Postupy: Poskytnutí zpětné vazby k rizikům ve službě Microsoft Entra ID Protection
Microsoft Entra ID Protection umožňuje poskytnout zpětnou vazbu k posouzení rizik. Následující dokument uvádí scénáře, ve kterých byste chtěli poskytnout zpětnou vazbu k posouzení rizik společnosti Microsoft Entra ID Protection a způsobu jeho začlenění.
Vaše zpětná vazba nám pomůže optimalizovat detekce v budoucnu, zlepšit jejich přesnost a snížit falešně pozitivní výsledky.
Co je detekce?
Detekce ochrany ID je indikátorem podezřelé aktivity z hlediska rizika identity. Tyto podezřelé aktivity se nazývají detekce rizik. Tyto detekce založené na identitách můžou být založené na heuristikách, strojovém učení nebo můžou pocházet z partnerských produktů. Tyto detekce se používají k určení rizik přihlašování a rizik uživatelů,
- Riziko uživatele představuje pravděpodobnost ohrožení identity.
- Riziko přihlášení představuje pravděpodobnost ohrožení zabezpečení přihlášení (například vlastník identity neověřil přihlášení).
Proč mám dát hodnocení rizik zpětnou vazbu?
Existuje několikdůvodůch
- Zjistili jste, že uživatel služby Microsoft Entra ID Protection nebo posouzení rizik přihlašování je nesprávné. Například přihlášení zobrazené v sestavě rizikových přihlášení bylo neškodné a všechny detekce na tomto přihlášení byly falešně pozitivní.
- Ověřili jste, že uživatel služby Microsoft Entra ID Protection nebo posouzení rizik přihlašování byl správný. Například přihlášení zobrazené v sestavě rizikových přihlášení bylo skutečně škodlivé a chcete, aby ID Microsoft Entra věděl, že všechny detekce na tomto přihlášení byly skutečně pozitivní.
- Opravili jste riziko u tohoto uživatele mimo microsoft Entra ID Protection a chcete, aby se úroveň rizika uživatele aktualizovala.
Jak Microsoft používá zpětnou vazbu k riziku?
Microsoft používá vaši zpětnou vazbu k aktualizaci rizika souvisejícího uživatele nebo přihlášení a přesnosti těchto událostí. Tato zpětná vazba pomáhá zabezpečit koncového uživatele. Když například potvrdíte, že je přihlášení ohroženo, okamžitě zvýšíme riziko uživatele a celkové riziko přihlášení (ne riziko v reálném čase) na vysoké. Pokud je tento uživatel součástí zásad rizik uživatelů, aby uživatelé s vysokým rizikem bezpečně resetovali svá hesla, budou moct při příštím přihlášení automaticky napravit.
Microsoft Entra ID Protection nabízí následující akce, které může správce provést při rizikových přihlášeních:
- Potvrzení rizika – tato akce potvrzuje, že přihlášení je pravdivě pozitivní. Přihlášení se považuje za rizikové, dokud se nedočká nápravných kroků.
- Potvrďte bezpečnost – tato akce potvrzuje, že přihlášení je falešně pozitivní. Podobné přihlášení by se v budoucnu neměly považovat za rizikové.
- Zavřít riziko – tato akce se používá pro neškodné pravdivě pozitivní. Toto přihlášení by mělo být označeno jako rizikové, ale nepředstavuje žádné okamžité riziko. Podobné přihlášení by se mělo dál vyhodnocovat z hlediska rizika. Tuto možnost můžete použít při interním penetračním testu zabezpečení.
Jak mám poskytnout zpětnou vazbu k riziku a co se stane pod kapotou?
Tady jsou scénáře a mechanismy pro poskytnutí zpětné vazby k riziku pro ID Microsoft Entra.
