Como enviar comentários de risco no Microsoft Entra ID Protection
O Microsoft Entra ID Protection permite que você forneça comentários sobre a avaliação de risco. O documento a seguir lista os cenários em que é recomendado fazer comentários sobre a avaliação de risco do Microsoft Entra ID Protection e como a incorporamos.
Os seus comentários nos ajudam a otimizar as detecções no futuro, melhorar a precisão e reduzir falsos positivos.
O que é uma detecção?
Uma detecção do ID Protection é um indicador de atividade suspeita sob a perspectiva de risco de identidade. Essas atividades suspeitas são chamadas de detecções de risco. As detecções baseadas em identidade podem ter origem na heurística, no machine learning ou vir de produtos de parceiros. Essas detecções são usadas para determinar o risco de entrada e do usuário,
- O risco do usuário representa a probabilidade da identidade estar comprometida.
- O risco de entrada representa a probabilidade de uma entrada ser comprometida (por exemplo, o proprietário da identidade não autorizou a entrada).
Por que devo fazer comentários de risco para avaliações de risco?
Há vários motivos pelos quais você deve fazer comentários de risco:
- Você achou incorreta a avaliação de risco de entrada ou usuário do Microsoft Entra ID Protection. Por exemplo, uma entrada exibida no relatório Entradas suspeitas foi benigna, e todas as detecções nessa entrada eram falsos positivos.
- Você validou que a avaliação de risco de entrada ou usuário do Microsoft Entra ID Protection estava correta. Por exemplo, uma entrada mostrada no relatório de Entradas arriscadas foi realmente mal-intencionada e você deseja que o Microsoft Entra ID saiba que todas as detecções nessa entrada eram verdadeiros positivos.
- Você corrigiu o risco nesse usuário fora do Microsoft Entra ID Protection e deseja que o nível de risco do usuário seja atualizado.
Como a Microsoft usa meus comentários de risco?
A Microsoft usa seus comentários para atualizar o risco do usuário subjacente e/ou entrada e a precisão desses eventos. Os comentários ajudam a proteger o usuário final. Por exemplo, depois que você confirmar que uma entrada está comprometida, aumentaremos imediatamente o risco do usuário e o risco agregado de entrada (não o risco em tempo real) para Alto. Se este usuário estiver incluído em sua política de risco de usuário para forçar usuários de alto risco a redefinir suas senhas com segurança, ele poderá corrigir automaticamente na próxima vez que entrar.
O Microsoft Entra ID Protection oferece as seguintes ações que um administrador pode executar em entradas arriscadas:
- Confirmar o risco – esta ação confirma que a entrada é um verdadeiro positivo. A entrada é considerada arriscada até que as etapas de correção sejam tomadas.
- Confirmar a segurança – esta ação confirma que a entrada é um falso positivo. Entradas semelhantes não devem ser consideradas arriscadas no futuro.
- Ignorar o risco – esta ação é usada para um verdadeiro positivo benigno. Esta entrada deve ser marcada como arriscada, mas não representa nenhum risco imediato. Entradas semelhantes devem continuar sendo avaliadas quanto ao risco daqui para frente. Você pode usar esta opção durante um teste de penetração de segurança interna.
Como devo fornecer comentários sobre os riscos e o que acontece nos bastidores?
Estes são os cenários e os mecanismos para fornecer comentários de risco ao Microsoft Entra ID.
