Procedure: risicofeedback geven in Microsoft Entra ID Protection
Met Microsoft Entra ID Protection kunt u feedback geven over de risicoanalyse. Het volgende document bevat de scenario's waarin u feedback wilt geven over de risicoanalyse van Microsoft Entra ID Protection en hoe we deze opnemen.
Uw feedback helpt ons om detecties in de toekomst te optimaliseren, hun nauwkeurigheid te verbeteren en fout-positieven te verminderen.
Wat is een detectie?
Een id-beveiligingsdetectie is een indicator van verdachte activiteiten vanuit het perspectief van identiteitsrisico's. Deze verdachte activiteiten worden risicodetecties genoemd. Deze detecties op basis van identiteiten kunnen worden gebaseerd op heuristiek, machine learning of afkomstig zijn van partnerproducten. Deze detecties worden gebruikt om aanmeldingsrisico's en gebruikersrisico's te bepalen,
- Gebruikersrisico's vertegenwoordigen de kans dat een identiteit wordt gecompromitteerd.
- Het aanmeldingsrisico vertegenwoordigt de kans dat een aanmelding is aangetast (bijvoorbeeld de eigenaar van de identiteit heeft de aanmelding niet geautoriseerd).
Waarom zou ik risicofeedback geven voor risicobeoordelingen?
Er zijn verschillende redenen waarom u risicofeedback moet geven:
- U hebt microsoft Entra ID Protection-gebruiker of aanmeldingsrisicobeoordeling onjuist gevonden. Een aanmelding die wordt weergegeven in het rapport Riskante aanmeldingen , is bijvoorbeeld goedaardig en alle detecties bij die aanmelding waren fout-positieven.
- U hebt gevalideerd dat microsoft Entra ID Protection-gebruiker of aanmeldingsrisicobeoordeling juist was. Een aanmelding die wordt weergegeven in het rapport Riskante aanmeldingen was bijvoorbeeld inderdaad schadelijk en u wilt dat Microsoft Entra ID weet dat alle detecties bij die aanmelding terecht positieven waren.
- U hebt het risico voor die gebruiker buiten Microsoft Entra ID Protection opgelost en u wilt dat het risiconiveau van de gebruiker wordt bijgewerkt.
Hoe gebruikt Microsoft mijn risicofeedback?
Microsoft gebruikt uw feedback om het risico van de onderliggende gebruiker en/of aanmelding en de nauwkeurigheid van deze gebeurtenissen bij te werken. Deze feedback helpt de eindgebruiker te beveiligen. Zodra u bijvoorbeeld bevestigt dat een aanmelding is gecompromitteerd, verhogen we onmiddellijk het risico van de gebruiker en verhogen we het geaggregeerde risico van de gebruiker (niet realtime risico) tot hoog. Als deze gebruiker is opgenomen in uw beleid voor gebruikersrisico's om gebruikers met een hoog risico te dwingen hun wachtwoorden veilig opnieuw in te stellen, kunnen ze de volgende keer dat ze zich aanmelden, automatisch herstellen.
Microsoft Entra ID Protection biedt de volgende acties die een beheerder kan ondernemen bij riskante aanmeldingen:
- Risico bevestigen : met deze actie wordt bevestigd dat de aanmelding een terecht positief is. De aanmelding wordt als riskant beschouwd totdat er herstelstappen worden uitgevoerd.
- Bevestig veilig : met deze actie wordt bevestigd dat de aanmelding een fout-positief is. Soortgelijke aanmeldingen moeten in de toekomst niet als riskant worden beschouwd.
- Risico sluiten : deze actie wordt gebruikt voor een goedaardig terecht positief. Deze aanmelding moet worden gemarkeerd als riskant, maar vormt geen onmiddellijk risico. Soortgelijke aanmeldingen moeten in de toekomst nog steeds worden geëvalueerd voor risico's. U kunt deze optie gebruiken tijdens een interne beveiligingspenetratietest.
Hoe geef ik feedback en wat gebeurt er 'onder de motorkap'?
Hier volgen de scenario's en mechanismen voor het geven van feedback over risico's aan Microsoft Entra ID.
