Практическое руководство. Предоставление отзывов о рисках в Защита идентификации Microsoft Entra
Защита идентификации Microsoft Entra позволяет дать отзыв об оценке рисков. В следующем документе перечислены сценарии, в которых вы хотите отправить отзыв об оценке рисков Защита идентификации Microsoft Entra и о том, как мы включаем ее.
Ваши отзывы помогут нам оптимизировать обнаружения в будущем, повысить их точность и уменьшить ложные срабатывания.
Что такое обнаружение?
Обнаружение защиты идентификаторов — это индикатор подозрительной активности с точки зрения риска идентификации. Эти подозрительные действия называются обнаружением риска. Данные обнаружения на основе удостоверений могут основываться на эвристике или машинном обучении, а также на продуктах партнеров. Обнаружения используются для определения риска при входе и риска для пользователей.
- Риск для пользователя представляет собой вероятность того, что его удостоверение было скомпрометировано.
- Риск входа представляет вероятность того, что вход скомпрометирован (например, владелец удостоверения не авторизовать вход).
Почему я должен дать отзыв о рисках для оценки рисков?
Существует несколько причин, по которым вы должны дать отзыв о рисках:
- Вы обнаружили, что Защита идентификации Microsoft Entra пользователю или оценке рисков входа неправильно. Например, вход, показанный в отчете Рискованные входы, был безопасным, и все обнаружения на этом входе были ложноположительными.
- Вы проверили правильность оценки риска Защита идентификации Microsoft Entra пользователя или входа. Например, вход, показанный в отчете о входе в risky, действительно был вредоносным, и вы хотите, чтобы идентификатор Microsoft Entra id знал, что все обнаружения в этом входе были истинными положительными.
- Вы исправите риск для этого пользователя за пределами Защита идентификации Microsoft Entra и хотите, чтобы уровень риска пользователя был обновлен.
Как корпорация Майкрософт использует отзывы о рисках?
Корпорация Майкрософт использует отзывы для обновления риска базового пользователя и (или) входа и точности этих событий. Эти отзывы помогают защитить конечных пользователей. Например, после того, как вы подтвердите, что вход скомпрометирован, мы немедленно увеличим риск пользователя и агрегированный риск входа (не риск в режиме реального времени) до высокого уровня. Если этот пользователь включен в политику риска пользователя для принудительного сброса паролей с высоким уровнем риска, он сможет автоматически исправить при следующем входе.
Защита идентификации Microsoft Entra предлагает следующие действия, которые администратор может предпринять при рискованных входах:
- Подтвердите риск . Это действие подтверждает, что вход является истинным положительным. Вход считается рискованным до тех пор, пока не будут приняты меры по исправлению.
- Подтверждение безопасного . Это действие подтверждает, что вход является ложным срабатыванием. Аналогичные входы не должны рассматриваться как рискованные в будущем.
- Отключение риска — это действие используется для доброкачественного истинного положительного результата. Этот вход должен быть помечен как рискованный, но не представляет непосредственного риска. Аналогичные входы должны продолжать оцениваться для риска. Этот параметр можно использовать во время внутреннего теста на проникновение безопасности.
Как следует предоставлять отзывы о рисках и что происходит внутри системы?
Ниже приведены сценарии и механизмы предоставления отзывов о рисках идентификатору Microsoft Entra.
