如何:在 Microsoft Entra ID Protection 中提供風險意見反應
Microsoft Entra ID Protection 可讓您對其風險評量提供意見反應。 以下文件列出您要對 Microsoft Entra ID Protection 的風險評量提出意見反應,以及我們如何將其納入的情節。
您的意見反應可協助我們在未來最佳化偵測、改善其正確性並減少誤判。
什麼是偵測?
ID Protection 偵測是一個來自身分識別風險觀點的可疑活動指標。 這些可疑活動稱為風險偵測。 這些以身分識別為基礎的偵測可以根據啟發學習法、機器學習,也可以來自合作夥伴產品。 這些偵測用來判斷登入風險和使用者風險,
- 使用者風險表示身分識別遭到入侵的機率。
- 登入風險代表了登入遭到入侵的機率 (例如,身分識別擁有者未授權該登入)。
為什麼我應該將風險意見反應提供給風險評量?
有幾個原因您應該提供風險意見反應:
- 您發現 Microsoft Entra ID Protection 使用者或登入風險評估不正確。 例如,在有風險的登入報告中顯示的登入是良性的,而且該登入上的所有偵測都是誤判為真。
- 您已驗證 Microsoft Entra ID Protection 使用者或登入風險評估是正確的。 例如,有風險的登入報告中顯示的登入確實是惡意的,而您想要 Microsoft Entra ID 知道該登入上的所有偵測都是確判為真。
- 您已在 Microsoft Entra ID Protection 之外修補了該使用者的風險,而您想要更新該使用者的風險等級。
Microsoft 如何使用我的風險意見反應?
Microsoft 會使用您的意見反應來更新基礎使用者及/或登入的風險,以及這些事件的正確性。 這些意見反應有助於保護終端使用者。 例如,一旦您確認登入遭到入侵,我們會立即將該使用者的風險和登入的彙總風險 (非即時風險) 新增為高。 如果此使用者包含在您的使用者風險原則中以強制高風險使用者安全地重設其密碼,則他們能夠在下次登入時自動修補。
系統管理員可以對具風險的登入事件採取動作,並選擇:
- 確認登入遭 入侵 – 此動作會確認登入為真真。 該登入會被視為有風險,直到採取修復步驟為止。
- 確認登入安全 – 此動作會確認登入為誤判。 未來不應將類似的登入視為有風險。
- 關閉登入風險 – 此動作用於良性真陽性。 我們偵測到的這個登入風險是真實的,但不是惡意,例如來自已核准應用程式所產生已知滲透測試或已知活動的登入風險。 今後,應繼續對類似的登入進行風險評估。
對用戶層級採取動作會套用至目前與該使用者相關聯的所有偵測。 系統管理員可以對用戶採取動作,並選擇:
- 重設密碼 - 此動作會撤銷使用者的目前工作階段。
- 確認使用者遭 入侵 - 此動作會以真正的正面方式執行。 標識元保護會將用戶風險設定為高,並新增新的偵測,系統管理員確認使用者遭入侵。 在採取補救步驟之前,系統會將用戶視為有風險。
- 確認使用者安全 - 此動作是在誤判時採取的。 這樣做會移除此使用者的風險和偵測,並將其置於學習模式中,以重新學習使用屬性。 您可以使用此選項來標示誤判。
- 關閉使用者風險 - 此動作會針對良性正面用戶風險採取。 我們偵測到的這個用戶風險是真實的,但不是惡意的,就像已知滲透測試中偵測到的風險一樣。 類似的用戶應該會繼續評估未來的風險。
- 封鎖使用者 - 如果攻擊者能夠存取密碼或能夠執行 MFA,此動作會封鎖使用者登入。
- 使用 Microsoft 365 Defender 進行調查 - 此動作會讓系統管理員前往 Microsoft Defender 入口網站,以允許系統管理員進一步調查。
標識元保護中風險偵測的意見反應會脫機處理,可能需要一些時間才能更新。 [風險處理狀態] 欄提供目前的意見反應處理狀態。