Como Investigar o risco

O Microsoft Entra ID Protection fornece às organizações relatórios que podem usar para investigar os riscos de identidade em seu ambiente. Esses relatórios incluem usuários suspeitos, entradas suspeitas, identidades de carga de trabalho suspeitas e detecções de risco. A investigação de eventos é a chave para uma melhor compreensão e identificação dos pontos fracos em sua estratégia de segurança. Todos esses relatórios permitem o download de eventos no formato .CSV ou a integração com outras soluções de segurança, como uma ferramenta SIEM (gerenciamento de eventos e informações de segurança) dedicada para análise adicional. As organizações também podem aproveitar as integrações do Microsoft Defender e da API do Microsoft Graph para agregar dados a outras fontes.

Navegando nos relatórios

Os três relatórios de risco podem ser encontrados no centro de administração do Microsoft Entra em Proteção>Identity Protection. Você pode navegar diretamente para os relatórios ou visualizar um resumo de insights importantes na exibição do painel e navegar para os relatórios correspondentes a partir daí.

Cada relatório é iniciado com uma lista de todas as detecções do período que aparece na parte superior do relatório. Opcionalmente, os administradores podem filtrar e adicionar ou remover colunas com base em sua preferência. Os administradores podem baixar os dados no formato .CSV ou .JSON para mais processamento.

Quando os administradores selecionam uma ou várias entradas, as opções para confirmar ou descartar os riscos aparecem na parte superior do relatório. A seleção de um evento de risco individual abre um painel com mais detalhes para ajudar com as investigações.

Relatório de usuários arriscados

O relatório de usuários suspeitos inclui todos os usuários cujas contas estão atualmente em risco de comprometimento ou já foram consideradas assim. Usuários suspeitos devem ser investigados e corrigidos para impedir o acesso não autorizado aos recursos. Recomendamos começar com usuários de alto risco devido à alta confiança de compromisso. Saiba mais sobre o que os níveis significam

Por que um usuário está em risco?

Um usuário se torna um usuário suspeito quando:

• Eles têm uma ou mais entradas arriscadas.
• Há um ou mais riscos detectados na conta do usuário, como credenciais vazadas.

Como investigar usuários suspeitos?

Para exibir e investigar usuários suspeitos, navegue até o relatório Usuários suspeitos e use os filtros para gerenciar os resultados. Há uma opção na parte superior da página para adicionar outras colunas, como nível de risco, status e detalhes de risco.

Quando os administradores selecionam um usuário individual, o painel Detalhes do usuário suspeito é exibido. Os detalhes de usuários suspeitos fornecem informações como: ID de usuário, localização do escritório, entrada suspeita recente, detecções não vinculadas a um sinal e histórico de risco. A guia Histórico de riscos também mostra todos os eventos que levaram a uma alteração de risco do usuário nos últimos 90 dias. Essa lista inclui detecções de risco que aumentaram o risco do usuário. Ela também pode incluir ações de correção de usuário ou administrador que reduziram o risco do usuário; por exemplo, um usuário redefinindo sua senha ou um administrador descartando o risco.

Se você tiver o Copilot para Segurança, terá acesso a um resumo em linguagem natural, incluindo: por que o nível de risco do usuário foi elevado, diretrizes sobre como mitigar e responder e links para outros itens úteis ou documentação.

Com as informações fornecidas pelo relatório de usuários suspeitos, os administradores podem conferir:

• Risco do usuário que foi corrigido, descartado ou ainda está em risco e precisa ser investigado
• Detalhes sobre as detecções
• Entradas arriscadas associadas a um determinado usuário
• Histórico de risco

A ação no nível do usuário se aplica a todas as detecções atualmente associadas a esse usuário. Os administradores podem tomar medidas sobre os usuários e optar por:

• Redefinir senha – Esta ação revoga as sessões atuais do usuário.
• Confirmar comprometimento do usuário – Essa ação é executada em um verdadeiro positivo. O ID Protection define o risco do usuário como alto e adiciona uma nova detecção, o Usuário comprometido confirmado pelo administrador. O usuário considerado suspeito até que as etapas de correção sejam tomadas.
• Confirmar a segurança do usuário – Essa ação é executada em um falso positivo. Isso remove o risco e as detecções desse usuário e o coloca no modo de aprendizado para reaprender as propriedades de uso. Você pode usar essa opção para marcar falsos positivos.
• Ignorar risco do usuário – Essa ação é executada em um risco benigno positivo do usuário. Esse risco do usuário que detectamos é real, mas não malicioso, como os de um teste de penetração conhecido. Usuários semelhantes devem continuar sendo avaliados quanto ao risco daqui para frente.
• Bloquear usuário – Essa ação impede que um usuário entre se o invasor tiver acesso à senha ou capacidade de executar MFA.
• Investigar com Microsoft 365 Defender – Essa ação leva os administradores ao portal do Microsoft Defender para permitir que um administrador investigue mais.