| Сценарий | Как дать отзыв? | Что происходит внутри системы? | Примечания. |
|---|---|---|---|
| Вход не скомпрометирован (ложноположительный результат) В отчете о рискованных входах отображается вход с риском [состояние риска = риск = риск], но этот вход не был скомпрометирован. |
Выберите вход, а затем подтвердите безопасный вход. | Мы переместим агрегатный риск входа на нет [состояние риска = подтверждено безопасно; Уровень риска (агрегат) = -] и обратное его влияние на риск пользователя. | В настоящее время параметр Подтвердить безопасность входа доступен только в отчете Рискованные входы. |
| Вход был скомпрометирован (истинный положительный результат) Отчет Рискованные входы покажет случай риска для входа [состояние риска = под угрозой] с низким общим показателем [уровень риска (агрегированный) = низкий] и что вход действительно был скомпрометирован. |
Выберите вход, а затем подтвердите скомпрометированный вход. | Мы переместим агрегатный риск входа и риск пользователя на высокий [состояние риска = подтверждено скомпрометировано; Уровень риска = высокий]. | На данный момент функция Подтвердить компрометированность входа доступна только в отчете Рискованные входы. |
| Пользователь был скомпрометирован (истинноположительный результат) В отчете Пользователи, совершающие рискованные действия отображается пользователь с риском [состояние риска = под угрозой] с низким общим показателем риска [уровень риска = низкий], и этот пользователь действительно был скомпрометирован. |
Выберите пользователя, а затем подтвердите, что пользователь скомпрометирован. | Мы переместим риск пользователя на высокий [состояние риска = подтвержден скомпрометировано; Уровень риска = высокий] и добавление нового обнаружения Администратор подтверждено, что пользователь скомпрометирован. | На данный момент функция Подтвердить компрометированность пользователя доступна только через отчет Пользователи, совершающие рискованные действия. Обнаружение Скомпрометированный пользователь, подтвержденный администратором будет показано во вкладке Определения риска, не связанные со входом в отчете Пользователи, совершающие рискованные действия. |
| Исправлено пользователем за пределами Защита идентификации Microsoft Entra (истинное положительное и исправленное) В отчете о рискованных пользователях отображается пользователь с риском, и после этого я исправили пользователя за пределами Защита идентификации Microsoft Entra. |
1. Выберите пользователя, а затем подтвердите компрометацию пользователя. (Этот процесс подтверждает идентификатор Microsoft Entra, что пользователь действительно скомпрометирован.) 2. Дождитесь перехода на высокий уровень риска пользователя. (На этот раз идентификатор Microsoft Entra id требуется, чтобы получить указанный выше отзыв в подсистеме рисков.) 3. Выберите пользователя, а затем устраните риск пользователя. (Этот процесс подтверждает идентификатор Microsoft Entra, что пользователь больше не скомпрометирован.) |
Идентификатор Microsoft Entra перемещает риск пользователя на нет [состояние риска = отклонено; Уровень риска = -] и закрывает риск для всех существующих входов, имеющих активный риск. | Нажатие кнопки "Закрыть риск пользователя" закрывает все риски для пользователя и прошлых входов. Это действие не может быть отменено. |
| Пользователь не скомпрометирован (ложноположительный результат) Отчет о рискованных пользователях отображается в состоянии риска, но пользователь не скомпрометирован. |
Выберите пользователя, а затем устраните риск пользователя. (Этот процесс подтверждает идентификатор Microsoft Entra, что пользователь не скомпрометирован.) | Идентификатор Microsoft Entra перемещает риск пользователя на нет [состояние риска = отклонено; Уровень риска = -]. | Нажатие кнопки "Закрыть риск пользователя" закрывает все риски для пользователя и прошлых входов. Это действие не может быть отменено. |
| Я хочу закрыть риск для пользователя, но не уверен, что пользователь действительно был скомпрометирован. | Выберите пользователя, а затем устраните риск пользователя. (Этот процесс подтверждает идентификатор Microsoft Entra, что пользователь больше не скомпрометирован.) | Мы переместим риск пользователя на нет [состояние риска = отклонено; Уровень риска = -]. | Нажатие кнопки "Закрыть риск пользователя" закрывает все риски для пользователя и прошлых входов. Это действие не может быть отменено. Рекомендуется исправить пользователя, щелкнув Сброс пароля, или запросить у пользователя выполнение безопасного сброса или изменения учетных данных. |
Отзывы об обнаружении рисков пользователей в защите идентификаторов обрабатываются в автономном режиме и могут занять некоторое время для обновления. Столбец состояния обработки рисков предоставляет текущее состояние обработки отзывов.