Pasta de trabalho de análise de risco de proteção de identidade
O Microsoft Entra ID Protection detecta, corrige e impede identidades comprometidas. Como administrador de TI, é importante reconhecer as tendências de risco nas organizações e as oportunidades para uma melhor configuração de políticas. Com a Pasta de Trabalho de Análise de Risco do Identity Protection, é possível responder a perguntas comuns sobre a implementação do Identity Protection.
Este artigo fornece uma visão geral da pasta de trabalho Análise de risco de Proteção de Identidade.
Pré-requisitos
Para usar as Pastas de Trabalho do Azure para o Microsoft Entra ID, você precisa:
- Um locatário do Microsoft Entra com uma licença Premium P1
- Um espaço de trabalho do Log Analytics e acesso a esse espaço de trabalho
- As funções apropriadas para o Azure Monitor e o Microsoft Entra ID
Espaço de Trabalho do Log Analytics
Você deve criar um workspace do Log Analytics antes de poder usar as Pastas de Trabalho do Microsoft Entra. Vários fatores determinam o acesso aos workspaces do Log Analytics. Você precisa das funções corretas para o espaço de trabalho e os recursos que enviam os dados.
Para obter mais informações, consulte Gerenciar o acesso a workspaces do Log Analytics.
Funções do Azure Monitor
O Azure Monitor fornece duas funções internas para exibir os dados de monitoramento e editar as configurações de monitoramento. O controle de acesso baseado em função (RBAC) do Azure também fornece duas funções internas do Log Analytics que concedem acesso semelhante.
Exibir:
- Leitor de monitoramento
- Leitor do Log Analytics
Exibir e modificar as configurações:
- Colaborador de monitoramento
- Colaborador do Log Analytics
Funções do Microsoft Entra
O acesso somente leitura permite exibir os dados de log do Microsoft Entra ID dentro de uma pasta de trabalho, consultar os dados do Log Analytics ou ler os logs no centro de administração do Microsoft Entra. A atualização de acesso adiciona a capacidade de criar e editar configurações de diagnóstico para enviar dados do Microsoft Entra para um workspace do Log Analytics.
Leitura:
- Leitor de Relatórios
- Leitor de segurança
- Leitor global
Atualização:
- Administrador de Segurança
Para obter mais informações sobre as funções internas do Microsoft Entra, consulte Funções internas do Microsoft Entra.
Para obter mais informações sobre as funções RBAC do Log Analytics, confira Funções internas do Azure.
Descrição
Como administrador de TI, é necessário compreender as tendências dos riscos de identidade e as lacunas nas implementações de política para garantir que está protegendo melhor as organizações contra o comprometimento de identidade. A pasta de trabalho de análise de risco de proteção de identidade ajuda você a analisar o estado de risco na organização.
Este guia de trabalho:
- Fornece as visualizações de onde o risco mundial está sendo detectado.
- Permite que você reconheça as tendências nas detecções de risco offline em comparação com as detecções em tempo real.
- Fornece as informações sobre a eficácia duas respostas para usuários suspeitos.
Como acessar a pasta de trabalho
Entre no centro de administração do Microsoft Entra usando a combinação apropriada de funções.
Navegue até Identidade>Monitoramento e integridade>Pastas de trabalho.
Selecione a pasta de trabalho Análise de risco de Proteção de Identidade na seção Uso.
Seções da pasta de trabalho
Esta pasta de trabalho tem cinco seções:
- Mapa de calor das detecções de risco
- Detecções de risco Offline versus em tempo real
- Tendências de detecção de riscos
- Usuários de risco
- Resumo
Filtros
Esse guia de trabalho dá suporte à configuração de um filtro de intervalo de tempo.
Há mais filtros nas seções de tendências de detecção de risco e usuários suspeitos.
Tendências de Detecção de Risco:
- Tipo de tempo de detecção (tempo real ou offline)
- Nível de risco (baixo, médio, alto ou nenhum)
Usuários Suspeitos:
- Detalhe do risco (indica o que mudou o nível de risco de um usuário)
- Nível de risco (baixo, médio, alto ou nenhum)
Práticas recomendadas
Habilitar políticas de entrada suspeita – Para solicitar MFA (autenticação multifator) em risco médio ou superior. Habilitar a política reduz a proporção de detecções de risco ativas em tempo real, permitindo que os usuários legítimos corrijam automaticamente as detecções de risco com MFA.
Habilitar uma política de usuário suspeito – Para permitir que os usuários corrijam as contas com segurança quando forem consideradas de alto risco. Habilitar a política reduz o número de usuários suspeitos ativos na organização, retornando as credenciais do usuário para um estado seguro.
Para saber mais sobre proteção de identidade, consulte O que é proteção de identidade.
Para obter mais informações sobre as pastas de trabalho do Microsoft Entra, confira Como usar as pastas de trabalho do Microsoft Entra.