| Scénář | Jak poskytnout zpětnou vazbu? | Co se stane pod kapotou? | Notes |
|---|---|---|---|
| Přihlášení není ohroženo (falešně pozitivní) Sestava rizikových přihlášení zobrazuje přihlášení s rizikem [Stav rizika = Ohroženo] ale přihlášení nebylo ohroženo. |
Vyberte přihlášení a potvrďte bezpečné přihlášení. | Agregované riziko přihlášení přesuneme na žádné [Stav rizika = Potvrzeno bezpečné; Úroveň rizika (Agregace) = -] a obrátit její účinek na riziko uživatele. | V současné době je v sestavě rizikových přihlášení dostupná jenom možnost Potvrdit bezpečné přihlášení. |
| Ohrožené přihlášení (pravdivě pozitivní) Sestava rizikových přihlášení zobrazuje přihlášení s rizikem [Stav rizika = Ohroženo] s nízkou úrovní rizika [Úroveň rizika (Agregace) = Nízká] a že přihlášení bylo skutečně ohroženo. |
Vyberte přihlášení a potvrďte ohrožení zabezpečení přihlášení. | Přesuneme agregované riziko přihlášení a riziko uživatele do stavu Vysoké [Stav rizika = Potvrzeno ohrožení zabezpečení; Úroveň rizika = vysoká]. | V současné době je možnost Potvrdit ohrožení zabezpečení přihlášení dostupná jenom v sestavě rizikových přihlášení. |
| Ohrožení zabezpečení uživatele (pravdivě pozitivní) Sestava rizikových uživatelů zobrazuje rizikového uživatele [Stav rizika = Ohroženo] s nízkým rizikem [Úroveň rizika = Nízká] a uživatel byl skutečně ohrožen. |
Vyberte uživatele a potvrďte ohrožení zabezpečení uživatele. | Riziko uživatele přesuneme na vysoké [Stav rizika = Potvrzeno ohrožení zabezpečení; Úroveň rizika = Vysoká] a přidejte novou detekci Správa potvrzené ohrožení uživatele. | V současné době je v sestavě rizikových uživatelů dostupná možnost Potvrdit ohrožení zabezpečení uživatele. Detekce Správa potvrzené ohrožení zabezpečení uživatelem se zobrazuje na kartě Detekce rizik, která nejsou propojená s přihlášením v sestavě Rizikových uživatelů. |
| Náprava uživatele mimo Microsoft Entra ID Protection (True positive + Remediated) Sestava rizikových uživatelů zobrazuje rizikového uživatele a poté jsem uživatele opravili mimo microsoft Entra ID Protection. |
1. Vyberte uživatele a pak potvrďte ohrožení zabezpečení uživatele. (Tento proces potvrzuje id Microsoft Entra, že byl uživatel skutečně ohrožen.) 2. Počkejte, až úroveň rizika uživatele přejde na Vysokou. (Tentokrát poskytne Microsoft Entra ID potřebné k tomu, aby se výše uvedená zpětná vazba k rizikovému modulu projevila.) 3. Vyberte uživatele a pak zavřete riziko uživatele. (Tento proces potvrdí ID Microsoft Entra, že uživatel již není ohrožen.) |
ID Microsoft Entra přesune riziko uživatele na žádné [Stav rizika = Zamítnuto; Úroveň rizika = -] a uzavře riziko u všech existujících přihlášení s aktivním rizikem. | Kliknutím na Zavřít riziko uživatele zavřete všechna rizika u uživatele a předchozích přihlášení. Tuto akci nelze vrátit zpět. |
| Uživatel nebyl ohrožen (falešně pozitivní) Sestava rizikových uživatelů se zobrazuje na rizikovém uživateli, ale uživatel není ohrožen. |
Vyberte uživatele a pak zavřete riziko uživatele. (Tento proces potvrdí id Microsoft Entra, že uživatel není ohrožen.) | ID Microsoft Entra přesune riziko uživatele na žádné [Stav rizika = Zamítnuto; Úroveň rizika = -]. | Kliknutím na Zavřít riziko uživatele zavřete všechna rizika u uživatele a předchozích přihlášení. Tuto akci nelze vrátit zpět. |
| Chci zavřít riziko uživatele, ale nejsem si jistý, jestli je uživatel ohrožen nebo bezpečný. | Vyberte uživatele a pak zavřete riziko uživatele. (Tento proces potvrdí ID Microsoft Entra, že uživatel již není ohrožen.) | Riziko uživatele přesuneme na žádné [Stav rizika = Zamítnuto; Úroveň rizika = -]. | Kliknutím na Zavřít riziko uživatele zavřete všechna rizika u uživatele a předchozích přihlášení. Tuto akci nelze vrátit zpět. Doporučujeme, abyste uživatele opravili kliknutím na Resetovat heslo nebo požádejte uživatele, aby bezpečně resetoval nebo změnil své přihlašovací údaje. |
Zpětná vazba k detekci rizik uživatelů ve službě ID Protection se zpracovává offline a aktualizace může nějakou dobu trvat. Sloupec stavu zpracování rizik poskytuje aktuální stav zpracování zpětné vazby.