Comment : donner des commentaires sur les risques dans Microsoft Entra ID Protection
Microsoft Entra ID Protection vous permet de donner votre avis sur son évaluation des risques. Le document suivant répertorie les scénarios dans lesquels vous souhaitez donner votre avis sur l’évaluation des risques de la protection Microsoft Entra ID et sur la manière dont nous l’intégrons.
Vos commentaires nous aident à optimiser les détections à l’avenir, à améliorer leur précision et à réduire les faux positifs.
Qu’est-ce qu’une détection ?
Une détection de la protection des ID est un indicateur d’activité suspecte du point de vue des risques d’identité. Les activités suspectes sont appelées des détections de risques. Ces détections basées sur l’identité peuvent être fonction d’une heuristique, de l’apprentissage automatique, ou peuvent provenir encore des produits de partenaires. Ces détections permettent de déterminer les risques liées aux connexions et aux utilisateurs :
- Un risque utilisateur reflète la probabilité qu’une identité soit compromise.
- Le risque de connexion représente la probabilité qu'une connexion soit compromise (par exemple, le propriétaire de l'identité n'a pas autorisé la connexion).
Pourquoi fournir des commentaires pour l’évaluation des risques ?
Plusieurs raisons motivent l’envoi de commentaires sur les risques :
- Vous avez trouvé l’évaluation des risques liés à l’utilisateur ou à la connexion de la protection Microsoft Entra ID incorrecte. Par exemple, une connexion figurant dans le rapport Connexions risquées s’est révélée inoffensive, et toutes les détections correspondantes étaient des faux positifs.
- Vous avez vérifié que l’évaluation des risques liés à l’utilisateur ou à la connexion de la protection Microsoft Entra ID était correcte. Par exemple, une connexion affichée dans le rapport Connexions à risque était effectivement malveillante et vous souhaitez informer Microsoft Entra ID que toutes les détections sur cette connexion étaient de vrais positifs.
- Vous avez corrigé le risque sur cet utilisateur en dehors de la protection Microsoft Entra ID et vous souhaitez que le niveau de risque de l’utilisateur soit mis à jour.
Comment Microsoft utilise-t-il mes commentaires sur les risques ?
Microsoft utilise vos commentaires pour mettre à jour le risque de l’utilisateur et/ou de la connexion sous-jacents ainsi que la précision de ces événements. Ces commentaires contribuent à protéger les utilisateurs finals. Par exemple, après que vous avez confirmé qu’une connexion est compromise, nous faisons immédiatement passer le niveau de risque de l’utilisateur et de risque agrégé de connexion (risque autre qu’en temps réel) sur élevé. Si cet utilisateur est inclus dans votre stratégie de risque utilisateur qui vise à forcer les utilisateurs à risques élevés à réinitialiser en toute sécurité leur mot de passe, l’utilisateur pourra automatiquement corriger le risque lors de sa prochaine connexion.
Les administrateurs peuvent prendre des mesures en cas de connexion à risque et choisir de :
- Confirmer la connexion à risque : cette action confirme que la connexion est un vrai positif. La connexion est considérée comme risquée jusqu’à ce que les étapes de correction soient effectuées.
- Confirmer la sécurité de la connexion : cette action confirme que la connexion est un faux positif. Les connexions similaires ne doivent pas être considérées comme risquées à l’avenir.
- Ignorer le risque de connexion : cette action est utilisée pour un vrai positif bénin. Ce risque de connexion identifié est bien réel, mais n’est pas malveillant, comme dans le cas d’un test de pénétration reconnu ou d’une activité générée par une application autorisée. Les connexions similaires doivent continuer à être évaluées pour le risque à l’avenir.
Toute action au niveau de l’utilisateur s’applique à toutes les détections actuellement associées à cet utilisateur. Les administrateurs peuvent prendre des mesures sur les utilisateurs et choisir de :
- Réinitialiser le mot de passe : cette action révoque les sessions actuelles de l’utilisateur.
- Confirmer que l’utilisateur est compromis : cette action est effectuée sur un vrai positif. La Protection des ID définit un risque élevé pour l’utilisateur et ajoute une nouvelle détection, à savoir que l'administrateur a confirmé que cet utilisateur est compromis. L’utilisateur est considéré comme étant à risque jusqu’à ce que des mesures correctives soient prises.
- Confirmer la sécurité de l’utilisateur : cette action est effectuée sur un faux positif. En procédant ainsi, les risques et détections liés à cet utilisateur sont supprimés, et celui-ci est placé en mode d’apprentissage pour réapprendre ses propriétés d’utilisation. Vous pouvez utiliser cette option pour marquer les faux positifs.
- Ignorer le risque utilisateur : cette action est effectuée sur un risque utilisateur positif bénin. Le risque utilisateur identifié est bien réel, mais n’est pas malveillant, comme dans le cas d’un test de pénétration reconnu. Les utilisateurs présentant des profils similaires devront rester soumis à une évaluation des risques dans le futur.
- Bloquer l’utilisateur : cette mesure empêche l’utilisateur de se connecter dans le cas où un attaquant aurait le mot de passe ou la capacité d’utiliser l’authentification multifacteur.
- Examiner avec Microsoft 365 Defender : cette action renvoie les administrateurs au portail Microsoft Defender pour leur permettre de mener une enquête plus approfondie.
Les retours d’expérience sur les détections de risques de la Protection des ID sont traités hors connexion, et leur mise à jour peut prendre un certain temps. La colonne État du traitement des risques fournit l’état actuel du traitement des commentaires.