如何:在 Microsoft Entra ID Protection 中提供風險意見反應
Microsoft Entra ID Protection 可讓您對其風險評估提供意見反應。 下列檔列出您想要提供 Microsoft Entra ID Protection 風險評估意見反應的案例,以及我們如何納入其中。
您的意見反應可協助我們在未來優化偵測、改善其精確度,並減少誤判。
什麼是偵測?
標識元保護偵測是從身分識別風險的觀點來看可疑活動的指標。 這些可疑活動稱為風險偵測。 這些身分識別型偵測可以根據啟發學習法、機器學習或來自合作夥伴產品。 這些偵測可用來判斷登入風險和用戶風險,
- 用戶風險代表身分識別遭到入侵的機率。
- 登入風險代表登入遭到入侵的機率(例如,身分識別擁有者未授權登入)。
為什麼應該提供風險意見反應給風險評估?
您應該提供風險意見反應的原因有數個:
- 您發現 Microsoft Entra ID Protection 使用者或登入風險評估不正確。 例如,Risky 登入報告中顯示的登入是良性的,而該登入的所有偵測都是誤判。
- 您已驗證 Microsoft Entra ID Protection 使用者或登入風險評估是否正確。 例如,在 Risky 登入報告中顯示的登入確實是惡意的,而且您希望 Microsoft Entra ID 知道該登入上的所有偵測都是真肯定的。
- 您已在 Microsoft Entra ID Protection 外部補救該用戶的風險,並想要更新使用者的風險層級。
Microsoft 如何使用我的風險意見反應?
Microsoft 會使用您的意見反應來更新基礎使用者和/或登入的風險,以及這些事件的正確性。 此意見反應可協助保護使用者的安全。 例如,一旦確認登入遭到入侵,我們就會立即增加用戶的風險,並將登入的總風險(而非實時風險)提高到高。 如果您的使用者風險原則中包含此使用者,以強制高風險使用者安全地重設其密碼,他們可以在下一次登入時自動補救。
Microsoft Entra ID Protection 提供系統管理員可能承擔風險登入的下列動作:
- 確認風險 – 此動作會確認登入為真真。 登入會被視為有風險,直到採取補救步驟為止。
- 確認安全 – 此動作會確認登入為誤判。 未來不應將類似的登入視為有風險。
- 解除風險 – 此動作用於良性真陽性。 此登入應該標示為具風險,但不會造成立即的風險。 類似的登入應該會繼續評估未來的風險。 您可以在內部安全性滲透測試期間使用此選項。
如何提供風險反饋,以及幕後會發生什麼事?
以下是提供風險回饋給 Microsoft Entra ID 的案例和機制。
| 案例 | 如何提供意見反應? | 幕後會發生什麼? | 備註 |
|---|---|---|---|
| 登入未遭入侵 (誤判) 具風險的登入報告會顯示風險性登入 [風險狀態 = 有風險],但該登入並未遭入侵。 |
選取登入,然後 確認登入安全。 | 我們會將登入的匯總風險移至無 [風險狀態 = 已確認安全;風險層級 (Aggregate) = -] 並反轉其對用戶風險的影響。 | 目前, [確認登入安全 ] 選項僅適用於 有風險的登入 報告。 |
| 登入遭入侵 (真正面) 具風險的登入 報告顯示風險登入 [風險狀態 = 風險風險] ,且風險較低 [風險層級 (匯總) = 低] 且登入確實遭到入侵。 |
選取登入,然後 確認登入遭入侵。 | 我們會將登入的匯總風險和用戶風險移至 [風險狀態 = 已確認遭入侵;風險層級 = 高]。 | 目前, [確認登入遭 入侵] 選項僅適用於 Risky 登入 報告。 |
| 使用者遭入侵 (真肯定) 具風險的使用者 報告會顯示風險低的使用者 [風險狀態 = 高風險] [風險層級 = 低],且該用戶確實遭到入侵。 |
選取使用者,然後 確認使用者遭入侵。 | 我們將用戶風險移至 [風險狀態 = 已確認遭入侵;風險層級 = 高],並新增新的偵測 管理員 已確認使用者遭入侵。 | 目前,[ 確認使用者遭 入侵] 選項僅適用於 有風險的用戶 報告。 偵測 管理員 確認的使用者遭入侵會顯示在 [風險偵測] 索引標籤中,不會連結到 Risky 用戶報告中的登入。 |
| Microsoft Entra ID Protection 外部的用戶修復 (真肯定 + 已補救) 有風險的使用者 報告會顯示有風險的用戶,然後我已補救 Microsoft Entra ID Protection 外部的使用者。 |
1.選取使用者,然後 確認使用者遭入侵。 (此程式向 Microsoft Entra 識別子確認用戶確實遭到入侵。 2.等候用戶 的風險層級 移至 [高]。 (這次為 Microsoft Entra 識別碼提供將上述意見反應提供給風險引擎所需的時間。 3.選取使用者,然後 關閉用戶風險。 (此程式會向 Microsoft Entra ID 確認使用者不再遭到入侵。 |
Microsoft Entra ID 會將用戶風險移至無 [風險狀態 = 已關閉;風險層級 = -] 並關閉所有現有登入具有作用中風險的風險。 | 按兩下 [關閉使用者風險 ] 會關閉使用者和過去登入的所有風險。無法復原此動作。 |
| 使用者未遭入侵 (誤判) 具風險的使用者 報告會顯示有風險的使用者,但使用者不會遭到入侵。 |
選取使用者,然後 關閉用戶風險。 (此程式會向 Microsoft Entra 識別子確認使用者未遭入侵。 | Microsoft Entra ID 會將用戶風險移至無 [風險狀態 = 已關閉;風險層級 = -]。 | 按兩下 [關閉使用者風險 ] 會關閉使用者和過去登入的所有風險。無法復原此動作。 |
| 我想要關閉用戶風險,但我不確定使用者是否遭到入侵/安全。 | 選取使用者,然後 關閉用戶風險。 (此程式會向 Microsoft Entra ID 確認使用者不再遭到入侵。 | 我們將用戶風險移至無 [風險狀態 = 已關閉;風險層級 = -]。 | 按兩下 [關閉使用者風險 ] 會關閉使用者和過去登入的所有風險。無法復原此動作。 建議您按兩下 [ 重設密碼 ] 來補救使用者,或要求使用者安全地重設/變更其認證。 |
標識元保護中用戶風險偵測的意見反應會脫機處理,而且可能需要一些時間來更新。 風險 處理狀態 數據行會提供意見反應處理的目前狀態。