Практическое руководство. Предоставление отзывов о рисках в Защита идентификации Microsoft Entra
Защита идентификации Microsoft Entra позволяет дать отзыв об оценке рисков. В следующем документе перечислены сценарии, в которых вы хотите отправить отзыв об оценке рисков Защита идентификации Microsoft Entra и о том, как мы включаем ее.
Ваши отзывы помогут нам оптимизировать обнаружения в будущем, повысить их точность и уменьшить ложные срабатывания.
Что такое обнаружение?
Обнаружение защиты идентификаторов — это индикатор подозрительной активности с точки зрения риска идентификации. Эти подозрительные действия называются обнаружением риска. Данные обнаружения на основе удостоверений могут основываться на эвристике или машинном обучении, а также на продуктах партнеров. Обнаружения используются для определения риска при входе и риска для пользователей.
- Риск для пользователя представляет собой вероятность того, что его удостоверение было скомпрометировано.
- Риск входа представляет вероятность того, что вход скомпрометирован (например, владелец удостоверения не авторизовать вход).
Почему я должен дать отзыв о рисках для оценки рисков?
Существует несколько причин, по которым вы должны дать отзыв о рисках:
- Вы обнаружили, что Защита идентификации Microsoft Entra пользователю или оценке рисков входа неправильно. Например, вход, показанный в отчете Рискованные входы, был безопасным, и все обнаружения на этом входе были ложноположительными.
- Вы проверили правильность оценки риска Защита идентификации Microsoft Entra пользователя или входа. Например, вход, показанный в отчете о входе в risky, действительно был вредоносным, и вы хотите, чтобы идентификатор Microsoft Entra id знал, что все обнаружения в этом входе были истинными положительными.
- Вы исправите риск для этого пользователя за пределами Защита идентификации Microsoft Entra и хотите, чтобы уровень риска пользователя был обновлен.
Как корпорация Майкрософт использует отзывы о рисках?
Корпорация Майкрософт использует отзывы для обновления риска базового пользователя и (или) входа и точности этих событий. Эти отзывы помогают защитить конечных пользователей. Например, после того, как вы подтвердите, что вход скомпрометирован, мы немедленно увеличим риск пользователя и агрегированный риск входа (не риск в режиме реального времени) до высокого уровня. Если этот пользователь включен в политику риска пользователя для принудительного сброса паролей с высоким уровнем риска, он сможет автоматически исправить при следующем входе.
Администраторы могут принять меры по событиям рискованного входа и выбрать следующее:
- Убедитесь, что вход скомпрометирован . Это действие подтверждает, что вход является истинным положительным. Вход считается рискованным до тех пор, пока не будут приняты меры по исправлению.
- Подтвердите безопасный вход. Это действие подтверждает, что вход является ложным срабатыванием. Аналогичные входы не должны рассматриваться как рискованные в будущем.
- Отключение риска входа — это действие используется для доброкачественного истинного положительного результата. Этот риск входа, который мы обнаружили, является реальным, но не вредоносным, например из известного теста на проникновение или известного действия, созданного утвержденным приложением. Аналогичные входы должны продолжать оцениваться для риска.
Выполнение действий на уровне пользователя применяется ко всем обнаружениям, связанным с этим пользователем. Администраторы могут принять меры для пользователей и выбрать следующее:
- Сброс пароля . Это действие отменяет текущие сеансы пользователя.
- Убедитесь, что пользователь скомпрометирован . Это действие выполняется с истинным положительным результатом. Защита идентификаторов задает для пользователя высокий риск и добавляет новое обнаружение, администратор подтвердил, что пользователь скомпрометирован. Пользователь считается рискованным до тех пор, пока не будут приняты меры по исправлению.
- Подтвердите безопасность пользователя. Это действие выполняется при ложном срабатывании. Это позволяет удалять риски и обнаружения для этого пользователя и помещать его в режим обучения для повторного получения свойств использования. Этот параметр можно использовать для пометки ложных срабатываний.
- Отключение риска пользователя . Это действие выполняется с доброкачественным положительным риском пользователя. Этот риск пользователя, который мы обнаружили, является реальным, но не вредоносным, как и из известного теста на проникновение. Аналогичные пользователи должны продолжать оцениваться для риска.
- Блокировать пользователя . Это действие блокирует вход пользователя, если злоумышленник имеет доступ к паролю или возможности выполнять MFA.
- Изучение с помощью Microsoft 365 Defender . Это действие принимает администраторов на портал Microsoft Defender , чтобы разрешить администратору дальнейшее изучение.
Отзывы об обнаружении рисков в защите идентификаторов обрабатываются в автономном режиме и могут занять некоторое время для обновления. Столбец состояния обработки рисков предоставляет текущее состояние обработки отзывов.