Часто задаваемые вопросы Защита идентификации Microsoft Entra

Отключение известных проблем с риском для пользователей

Закройте риск пользователя в Защита идентификации Microsoft Entra задает субъект в журнале рисков пользователя в защите идентификаторов, чтобы< Администратор имя с гиперссылкой, указывающей на колонку> пользователя.

На данный момент существует известная проблема, которая вызывает задержки в потоке устранения риска пользователя. Если у вас есть политика риска пользователей, эта политика перестает применяться к уволенным пользователям в течение нескольких минут после нажатия кнопки "Закрыть риск пользователя". Тем не менее, существуют известные задержки с обновлением "Состояния риска" устраненных пользователей пользовательского интерфейса. В качестве обходного решения обновите страницу на уровне браузера, чтобы увидеть последнее состояние риска пользователя.

Часто задаваемые вопросы

Что такое событие риска для пользователя?

В статье "Практическое руководство . Исследование риска позволяет объяснить, почему пользователь находится под угрозой" и как изучить дальнейшие действия.

Почему мой вход заблокирован, но защита идентификаторов не создавала обнаружение рисков?

Попытки входа в систему могут блокироваться по нескольким причинам. Важно отметить, что защита идентификаторов создает обнаружение рисков только при использовании правильных учетных данных в запросе проверки подлинности. Если пользователь предоставляет неверные учетные данные, он не помечен защитой идентификаторов, так как не существует риска компрометации учетных данных, если неверный субъект не использует правильные учетные данные. Некоторые причины, по которым пользователь может быть заблокирован, который не создает обнаружение защиты идентификаторов, включает:

  • IP-адрес может быть заблокирован из-за вредоносной активности IP-адреса. Сообщение о блокировке IP-адреса не содержит информации о том, использовались ли верные или неверные учетные данные. Если IP-адрес заблокирован и правильные учетные данные не используются, он не создаст обнаружение защиты идентификаторов.
  • Смарт-блокировка может заблокировать вход учетной записи после нескольких неудачных попыток.
  • Политика условного доступа может быть применена, которая использует условия, отличные от уровня риска, для блокировки запроса проверки подлинности.

Как получить отчет об определенных типах событий риска?

Перейдите к представлению событий риска и отфильтруйте по условию Тип обнаружения. Затем можно загрузить этот отчет в формате CSV или JSON с помощью кнопки Загрузить вверху. Дополнительные сведения см. в разделе Практическое руководство: исследование рисков.

Почему мне не удается задать собственные уровни риска для каждого события риска?

Уровни риска в защите идентификаторов основаны на точности обнаружения и на основе защищенного машинного обучения. Чтобы настроить возможности для пользователей, администратор может включить определенных пользователей или группы в политики пользователей, совершающих рискованные действия, и политики риска при входе в систему, или исключить их из этих политик.

Почему место входа в систему не совпадает с тем, откуда пользователь действительно выполнил вход?

Сопоставление IP-адресов с географическим положением — это сложная задача для всей отрасли. Если вы считаете, что указанное в отчете о входах в систему расположение не соответствует фактическому, обратитесь в службу поддержки Майкрософт.

Как закрыть определенные события риска, как это делалось в устаревшем пользовательском интерфейсе?

Можно отправить отзыв о событии риска, указав, является ли связанный вход скомпрометированным или безопасным. Отзывы по операциям входа предоставляются по всем событиям риска, созданным для этого входа. Если вы хотите закрыть события риска, которые не связаны с входом, можно предоставить эти данные на уровне пользователя. Дополнительные сведения см. в статье "Практическое руководство. Предоставление отзывов о рисках в Защита идентификации Microsoft Entra".

Насколько далеко я могу вернуться назад, чтобы понять, что происходит с моим пользователем?

Как получить дополнительные сведения о конкретном событии риска?

Все события риска описаны в статье Что такое риск. Вы можете навести указатель мыши на символ (i) рядом с обнаружением, чтобы узнать больше об обнаружении.