Relatório de entradas de risco

O relatório de entradas suspeitas contém dados filtráveis para até os últimos 30 dias (1 mês). O ID Protection avalia o risco de todos os fluxos de autenticação, sejam eles interativos ou não. O relatório de entradas suspeitas mostra as entradas interativas e não interativas. Use o filtro "tipo de entrada" para alterar essa exibição.

Com as informações fornecidas pelo relatório de entradas suspeitas, os administradores podem conferir:

• Entradas em risco, com comprometimento confirmado, com segurança confirmada, ignoradas ou corrigidas.
• Níveis de risco agregados e em tempo real associados a tentativas de entrada.
• Tipos de detecção disparados
• Políticas de acesso condicional aplicadas
• Detalhes da Autenticação Multifator
• Informações do dispositivo
• Informações do aplicativo
• Informações de localização

Os administradores poderão tomar medidas sobre eventos de entradas suspeitas e escolher por:

• Confirmar a entrada comprometida – Esta ação confirma que a entrada é um verdadeiro positivo. A entrada é considerada arriscada até que as etapas de correção sejam tomadas. 
• Confirmar a entrada segura – Esta ação confirma que a entrada é um falso positivo. Entradas semelhantes não devem ser consideradas arriscadas no futuro. 
• Ignorar o risco de entrada – Esta ação é usada para um verdadeiro positivo benigno. Esse risco de entrada que detectamos é real, mas não malicioso, como os de um teste de penetração conhecido ou atividade conhecida gerada por um aplicativo aprovado. Entradas semelhantes devem continuar sendo avaliadas quanto ao risco daqui para frente.

Para saber mais sobre quando executar cada uma dessas ações, consulte Como a Microsoft usa meus comentários de risco

Relatório de detecções de risco

O relatório de detecções de risco contém dados filtráveis para até os últimos 90 dias (três meses).

Com as informações fornecidas pelo relatório de detecções de risco, os administradores podem descobrir:

• Informações sobre cada detecção de risco
• Tipo de ataque baseado na estrutura MITRE ATT&CK
• Outros riscos disparados ao mesmo tempo
• Local da tentativa de entrada
• Link para obter mais detalhes dos aplicativos do Microsoft Defender para nuvem.

Depois, os administradores poderão optar por retornar ao relatório de risco ou de entradas do usuário para executar ações com base nas informações coletadas.

Observação

Nosso sistema pode detectar que o evento de risco que contribuiu para a pontuação de risco de usuário foi um falso positivo ou que o risco do usuário foi corrigido com a imposição de política, como a conclusão de uma solicitação de MFA ou uma alteração de senha segura. Portanto, nosso sistema ignorará o estado de risco, e um detalhe de risco de "segurança de entrada confirmada por IA" será exibido e não contribuirá mais para o risco do usuário.

Triagem inicial

Ao iniciar a triagem inicial, recomendamos as seguintes ações:

1. Revise o painel do ID Protection para visualizar o número de ataques, o número de usuários de alto risco e outras métricas importantes com base nas detecções em seu ambiente.
2. Analise a pasta de trabalho de análise de impacto para entender os cenários em que o risco é evidente em seu ambiente e as políticas de acesso baseadas em risco devem ser habilitadas para gerenciar usuários e entradas de alto risco.
3. Adicione intervalos de endereços IP e VPNs corporativos a localizações nomeadas para reduzir falsos positivos.
4. Considere criar um banco de dados de viajantes conhecidos para relatórios de viagens organizacionais atualizados e usá-lo para fazer referência cruzada com as atividades de viagem.
5. Examine os logs para identificar atividades semelhantes com as mesmas características. Essa atividade pode ser uma indicação de mais contas comprometidas.
   1. Se houver características comuns, como endereço IP, geografia, êxito/falha etc, considere bloqueá-las com uma política de acesso condicional.
   2. Analise qual recurso pode ter sido comprometido, incluindo possíveis downloads de dados ou modificações administrativas.
   3. Habilitar políticas de autocorreção por meio do acesso condicional
6. Verifique se o usuário executou outras atividades arriscadas, como baixar um grande volume de arquivos de um novo local. Esse comportamento é uma forte indicação de um possível comprometimento.

