Anvisningar: Ge riskfeedback i Microsoft Entra ID Protection
Med Microsoft Entra ID Protection kan du ge feedback om riskbedömningen. I följande dokument visas scenarier där du vill ge feedback om Microsoft Entra ID Protection riskbedömning och hur vi införlivar den.
Din feedback hjälper oss att optimera identifieringar i framtiden, förbättra deras noggrannhet och minska falska positiva identifieringar.
Vad är en identifiering?
Identifiering av ID Protection är en indikator på misstänkt aktivitet ur ett identitetsriskperspektiv. Dessa misstänkta aktiviteter kallas riskidentifieringar. Dessa identitetsbaserade identifieringar kan baseras på heuristik, maskininlärning eller komma från partnerprodukter. Dessa identifieringar används för att fastställa inloggningsrisk och användarrisk,
- Användarrisken representerar sannolikheten för att en identitet komprometteras.
- Inloggningsrisken representerar sannolikheten för att en inloggning komprometteras (till exempel har identitetsägaren inte godkänt inloggningen).
Varför ska jag ge riskfeedback till riskbedömningar?
Det finns flera orsaker till varför du bör ge riskfeedback:
- Du har upptäckt att Microsoft Entra ID Protection-användare eller inloggningsriskbedömning är felaktig. En inloggning som visas i rapporten Riskfyllda inloggningar var till exempel godartad och alla identifieringar på inloggningen var falska positiva identifieringar.
- Du har verifierat att Microsoft Entra ID Protection-användare eller riskbedömning för inloggning var korrekt. En inloggning som visas i rapporten Riskfyllda inloggningar var till exempel skadlig och du vill att Microsoft Entra-ID ska veta att alla identifieringar på inloggningen var sanna positiva.
- Du har åtgärdat risken för den användaren utanför Microsoft Entra ID Protection och vill att användarens risknivå ska uppdateras.
Hur använder Microsoft min riskfeedback?
Microsoft använder din feedback för att uppdatera risken för den underliggande användaren och/eller inloggningen och noggrannheten för dessa händelser. Den här feedbacken hjälper till att skydda slutanvändaren. När du till exempel har bekräftat att en inloggning har komprometterats ökar vi omedelbart användarens risk och inloggningens aggregerade risk (inte realtidsrisk) till hög. Om den här användaren ingår i din användarriskprincip för att tvinga högriskanvändare att återställa sina lösenord på ett säkert sätt kan de automatiskt åtgärda det nästa gång de loggar in.
Microsoft Entra ID Protection erbjuder följande åtgärder som en administratör kan vidta vid riskfyllda inloggningar:
- Bekräfta risken – Den här åtgärden bekräftar att inloggningen är en sann positiv åtgärd. Inloggningen anses vara riskfylld tills reparationsåtgärder har vidtagits.
- Bekräfta säkert – Den här åtgärden bekräftar att inloggningen är en falsk positiv identifiering. Liknande inloggningar bör inte betraktas som riskfyllda i framtiden.
- Stäng risk – Den här åtgärden används för en godartad sann positiv åtgärd. Den här inloggningen bör markeras som riskfylld, men utgör ingen omedelbar risk. Liknande inloggningar bör fortsätta att utvärderas för risker framöver. Du kan använda det här alternativet under ett internt intrångstest för säkerhet.
Hur ska jag ge riskfeedback och vad som händer under huven?
Här följer scenarier och mekanismer för att ge riskfeedback till Microsoft Entra-ID.
