Como: Fornecer comentários de risco no Microsoft Entra ID Protection
O Microsoft Entra ID Protection permite que você forneça comentários sobre sua avaliação de risco. O documento a seguir lista os cenários em que você gostaria de dar feedback sobre a avaliação de risco do Microsoft Entra ID Protection e como a incorporamos.
O seu feedback ajuda-nos a otimizar as deteções no futuro, a melhorar a sua precisão e a reduzir os falsos positivos.
O que é uma deteção?
Uma deteção de Proteção de ID é um indicador de atividade suspeita de uma perspetiva de risco de identidade. Essas atividades suspeitas são chamadas de deteções de risco. Essas deteções baseadas em identidade podem ser baseadas em heurística, aprendizado de máquina ou podem vir de produtos parceiros. Essas deteções são usadas para determinar o risco de entrada e o risco do usuário,
- O risco do usuário representa a probabilidade de uma identidade ser comprometida.
- O risco de início de sessão representa a probabilidade de um início de sessão ser comprometido (por exemplo, o proprietário da identidade não autorizou o início de sessão).
Por que razão devo dar feedback sobre os riscos às avaliações de riscos?
Existem várias razões pelas quais deve dar feedback sobre o risco:
- Você encontrou o usuário do Microsoft Entra ID Protection ou a avaliação de risco de entrada incorreta. Por exemplo, um início de sessão apresentado no relatório de início de sessão de risco era benigno e todas as deteções nesse início de sessão eram falsos positivos.
- Você validou que a avaliação de risco de entrada ou usuário do Microsoft Entra ID Protection estava correta. Por exemplo, um início de sessão apresentado no relatório de início de sessão de risco foi de facto malicioso e pretende que o Microsoft Entra ID saiba que todas as deteções nesse início de sessão foram verdadeiros positivos.
- Você corrigiu o risco desse usuário fora da Proteção de ID do Microsoft Entra e deseja que o nível de risco do usuário seja atualizado.
Como é que a Microsoft utiliza os meus comentários sobre riscos?
A Microsoft utiliza os seus comentários para atualizar o risco do utilizador subjacente e/ou início de sessão e a precisão destes eventos. Esse feedback ajuda a proteger o usuário final. Por exemplo, depois de confirmar que um início de sessão está comprometido, aumentamos imediatamente o risco do utilizador e o risco agregado do início de sessão (não o risco em tempo real) para elevado. Se esse usuário estiver incluído em sua política de risco de usuário para forçar usuários de alto risco a redefinir suas senhas com segurança, ele poderá corrigir automaticamente na próxima vez que entrar.
Os administradores podem tomar medidas em eventos de início de sessão arriscados e optar por:
- Confirmar login comprometido – Esta ação confirma que o login é um verdadeiro positivo. O início de sessão é considerado arriscado até que sejam tomadas medidas de correção.
- Confirmar início de sessão seguro – Esta ação confirma que o início de sessão é um falso positivo. Entradas semelhantes não devem ser consideradas arriscadas no futuro.
- Descartar o risco de entrada – Esta ação é usada para um positivo benigno verdadeiro. Esse risco de entrada que detetamos é real, mas não malicioso, como aqueles de um teste de penetração conhecido ou atividade conhecida gerada por um aplicativo aprovado. Sign-ins semelhantes devem continuar sendo avaliados quanto ao risco no futuro.
Tomar medidas no nível do usuário aplica-se a todas as deteções atualmente associadas a esse usuário. Os administradores podem tomar medidas sobre os utilizadores e optar por:
- Redefinir senha - Esta ação revoga as sessões atuais do usuário.
- Confirmar usuário comprometido - Esta ação é tomada em um verdadeiro positivo. A Proteção de ID define o risco do usuário como alto e adiciona uma nova deteção, confirmada pelo administrador. O usuário é considerado arriscado até que as medidas de correção sejam tomadas.
- Confirmar segurança do usuário - Esta ação é executada em um falso positivo. Isso remove riscos e deteções nesse usuário e o coloca no modo de aprendizado para reaprender as propriedades de uso. Você pode usar essa opção para marcar falsos positivos.
- Descartar o risco do usuário - Esta ação é tomada em um risco benigno positivo do usuário. Esse risco do usuário que detetamos é real, mas não malicioso, como os de um teste de penetração conhecido. Usuários semelhantes devem continuar sendo avaliados quanto ao risco no futuro.
- Bloquear usuário - Esta ação impede que um usuário entre se o invasor tiver acesso à senha ou à capacidade de executar MFA.
- Investigar com o Microsoft 365 Defender - Esta ação leva os administradores ao portal do Microsoft Defender para permitir que um administrador investigue mais.
Os comentários sobre deteções de risco na Proteção de ID são processados offline e podem levar algum tempo para serem atualizados. A coluna estado de processamento de risco fornece o estado atual do processamento de feedback.