Se você suspeitar de que um invasor pode estar se passando por um usuário, solicite que o usuário redefina a senha dele e execute a MFA ou bloqueie o usuário e revogue todos os tokens de atualização e acesso.

Estrutura de investigação e correção de riscos

As organizações podem usar as seguintes estruturas para começar a investigação de qualquer atividade suspeita. A primeira etapa recomendada é a autocorreção, se for uma opção. A autocorreção pode ocorrer por meio da redefinição de senha self-service ou por meio do fluxo de correção de uma política de acesso condicional baseada em risco.

Se a autocorreção não for uma opção, um administrador precisará corrigir o risco. A correção é feita invocando uma redefinição de senha, exigindo que o usuário se registre novamente para MFA, bloqueando o usuário ou revogando sessões de usuário, dependendo do cenário. O fluxograma a seguir mostra o fluxo recomendado quando um risco é detectado:

Uma vez que o risco é contido, mais investigações podem ser necessárias para marcar o risco como seguro, comprometido ou descartá-lo. Para chegar a uma conclusão confiante, talvez seja necessário: conversar com o usuário em questão, analisar os logs de entrada, analisar os logs de auditoria ou consultar logs de risco no Log Analytics. A seguir, descrevemos as ações recomendadas durante esta fase da investigação:

1. Verifique os logs e valide se a atividade é normal para o usuário determinado.
   1. Examine as atividades passadas do usuário, incluindo pelo menos as propriedades a seguir e veja se elas são normais para o usuário determinado.
      1. Aplicativo
      2. Dispositivo - O dispositivo está registrado ou em conformidade?
      3. Local - O usuário está viajando para um local diferente ou acessando dispositivos de vários locais?
      4. Endereço IP
      5. Cadeia de caracteres de agente do usuário
   2. Se você tiver acesso a outras ferramentas de segurança como o Microsoft Sentinel, verifique se há alertas correspondentes que possam indicar um problema maior.
   3. As organizações com acesso ao Microsoft 365 Defender podem seguir um evento de risco do usuário por meio de outros alertas e incidentes relacionados e da cadeia MITRE ATT&CK.
      1. Para navegar do relatório de usuários suspeitos, selecione o usuário no relatório de usuários suspeitos e selecione as reticências (...) na barra de ferramentas e escolha Investigar com Microsoft 365 Defender.
2. Entre em contato com o usuário para confirmar se ele reconhece a entrada; no entanto, considere que métodos como email ou Teams podem estar comprometidos.
   1. Confirme as informações que você tem, como:
      1. Timestamp
      2. Aplicativo
      3. Dispositivo
      4. Local
      5. Endereço IP
3. Dependendo dos resultados da investigação, marque o usuário ou a entrada como confirmado como comprometido, confirmado como seguro ou ignore o risco.
4. Configure políticas de Acesso Condicional baseadas em risco para evitar ataques semelhantes ou para resolver quaisquer lacunas na cobertura.

Investigar detecções específicas

Inteligência contra ameaças do Microsoft Entra

Para investigar uma detecção de risco de Inteligência contra Ameaças do Microsoft Entra, siga estas etapas com base nas informações fornecidas no campo "informações adicionais" do painel Detalhes da Detecção de Risco:

1. A entrada era de um endereço IP suspeito:
   1. Confirme se o endereço IP mostra um comportamento suspeito em seu ambiente.
   2. O IP gera um grande número de falhas para um usuário ou conjunto de usuários em seu diretório?
   3. É o tráfego do IP proveniente de um protocolo ou aplicativo inesperado, por exemplo, protocolos herdados da Troca?
   4. Se o endereço IP corresponder a um provedor de serviços de nuvem, desconsidere que não há aplicativos corporativos legítimos em execução do mesmo IP.
2. Esta conta foi vítima de um ataque de pulverização de senha:
   1. Valide se nenhum outro usuário em seu diretório é alvo do mesmo ataque.
   2. Outros usuários têm entradas com padrões de atípicos semelhantes vistos na entrada detectada dentro do mesmo período de tempo? Os ataques de Pulverização de senha podem exibir padrões incomuns em:
      1. Cadeia de caracteres de agente do usuário
      2. Aplicativo
      3. Protocolo
      4. Intervalos de IPs/ASNs
      5. Hora e frequência de entradas
3. Esta detecção foi disparada por uma regra em tempo real:
   1. Valide se nenhum outro usuário em seu diretório é alvo do mesmo ataque. Isso pode ser encontrado pelo número TI_RI_#### atribuído à regra.
   2. As regras em tempo real protegem contra novos ataques identificados pela inteligência contra ameaças da Microsoft. Se vários usuários no seu diretório foram alvos do mesmo ataque, investigue os padrões incomuns em outros atributos do entrada.

