Microsoft Entra ID 보호를 사용하면 위험 평가에 대한 피드백을 제공할 수 있습니다.
사용자의 피드백은 향후 탐지를 최적화하고 정확도를 개선하며 오탐을 줄이는 데 도움이 됩니다.
탐지란 무엇인가요?
ID 보호 감지는 ID 위험과 관련된 의심스러운 활동을 나타내는 지표입니다. 의심스러운 활동을 위험 검색이라고 합니다. ID 기반 검색은 추론 또는 기계 학습을 기반으로 하거나 파트너 제품에서 제공될 수 있습니다. 이러한 탐지는 로그인 위험 및 사용자 위험을 확인하는 데 사용됩니다.
- 사용자 위험은 ID가 손상되었을 가능성을 나타냅니다.
- 로그인 위험은 로그인이 손상되었을 가능성을 나타냅니다(예: ID 소유자가 로그인 권한을 부여하지 않음).
위험 평가에 위험 피드백을 제공해야 하는 이유는 무엇인가요?
위험 피드백을 제공해야 하는 몇 가지 이유는 다음과 같습니다.
-
Microsoft Entra ID Protection 사용자 또는 로그인 위험 평가가 잘못되었다고 발견하셨습니다.
- 예를 들어, 위험한 로그인 보고서에 표시된 로그인은 실제로 무해했으며, 그 로그인을 대상으로 한 모든 탐지가 오탐이었습니다.
-
Microsoft Entra ID 보호 사용자 또는 로그인 위험 평가가 올바른지 유효성을 검사했습니다.
- 예를 들어, 위험한 로그인 보고서에 표시된 신호가 악성으로 확인된 경우, 해당 로그인에 대한 모든 탐지가 진양성으로 검출된 것임을 Microsoft Entra ID에 알려야 합니다.
- Microsoft Entra ID 보호 외부에서 해당 사용자의 위험을 해결했으며 사용자의 위험 수준을 업데이트하려는 경우입니다.
Microsoft는 내 위험 피드백을 어떻게 사용하나요?
Microsoft는 피드백을 사용하여 기본 사용자 및/또는 로그인의 위험과 관련 이벤트의 정확도를 업데이트합니다. 이 피드백은 최종 사용자를 보호하는 데 도움이 됩니다. 예를 들어 로그인이 손상된 것을 확인하면 즉시 사용자의 위험과 로그인의 집계 위험(실시간 위험이 아님)이 높아집니다. 이 사용자가 사용자 위험 정책에 포함되어 위험도가 높은 사용자가 암호를 안전하게 다시 설정하도록 강제하는 경우 해당 사용자는 다음에 로그인할 때 자동으로 수정할 수 있습니다.
작업 단추가 회색으로 표시되면 더 높은 권한의 역할이 필요합니다. 관리자는 위험한 로그인 이벤트에 대한 조치를 취하고 다음을 선택할 수 있습니다.
- 로그인이 유출되었는지 확인 – 이 작업은 로그인이 실제 보안 침해인 것을 확인합니다. 문제 수정 단계가 수행될 때까지 로그인은 위험한 것으로 간주됩니다.
- 로그인 안전 확인 – 이 작업은 로그인이 거짓 양성임을 확인된 것입니다. 앞으로는 유사한 로그인을 위험한 것으로 간주해서는 안 됩니다.
- 로그인 위험 해제 - 이 작업은 무해한 실제 긍정 사례에 사용됩니다. 감지한 이 로그인 위험은 알려진 침투 테스트 또는 승인된 애플리케이션에서 생성된 알려진 활동과 같이 실제이지만 악성이 아닙니다. 앞으로도 유사한 로그인에 대한 위험을 계속 평가해야 합니다.
사용자 수준에서 작업을 수행하면 현재 해당 사용자와 연결된 모든 검색에 적용됩니다. 작업 단추가 회색으로 표시되면 더 높은 권한의 역할이 필요합니다. 관리자는 사용자에 대해 조치를 취하고 다음을 선택할 수 있습니다.
- 암호 재설정 - 이 작업은 사용자의 현재 세션을 해지합니다.
- 사용자 계정 유출 확인 - 이 작업은 정상 탐지에 따라 수행됩니다. ID 보호는 사용자 위험을 높음으로 설정하고, 새로운 탐지 항목을 추가합니다. 관리자가 사용자의 계정 침해를 확인했습니다. 수정 단계가 수행될 때까지 사용자는 위험한 것으로 간주됩니다.
- 사용자 안전 확인 - 이 조치는 오탐에 대한 것입니다. 이 작업은 이 사용자에 대한 위험 및 탐지를 제거하고 학습 모드로 전환하여 사용 속성을 다시 학습하도록 합니다. 이 옵션을 사용하여 오탐지를 표시할 수 있습니다.
- 사용자 위험 해제 - 이 작업은 양성 긍정 사용자 위험에 대해 수행됩니다. 감지한 이 사용자 위험은 알려진 침투 테스트와 같이 실제이지만 악의적이지는 않습니다. 유사한 사용자는 앞으로도 위험을 계속 평가해야 합니다.
- 사용자 차단 - 공격자가 암호에 액세스하거나 MFA를 수행할 수 있는 권한이 있는 경우 사용자가 로그인하지 못하도록 차단합니다.
- Microsoft 365 Defender 로 조사 - 이 작업을 수행하면 관리자가 Microsoft Defender 포털로 이동하여 관리자가 추가 조사를 수행할 수 있습니다.
ID 보호의 위험 검색에 대한 피드백은 오프라인으로 처리되며 업데이트하는 데 다소 시간이 걸릴 수 있습니다. 위험 처리 상태 열에 피드백 처리의 현재 상태가 제공됩니다.