Instrukcje: przekazywanie opinii o ryzyku w Ochrona tożsamości Microsoft Entra
Ochrona tożsamości Microsoft Entra umożliwia przekazanie opinii na temat oceny ryzyka. W poniższym dokumencie wymieniono scenariusze, w których chcesz przekazać opinię na temat oceny ryzyka Ochrona tożsamości Microsoft Entra oraz sposobu ich uwzględnienia.
Twoja opinia pomaga nam zoptymalizować wykrywanie w przyszłości, poprawić ich dokładność i zmniejszyć liczbę wyników fałszywie dodatnich.
Co to jest wykrywanie?
Wykrywanie ochrony identyfikatorów jest wskaźnikiem podejrzanej aktywności z perspektywy ryzyka związanego z tożsamością. Te podejrzane działania są nazywane wykrywaniem ryzyka. Te wykrycia oparte na tożsamościach mogą być oparte na heurystyce, uczeniu maszynowym lub mogą pochodzić z produktów partnerskich. Te wykrycia służą do określania ryzyka związanego z logowaniem i ryzyka związanego z użytkownikiem,
- Ryzyko użytkownika reprezentuje prawdopodobieństwo naruszenia zabezpieczeń tożsamości.
- Ryzyko logowania reprezentuje prawdopodobieństwo naruszenia zabezpieczeń logowania (na przykład właściciel tożsamości nie autoryzował logowania).
Dlaczego należy przekazać opinię na temat ryzyka do ocen ryzyka?
Istnieje kilka powodów, dla których należy przekazać opinię na temat ryzyka:
- Znaleziono Ochrona tożsamości Microsoft Entra użytkownika lub nieprawidłowej oceny ryzyka logowania. Na przykład raport ryzykownych logowań widoczny w raporcie Ryzykowne logowania był łagodny, a wszystkie wykrycia logowania były fałszywie dodatnie.
- Sprawdzono, że Ochrona tożsamości Microsoft Entra użytkownik lub ocena ryzyka logowania była poprawna. Na przykład raport Ryzykowne logowania był rzeczywiście złośliwy i chcesz, aby identyfikator Entra firmy Microsoft wiedział, że wszystkie wykrycia logowania były prawdziwie dodatnie.
- Skorygowaliśmy ryzyko dotyczące tego użytkownika spoza Ochrona tożsamości Microsoft Entra i chcesz zaktualizować poziom ryzyka użytkownika.
Jak firma Microsoft korzysta z moich opinii dotyczących ryzyka?
Firma Microsoft używa opinii w celu zaktualizowania ryzyka związanego z użytkownikiem bazowym i/lub logowaniem oraz dokładnością tych zdarzeń. Ta opinia pomaga zabezpieczyć użytkownika końcowego. Na przykład po potwierdzeniu naruszenia zabezpieczeń logowania natychmiast zwiększamy ryzyko użytkownika i łączne ryzyko logowania (nie ryzyko w czasie rzeczywistym) na wysokie. Jeśli ten użytkownik jest uwzględniony w zasadach ryzyka użytkownika, aby zmusić użytkowników wysokiego ryzyka do bezpiecznego resetowania swoich haseł, będzie mógł automatycznie skorygować przy następnym logowaniu.
Ochrona tożsamości Microsoft Entra oferuje następujące akcje, które administrator może wykonać na ryzykownych logowaniu:
- Potwierdź ryzyko — ta akcja potwierdza, że logowanie jest prawdziwie dodatnie. Logowanie jest uznawane za ryzykowne do momentu podjęcia kroków korygowania.
- Potwierdzanie bezpieczeństwa — ta akcja potwierdza, że logowanie jest fałszywie dodatnie. Podobne logowania nie powinny być traktowane jako ryzykowne w przyszłości.
- Odrzucanie ryzyka — ta akcja jest używana dla łagodnego wyniku prawdziwie dodatniego. To logowanie powinno być oznaczone jako ryzykowne, ale nie stanowi natychmiastowego ryzyka. Podobne logowania powinny nadal być oceniane pod kątem ryzyka w przyszłości. Możesz użyć tej opcji podczas wewnętrznego testu penetracyjnego zabezpieczeń.
Jak przekazać opinię na temat ryzyka i co się dzieje pod maską?
Poniżej przedstawiono scenariusze i mechanizmy przekazywania opinii o ryzyku do identyfikatora Entra firmy Microsoft.