Investigando detecções de viagem atípicas

1. Se você conseguir confirmar que a atividade não foi executada por um usuário legítimo:
   1. Ação recomendada: marque a entrada como comprometida e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA e redefina a senha.
2. Se um usuário for conhecido por usar o endereço IP no escopo de suas funções:
   1. Ação recomendada: confirme a entrada como segura.
3. Se você puder confirmar que o usuário viajou recentemente para o destino mencionado detalhadamente no alerta:
   1. Ação recomendada: confirme a entrada como segura.
4. Se você conseguir confirmar que o intervalo de endereços IP é de uma VPN sancionada.
   1. Ação recomendada: marque a entrada como segura e adicione o intervalo de endereços IP VPN a locais nomeados no Microsoft Entra ID e Microsoft Defender para Aplicativos de Nuvem.

Investigação de detecções anômalas de token e emissor de token

1. Se você conseguir confirmar que a atividade não foi executada por um usuário legítimo usando uma combinação de alerta de risco, localização, aplicativo, endereço IP, Agente de Usuário ou outras características inesperadas para o usuário:
   1. Ação recomendada: marque a entrada como comprometida e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar.
   2. Ação recomendada: configure políticas de Acesso Condicional baseadas em risco para exigir redefinição de senha, executar MFA ou bloquear o acesso para todas as entradas de alto risco.
2. Se você conseguir confirmar a localização, o aplicativo, o endereço IP, o Agente do Usuário ou outras características forem esperadas para o usuário e não houver outras indicações de comprometimento:
   1. Ação recomendada: permita que o usuário corrija a ação automaticamente com uma política de Acesso Condicional com base em risco ou faça com que um administrador confirme a entrada como segura.
3. Para obter uma investigação mais detalhada sobre detecções baseadas em token, consulte o artigo Táticas de token: Como prevenir, detectar e responder a roubos de token na nuvem e o Guia estratégico de investigação de roubo de tokens.

Investigando detecções suspeitas do navegador

• Geralmente, o navegador não é usado pelo usuário ou a atividade no navegador não corresponde ao comportamento normal dos usuários.
  • Ação recomendada: confirme a entrada como comprometida e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA.
  • Ação recomendada: configure políticas de Acesso Condicional baseadas em risco para exigir redefinição de senha, executar MFA ou bloquear o acesso para todas as entradas de alto risco.

Investigando detecções de endereço IP mal-intencionado

1. Se você conseguir confirmar que a atividade não foi executada por um usuário legítimo:
   1. Ação recomendada: confirme a entrada como comprometida e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA e redefina a senha e revogue todos os tokens.
   2. Ação recomendada: configure políticas de Acesso Condicional com base em risco para exigir a redefinição de senha ou executar MFA para todas as entradas de alto risco.
2. Se um usuário for conhecido por usar o endereço IP no escopo de suas funções:
   1. Ação recomendada: confirme a entrada como segura.

Investigando detecções de pulverização de senha

1. Se você conseguir confirmar que a atividade não foi executada por um usuário legítimo:
   1. Ação recomendada: marque a entrada como comprometida e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA e redefina a senha e revogue todos os tokens.
2. Se um usuário for conhecido por usar o endereço IP no escopo de suas funções:
   1. Ação recomendada: confirme a entrada segura.
3. Se você puder confirmar que a conta não foi comprometida e não encontrar indicadores de força bruta ou de pulverização de senha contra a conta.
   1. Ação recomendada: permita que o usuário corrija a ação automaticamente com uma política de Acesso Condicional com base em risco ou faça com que um administrador confirme a entrada como segura.

Para obter mais investigações sobre detecções de risco de pulverização de senha, consulte o artigo Investigação sobre pulverização de senha.

Investigando detecções de credenciais vazadas

• Se essa detecção identificou uma credencial vazada para um usuário:
  • Ação recomendada: confirme o usuário como comprometido e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA e redefina a senha e revogue todos os tokens.

Próximas etapas

• Corrigir e desbloquear usuários
• Políticas disponíveis para mitigar riscos
• Habilitar as políticas de risco com usuários e entradas