Comment : donner des commentaires sur les risques dans Microsoft Entra ID Protection
Microsoft Entra ID Protection vous permet de donner votre avis sur son évaluation des risques. Le document suivant répertorie les scénarios dans lesquels vous souhaitez donner votre avis sur l’évaluation des risques de la protection Microsoft Entra ID et sur la manière dont nous l’intégrons.
Vos commentaires nous aident à optimiser les détections à l’avenir, à améliorer leur précision et à réduire les faux positifs.
Qu’est-ce qu’une détection ?
Une détection de la protection des ID est un indicateur d’activité suspecte du point de vue des risques d’identité. Les activités suspectes sont appelées des détections de risques. Ces détections basées sur l’identité peuvent être fonction d’une heuristique, de l’apprentissage automatique, ou peuvent provenir encore des produits de partenaires. Ces détections permettent de déterminer les risques liées aux connexions et aux utilisateurs :
- Un risque utilisateur reflète la probabilité qu’une identité soit compromise.
- Le risque de connexion représente la probabilité qu'une connexion soit compromise (par exemple, le propriétaire de l'identité n'a pas autorisé la connexion).
Pourquoi fournir des commentaires pour l’évaluation des risques ?
Plusieurs raisons motivent l’envoi de commentaires sur les risques :
- Vous avez trouvé l’évaluation des risques liés à l’utilisateur ou à la connexion de la protection Microsoft Entra ID incorrecte. Par exemple, une connexion figurant dans le rapport Connexions risquées s’est révélée inoffensive, et toutes les détections correspondantes étaient des faux positifs.
- Vous avez vérifié que l’évaluation des risques liés à l’utilisateur ou à la connexion de la protection Microsoft Entra ID était correcte. Par exemple, une connexion affichée dans le rapport Connexions à risque était effectivement malveillante et vous souhaitez informer Microsoft Entra ID que toutes les détections sur cette connexion étaient de vrais positifs.
- Vous avez corrigé le risque sur cet utilisateur en dehors de la protection Microsoft Entra ID et vous souhaitez que le niveau de risque de l’utilisateur soit mis à jour.
Comment Microsoft utilise-t-il mes commentaires sur les risques ?
Microsoft utilise vos commentaires pour mettre à jour le risque de l’utilisateur et/ou de la connexion sous-jacents ainsi que la précision de ces événements. Ces commentaires contribuent à protéger les utilisateurs finals. Par exemple, après que vous avez confirmé qu’une connexion est compromise, nous faisons immédiatement passer le niveau de risque de l’utilisateur et de risque agrégé de connexion (risque autre qu’en temps réel) sur élevé. Si cet utilisateur est inclus dans votre stratégie de risque utilisateur qui vise à forcer les utilisateurs à risques élevés à réinitialiser en toute sécurité leur mot de passe, l’utilisateur pourra automatiquement corriger le risque lors de sa prochaine connexion.
La protection Microsoft Entra ID offre les actions suivantes qu’un administrateur peut prendre sur les connexions risquées :
- Confirmer le risque : cette action confirme que la connexion est un vrai positif. La connexion est considérée comme risquée jusqu’à ce que les étapes de correction soient effectuées.
- Confirmer la sécurité : cette action confirme que la connexion est un faux positif. Les connexions similaires ne doivent pas être considérées comme risquées à l’avenir.
- Ignorer le risque : cette action est utilisée pour un vrai positif bénin. Cette connexion doit être marquée comme risquée, mais ne présente aucun risque immédiat. Les connexions similaires doivent continuer à être évaluées pour le risque à l’avenir. Vous pouvez utiliser cette option pendant un test d’intrusion de sécurité interne.
Comment fournir des commentaires sur les risques ? Quels sont les mécanismes sous-jacents ?
Voici les scénarios et les mécanismes permettant de fournir des informations sur les risques à Microsoft Entra ID.
