如何:在 Microsoft Entra ID 保护中提供风险反馈
Microsoft Entra ID 保护允许针对其风险评估提供反馈。 以下文档列出了在哪种情况下需要针对 Microsoft Entra ID 保护的风险评估提供反馈,以及如何整合反馈。
你的反馈有助于我们在未来优化检测,提高检测的准确度,并减少误报。
什么是检测?
ID 保护检测从标识风险的角度来反映可疑活动。 这些可疑活动称为风险检测。 这些基于标识的检测可以基于试探法和机器学习,或者来自于合作伙伴产品。 这些检测用于确定登录风险和用户风险。
- 用户风险表示标识遭到入侵的概率。
- 登录风险表示登录受到影响的概率(例如,标识所有者未授权登录)。
为何应针对风险评估提供风险反馈?
提供风险反馈的原因有多种:
- 你发现 Microsoft Entra ID 保护的用户风险或登录风险评估不正确。 例如,“有风险的登录”报告中显示的登录是合法的,针对该登录的所有检测结果均为误报。
- 你已验证 Microsoft Entra ID 保护的用户风险或登录风险评估是正确的。 例如,《风险登录》报告中显示的登录确实是恶意的,你希望 Microsoft Entra ID 知道针对该登录的所有检测结果均为正确判断。
- 你已在 Microsoft Entra ID 保护的外部消除了该用户的风险,希望更新用户的风险级别。
Microsoft 如何使用我的风险反馈?
Microsoft 使用你的反馈来更新底层用户和/或登录的风险以及这些事件的准确度。 此反馈有助于保护最终用户的安全。 例如,在确认登录凭据遭到入侵后,我们会立即将用户的风险以及登录的聚合风险(而不是实时风险)提升为“高”。 如果此用户已包含在用户风险策略中,以强制高风险用户以安全方式重置其密码,则该用户在下次登录时,可自动修正问题。
Microsoft Entra ID 保护为管理员提供以下在有风险登录时可能执行的操作:
- 确认风险:此操作确认登录有风险为正确判断。 在采取修正步骤之前,登录会被视为有风险。
- 确认安全:此操作确认登录有风险为误报。 将来不应将类似的登录视为有风险。
- 消除风险:此操作用于确认有风险为正确判断但风险为良性。 此登录应标记为有风险,但不会带来直接的风险。 应继续评估类似的登录,以应对未来的风险。 在内部安全渗透测试期间,可以使用此选项。
如何提供风险反馈,幕后会发生什么情况?
下面是向 Microsoft Entra ID 提供风险反馈的方案和机制。
| 方案 | 如何提供反馈? | 幕后会发生什么情况? | 备注 |
|---|---|---|---|
| 登录凭据未遭到入侵(误报) 《风险登录》报告显示存在风险登录 [风险状态 = 有风险],但该登录没有遭到入侵。 |
选择该登录,然后选择“确认登录安全”。 | 我们会将登录的聚合风险改为“无”[风险状态 = 确认安全;风险级别(聚合)= -],并消除它对用户风险造成的影响。 | 目前,“确认登录安全”选项仅在“有风险的登录”报告中可用。 |
| 登录凭据已遭到入侵(漏报) “有风险的登录”报告显示登录有风险 [风险状态 = 有风险],其风险较低 [风险级别(聚合) = 低],而且登录凭据确实已遭到入侵。 |
选择该登录,然后单击“确认登录遭到入侵”。 | 我们会将登录的聚合风险和用户风险改为“高”[风险状态 = 确认已遭到入侵;风险级别 = 高]。 | 目前,“确认登录凭据已遭到入侵”选项仅在“有风险的登录”报告中可用。 |
| 用户已遭到入侵(漏报) “有风险的用户”报告显示用户有风险 [风险状态 = 有风险],其风险较低 [风险级别 = 低],而且该用户确实已遭到入侵。 |
选择该用户,然后单击“确认用户已受到入侵”。 | 我们会将用户风险改为“高”[风险状态 = 确认已遭到入侵;风险级别 = 高],并将添加新的检测“管理员确认用户已遭到入侵”。 | 目前,“确认用户遭到入侵”选项仅在“有风险的用户”报告中可用。 检测“管理员确认用户已遭到入侵”显示在“有风险的用户”报告中的“未链接到登录的风险检测”选项卡上。 |
| 用户已在 Microsoft Entra ID 保护外部修正(漏报 + 已修正) 《风险用户》报告显示有风险的用户,然后我在 Microsoft Entra ID 保护之外修正了该用户的问题。 |
1.选择该用户,然后单击“确认用户已受到入侵”。 (此过程向 Microsoft Entra ID 确认该用户确实已遭到入侵。) 2.等待用户的“风险级别”转为“高”。 (Microsoft Entra ID 需要利用这段时间向风险引擎引入上述反馈。) 3.选择该用户,然后单击“消除用户风险”。 (此过程向 Microsoft Entra ID 确认该用户不再遭到入侵。) |
Microsoft Entra ID 会将用户风险改为“无”[风险状态 = 已消除;风险级别 = -],并关闭所有具有活动风险的现有登录的风险。 | 单击“消除用户风险”会关闭该用户和以往登录的所有风险。此操作不能撤消。 |
| 用户未遭到入侵(误报) 《风险用户》报告显示存在风险用户,但该用户并未遭到入侵。 |
选择该用户,然后单击“消除用户风险”。 (此过程向 Microsoft Entra ID 确认该用户未遭到入侵。) | Microsoft Entra ID 会将用户风险改为“无”[风险状态 = 已消除;风险级别 = -]。 | 单击“消除用户风险”会关闭该用户和以往登录的所有风险。此操作不能撤消。 |
| 我想要关闭用户风险,但不确定该用户是否受到影响/是否安全。 | 选择该用户,然后单击“消除用户风险”。 (此过程向 Microsoft Entra ID 确认该用户不再遭到入侵。) | 我们会将用户风险改为“无”[风险状态 = 已消除;风险级别 = -]。 | 单击“消除用户风险”会关闭该用户和以往登录的所有风险。此操作不能撤消。 建议通过单击“重置密码”来修正用户,或者请求用户以安全方式重置/更改其凭据。 |
针对 ID 保护中用户风险检测的反馈将会脱机处理,可能需要一段时间才能更新。 “风险处理状态”列提供当前的反馈处理状态。