지 위험한 것으로 간주됩니다.
- 안전 확인 – 이 작업은 로그인이 가양성임을 확인합니다. 유사한 로그인은 나중에 위험한 것으로 간주해서는 안 됩니다.
- 위험 해제 – 이 작업은 무해한 참 긍정에 사용됩니다. 이 로그인은 위험한 것으로 표시되어야 하지만 즉각적인 위험은 발생하지 않습니다. 유사한 로그인은 앞으로도 위험에 대해 계속 평가되어야 합니다. 내부 보안 침투 테스트 중에 이 옵션을 사용할 수 있습니다.
위험 피드백을 제공하려면 어떻게 해야 하고 내부적으로 어떤 일이 발생하나요?
Microsoft Entra ID에 위험 피드백을 제공하는 시나리오 및 메커니즘은 다음과 같습니다.
| 시나리오 | 피드백을 제공하려면 어떻게 해야 하나요? | 내부적으로 어떤 일이 발생하나요? | 주의 |
|---|---|---|---|
| 로그인이 손상되지 않음(가양성) 위험한 로그인 보고서에는 위험에 노출된 로그인 [위험 상태 = 위험]이 표시되지만 해당 로그인은 손상되지 않았습니다. |
로그인을 선택한 다음 로그인 안전 확인을 선택합니다. | 로그인의 집계 위험을 없음[위험 상태 = 확인된 안전성]으로 이동합니다. 위험 수준(집계) = -] 및 사용자 위험에 미치는 영향을 역방향으로 설정합니다. | 현재 로그인 보안 확인 옵션은 위험한 로그인 보고서 에서만 사용할 수 있습니다. |
| 로그인 손상됨(진양성) 위험한 로그인 보고서에 낮은 위험[위험 수준(집계) = 낮음]의 위험에 처한 로그인[위험 상태 = 위험]이 표시되며 해당 로그인이 실제로 손상되었습니다. |
로그인을 선택한 다음 로그인이 손상됨을 확인합니다. | 로그인의 집계 위험 및 사용자 위험을 높은 [위험 상태 = 손상된 것으로 확인됨]으로 이동합니다. 위험 수준 = 높음]. | 현재 로그인 손상됨 확인 옵션은 위험한 로그인 보고서 에서만 사용할 수 있습니다. |
| 사용자 손상됨(진양성) 위험 사용자 보고서에 낮은 위험[위험 수준 = 낮음]의 위험에 처한 사용자[위험 상태 = 위험]가 표시되며 해당 사용자가 실제로 손상되었습니다. |
사용자를 선택한 다음 , 손상된 사용자를 확인합니다. | 사용자 위험을 높음 [위험 상태 = 손상된 것으로 확인됨]으로 이동합니다. 위험 수준 = 높음]을 선택하고 새 검색 관리 손상된 것으로 확인된 사용자를 추가합니다. | 현재 사용자 손상됨 확인 옵션은 위험 사용자 보고서 에서만 사용할 수 있습니다. 관리자가 확인한 사용자 손상 검색은 위험 사용자 보고서의 로그인에 연결되지 않은 위험 검색 탭에 표시됩니다. |
| Microsoft Entra ID 보호 외부에서 사용자 위험이 해결됨(진양성 + 해결됨) 위험한 사용자 보고서에는 위험에 처한 사용자가 표시되고 Microsoft Entra ID Protection 외부에서 사용자를 수정했습니다. |
1. 사용자를 선택한 다음 , 손상된 사용자를 확인합니다. (이 프로세스는 사용자가 실제로 손상되었음을 Microsoft Entra ID에 확인합니다.) 2. 사용자의 위험 수준이 높음으로 이동될 때까지 기다립니다. (이 시간 동안 Microsoft Entra ID에서 위의 피드백을 위험 엔진으로 이동할 수 있습니다.) 3. 사용자를 선택한 다음 사용자 위험을 해제합니다. 이 프로세스는 사용자가 더 이상 손상되지 않을 것임을 Microsoft Entra ID에 확인합니다. |
Microsoft Entra ID에서 사용자 위험을 없음[위험 상태 = 해제됨, 위험 수준 = -]으로 이동하고 활성 위험이 있는 기존의 모든 로그인에서 위험을 닫습니다. | 사용자 위험 해제를 클릭하면 사용자 및 과거 로그인에 대한 모든 위험이 닫힙니다. 이 작업은 실행 취소할 수 없습니다. |
| 사용자가 손상되지 않음(가양성) 위험한 사용자 보고서는 위험에 처한 사용자를 표시하지만 사용자는 손상되지 않습니다. |
사용자를 선택한 다음 사용자 위험을 해제합니다. 이 프로세스는 사용자가 손상되지 않을 것임을 Microsoft Entra ID에 확인합니다. | Microsoft Entra ID에서 사용자 위험을 없음[위험 상태 = 해제됨, 위험 수준 = -]으로 이동합니다. | 사용자 위험 해제를 클릭하면 사용자 및 과거 로그인에 대한 모든 위험이 닫힙니다. 이 작업은 실행 취소할 수 없습니다. |
| 사용자 위험을 닫으려고 하지만 사용자가 손상되었거나 안전한지 여부를 잘 모르겠습니다. | 사용자를 선택한 다음 사용자 위험을 해제합니다. 이 프로세스는 사용자가 더 이상 손상되지 않을 것임을 Microsoft Entra ID에 확인합니다. | 사용자 위험을 없음[위험 상태 = 해제됨, 위험 수준 = -]으로 이동합니다. | 사용자 위험 해제를 클릭하면 사용자 및 과거 로그인에 대한 모든 위험이 닫힙니다. 이 작업은 실행 취소할 수 없습니다. 암호 재설정을 클릭하여 사용자 위험을 해결하거나 사용자에게 자격 증명을 안전하게 다시 설정/변경하도록 요청하는 것이 좋습니다. |
ID 보호의 사용자 위험 검색에 대한 피드백은 오프라인으로 처리되며 업데이트하는 데 다소 시간이 걸릴 수 있습니다. 위험 처리 상태 열은 피드백 처리의 현재 상태를 제공합니다.