| Scenariusz | Jak przekazać opinię? | Co się dzieje pod kapturem? | Uwagi |
|---|---|---|---|
| Logowanie nie jest naruszone (wynik fałszywie dodatni) Raport ryzykownych logowań pokazuje ryzykowne logowanie [Stan ryzyka = Ryzyko = Ryzyko] ale logowanie nie zostało naruszone. |
Wybierz logowanie, a następnie potwierdź bezpieczne logowanie. | Przenosimy zagregowane ryzyko logowania do braku [Stan ryzyka = Potwierdzono bezpieczeństwo; Poziom ryzyka (agregacja) = -] i odwrócenie wpływu na ryzyko użytkownika. | Obecnie opcja Potwierdź bezpieczne logowanie jest dostępna tylko w raporcie Ryzykowne logowania. |
| Naruszenie zabezpieczeń logowania (wynik prawdziwie dodatni) Raport Ryzykownych logowań pokazuje ryzykowne logowanie [Stan ryzyka = Ryzyko] z niskim ryzykiem [Poziom ryzyka (agregacja) = Niski] i że logowanie rzeczywiście zostało naruszone. |
Wybierz logowanie, a następnie potwierdź naruszenie zabezpieczeń logowania. | Przenosimy zagregowane ryzyko logowania i ryzyko użytkownika do wartości Wysoki [Stan ryzyka = Potwierdzono naruszenie zabezpieczeń; Poziom ryzyka = wysoki]. | Obecnie opcja Potwierdzanie naruszenia zabezpieczeń logowania jest dostępna tylko w raporcie Ryzykowne logowania. |
| Naruszone bezpieczeństwo użytkownika (wynik prawdziwie dodatni) Raport ryzykownych użytkowników przedstawia ryzykownego użytkownika [Stan ryzyka = Ryzyko] z niskim ryzykiem [Poziom ryzyka = Niski] i że użytkownik został rzeczywiście naruszony. |
Wybierz użytkownika, a następnie potwierdź naruszenie zabezpieczeń użytkownika. | Przenosimy ryzyko użytkownika do wartości Wysoki [Stan ryzyka = Potwierdzono naruszenie zabezpieczeń; Poziom ryzyka = wysoki] i dodaj nowe wykrywanie Administracja potwierdzonych naruszenia zabezpieczeń użytkownika. | Obecnie opcja Potwierdzanie naruszenia zabezpieczeń użytkowników jest dostępna tylko w raporcie Ryzykowni użytkownicy. Wykrywanie Administracja potwierdzone naruszenie zabezpieczeń użytkownika jest wyświetlane na karcie Wykrywanie ryzyka, które nie są połączone z logowaniemw raporcie Ryzykowni użytkownicy. |
| Użytkownik skorygowany poza Ochrona tożsamości Microsoft Entra (wynik prawdziwie dodatni i skorygowany) Raport ryzykownych użytkowników przedstawia ryzykownego użytkownika, a ja następnie skorygowałem użytkownika poza Ochrona tożsamości Microsoft Entra. |
1. Wybierz użytkownika, a następnie potwierdź naruszenie zabezpieczeń użytkownika. (Ten proces potwierdza identyfikator Entra firmy Microsoft, że użytkownik rzeczywiście został naruszony). 2. Poczekaj na poziom ryzyka użytkownika, aby przejść do pozycji Wysoki. (Tym razem firma Microsoft Entra ID potrzebuje czasu, aby przekazać powyższe informacje zwrotne do aparatu ryzyka). 3. Wybierz użytkownika, a następnie odrzuć ryzyko użytkownika. (Ten proces potwierdza identyfikator Entra firmy Microsoft, że użytkownik nie jest już naruszony). |
Identyfikator Entra firmy Microsoft przenosi ryzyko użytkownika do braku [Stan ryzyka = Odrzucone; Poziom ryzyka = -] i zamyka ryzyko dotyczące wszystkich istniejących logów mających aktywne ryzyko. | Kliknięcie pozycji Odrzuć ryzyko użytkownika zamyka wszystkie ryzyko związane z użytkownikiem i przeszłymi logowaniami. Tej akcji nie można cofnąć. |
| Użytkownik nie został naruszony (wynik fałszywie dodatni) Raport ryzykownych użytkowników przedstawia ryzykownego użytkownika, ale użytkownik nie jest narażony na naruszenie zabezpieczeń. |
Wybierz użytkownika, a następnie odrzuć ryzyko użytkownika. (Ten proces potwierdza identyfikator Entra firmy Microsoft, że użytkownik nie został naruszony). | Identyfikator Entra firmy Microsoft przenosi ryzyko użytkownika do braku [Stan ryzyka = Odrzucone; Poziom ryzyka = -]. | Kliknięcie pozycji Odrzuć ryzyko użytkownika zamyka wszystkie ryzyko związane z użytkownikiem i przeszłymi logowaniami. Tej akcji nie można cofnąć. |
| Chcę zamknąć ryzyko użytkownika, ale nie jestem pewien, czy użytkownik jest naruszony/bezpieczny. | Wybierz użytkownika, a następnie odrzuć ryzyko użytkownika. (Ten proces potwierdza identyfikator Entra firmy Microsoft, że użytkownik nie jest już naruszony). | Przenosimy ryzyko użytkownika do żadnego [Stan ryzyka = Odrzucone; Poziom ryzyka = -]. | Kliknięcie pozycji Odrzuć ryzyko użytkownika zamyka wszystkie ryzyko związane z użytkownikiem i przeszłymi logowaniami. Tej akcji nie można cofnąć. Zalecamy skorygowanie użytkownika przez kliknięcie pozycji Resetuj hasło lub zażądanie od użytkownika bezpiecznego zresetowania/zmiany poświadczeń. |
Opinie na temat wykrywania ryzyka użytkowników w usłudze ID Protection są przetwarzane w trybie offline i aktualizacja może zająć trochę czasu. Kolumna stanu przetwarzania ryzyka zawiera bieżący stan przetwarzania opinii.