如何:在 Microsoft Entra ID 保护中提供风险反馈
Microsoft Entra ID 保护允许针对其风险评估提供反馈。 以下文档列出了在哪种情况下需要针对 Microsoft Entra ID 保护的风险评估提供反馈,以及如何整合反馈。
你的反馈有助于我们在未来优化检测,提高检测的准确度,并减少误报。
什么是检测?
ID 保护检测从标识风险的角度来反映可疑活动。 这些可疑活动称为风险检测。 这些基于标识的检测可以基于试探法和机器学习,或者来自于合作伙伴产品。 这些检测用于确定登录风险和用户风险。
- 用户风险表示标识遭到入侵的概率。
- 登录风险表示登录受到影响的概率(例如,标识所有者未授权登录)。
为何应针对风险评估提供风险反馈?
提供风险反馈的原因有多种:
- 你发现 Microsoft Entra ID 保护的用户风险或登录风险评估不正确。 例如,“有风险的登录”报告中显示的登录是合法的,针对该登录的所有检测结果均为误报。
- 你已验证 Microsoft Entra ID 保护的用户风险或登录风险评估是正确的。 例如,《风险登录》报告中显示的登录确实是恶意的,你希望 Microsoft Entra ID 知道针对该登录的所有检测结果均为正确判断。
- 你已在 Microsoft Entra ID 保护的外部消除了该用户的风险,希望更新用户的风险级别。
Microsoft 如何使用我的风险反馈?
Microsoft 使用你的反馈来更新底层用户和/或登录的风险以及这些事件的准确度。 此反馈有助于保护最终用户的安全。 例如,在确认登录凭据遭到入侵后,我们会立即将用户的风险以及登录的聚合风险(而不是实时风险)提升为“高”。 如果此用户已包含在用户风险策略中,以强制高风险用户以安全方式重置其密码,则该用户在下次登录时,可自动修正问题。
管理员可以针对风险登录事件执行操作并选择:
- 确认登录信息已泄露 – 此操作确认该登录存在风险。 在采取修正步骤之前,登录会被视为有风险。
- 确认登录安全 – 此操作确认登录有风险为误报。 将来不应将类似的登录视为有风险。
- 消除登录风险 – 此操作用于良性的真正风险。 我们检测到的此登录风险是真实的,但不是恶意的,就像来自已知渗透测试或经批准的应用程序生成的已知活动的风险一样。 应继续评估类似的登录,以应对未来的风险。
在用户级别执行操作适用于当前与该用户关联的所有检测。 管理员可以对用户执行操作,并选择:
- 重置密码 - 此操作将撤销用户的当前会话。
- 确认用户遭到入侵 - 在真正情况下将采取此操作。 ID 保护将用户风险设置为高,并添加新的检测,即管理员确认用户被入侵。 在采取修正步骤之前,用户会被视为面临风险。
- 确认用户安全 - 对误报执行此操作。 这样做会消除此用户的风险和检测,并将其置于学习模式下以重新学习使用属性。 可以使用此选项来标记误报。
- 消除用户风险 - 针对良性的积极用户风险执行此操作。 我们检测到的此用户风险是真实的,但不是恶意的,就像已知渗透测试中的风险一样。 应继续评估类似用户,以应对未来的风险。
- 阻止用户 - 如果攻击者有权访问密码或能够执行 MFA,此操作将阻止用户登录。
- 使用 Microsoft 365 Defender 进行调查 - 此操作会将管理员转到 Microsoft Defender 门户,以允许管理员进一步调查。
针对 ID 保护中风险检测的反馈将会脱机处理,可能需要一段时间才能更新。 “风险处理状态”列提供当前的反馈处理状态。