| Cenário | Como fornecer comentários? | O que acontece nos bastidores? | Observações |
|---|---|---|---|
| Entrada não comprometida (Falso positivo) O relatório de entradas suspeitas mostra uma entrada em risco [Estado de risco = em risco], mas essa entrada não foi comprometida. |
Selecione a entrada e confirme se a entrada é segura. | Movemos o risco agregado da entrada para nenhum [Estado de risco = Seguro confirmado; Nível de risco (Agregação) = -] e invertemos o seu efeito sobre o risco do usuário. | No momento, a opção Confirmar entrada segura só está disponível no relatório Entradas suspeitas. |
| Entrada comprometida (Verdadeiro positivo) O relatório Entradas suspeitas exibe uma entrada em risco [Status do risco = Em risco] com risco baixo [Nível de risco (Agregado) = Baixo], e essa entrada está comprometida. |
Selecione a entrada e confirme se a entrada está comprometida. | Movemos o risco agregado de entrada e o risco do usuário para Alto [Estado de risco = Comprometido confirmado; Nível de risco = Alto]. | No momento, a opção Confirmar entrada comprometida só está disponível no relatório Entradas suspeitas. |
| Usuário comprometido (Verdadeiro positivo) O relatório Usuários suspeitos exibe um usuário em risco [Status do risco = Em risco] com risco baixo [Nível de risco = Baixo], mas esse usuário está comprometido. |
Selecione o usuário e confirme se o usuário está comprometido. | Movemos o risco do usuário para Alto [Estado de risco = Comprometido confirmado; Nível de risco = Alto] e adicionamos uma nova detecção Usuário comprometido confirmado pelo administrador. | No momento, a opção Confirmar usuário comprometido só está disponível no relatório de Usuários suspeitos. A detecção Usuário comprometido confirmado pelo administrador é exibida na guia Detecções de risco não vinculadas a uma entrada no relatório Usuários suspeitos. |
| Usuário corrigido fora do Microsoft Entra ID Protection (Verdadeiro positivo + Corrigido) O relatório de usuários suspeitos mostra um usuário em risco e eu corrigi o usuário fora do Microsoft Entra ID Protection. |
1. Selecione o usuário e confirme se o usuário está comprometido. (Esse processo confirma ao Microsoft Entra ID que o usuário está comprometido). 2. Aguarde até que o nível de risco do usuário vá para Alto. (Isso dá ao Microsoft Entra ID o tempo necessário para enviar os comentários acima para o mecanismo de risco). 3. Selecione o usuário e, em seguida, Ignorar o risco do usuário. (Esse processo confirma ao Microsoft Entra ID que o usuário não está mais comprometido). |
O Microsoft Entra ID move o risco do usuário para nenhum [Status do risco = Ignorado; Nível de risco = -] e fecha o risco em todas as entradas existentes com risco ativo. | Clicar em Ignorar o risco do usuário encerra todo o risco no usuário e nas entradas passadas. Essa ação não pode ser desfeita. |
| Usuário não comprometido (Falso positivo) O relatório de usuários suspeitos mostra o usuário em risco, mas o usuário não está comprometido. |
Selecione o usuário e, em seguida, Ignorar o risco do usuário. (Esse processo confirma ao Microsoft Entra ID que o usuário não está comprometido). | O Microsoft Entra ID move o risco do usuário para nenhum [Status do risco = Ignorado; Nível de risco = -]. | Clicar em Ignorar o risco do usuário encerra todo o risco no usuário e nas entradas passadas. Essa ação não pode ser desfeita. |
| Quero fechar o risco do usuário, mas não tenho certeza se o usuário está comprometido ou se é seguro. | Selecione o usuário e, em seguida, Ignorar o risco do usuário. (Esse processo confirma ao Microsoft Entra ID que o usuário não está mais comprometido). | Movemos o risco do usuário para nenhum [Status do risco = Ignorado; Nível de risco = -]. | Clicar em Ignorar o risco do usuário encerra todo o risco no usuário e nas entradas passadas. Essa ação não pode ser desfeita. Recomendamos que você corrija o usuário clicando em Redefinir senha ou solicite que o usuário redefina ou altere as credenciais com segurança. |
Os comentários sobre as detecções de riscos do usuário no ID Protection são processados offline e pode levar algum tempo para serem atualizados. A coluna de estado de processamento de risco fornece o estado atual do processamento de comentários.
Conteúdo relacionado
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de