Útmutató: Kockázati visszajelzés küldése Microsoft Entra ID-védelem
Microsoft Entra ID-védelem lehetővé teszi, hogy visszajelzést küldjön a kockázatértékelésről. Az alábbi dokumentum felsorolja azokat a forgatókönyveket, amelyekben visszajelzést szeretne küldeni Microsoft Entra ID-védelem kockázatértékeléséről és annak beépítésének módjáról.
Mi az észlelés?
Az azonosítóvédelem észlelése az identitáskockázat szempontjából gyanús tevékenységek jelzése. Ezeket a gyanús tevékenységeket kockázatészlelésnek nevezzük. Ezek az identitásalapú észlelések heurisztikus és gépi tanuláson alapulhatnak, vagy partnertermékekből származhatnak. Ezek az észlelések a bejelentkezési kockázat és a felhasználói kockázat meghatározására szolgálnak,
- A felhasználói kockázat az identitás sérülésének valószínűségét jelenti.
- A bejelentkezési kockázat azt a valószínűséget jelenti, hogy a bejelentkezés sérül (például az identitástulajdonos nem engedélyezte a bejelentkezést).
Miért érdemes kockázatvisszajelzést adnom a Microsoft Entra ID kockázatértékeléseinek?
A Microsoft Entra kockázati visszajelzésének több oka is van:
- Helytelennek találta a Microsoft Entra-azonosító felhasználójának vagy bejelentkezési kockázatértékelésének értékelését. A "Kockázatos bejelentkezések" jelentésben látható bejelentkezés például jóindulatú volt, és a bejelentkezés összes észlelése hamis pozitív volt.
- Ön igazolta, hogy a Microsoft Entra ID felhasználó- vagy bejelentkezési kockázatértékelése helyes volt. A "Kockázatos bejelentkezések" jelentésben látható bejelentkezés például valóban rosszindulatú volt, és azt szeretné, hogy a Microsoft Entra-azonosító tudja, hogy a bejelentkezés minden észlelése valódi pozitív volt.
- Kijavította az adott felhasználóra vonatkozó kockázatot a Microsoft Entra ID-védelem kívül, és azt szeretné, hogy a felhasználó kockázati szintje frissüljön.
Hogyan használja a Microsoft Entra ID a kockázati visszajelzésemet?
A Microsoft Entra ID a visszajelzésével frissíti a mögöttes felhasználó és/vagy bejelentkezés kockázatát, valamint az események pontosságát. Ez a visszajelzés segít a végfelhasználó biztonságának biztosításában. Ha például megerősíti, hogy a bejelentkezés sérült, a Microsoft Entra ID azonnal növeli a felhasználó kockázatát, és a bejelentkezés összesített kockázatát (nem valós idejű kockázatot) magasra növeli. Ha ez a felhasználó szerepel a felhasználói kockázati szabályzatban, amely arra kényszeríti a magas kockázatú felhasználókat, hogy biztonságosan visszaállítsák a jelszavaikat, a felhasználó automatikusan szervizeli magát a következő bejelentkezéskor.
Hogyan adjak kockázati visszajelzést, és mi történik a motorháztető alatt?
Az alábbi forgatókönyvek és mechanizmusok nyújtanak kockázatvisszajelzést a Microsoft Entra ID-nak.
| Eset | Hogyan adhat visszajelzést? | Mi történik a motorháztető alatt? | Jegyzetek |
|---|---|---|---|
| A bejelentkezés nem sérült (hamis pozitív) A "Kockázatos bejelentkezések" jelentés egy kockázatos bejelentkezést [Kockázati állapot = Veszélyben] jelenít meg, de a bejelentkezés nem sérült. |
Válassza ki a bejelentkezést, majd a "Bejelentkezés biztonságos megerősítése" lehetőséget. | A bejelentkezés összesített kockázatát egyikre sem helyezzük át [Kockázati állapot = Megerősített biztonságos; Kockázati szint (Összesítés) = -] és a felhasználói kockázatra gyakorolt hatás megfordítása. | A "Bejelentkezés biztonságos megerősítése" lehetőség jelenleg csak a "Kockázatos bejelentkezések" jelentésben érhető el. |
| A bejelentkezés sérült (igaz pozitív) A "Kockázatos bejelentkezések" jelentés egy kockázatos bejelentkezést [Kockázati állapot = Veszélyeztetett] alacsony kockázatú [Kockázati szint (Összesítés) = Alacsony] kockázattal mutat, és hogy a bejelentkezés valóban veszélybe került. |
