Практическое руководство. Предоставление отзывов о рисках в Защита идентификации Microsoft Entra
Защита идентификации Microsoft Entra позволяет дать отзыв об оценке рисков. В следующем документе перечислены сценарии, в которых вы хотите отправить отзыв об оценке рисков Защита идентификации Microsoft Entra и о том, как мы включаем ее.
Что такое обнаружение?
Обнаружение защиты идентификаторов — это индикатор подозрительной активности с точки зрения риска идентификации. Эти подозрительные действия называются обнаружением риска. Данные обнаружения на основе удостоверений могут основываться на эвристике или машинном обучении, а также на продуктах партнеров. Обнаружения используются для определения риска при входе и риска для пользователей.
- Риск для пользователя представляет собой вероятность того, что его удостоверение было скомпрометировано.
- Риск входа представляет вероятность того, что вход скомпрометирован (например, владелец удостоверения не авторизовать вход).
Почему я должен дать отзыв о рисках для оценки рисков идентификатора Microsoft Entra ID?
Существует несколько причин, по которым следует предоставить отзыв о рисках Microsoft Entra:
- Вы обнаружили, что пользователь Microsoft Entra ID или оценка риска входа некорректна. Например, вход, показанный в отчете "Рискованные входы", был безопасным, и все обнаружения на этом входе были ложноположительными.
- Вы проверили правильность оценки риска пользователя Microsoft Entra ID или входа. Например, вход, показанный в отчете "Рискованные входы", действительно был вредоносным, и вы хотите, чтобы идентификатор Microsoft Entra ID знал, что все обнаружения в этом входе были истинными положительными.
- Вы исправите риск для этого пользователя за пределами Защита идентификации Microsoft Entra и хотите, чтобы уровень риска пользователя был обновлен.
Как идентификатор Microsoft Entra id использует мои отзывы о рисках?
Идентификатор Microsoft Entra использует ваш отзыв для обновления риска базового пользователя и (или) входа и точности этих событий. Эти отзывы помогают защитить конечных пользователей. Например, после того, как вы подтвердите, что вход скомпрометирован, идентификатор Microsoft Entra сразу же увеличивает риск пользователя и агрегированный риск входа (не риск в режиме реального времени) на высокий. Если этот пользователь включен в политику риска по принудительному сбросу паролей пользователями с высоким уровнем риска, он автоматически исправит себя при следующем входе в систему.
Как следует предоставлять отзывы о рисках и что происходит внутри системы?
Ниже приведены сценарии и механизмы предоставления отзывов о рисках идентификатору Microsoft Entra.
Сценарий | Как дать отзыв? | Что происходит внутри системы? | Примечания. |
---|---|---|---|
Вход не скомпрометирован (ложноположительный результат) В отчете "Рискованные входы" показан предположительно рискованный вход в систему [состояние риска = под угрозой], но этот вход не был скомпрометирован. |
Выберите данный вход, а затем выберите "Подтвердить безопасность входа". | Мы переместим агрегатный риск входа на нет [состояние риска = подтверждено безопасно; Уровень риска (агрегат) = -] и обратное его влияние на риск пользователя. | В настоящее время параметр "Подтвердить безопасность входа" доступен только в отчете "Рискованные входы". |
Вход был скомпрометирован (истинный положительный результат) Отчет "Рискованные входы" покажет случай риска для входа [состояние риска = под угрозой] с низким общим показателем [уровень риска (агрегированный) = низкий] и что вход действительно был скомпрометирован. |
Выберите данный вход, а затем выберите "Подтвердить компрометированность входа". | Мы переместим агрегатный риск входа и риск пользователя на высокий [состояние риска = подтверждено скомпрометировано; Уровень риска = высокий]. | На данный момент функция "Подтвердить компрометированность входа" доступна только в отчете "Рискованные входы". |
Пользователь был скомпрометирован (истинноположительный результат) В отчете "Пользователи в группе риска" отображается пользователь с риском [состояние риска = под угрозой] с низким общим показателем риска [уровень риска = низкий], и этот пользователь действительно был скомпрометирован. |
Выберите необходимого пользователя, а затем нажмите "Подтвердить компрометированность пользователя". | Мы переместим риск пользователя на высокий [состояние риска = подтвержден скомпрометировано; Уровень риска = высокий] и добавление нового обнаружения "Администратор подтверждено пользователем скомпрометировано". | На данный момент функция "Подтвердить компрометированность пользователя" доступна только через отчет "Пользователи в группе риска". Обнаружение "Скомпрометированный пользователь, подтвержденный администратором" будет показано во вкладке "Определения риска, не связанные со входом" в отчете "Пользователи в группе риска". |
Исправлено пользователем за пределами Защита идентификации Microsoft Entra (истинное положительное и исправленное) Отчет "Рискованные пользователи" показывает пользователя с угрозой, и я исправили пользователя за пределами Защита идентификации Microsoft Entra. |
1. Выберите необходимого пользователя, а затем нажмите "Подтвердить компрометированность пользователя". (Этот процесс подтверждает идентификатор Microsoft Entra, что пользователь действительно скомпрометирован.) 2. Дождитесь, пока показатель "Уровень риска" пользователя не перейдет в режим "Высокий уровень". (На этот раз идентификатор Microsoft Entra id требуется, чтобы получить указанный выше отзыв в подсистеме рисков.) 3. Выберите пользователя, а затем нажмите кнопку "Закрыть риск для пользователя". (Этот процесс подтверждает идентификатор Microsoft Entra, что пользователь больше не скомпрометирован.) |
Идентификатор Microsoft Entra перемещает риск пользователя на нет [состояние риска = отклонено; Уровень риска = -] и закрывает риск для всех существующих входов, имеющих активный риск. | Нажатие кнопки "Закрыть риск пользователя" закрывает все риски для пользователя и прошлых входов. Это действие не может быть отменено. |
Пользователь не скомпрометирован (ложноположительный результат) Отчет "Пользователи в группе риска" показывает пользователя под угрозой, но пользователь не был скомпрометирован. |
Выберите пользователя, а затем нажмите кнопку "Закрыть риск для пользователя". (Этот процесс подтверждает идентификатор Microsoft Entra, что пользователь не скомпрометирован.) | Идентификатор Microsoft Entra перемещает риск пользователя на нет [состояние риска = отклонено; Уровень риска = -]. | Нажатие кнопки "Закрыть риск пользователя" закрывает все риски для пользователя и прошлых входов. Это действие не может быть отменено. |
Я хочу закрыть риск для пользователя, но не уверен, что пользователь действительно был скомпрометирован. | Выберите пользователя, а затем нажмите кнопку "Закрыть риск для пользователя". (Этот процесс подтверждает идентификатор Microsoft Entra, что пользователь больше не скомпрометирован.) | Мы переместим риск пользователя на нет [состояние риска = отклонено; Уровень риска = -]. | Нажатие кнопки "Закрыть риск пользователя" закрывает все риски для пользователя и прошлых входов. Это действие не может быть отменено. Рекомендуется исправить пользователя, щелкнув "Сброс пароля", или запросить у пользователя выполнение безопасного сброса или изменения учетных данных. |
Отзывы об обнаружении рисков пользователей в защите идентификаторов обрабатываются в автономном режиме и могут занять некоторое время для обновления. Столбец состояния обработки рисков предоставляет текущее состояние обработки отзывов.