Nasıl yapılır: Azure AD Kimlik Koruması'nda risk geri bildirimi verme

Azure AD Kimlik Koruması, risk değerlendirmesi hakkında geri bildirim göndermenize olanak tanır. Aşağıdaki belge, Azure AD Kimlik Koruması'nın risk değerlendirmesi ve bunu nasıl dahil ettiğimiz hakkında geri bildirimde bulunmak istediğiniz senaryoları listeler.

Algılama nedir?

Kimlik Koruması algılama, kimlik riski açısından şüpheli etkinliğin göstergesidir. Bu şüpheli etkinliklere risk algılama denir. Bu kimlik tabanlı algılamalar buluşsal yöntemlere, makine öğrenmelerine dayalı olabilir veya iş ortağı ürünlerinden gelebilir. Bu algılamalar, oturum açma riskini ve kullanıcı riskini belirlemek için kullanılır,

  • Kullanıcı riski, kimliğin tehlikeye atılmış olma olasılığını temsil eder.
  • Oturum açma riski, bir oturum açma güvenliğinin aşılmış olma olasılığını temsil eder (örneğin, oturum açma kimliği sahibi tarafından yetkilendirilmiyor).

Azure AD risk değerlendirmelerine neden risk geri bildirimi vermeliyim?

Azure AD risk geri bildirimi vermenin birkaç nedeni vardır:

  • Azure AD kullanıcısını veya oturum açma riski değerlendirmesini yanlış buldunuz. Örneğin, 'Riskli oturum açma işlemleri' raporunda gösterilen bir oturum açma iyi huyluydu ve bu oturum açma işlemindeki tüm algılamalar hatalı pozitifti.
  • Azure AD kullanıcı veya oturum açma riski değerlendirmesinin doğru olduğunu doğruladıysanız. Örneğin, 'Riskli oturum açma işlemleri' raporunda gösterilen bir oturum açma gerçekten kötü amaçlıydı ve Azure AD bu oturum açma işlemindeki tüm algılamaların gerçek pozitif olduğunu bilmesini istiyorsunuz.
  • Azure AD Kimlik Koruması dışında bu kullanıcı üzerindeki riski düzeltmiş ve kullanıcının risk düzeyinin güncelleştirilmesini istiyorsunuz.

Azure AD risk geri bildirimimi nasıl kullanır?

Azure AD, temel alınan kullanıcının ve/veya oturum açma riskini ve bu olayların doğruluğunu güncelleştirmek için geri bildiriminizi kullanır. Bu geri bildirim, son kullanıcının güvenliğini sağlamaya yardımcı olur. Örneğin, bir oturum açma güvenliğinin aşıldığını onayladıktan sonra Azure AD kullanıcının riskini ve oturum açmanın toplam riskini (gerçek zamanlı risk değil) hemen Yüksek olarak artırır. Bu kullanıcı, Yüksek riskli kullanıcıları parolalarını güvenli bir şekilde sıfırlamaya zorlamak için kullanıcı risk ilkenize dahil edilirse, kullanıcı bir sonraki oturum açışında kendini otomatik olarak düzeltecektir.

Risk geri bildirimini nasıl verebilirim ve arka planda ne olur?

Azure AD risk geri bildiriminde bulunmak için senaryolar ve mekanizmalar aşağıdadır.

