Responder a ameaças de identidade usando o resumo de usuários suspeitos

O Microsoft Entra ID Protection aplica os recursos do Copilot no Microsoft Entra para resumir o nível de risco de um usuário, fornecer insights relevantes para o incidente em questão e fornecer recomendações para mitigação rápida. A investigação de risco de identidade é uma etapa crucial para defender uma organização. O Copilot no Microsoft Entra ajuda a reduzir o tempo de resolução fornecendo aos administradores de TI e analistas do SOC (Centro de Operações de Segurança) o contexto certo para investigar e corrigir o risco de identidade e incidentes baseados em identidade. O resumo de usuários suspeitos fornece aos administradores e aos respondentes acesso rápido às informações mais importantes no contexto para ajudar na investigação.

Responda rapidamente às ameaças à identidade:

• Sumarização do risco: Sumarização em linguagem natural por que o nível de risco do usuário foi elevado.
• Recomendações: obter diretrizes sobre como mitigar e responder a esses tipos de ataques, com links rápidos de ajuda e documentação.

Este artigo descreve como acessar a funcionalidade de resumo dos usuários arriscados do Microsoft Entra ID Protection e Copilot no Microsoft Entra. O uso desse recurso requer licenças do Microsoft Entra ID P2.

Investigar usuários arriscados

Para exibir e investigar um usuário suspeito:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Leitor de Segurança.

2. Navegue até Proteção>Identity Protection e depois até o relatório Usuários suspeitos.

3. Selecione um usuário no relatório de usuários suspeitos.

   

4. Na janela Detalhes do usuário suspeito, as informações aparecem em Resumo.

   

O resumo do usuário suspeito contém três seções:

• Sumarização pelo Copilot: sumariza em linguagem natural por que o Identity Protection sinalizou o usuário como suspeito.
• O que fazer: lista as próximas etapas para investigar esse incidente e evitar futuros incidentes.
• Ajuda e documentação: lista os recursos de ajuda e documentação.

Neste exemplo, as correções sugeridas são:

• Criar políticas de acesso condicional baseadas na entrada suspeita e no risco do usuário.

A ajuda e a documentação sugeridas são:

• O que é risco no ID Protection?
• Guias estratégicos de resposta a incidentes
• Políticas de acesso baseadas em risco

Próximas etapas

• Saiba mais sobre usuários suspeitos.