Как работают механизмы обратной связи в защите идентификаторов?

Подтвердите компрометацию (при входе) — сообщает Защита идентификации Microsoft Entra, что вход не был владельцем удостоверения и указывает на компромисс.

  • После получения этого отчета состояние риска входа и пользователя изменяется на Подтвердить скомпрометированный и устанавливается высокий уровень риска.

  • Кроме того, мы передаем информацию в наши системы машинного обучения для улучшения оценки рисков в будущем.

    Примечание.

    Если риск для пользователя уже устранен, не выбирайте вариант Подтвердить скомпрометированный, так как в этом случае для входа и пользователя устанавливается состояние Подтвердить скомпрометированный и высокий уровень риска.

Подтвердите безопасный вход (при входе) — сообщает Защита идентификации Microsoft Entra, что вход был владельцем удостоверения и не указывает на компромисс.

  • После получения этого отчета состояние риска для входа (не пользователя) изменяется на Подтвержденные безопасные и устанавливается уровень риска Нет.

  • Кроме того, мы передаем информацию в наши системы машинного обучения для улучшения оценки рисков в будущем.

    Примечание.

    Подтверждение безопасности операции входа само по себе не гарантирует, что в будущем операции входа с такими же свойствами не будут снова помечены как рискованные. Лучший способ обучения системы для изучения свойств пользователя — использовать политику условного доступа с рисками входа и MFA. Если при рискованном входе предлагается запрос MFA и пользователь успешно отвечает на этот запрос, то вход может быть выполнен успешно и это поможет системе изучить поведение настоящего пользователя.

    Если вы считаете, что учетные данные пользователя не скомпрометированы, воспользуйтесь вариантом Закрыть уведомление о риске для пользователя на уровне пользователя вместо варианта Подтвержденные безопасные на уровне входа в систему. Параметр Закрыть уведомление о риске для пользователя на уровне пользователя закрывает уведомление о риске для пользователя, а также все последние рискованные входы в систему и события риска.

Почему я вижу пользователя с низкой (или более высокой) оценкой риска, даже если в защите идентификаторов не отображаются рискованные входы или обнаружения рисков?

Учитывая, что риск пользователя является накопительным и не истекает срок действия, пользователь может иметь низкий или более высокий риск, даже если нет недавних рискованных входов или обнаружения рисков, показанных в защите идентификаторов. Это может произойти, если единственное вредоносное действие пользователя произошло вне периода времени, в течение которого хранятся сведения о рискованных входах и событиях риска. Срок действия риска пользователей не истекает, так как плохие субъекты, как известно, остаются в среде клиентов в течение длительного периода времени, прежде чем увеличить их атаки. Клиенты могут проверить риск пользователя временная шкала, чтобы понять, почему пользователь находится под угрозой, перейдя на вкладку журнала рисков защиты идентификации в Центре >>>>>> администрирования Майкрософт. Если вы считаете, что пользователь не скомпрометирован, используйте риск увольнения пользователей через API Graph.

Почему событие входа имеет высокую оценку риска (агрегированную), если обнаруженные действия, связанные с ним, имеют низкий или средний уровень риска?

Высокий агрегированный уровень риска может быть присвоен из-за других функций входа в систему или потому, что для этого входа в систему инициировано более одного события обнаружения. И наоборот, вход может иметь риск входа (агрегат) среднего, даже если обнаружения, связанные с входом, имеют высокий риск.

В чем разница между событиями "Активность с анонимного IP-адреса" и "Анонимный IP-адрес"?

Источник обнаружения "Анонимный IP-адрес" Защита идентификации Microsoft Entra, а обнаружение "Действие с анонимного IP-адреса" интегрировано из Microsoft Defender для облака Apps. И хотя названия этих событий похожи и в некоторых случаях их содержимое совпадает, между ними есть четкое различие в обнаружениях на стороне сервера.