| Scénario | Comment envoyer vos commentaires ? | Quel est le mécanisme sous-jacent ? | Notes |
|---|---|---|---|
| Connexion non compromise (faux positif) Le rapport Connexions risquées indique une connexion à risque [État du risque = À risque], mais celle-ci n’était pas compromise. |
Sélectionnez la connexion, puis Confirmer que la connexion est sécurisée. | Nous mettons le risque agrégé de connexion sur Aucun [État du risque = confirmé sécurisé ; Niveau de risque (Agrégé) = -] et annulons son impact sur le risque utilisateur. | Actuellement, l’option Confirmer que la connexion est sécurisée est uniquement disponible dans le rapport Connexions risquées. |
| Connexion compromise (vrai positif) Le rapport Connexions risquées indique une connexion à risque [État du risque = À risque] avec un risque faible [Niveau de risque (agrégat) = Faible], et cette connexion a été effectivement compromise. |
Sélectionnez la connexion, puis Confirmer que la connexion est compromise. | Nous mettons le risque agrégé de connexion et le risque utilisateur sur Élevé [État du risque = Confirmé compromis ; Niveau de risque = Élevé]. | Actuellement, l’option Confirmer que la connexion est compromise est uniquement disponible dans le rapport Connexions risquées. |
| Utilisateur compromis (vrai positif) Le rapport Utilisateurs à risque indique un utilisateur à risque [État du risque = À risque] avec un risque faible [Niveau de risque = Faible], et cet utilisateur a été effectivement compromis. |
Sélectionnez l’utilisateur, puis Confirmer que l’utilisateur est compromis. | Nous mettons le risque utilisateur sur Élevé [État du risque = Confirmé compromis ; Niveau de risque = Élevé] et ajoutons une nouvelle détection L’administrateur a confirmé que cet utilisateur est compromis. | Actuellement, l’option Confirmer que l’utilisateur est compromis est uniquement disponible dans le rapport Utilisateurs à risque. La détection L’administrateur a confirmé que cet utilisateur est compromis figure dans l’onglet Détections de risques non liés à une connexion dans le rapport Utilisateurs à risque. |
| Utilisateur corrigé en dehors de la protection Microsoft Entra ID (Vrai positif + corrigé) Le rapport Utilisateurs à risque montre un utilisateur à risque et j’ai ensuite corrigé l’utilisateur en dehors de la protection Microsoft Entra ID. |
1. Sélectionnez l’utilisateur, puis Confirmer que l’utilisateur est compromis. (Ce processus confirme à Microsoft Entra ID que l’utilisateur a effectivement été compromis.) 2. Attendez que le Niveau de risque de l’utilisateur passe à Élevé. (Cette fois, Microsoft Entra ID a le temps nécessaire pour transmettre les commentaires ci-dessus au moteur de risque.) 3. Sélectionnez l’utilisateur, puis Ignorer le risque lié à l’utilisateur. (Ce processus confirme à Microsoft Entra ID que l'utilisateur n'est plus compromis.) |
Microsoft Entra ID déplace le risque utilisateur vers aucun [État du risque = Rejeté ; Niveau de risque = -] et ferme le risque sur toutes les connexions existantes ayant un risque actif. | Cliquez sur Ignorer le risque lié à l’utilisateur pour fermer tous les risques liés à l’utilisateur et aux connexions passées. Cette action ne peut pas être annulée. |
| Utilisateur non compromis (faux positif) Le rapport Utilisateurs à risque montre l’utilisateur à risque, mais celui-ci n’est pas compromis. |
Sélectionnez l’utilisateur, puis Ignorer le risque lié à l’utilisateur. (Ce processus confirme à Microsoft Entra ID que l'utilisateur n'est pas compromis.) | Microsoft Entra ID déplace le risque utilisateur vers aucun [État du risque = Rejeté ; Niveau de risque = -]. | Cliquez sur Ignorer le risque lié à l’utilisateur pour fermer tous les risques liés à l’utilisateur et aux connexions passées. Cette action ne peut pas être annulée. |
| Je souhaite fermer le risque utilisateur, mais je ne sais pas si l’utilisateur est compromis/sécurisé. | Sélectionnez l’utilisateur, puis Ignorer le risque lié à l’utilisateur. (Ce processus confirme à Microsoft Entra ID que l'utilisateur n'est plus compromis.) | Nous déplaçons le risque utilisateur à aucun [État du risque = Rejeté ; Niveau de risque = -]. | Cliquez sur Ignorer le risque lié à l’utilisateur pour fermer tous les risques liés à l’utilisateur et aux connexions passées. Cette action ne peut pas être annulée. Nous vous recommandons de corriger l’utilisateur en cliquant sur Réinitialiser le mot de passe ou de lui demander de réinitialiser/modifier en toute sécurité ses informations d’identification. |
Les retours d’expérience sur les détections de risques utilisateur de la protection des ID sont traités hors connexion, et leur mise à jour peut prendre un certain temps. La colonne État du traitement des risques fournit l’état actuel du traitement des commentaires.