| Scenario | Hoe kan ik feedback geven? | Wat gebeurt er 'onder de motorkap'? | Opmerkingen |
|---|---|---|---|
| Aanmelding is niet gecompromitteerd (fout-positief) Het rapport Riskante aanmeldingen geeft een aanmelding met risico's weer [Risicostatus = Risico] maar dat aanmelding is niet gecompromitteerd. |
Selecteer de aanmelding en bevestig de aanmeldingsveilig. | We verplaatsen het geaggregeerde risico van de aanmelding naar geen [Risicostatus = Bevestigd veilig; Risiconiveau (aggregaties) = -] en het effect ervan op het gebruikersrisico omkeren. | Op dit moment is de optie Aanmelden veilig bevestigen alleen beschikbaar in het rapport Riskante aanmeldingen . |
| Aanmelding verdacht (terecht-positief) Het rapport Riskante aanmeldingen toont een aanmelding met een risico [Risicostatus = Risico] met een laag risico [Risiconiveau (aggregatie) = Laag] en dat aanmelding inderdaad is gecompromitteerd. |
Selecteer de aanmelding en bevestig vervolgens dat de aanmelding is gecompromitteerd. | We verplaatsen het geaggregeerde risico van de aanmelding en het gebruikersrisico naar Hoog [Risicostatus = Bevestigd gecompromitteerd; Risiconiveau = Hoog]. | Momenteel is de optie Aanmelden bevestigen alleen beschikbaar in het rapport Riskante aanmeldingen . |
| Gebruiker verdacht (terecht-positief) Het rapport Riskante gebruikers toont een risicogebruiker [Risicostatus = Risico] met een laag risico [Risiconiveau = Laag] en die gebruiker is inderdaad gecompromitteerd. |
Selecteer de gebruiker en bevestig vervolgens dat de gebruiker is gecompromitteerd. | We verplaatsen het gebruikersrisico naar Hoog [Risicostatus = Bevestigd gecompromitteerd; Risiconiveau = Hoog] en voeg een nieuwe detectie toe Beheer bevestigd dat de gebruiker is gecompromitteerd. | Op dit moment is de optie Bevestigen dat de gebruiker is gecompromitteerd , alleen beschikbaar in het rapport Riskante gebruikers . De detectie Beheer bevestigd dat de gebruiker is aangetast, wordt weergegeven op het tabblad Risicodetecties die niet zijn gekoppeld aan een aanmelding in het rapport Riskante gebruikers. |
| Gebruiker hersteld buiten Microsoft Entra ID Protection (terecht positief + hersteld) Het rapport Riskante gebruikers toont een gebruiker met een risico en ik heb de gebruiker vervolgens buiten Microsoft Entra ID Protection hersteld. |
1. Selecteer de gebruiker en bevestig vervolgens dat de gebruiker is gecompromitteerd. (Dit proces bevestigt aan Microsoft Entra ID dat de gebruiker inderdaad is gecompromitteerd.) 2. Wacht tot het risiconiveau van de gebruiker naar Hoog is gegaan. (Deze keer geeft Microsoft Entra ID de benodigde tijd om de bovenstaande feedback naar de risico-engine te nemen.) 3. Selecteer de gebruiker en sluit het gebruikersrisico. (Dit proces bevestigt aan De Microsoft Entra-id dat de gebruiker niet meer wordt gecompromitteerd.) |
Microsoft Entra ID verplaatst het gebruikersrisico naar geen [Risicostatus = Gesloten; Risiconiveau = -] en sluit het risico op alle bestaande aanmeldingen met een actief risico. | Als u op Gebruikersrisico sluiten klikt, worden alle risico's voor de gebruiker en eerdere aanmeldingen gesloten. Deze actie kan niet ongedaan worden gemaakt. |
| Gebruiker is niet gecompromitteerd (fout-positief) Het rapport Riskante gebruikers toont een gebruiker met een risico, maar de gebruiker is niet gecompromitteerd. |
Selecteer de gebruiker en sluit vervolgens gebruikersrisico's. (Met dit proces wordt bevestigd dat de gebruiker geen inbreuk heeft op de Microsoft Entra-id.) | Microsoft Entra ID verplaatst het gebruikersrisico naar geen [Risicostatus = Gesloten; Risiconiveau = -]. | Als u op Gebruikersrisico sluiten klikt, worden alle risico's voor de gebruiker en eerdere aanmeldingen gesloten. Deze actie kan niet ongedaan worden gemaakt. |
| Ik wil het gebruikersrisico sluiten, maar ik weet niet zeker of de gebruiker is gecompromitteerd / veilig. | Selecteer de gebruiker en sluit vervolgens gebruikersrisico's. (Dit proces bevestigt aan De Microsoft Entra-id dat de gebruiker niet meer wordt gecompromitteerd.) | We verplaatsen het gebruikersrisico naar geen [Risicostatus = Gesloten; Risiconiveau = -]. | Als u op Gebruikersrisico sluiten klikt, worden alle risico's voor de gebruiker en eerdere aanmeldingen gesloten. Deze actie kan niet ongedaan worden gemaakt. U wordt aangeraden de gebruiker te herstellen door op Wachtwoord opnieuw instellen te klikken of de gebruiker te vragen hun referenties veilig opnieuw in te stellen/te wijzigen. |
Feedback over detecties van gebruikersrisico's in ID Protection wordt offline verwerkt en kan enige tijd in beslag nemen om bij te werken. De kolom status van de risicoverwerking biedt de huidige status van de feedbackverwerking.