Como: Fornecer comentários de risco no Microsoft Entra ID Protection
O Microsoft Entra ID Protection permite que você forneça comentários sobre sua avaliação de risco. O documento a seguir lista os cenários em que você gostaria de dar feedback sobre a avaliação de risco do Microsoft Entra ID Protection e como a incorporamos.
O seu feedback ajuda-nos a otimizar as deteções no futuro, a melhorar a sua precisão e a reduzir os falsos positivos.
O que é uma deteção?
Uma deteção de Proteção de ID é um indicador de atividade suspeita de uma perspetiva de risco de identidade. Essas atividades suspeitas são chamadas de deteções de risco. Essas deteções baseadas em identidade podem ser baseadas em heurística, aprendizado de máquina ou podem vir de produtos parceiros. Essas deteções são usadas para determinar o risco de entrada e o risco do usuário,
- O risco do usuário representa a probabilidade de uma identidade ser comprometida.
- O risco de início de sessão representa a probabilidade de um início de sessão ser comprometido (por exemplo, o proprietário da identidade não autorizou o início de sessão).
Por que razão devo dar feedback sobre os riscos às avaliações de riscos?
Existem várias razões pelas quais deve dar feedback sobre o risco:
- Você encontrou o usuário do Microsoft Entra ID Protection ou a avaliação de risco de entrada incorreta. Por exemplo, um início de sessão apresentado no relatório de início de sessão de risco era benigno e todas as deteções nesse início de sessão eram falsos positivos.
- Você validou que a avaliação de risco de entrada ou usuário do Microsoft Entra ID Protection estava correta. Por exemplo, um início de sessão apresentado no relatório de início de sessão de risco foi de facto malicioso e pretende que o Microsoft Entra ID saiba que todas as deteções nesse início de sessão foram verdadeiros positivos.
- Você corrigiu o risco desse usuário fora da Proteção de ID do Microsoft Entra e deseja que o nível de risco do usuário seja atualizado.
Como é que a Microsoft utiliza os meus comentários sobre riscos?
A Microsoft utiliza os seus comentários para atualizar o risco do utilizador subjacente e/ou início de sessão e a precisão destes eventos. Esse feedback ajuda a proteger o usuário final. Por exemplo, depois de confirmar que um início de sessão está comprometido, aumentamos imediatamente o risco do utilizador e o risco agregado do início de sessão (não o risco em tempo real) para elevado. Se esse usuário estiver incluído em sua política de risco de usuário para forçar usuários de alto risco a redefinir suas senhas com segurança, ele poderá corrigir automaticamente na próxima vez que entrar.
O Microsoft Entra ID Protection oferece as seguintes ações que um administrador pode executar em entradas arriscadas:
- Confirmar risco – Esta ação confirma que o início de sessão é um verdadeiro positivo. O início de sessão é considerado arriscado até que sejam tomadas medidas de correção.
- Confirmar seguro – Esta ação confirma que o início de sessão é um falso positivo. Entradas semelhantes não devem ser consideradas arriscadas no futuro.
- Descartar risco – Esta ação é usada para um benigno verdadeiro positivo. Este início de sessão deve ser marcado como arriscado, mas não representa um risco imediato. Sign-ins semelhantes devem continuar sendo avaliados quanto ao risco no futuro. Você pode usar essa opção durante um teste de penetração de segurança interna.
Como devo dar feedback sobre o risco e o que acontece nos bastidores?
