Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ochrona tożsamości Microsoft Entra umożliwia przekazanie opinii na temat oceny ryzyka.
Twoja opinia pomaga nam zoptymalizować wykrywanie w przyszłości, poprawić ich dokładność i zmniejszyć liczbę wyników fałszywie dodatnich.
Co to jest wykrywanie?
Wykrywanie ochrony identyfikatorów jest wskaźnikiem podejrzanych działań związanych z ryzykiem tożsamości. Te podejrzane działania są nazywane wykrywaniem ryzyka. Wykrycia oparte na tożsamościach mogą wynikać z heurystyki, uczenia maszynowego lub pochodzić z produktów partnerskich. Te wykrycia służą do określania ryzyka związanego z logowaniem i ryzyka związanego z użytkownikiem:
- Ryzyko użytkownika reprezentuje prawdopodobieństwo naruszenia zabezpieczeń tożsamości.
- Ryzyko logowania reprezentuje prawdopodobieństwo naruszenia zabezpieczeń logowania (na przykład właściciel tożsamości nie autoryzował logowania).
Dlaczego należy przekazać opinię na temat ryzyka do ocen ryzyka?
Istnieje kilka powodów, dla których należy przekazać opinię na temat ryzyka:
-
Wykryłeś nieprawidłową ocenę ryzyka logowania użytkownika w usłudze Microsoft Entra ID Protection.
- Na przykład logowanie widoczne w raporcie Ryzykowne logowania było nieszkodliwe, a wszystkie wykrycia dotyczące tego logowania były fałszywie dodatnie.
-
Potwierdzono, że ocena ryzyka użytkownika lub logowania w usłudze Microsoft Entra ID Protection była prawidłowa.
- Na przykład logowanie pokazane w raporcie Ryzykowne logowania było rzeczywiście złośliwe i chcesz, aby Microsoft Entra ID wiedział, że wszystkie wykrycia tego logowania były prawdziwymi trafieniami.
- Podjęliście działania dotyczące zarządzania ryzykiem u użytkownika poza systemem Microsoft Entra ID Protection i chcesz, aby poziom ryzyka użytkownika został zaktualizowany.
Jak firma Microsoft korzysta z moich opinii dotyczących ryzyka?
Firma Microsoft wykorzystuje Twoją opinię do aktualizacji ryzyka związanego z podstawowym użytkownikiem i/lub logowaniem oraz do zwiększenia dokładności tych zdarzeń. Ta opinia pomaga zabezpieczyć użytkownika końcowego. Na przykład po potwierdzeniu naruszenia zabezpieczeń logowania natychmiast zwiększamy ryzyko użytkownika i łączne ryzyko logowania (nie ryzyko w czasie rzeczywistym) na wysokie. Jeśli ten użytkownik jest uwzględniony w waszych zasadach ryzyka użytkownika, aby wymusić na użytkownikach wysokiego ryzyka bezpieczne resetowanie haseł, będą mogli automatycznie rozwiązać ten problem przy następnym zalogowaniu się.
Administratorzy mogą podejmować działania w przypadku ryzykownych zdarzeń logowania i zdecydować się na:
- Potwierdź naruszenie logowania — ta akcja potwierdza, że logowanie jest prawdziwym pozytywem. Logowanie jest uznawane za ryzykowne do momentu podjęcia kroków korygowania.
- Potwierdź bezpieczne logowanie — ta akcja potwierdza, że logowanie jest fałszywie dodatnie. Podobne logowania nie powinny być traktowane jako ryzykowne w przyszłości.
- Odrzuć ryzyko logowania — ta akcja jest używana w przypadku niegroźnego prawdziwie dodatniego wyniku. Wykryte ryzyko logowania jest prawdziwe, ale nie złośliwe, takie jak te ze znanego testu penetracyjnego lub znane działanie wygenerowane przez zatwierdzoną aplikację. Podobne logowania powinny nadal być oceniane pod kątem ryzyka w przyszłości.
Podjęcie akcji na poziomie użytkownika ma zastosowanie do wszystkich wykryć aktualnie skojarzonych z tym użytkownikiem. Administratorzy mogą podejmować działania na użytkownikach i zdecydować się na:
- Resetowanie hasła — ta akcja odwołuje bieżące sesje użytkownika.
- Potwierdź naruszenie zabezpieczeń użytkownika — ta akcja jest wykonywana na prawdziwie dodatnim. Usługa ID Protection ustawia ryzyko użytkownika na wysoki i dodaje nowe wykrywanie, administrator potwierdził naruszenie bezpieczeństwa użytkownika. Użytkownik jest uważany za ryzykowny do momentu podjęcia kroków korygowania.
- Potwierdź użytkownika jako bezpiecznego — jest to działanie podejmowane w przypadku fałszywie dodatniego wyniku. Spowoduje to usunięcie ryzyka i wykryć na tym użytkowniku oraz umieszczenie go w trybie uczenia w celu ponownego zapoznania się z właściwościami użycia. Ta opcja może służyć do oznaczania wyników fałszywie dodatnich.
- Odrzucanie ryzyka związanego z użytkownikiem — ta akcja jest podejmowana w przypadku łagodnego pozytywnego ryzyka związanego z użytkownikiem. Wykryte przez nas ryzyko użytkownika jest prawdziwe, ale nie złośliwe, takie jak te ze znanego testu penetracyjnego. Podobni użytkownicy powinni być nadal oceniani pod kątem ryzyka w przyszłości.
- Blokuj użytkownika — ta akcja uniemożliwia użytkownikowi logowanie się, jeśli osoba atakująca ma dostęp do hasła lub możliwości wykonania uwierzytelniania wieloskładnikowego.
- Badanie za pomocą usługi Microsoft 365 Defender — ta akcja przenosi administratorów do portalu Microsoft Defender, aby umożliwić dalsze badanie.
Opinie na temat wykrywania ryzyka w usłudze ID Protection są przetwarzane w trybie offline i aktualizacja może zająć trochę czasu. Kolumna stanu przetwarzania ryzyka zawiera bieżący stan przetwarzania opinii.