Como enviar comentários de risco no Microsoft Entra ID Protection
O Microsoft Entra ID Protection permite que você forneça comentários sobre a avaliação de risco. O documento a seguir lista os cenários em que você pode fornecer comentários sobre a avaliação de risco do Microsoft Entra ID Protection e como eles são incorporados.
O que é uma detecção?
Uma detecção do ID Protection é um indicador de atividade suspeita sob a perspectiva de risco de identidade. Essas atividades suspeitas são chamadas de detecções de risco. As detecções baseadas em identidade podem ter origem na heurística, no machine learning ou vir de produtos de parceiros. Essas detecções são usadas para determinar o risco de entrada e do usuário,
- O risco do usuário representa a probabilidade da identidade estar comprometida.
- O risco de entrada representa a probabilidade de uma entrada ser comprometida (por exemplo, o proprietário da identidade não autorizou a entrada).
Por que devo fornecer comentários de risco às avaliações de risco do Microsoft Entra ID?
Há várias razões pelas quais você deve fornecer comentários de risco ao Microsoft Entra:
- Você acredita que a avaliação de risco de entrada ou de usuário do Microsoft Entra ID esteja incorreta. Por exemplo, uma entrada exibida no relatório de “Entradas suspeitas” foi benigna e todas as detecções nessa entrada eram falsos positivos.
- Você confirmou que o usuário do Microsoft Entra ID ou a avaliação de risco de entrada estava correta. Por exemplo, uma entrada exibida no relatório de “Entradas suspeitas” era maliciosa e você quer que o Microsoft Entra ID saiba que todas as detecções nessa entrada eram verdadeiros positivos.
- Você corrigiu o risco em um usuário fora do Microsoft Entra ID Protection e quer que o nível de risco do usuário seja atualizado.
Como o Microsoft Entra ID usa meus comentários de risco?
O Microsoft Entra ID usa os comentários para atualizar o risco do usuário ou de entrada subjacente e a precisão desses eventos. Os comentários ajudam a proteger o usuário final. Por exemplo, ao confirmar que uma entrada está comprometida, o Microsoft Entra ID aumenta imediatamente o risco do usuário e o risco agregado de entrada (risco em tempo não real) para Alto. Se esse usuário estiver incluído na política de risco do usuário para forçar os de alto risco a redefinirem as senhas com segurança, o usuário vai se corrigir automaticamente na próxima vez que entrar.
Como devo fornecer comentários sobre os riscos e o que acontece nos bastidores?
Estes são os cenários e os mecanismos para fornecer comentários de risco ao Microsoft Entra ID.
| Cenário | Como fornecer comentários? | O que acontece nos bastidores? | Observações |
|---|---|---|---|
| Entrada não comprometida (Falso positivo) O relatório de 'Entradas suspeitas' exibe uma entrada em risco [Estado do risco = Em risco], mas essa entrada não foi comprometida. |
Selecione a entrada e clique em 'Confirmar entrada segura'. | Movemos o risco agregado da entrada para nenhum [Status do risco = confirmado seguro; Nível do risco (Agregação) = -] e revertemos seu efeito no risco do usuário. | No momento, a opção “Confirmar entrada segura” só está disponível no relatório de “Entradas suspeitas”. |
| Entrada comprometida (Verdadeiro positivo) O relatório de “Entradas suspeitas” exibe uma entrada em risco [Status do risco = Em risco] com risco baixo [Nível de risco (Agregado) = Baixo] e essa entrada está comprometida. |
Selecione a entrada e clique em 'Confirmar entrada comprometida'. | Movemos o risco agregado da entrada e o risco do usuário para Alto [Status do risco = Confirmado comprometido; Nível de risco = Alto]. | No momento, a opção “Confirmar entrada comprometida” só está disponível no relatório de “Entradas suspeitas”. |
| Usuário comprometido (Verdadeiro positivo) O relatório de “Usuários suspeitos” exibe um usuário em risco [Status do risco = Em risco] com risco baixo [Nível de risco = Baixo] e esse usuário está comprometido. |
Selecione o usuário e clique em 'Confirmar usuário comprometido'. | Movemos o risco do usuário para Alto [Status do risco = Confirmado comprometido; Nível de risco = Alto] e adicionamos uma detecção “Usuário comprometido confirmado pelo administrador”. | No momento, a opção “Confirmar usuário comprometido” só está disponível no relatório de “Usuários suspeitos”. A detecção “Usuário comprometido confirmado pelo administrador” é exibida na guia “Detecções de risco não vinculadas a uma entrada” no relatório de “Usuários suspeitos”. |
| Usuário corrigido fora do Microsoft Entra ID Protection (Verdadeiro positivo + Corrigido) O relatório 'Usuários suspeitos' exibe um usuário em risco que foi corrigido fora do Microsoft Entra ID Protection. |
1. Selecione o usuário e clique em 'Confirmar usuário comprometido'. (Esse processo confirma ao Microsoft Entra ID que o usuário está comprometido). 2. Aguarde até que o “Nível de risco” do usuário seja alterado para Alto. (Isso dá ao Microsoft Entra ID o tempo necessário para enviar os comentários acima para o mecanismo de risco). 3. Selecione o usuário e depois em 'Ignorar risco do usuário'. (Esse processo confirma ao Microsoft Entra ID que o usuário não está mais comprometido). |
O Microsoft Entra ID move o risco do usuário para nenhum [Status do risco = Ignorado; Nível de risco = -] e fecha o risco em todas as entradas existentes com risco ativo. | Um clique em 'Ignorar risco do usuário' fecha todos os riscos do usuário e das entradas anteriores. Essa ação não pode ser desfeita. |
| Usuário não comprometido (Falso positivo) O relatório 'Usuários suspeitos' exibe um usuário em risco que não está comprometido. |
Selecione o usuário e clique em 'Ignorar risco do usuário'. (Esse processo confirma ao Microsoft Entra ID que o usuário não está comprometido). | O Microsoft Entra ID move o risco do usuário para nenhum [Status do risco = Ignorado; Nível de risco = -]. | Um clique em 'Ignorar risco do usuário' fecha todos os riscos do usuário e das entradas anteriores. Essa ação não pode ser desfeita. |
| Quero fechar o risco do usuário, mas não tenho certeza se o usuário está comprometido ou se é seguro. | Selecione o usuário e clique em 'Ignorar risco do usuário'. (Esse processo confirma ao Microsoft Entra ID que o usuário não está mais comprometido). | Movemos o risco do usuário para nenhum [Status do risco = Ignorado; Nível de risco = -]. | Um clique em 'Ignorar risco do usuário' fecha todos os riscos do usuário e das entradas anteriores. Essa ação não pode ser desfeita. Recomendamos que você corrija o usuário clicando em “Redefinir senha” ou solicite que o usuário redefina ou altere as credenciais com segurança. |
Os comentários sobre as detecções de riscos do usuário no ID Protection são processados offline e pode levar algum tempo para serem atualizados. A coluna de status do processamento de risco fornece o status de processamento atual dos comentários.