Aqui estão os cenários e mecanismos para fornecer feedback de risco para o Microsoft Entra ID.
| Cenário | Como dar feedback? | O que acontece debaixo do capô? | Notas |
|---|---|---|---|
| Login não comprometido (Falso positivo) O relatório de entradas de risco mostra uma entrada em risco [Estado de risco = Em risco], mas essa entrada não foi comprometida. |
Selecione o início de sessão e, em seguida , Confirmar início de sessão seguro. | Movemos o risco agregado do início de sessão para nenhum [Estado de risco = Confirmado seguro; Nível de risco (agregado) = -] e reverter o seu efeito sobre o risco do utilizador. | Atualmente, a opção Confirmar segurança de entrada só está disponível no relatório de entradas de risco. |
| Login comprometido (Verdadeiro positivo) O relatório de entradas arriscadas mostra uma entrada em risco [Estado de risco = Em risco] com baixo risco [Nível de risco (agregado) = Baixo] e que o início de sessão foi de facto comprometido. |
Selecione o início de sessão e, em seguida , Confirmar início de sessão comprometido. | Movemos o risco agregado do início de sessão e o risco do utilizador para Alto [Estado de risco = Confirmado comprometido; Nível de risco = Elevado]. | Atualmente, a opção Confirmar início de sessão comprometido só está disponível no relatório de início de sessão de risco. |
| Usuário comprometido (Verdadeiro positivo) O relatório de usuários arriscados mostra um usuário em risco [Estado de risco = Em risco] com baixo risco [Nível de risco = Baixo] e esse usuário foi realmente comprometido. |
Selecione o usuário e, em seguida , Confirmar usuário comprometido. | Movemos o risco do usuário para Alto [Estado de risco = Confirmado comprometido; Nível de risco = Alto] e adicione uma nova deteção de usuário confirmado pelo administrador comprometido. | Atualmente, a opção Confirmar usuário comprometido só está disponível no relatório de usuários arriscados. A deteção de usuário confirmado pelo administrador comprometido é mostrada na guia Deteções de risco não vinculadas a um login no relatório Usuários arriscados. |
| Usuário remediado fora da Proteção de ID do Microsoft Entra (True positive + Remediated) O relatório de usuários arriscados mostra um usuário em risco e, em seguida, corrigi o usuário fora da Proteção de ID do Microsoft Entra. |
1. Selecione o usuário e, em seguida , confirme o usuário comprometido. (Este processo confirma ao Microsoft Entra ID que o usuário foi realmente comprometido.) 2. Aguarde até que o nível de risco do usuário vá para Alto. (Este tempo dá ao Microsoft Entra ID o tempo necessário para levar os comentários acima para o mecanismo de risco.) 3. Selecione o usuário e, em seguida , Dispense o risco do usuário. (Este processo confirma ao Microsoft Entra ID que o usuário não está mais comprometido.) |
O Microsoft Entra ID move o risco do usuário para nenhum [Estado de risco = Descartado; Nível de risco = -] e fecha o risco em todos os sign-ins existentes com risco ativo. | Clicar em Dispensar risco de usuário fecha todo o risco no usuário e em entradas anteriores. Esta ação não pode ser desfeita. |
| Usuário não comprometido (Falso positivo) O relatório de usuários arriscados mostra o usuário em risco, mas o usuário não está comprometido. |
Selecione o usuário e, em seguida , Dispense o risco do usuário. (Este processo confirma ao Microsoft Entra ID que o utilizador não está comprometido.) | O Microsoft Entra ID move o risco do usuário para nenhum [Estado de risco = Descartado; Nível de risco = -]. | Clicar em Dispensar risco de usuário fecha todo o risco no usuário e em entradas anteriores. Esta ação não pode ser desfeita. |
| Eu quero fechar o risco do usuário, mas não tenho certeza se o usuário está comprometido / seguro. | Selecione o usuário e, em seguida , Dispense o risco do usuário. (Este processo confirma ao Microsoft Entra ID que o usuário não está mais comprometido.) | Movemos o risco do usuário para nenhum [Estado de risco = Descartado; Nível de risco = -]. | Clicar em Dispensar risco de usuário fecha todo o risco no usuário e em entradas anteriores. Esta ação não pode ser desfeita. Recomendamos que você corrija o usuário clicando em Redefinir senha ou solicite que o usuário resete/altere suas credenciais com segurança. |
Os comentários sobre as deteções de risco do usuário na Proteção de ID são processados off-line e podem levar algum tempo para serem atualizados. A coluna estado de processamento de risco fornece o estado atual do processamento de feedback.