Investigue o risco com o ID Protection no ID externa do Microsoft Entra
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
O Microsoft Entra ID Protection fornece detecção de risco contínua para seu locatário externo. Ele permite que as organizações descubram, investiguem e corrijam riscos baseados em identidade. O ID Protection vem com relatórios de risco que podem ser usados para investigar riscos de identidade em locatários externos. Neste artigo, você aprenderá a investigar e mitigar os riscos.
Relatórios do ID Protection
O ID Protection fornece dois relatórios. O relatório de Usuários suspeitos é o local em que os administradores podem descobrir quais usuários estão em risco e detalhes sobre as detecções. O relatório de detecções de risco fornece informações sobre cada detecção de risco. Esse relatório inclui o tipo de risco, outros riscos disparados ao mesmo tempo, o local da tentativa de entrada e muito mais.
Cada relatório é iniciado com uma lista de todas as detecções do período que aparece na parte superior do relatório. Os relatórios podem ser filtrados usando-se os filtros na parte superior do relatório. Os administradores podem optar por baixar os dados ou usar a API do MS Graph e o SDK do Microsoft Graph para PowerShell para exportar os dados continuamente.
Limitações e considerações do serviço
Considere os seguintes pontos ao usar o ID Protection:
- O ID Protection não está disponível em locatários de avaliação.
- O ID Protection está ativado por padrão.
- A Proteção contra IDs está disponível para identidades locais e sociais, como Google, Facebook ou Apple. A detecção é limitada porque o provedor de identidade externo gerencia as credenciais da conta de rede social.
- Atualmente, nos locatários externos do Microsoft Entra, um subconjunto das Detecções de risco da Proteção do Microsoft Entra ID está disponível. A ID Externa do Microsoft Entra dá suporte às seguintes detecções de risco:
Tipo de detecção de risco | Descrição |
---|---|
Viagem atípica | Conexão proveniente de uma localização atípica com base nas conexões recentes do usuário. |
Endereço IP anônimo | Conexão de um endereço IP anônimo (por exemplo: navegador Tor, VPNs para anonimato). |
Endereço IP vinculado a malware | Conexão de um endereço IP vinculado a malware. |
Propriedades de entrada desconhecidas | Conexão com propriedades que não foram vistas recentemente para o usuário especificado. |
Usuário comprometido confirmado pelo administrador | Um administrador indicou que um usuário foi comprometido. |
Pulverização de senha | Conexão por meio de um ataque de pulverização de senha. |
Inteligência contra ameaças do Microsoft Entra | As fontes internas e externas de inteligência contra ameaças da Microsoft identificaram um padrão de ataque conhecido. |
Investigar usuários arriscados
Com as informações fornecidas pelo relatório de usuários suspeitos, os administradores podem descobrir:
- No Estado de risco, mostrando, entre os usuários que estão Em risco, quais tiveram o risco Corrigido ou Ignorado
- Detalhes sobre as detecções
- Histórico de todas as entradas suspeitas
- Histórico de risco
Depois, os administradores poderão optar por tomar medidas sobre esses eventos. Os administradores podem escolher:
- Redefinir a senha do usuário
- Confirmar usuário comprometido
- Ignorar o risco do usuário
- Bloquear a entrada de um usuário
- Investigar mais usando o ATP do Azure
Um administrador pode optar por ignorar o risco de um usuário no centro de administrador do Microsoft Entra ou programaticamente por meio da API do Microsoft Graph Ignorar o Risco do Usuário. São necessários privilégios de administrador para ignorar o risco de um usuário. O usuário suspeito ou um administrador trabalhando em nome do usuário pode remediar o risco, por exemplo, redefinindo a senha.
Navegando no relatório de usuários suspeitos
Verifique se você está usando o diretório que contém o locatário externo do Microsoft Entra: selecione o ícone Configurações na barra de ferramentas e localize o locatário externo no menu Diretórios + assinaturas. Se não for o diretório atual, selecione Alternar.
Navegue até Proteção>Proteção de identidade.
Em Relatório, selecione Usuários suspeitos.
A seleção de entradas individuais expande uma janela de detalhes abaixo das detecções. A exibição de detalhes permite que os administradores investiguem e executem ações em cada detecção.
Relatório de detecções de risco
O relatório de detecções de risco contém dados filtráveis para até os últimos 90 dias (três meses).
Com as informações fornecidas pelo relatório de detecções de risco, os administradores podem descobrir:
- Informações sobre cada detecção de risco, incluindo o tipo.
- Outros riscos disparados ao mesmo tempo.
- Local da tentativa de entrada.
Depois, os administradores poderão optar por retornar ao relatório de risco ou de entradas do usuário para executar ações com base nas informações coletadas.
Como navegar no relatório de detecções de risco
Navegue até Proteção>Proteção de identidade.
Em Relatório, escolha Detecções de risco.