| Scenario | Hur ger jag feedback? | Vad händer under huven? | Kommentar |
|---|---|---|---|
| Inloggningen har inte komprometterats (falskt positivt) Rapporten riskfyllda inloggningar visar en inloggning i riskzonen [Risktillstånd = Risk] men den inloggningen komprometterades inte. |
Välj inloggningen och sedan Bekräfta inloggningssäkert. | Vi flyttar inloggningens aggregerade risk till ingen [Risktillstånd = Bekräftat kassaskåp; Risknivå (aggregering) = -] och ändra dess effekt på användarrisken. | För närvarande är alternativet Bekräfta inloggningssäkert endast tillgängligt i rapporten Riskfyllda inloggningar. |
| Inloggning komprometterad (sann positiv) Rapporten om riskfyllda inloggningar visar en riskinloggning [Risktillstånd = Risk] med låg risk [Risknivå (aggregering) = Låg] och att inloggningen verkligen komprometterades. |
Välj inloggningen och sedan Bekräfta att inloggningen har komprometterats. | Vi flyttar inloggningens aggregerade risk och användarrisken till Hög [Risktillstånd = Bekräftad komprometterad; Risknivå = Hög]. | För närvarande är alternativet Bekräfta inloggning komprometterad endast tillgängligt i rapporten Riskfyllda inloggningar. |
| Användaren komprometterad (sann positiv) Rapporten Riskfyllda användare visar en riskanvändare [Risktillstånd = Risk] med låg risk [Risknivå = Låg] och att användaren verkligen komprometterades. |
Välj användaren och sedan Bekräfta att användaren har komprometterats. | Vi flyttar användarrisken till hög [risktillstånd = Bekräftad komprometterad; Risknivå = Hög] och lägg till en ny identifiering Administratör bekräftad användare komprometterad. | Alternativet Bekräfta att användaren har komprometterats är för närvarande endast tillgängligt i rapporten Riskfyllda användare. Identifieringsadministratören bekräftade att användaren har komprometterats visas på fliken Riskidentifieringar som inte är länkade till en inloggning i rapporten Riskfyllda användare. |
| Användare som åtgärdats utanför Microsoft Entra ID Protection (True positive + Remediated) Rapporten Riskfyllda användare visar en riskanvändare och jag har sedan åtgärdat användaren utanför Microsoft Entra ID Protection. |
1. Välj användaren och bekräfta sedan att användaren har komprometterats. (Den här processen bekräftar för Microsoft Entra ID att användaren verkligen har komprometterats.) 2. Vänta tills användarens risknivå går till Hög. (Den här gången ger Microsoft Entra-ID den tid som krävs för att ta ovanstående feedback till riskmotorn.) 3. Välj användaren och stäng sedan användarrisken. (Den här processen bekräftar för Microsoft Entra ID att användaren inte längre är komprometterad.) |
Microsoft Entra-ID flyttar användarrisken till ingen [Risktillstånd = Avvisad; Risknivå = -] och stänger risken för att alla befintliga inloggningar har aktiv risk. | Om du klickar på Stäng användarrisk stängs alla risker för användaren och tidigare inloggningar. Det går inte att ångra den här åtgärden. |
| Användaren har inte komprometterats (falskt positivt) Rapporten Riskfyllda användare visas på riskanvändare men användaren är inte komprometterad. |
Välj användaren och sedan Stäng användarrisken. (Den här processen bekräftar för Microsoft Entra ID att användaren inte har komprometterats.) | Microsoft Entra-ID flyttar användarrisken till ingen [Risktillstånd = Avvisad; Risknivå = -]. | Om du klickar på Stäng användarrisk stängs alla risker för användaren och tidigare inloggningar. Det går inte att ångra den här åtgärden. |
| Jag vill stänga användarrisken men jag är inte säker på om användaren är komprometterad/säker. | Välj användaren och sedan Stäng användarrisken. (Den här processen bekräftar för Microsoft Entra ID att användaren inte längre är komprometterad.) | Vi flyttar användarrisken till ingen [Risktillstånd = Avvisad; Risknivå = -]. | Om du klickar på Stäng användarrisk stängs alla risker för användaren och tidigare inloggningar. Det går inte att ångra den här åtgärden. Vi rekommenderar att du åtgärdar användaren genom att klicka på Återställ lösenord eller be användaren att återställa/ändra sina autentiseringsuppgifter på ett säkert sätt. |
Feedback om användarriskidentifieringar i ID Protection bearbetas offline och kan ta lite tid att uppdatera. Kolumnen tillstånd för riskbearbetning ger det aktuella tillståndet för feedbackbearbetning.
Relaterat innehåll
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för