Válassza ki a bejelentkezést, majd a "Bejelentkezés megerősítése sérült" lehetőséget. | A bejelentkezés összesített kockázatát és a felhasználói kockázatot magasra helyezzük [Kockázati állapot = Megerősített sérült; Kockázati szint = Magas]. | A "Bejelentkezés megerősítése sérült" lehetőség jelenleg csak a "Kockázatos bejelentkezések" jelentésben érhető el. |
| Felhasználó biztonsága sérült (igaz pozitív) A "Kockázatos felhasználók" jelentés egy kockázatos felhasználót [Kockázati állapot = Veszélyeztetett] alacsony kockázattal [Kockázati szint = Alacsony] mutat, és ez a felhasználó valóban sérült. |
Válassza ki a felhasználót, majd a "Felhasználó biztonsága megerősítése" lehetőséget. | A felhasználói kockázatot magas [Kockázati állapot = Igazoltan sérült; Kockázati szint = Magas], és adjon hozzá egy új észlelést "Rendszergazda megerősített felhasználó sérült". | A "Felhasználó feltörésének megerősítése" lehetőség jelenleg csak a "Kockázatos felhasználók" jelentésben érhető el. A "Rendszergazda megerősített felhasználó biztonsága" észlelés a "Kockázatos felhasználók" jelentés "A bejelentkezéshez nem kapcsolódó kockázatészlelések" lapján jelenik meg. |
| Microsoft Entra ID-védelem kívül szervizelt felhasználó (Igaz pozitív + Szervizelt) A "Kockázatos felhasználók" jelentés egy kockázatos felhasználót jelenít meg, és ezt követően kijavítottam a felhasználót Microsoft Entra ID-védelem kívül. |
1. Válassza ki a felhasználót, majd a "Felhasználó biztonsága megerősítése" lehetőséget. (Ez a folyamat megerősíti a Microsoft Entra-azonosítónak, hogy a felhasználó valóban sérült.) 2. Várja meg, amíg a felhasználó kockázati szintje a Magas értékre kerül. (Ez az idő megadja a Microsoft Entra ID-nak a szükséges időt, hogy a fenti visszajelzést elküldje a kockázati motornak.) 3. Válassza ki a felhasználót, majd a "Felhasználói kockázat elvetése" lehetőséget. (Ez a folyamat megerősíti a Microsoft Entra-azonosítónak, hogy a felhasználó már nem sérült.) |
A Microsoft Entra ID a felhasználói kockázatot egyikre sem helyezi át [Kockázati állapot = Elvetve; Kockázati szint = -] és bezárja a kockázatot az összes aktív kockázattal rendelkező meglévő bejelentkezésnél. | A "Felhasználói kockázat elvetése" gombra kattintva bezárja a felhasználóra és a korábbi bejelentkezésekre vonatkozó összes kockázatot. Ez a művelet nem vonható vissza. |
| A felhasználó nem sérült (hamis pozitív) A "Kockázatos felhasználók" jelentés a veszélyeztetett felhasználónál jelenik meg, de a felhasználó nem sérült. |
Válassza ki a felhasználót, majd a "Felhasználói kockázat elvetése" lehetőséget. (Ez a folyamat megerősíti a Microsoft Entra-azonosítónak, hogy a felhasználó nem sérült.) | A Microsoft Entra ID a felhasználói kockázatot egyikre sem helyezi át [Kockázati állapot = Elvetve; Kockázati szint = -]. | A "Felhasználói kockázat elvetése" gombra kattintva bezárja a felhasználóra és a korábbi bejelentkezésekre vonatkozó összes kockázatot. Ez a művelet nem vonható vissza. |
| Szeretném bezárni a felhasználói kockázatot, de nem vagyok biztos benne, hogy a felhasználó sérült / biztonságos. | Válassza ki a felhasználót, majd a "Felhasználói kockázat elvetése" lehetőséget. (Ez a folyamat megerősíti a Microsoft Entra-azonosítónak, hogy a felhasználó már nem sérült.) | A felhasználói kockázatot egyikre sem helyezzük át [Kockázati állapot = Elvetve; Kockázati szint = -]. | A "Felhasználói kockázat elvetése" gombra kattintva bezárja a felhasználóra és a korábbi bejelentkezésekre vonatkozó összes kockázatot. Ez a művelet nem vonható vissza. Javasoljuk, hogy a "Jelszó alaphelyzetbe állítása" gombra kattintva orvosolja a felhasználót, vagy kérje meg a felhasználót a hitelesítő adataik biztonságos visszaállítására/módosítására. |
Az ID Protection felhasználói kockázatészleléseivel kapcsolatos visszajelzések offline feldolgozásra kerülnek, és eltarthat egy ideig a frissítés. A kockázatfeldolgozási állapot oszlop a visszajelzések feldolgozásának aktuális állapotát adja meg.