Senaryo Nasıl geri bildirimde bulunmak için? Arka planda ne olur? Notlar
Oturum açma risk altında değil (Hatalı pozitif)
'Riskli oturum açma işlemleri' raporu risk altındaki bir oturum açmayı gösteriyor [Risk durumu = Risk altında] ancak bu oturum açma riskine girmemiş.
Oturum açmayı ve ardından 'Oturum açmanın güvenli olduğunu onaylayın'ı seçin. Azure AD oturum açma işleminin toplam riskini yok [Risk durumu = Onaylandı güvenli; Risk düzeyi (Toplama) = -] ve kullanıcı riski üzerindeki etkisini tersine çevirir. Şu anda 'Güvenli oturum açmayı onayla' seçeneği yalnızca 'Riskli oturum açma işlemleri' raporunda kullanılabilir.
Oturum açma güvenliği aşıldı (Gerçek pozitif)
'Riskli oturum açma işlemleri' raporu, risk altındaki bir oturum açmayı [Risk durumu = Risk altında] ve düşük riskli [Risk düzeyi (Toplam) = Düşük] olduğunu ve bu oturum açmanın gerçekten tehlikeye girdiğini gösteriyor.
Oturum açmayı ve ardından 'Oturum açma güvenliğinin aşıldığını onaylayın' seçeneğini belirleyin. Azure AD, oturum açma işleminin toplam riskini ve kullanıcı riskini Yüksek [Risk durumu = Güvenliğin aşıldığı onaylandı; Risk düzeyi = Yüksek]. Şu anda 'Oturum açma güvenliğinin aşıldığını onayla' seçeneği yalnızca 'Riskli oturum açma işlemleri' raporunda kullanılabilir.
Kullanıcının güvenliği aşıldı (Gerçek pozitif)
'Riskli kullanıcılar' raporu düşük riskli [Risk düzeyi = Düşük] riski olan bir risk altındaki kullanıcıyı [Risk durumu = Risk altında] gösterir ve bu kullanıcı gerçekten risk altındadır.
Kullanıcıyı seçin ve ardından 'Kullanıcının güvenliğinin aşıldığını onaylayın'. Azure AD kullanıcı riskini Yüksek [Risk durumu = Güvenliğin aşıldığı onaylandı; risk düzeyi = Yüksek] ve yeni bir algılama ekler 'Yönetici onaylanan kullanıcı güvenliği aşıldı'. Şu anda 'Kullanıcının güvenliğinin aşıldığını onaylayın' seçeneği yalnızca 'Riskli kullanıcılar' raporunda kullanılabilir.
'Riskli kullanıcılar' raporundaki 'Risk algılamaları oturum açma işlemine bağlı değil' sekmesinde 'Yönetici onaylanan kullanıcı güvenliği aşıldı' algılaması gösterilir.
Azure AD Kimlik Koruması dışında düzeltilmiş kullanıcı (Gerçek pozitif + Düzeltilmiş)
'Riskli kullanıcılar' raporu risk altındaki bir kullanıcıyı gösteriyor ve daha sonra kullanıcıyı Azure AD Kimlik Koruması dışında düzeltiyorum.
1. Kullanıcıyı seçin ve ardından 'Kullanıcının güvenliğinin aşıldığını onaylayın'. (Bu işlem, kullanıcının gerçekten tehlikeye girdiğini Azure AD onaylar.)
2. Kullanıcının 'Risk düzeyi'nin Yüksek'e gitmesini bekleyin. (Bu kez Azure AD yukarıdaki geri bildirimleri risk altyapısına almak için gereken süreyi verir.)
3. Kullanıcıyı seçin ve ardından 'Kullanıcı riskini kapatın'. (Bu işlem, kullanıcının artık gizliliğinin ihlal Azure AD onaylar.)
Azure AD kullanıcı riskini yok durumuna taşır [Risk durumu = Kapatıldı; Risk düzeyi = -] ve etkin riski olan tüm mevcut oturum açma işlemleriyle ilgili riski kapatır. 'Kullanıcı riskini kapat' seçeneğine tıklanması, kullanıcı ve geçmiş oturum açma işlemleri üzerindeki tüm riski kapatır. Bu eylem geri alınamaz.
Kullanıcının güvenliği tehlikeye atılmadı (Hatalı pozitif)
'Riskli kullanıcılar' raporu risk altındaki kullanıcıyı gösteriyor ancak kullanıcının güvenliği tehlikeye girmemiş.
Kullanıcıyı ve ardından 'Kullanıcı riskini kapat'ı seçin. (Bu işlem, kullanıcının gizliliğinin ihlal Azure AD onaylar.) Azure AD kullanıcı riskini yok durumuna taşır [Risk durumu = Kapatıldı; Risk düzeyi = -]. 'Kullanıcı riskini kapat' seçeneğine tıklanması, kullanıcı ve geçmiş oturum açma işlemleri üzerindeki tüm riski kapatır. Bu eylem geri alınamaz.
Kullanıcı riskini kapatmak istiyorum ama kullanıcının güvenliğinin aşılıp aşılmadığını bilmiyorum. Kullanıcıyı ve ardından 'Kullanıcı riskini kapat'ı seçin. (Bu işlem, kullanıcının artık gizliliğinin ihlal Azure AD onaylar.) Azure AD kullanıcı riskini yok durumuna taşır [Risk durumu = Kapatıldı; Risk düzeyi = -]. 'Kullanıcı riskini kapat' seçeneğine tıklanması, kullanıcı ve geçmiş oturum açma işlemleri üzerindeki tüm riski kapatır. Bu eylem geri alınamaz. 'Parolayı sıfırla' seçeneğine tıklayarak veya kullanıcıdan kimlik bilgilerini güvenli bir şekilde sıfırlamasını/değiştirmesini isteyerek kullanıcıyı düzeltmenizi öneririz.

Kimlik Koruması'ndaki kullanıcı riski algılamalarıyla ilgili geri bildirim çevrimdışı olarak işlenir ve güncelleştirilmek biraz zaman alabilir. Risk işleme durumu sütunu, geri bildirim işlemenin geçerli durumunu sağlar.

Riskli kullanıcı raporu için risk işleme durumu

Sonraki adımlar