Procedura: Fornire commenti e suggerimenti sul rischio in Azure AD Identity Protection
Azure AD Identity Protection consente di fornire commenti e suggerimenti sulla valutazione dei rischi. Il documento seguente elenca gli scenari in cui si vuole fornire commenti e suggerimenti sulla valutazione dei rischi di Identity Protection Azure AD e sul modo in cui lo si incorpora.
Che cos'è un rilevamento?
Un rilevamento di Identity Protection è un indicatore dell'attività sospetta dal punto di vista del rischio di identità. Queste attività sospette sono denominate rilevamenti dei rischi. Questi rilevamenti basati su identità possono essere basati su euristici, machine learning o possono venire da prodotti partner. Questi rilevamenti vengono usati per determinare il rischio di accesso e il rischio utente,
- Il rischio utente rappresenta la probabilità che un'identità venga compromessa.
- Il rischio di accesso rappresenta la probabilità che un accesso venga compromesso( ad esempio, l'accesso non è autorizzato dal proprietario dell'identità).
Perché fornire commenti e suggerimenti sui rischi alle valutazioni dei rischi di Azure AD?
Esistono diversi motivi per cui è consigliabile fornire Azure AD feedback sui rischi:
- La valutazione del rischio di accesso o utente di Azure AD non è corretta. Ad esempio, un report di accesso visualizzato in "Accessi rischiosi" è stato benigno e tutti i rilevamenti su tale accesso erano falsi positivi.
- È stato convalidato che la valutazione del rischio di accesso o utente di Azure AD è corretta. Ad esempio, un report di accesso visualizzato in "Accessi rischiosi" è stato effettivamente dannoso e si vuole Azure AD sapere che tutti i rilevamenti su tale accesso erano veri positivi.
- È stato risolto il rischio per l'utente all'esterno di Azure AD Identity Protection e si vuole che il livello di rischio dell'utente venga aggiornato.
Come Azure AD usare il feedback sul rischio?
Azure AD usa il feedback per aggiornare il rischio dell'utente sottostante e/o dell'accesso e l'accuratezza di questi eventi. Questo feedback consente di proteggere l'utente finale. Ad esempio, dopo aver verificato che un accesso sia compromesso, Azure AD aumenta immediatamente il rischio dell'utente e il rischio di aggregazione dell'accesso (non rischio in tempo reale) ad Alto. Se questo utente è incluso nei criteri di rischio utente per forzare gli utenti a rischio elevato per reimpostare in modo sicuro le password, l'utente correggerà automaticamente la prossima volta che accedono.
Come dovrei fornire commenti e suggerimenti sui rischi e cosa succede sotto il cofano?
Ecco gli scenari e i meccanismi per fornire commenti e suggerimenti sui rischi ai Azure AD.
| Scenario | Come inviare commenti e suggerimenti? | Cosa succede sotto il cofano? | Note |
|---|---|---|---|
| Accesso non compromesso (Falso positivo) Il report "Accessi a rischio" mostra un report di accesso a rischio [Stato rischio = A rischio] ma tale accesso non è stato compromesso. |
Selezionare l'accesso e fare clic su "Conferma accesso sicuro". | Azure AD sposta il rischio di aggregazione dell'accesso a nessuno [Stato di rischio = sicuro confermato; Livello di rischio (aggregazione) = -] e ne invertirà l'impatto sul rischio utente. | Attualmente, l'opzione "Conferma accesso sicuro" è disponibile solo nel report "Accessi rischiosi". |
| Accesso compromesso (true positivo) Il report "Accessi a rischio" mostra un report di accesso a rischio [Stato di rischio = A rischio] con basso rischio [Livello di rischio (aggregazione) = Basso] e che l'accesso è stato effettivamente compromesso. |
Selezionare l'accesso e fare clic su "Conferma accesso compromesso". | Azure AD spostamento del rischio di aggregazione dell'accesso e del rischio utente ad alto [stato rischio = compromesso confermato; Livello di rischio = Alto]. | Attualmente, l'opzione "Conferma accesso compromesso" è disponibile solo nel report "Accessi rischiosi". |
| Utente compromesso (true positivo) Il report "Utenti rischiosi" mostra un utente a rischio [Stato di rischio = A rischio] con basso rischio [livello di rischio = basso] e l'utente è stato effettivamente compromesso. |
Selezionare l'utente e fare clic su "Conferma utente compromesso". | Azure AD sposta il rischio utente in stato di rischio elevato = compromesso confermato; Livello di rischio = alto] e aggiungerà un nuovo rilevamento 'Amministratore confermato utente compromesso'. | Attualmente, l'opzione "Conferma utente compromessa" è disponibile solo nel report "Utenti rischiosi". Il rilevamento "Amministratore confermato utente compromesso" viene visualizzato nella scheda "Rilevamenti dei rischi non collegati a un accesso" nel report "Utenti rischiosi". |
| Correzione dell'utente all'esterno di Azure AD Identity Protection (true positivo + correzione) Il report "Utenti rischiosi" mostra un utente a rischio e ho successivamente risolto l'utente all'esterno di Azure AD Identity Protection. |
1. Selezionare l'utente e fare clic su "Conferma compromesso utente". Questo processo conferma di Azure AD che l'utente è stato effettivamente compromesso. 2. Attendere che il livello di rischio dell'utente vada ad Alto. Questo tempo fornisce Azure AD il tempo necessario per richiedere il feedback precedente al motore di rischio. 3. Selezionare l'utente e fare clic su "Ignora rischio utente". Questo processo conferma di Azure AD che l'utente non è più compromesso. |
Azure AD sposta il rischio utente a nessuno [Stato di rischio = Ignorato; Livello di rischio = -] e chiude il rischio su tutti gli accessi esistenti con rischio attivo. | Facendo clic su "Ignora rischio utente" verrà chiuso tutto il rischio per l'utente e gli accessi passati. Questa azione non può essere annullata. |
| Utente non compromesso (falso positivo) Il report "Utenti rischiosi" mostra all'utente a rischio, ma l'utente non viene compromesso. |
Selezionare l'utente e fare clic su "Ignora rischio utente". Questo processo conferma di Azure AD che l'utente non è compromesso. | Azure AD sposta il rischio utente a nessuno [Stato di rischio = Ignorato; Livello di rischio = -]. | Facendo clic su "Ignora rischio utente" verrà chiuso tutto il rischio per l'utente e gli accessi passati. Questa azione non può essere annullata. |
| Voglio chiudere il rischio utente, ma non sono sicuro se l'utente è compromesso/sicuro. | Selezionare l'utente e fare clic su "Ignora rischio utente". Questo processo conferma di Azure AD che l'utente non è più compromesso. | Azure AD sposta il rischio utente a nessuno [Stato di rischio = Ignorato; Livello di rischio = -]. | Facendo clic su "Ignora rischio utente" verrà chiuso tutto il rischio per l'utente e gli accessi passati. Questa azione non può essere annullata. È consigliabile correggere l'utente facendo clic su "Reimposta password" o richiedere all'utente di reimpostare/modificare in modo sicuro le credenziali. |
Il feedback sui rilevamenti dei rischi utente in Identity Protection viene elaborato offline e potrebbe richiedere tempo per l'aggiornamento. La colonna dello stato di elaborazione dei rischi fornirà lo stato corrente dell'elaborazione dei commenti e suggerimenti.
