Descreva o Microsoft Entra ID Protection

  • 7 minutos

O Microsoft Entra ID Protection ajuda as organizações a detectar, investigar e corrigir riscos baseados em identidade. Isso inclui identidades de usuário e identidades de carga de trabalho.

Esses riscos baseados em identidade podem ser alimentados ainda mais em ferramentas como Acesso Condicional para tomar decisões de acesso ou alimentados de volta para uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM) para uma investigação e correlação mais aprofundada.

Diagrama que mostra blocos de construção do Microsoft Entra ID Protection. O usuário sinaliza para detectar riscos, os tipos de riscos e as etapas para investigar e corrigir riscos.

Detectar riscos

A Microsoft analisa trilhões de sinais por dia para identificar possíveis ameaças. Esses sinais vêm dos aprendizados que a Microsoft adquiriu de diversas fontes, incluindo o Microsoft Entra ID, no espaço do consumidor com o Microsoft Accounts e em jogos com o Xbox.

O Microsoft Entra ID Protection fornece às organizações informações sobre atividades suspeitas em seu locatário e permite que elas respondam rapidamente para evitar que ocorram mais riscos. As detecções de risco podem incluir qualquer atividade suspeita ou anômala relacionada a uma conta de usuário no diretório. As detecções de risco da Proteção de ID podem ser vinculadas a um evento de entrada (risco de entrada) ou a um usuário individual (risco do usuário).

  • Risco de entrada. Uma entrada representa a probabilidade de uma determinada solicitação de autenticação não estar autorizada pelo proprietário da identidade. Os exemplos incluem uma entrada de um endereço IP anônimo, viagens atípicas (duas entradas originadas de locais geograficamente distantes), propriedades de entrada desconhecidas e muito mais.

  • Risco do usuário. Um risco de usuário representa a probabilidade de que uma determinada identidade ou conta esteja comprometida. Exemplos incluem credenciais vazadas, atividade suspeita relatada pelo usuário, padrões de envio suspeitos e muito mais.

Para obter uma lista detalhada de detecções de risco de entrada e de usuário, consulte Detecções de risco mapeadas para riskEventType

A Proteção de Identidade gera apenas detecções de risco quando as credenciais corretas são usadas na solicitação de autenticação. Se um usuário inserir credenciais incorretas, isso não será sinalizado pelo Identity Protection, pois não há risco de comprometimento de credenciais, a menos que um ator mal-intencionado use as credenciais corretas.

As detecções de risco podem disparar ações como: exigir que os usuários forneçam autenticação multifator, redefinir a senha ou bloquear o acesso até que um administrador entre em ação.

Investigar os riscos

Todos os riscos detectados em uma identidade são acompanhados com relatórios. O Identity Protection fornece três relatórios importantes para os administradores investigarem os riscos e tomarem medidas:

  • Detecções de risco: cada risco detectado é relatado como uma detecção de risco.

  • Entradas arriscadas: uma entrada arriscada é relatada quando há uma ou mais detecções de risco relatadas para essa entrada.

  • Usuários suspeitos: um usuário suspeito é relatado quando um ou ambos os itens a seguir são verdadeiros:

    • O usuário tem uma ou mais Entradas suspeitas.
    • Uma ou mais detecções de risco são relatadas.

    Para empresas integradas ao Microsoft Security Copilot, o Relatório de usuários de risco incorpora as funcionalidades do Microsoft Security Copilot para resumir o nível de risco de um usuário, fornecer insights relevantes para o incidente em questão e fornecer recomendações para mitigação rápida.

A investigação de eventos é essencial para a compreensão e identificação dos pontos fracos em sua estratégia de segurança.

Corrigir

Depois de concluir uma investigação, os administradores deverão tomar medidas para corrigir o risco ou desbloquear os usuários. As organizações podem habilitar a correção automatizada usando suas políticas de risco. Por exemplo, as políticas de Acesso Condicional baseadas em risco podem ser habilitadas para exigir controles de acesso, como fornecer um método de autenticação forte, executar autenticação multifator ou redefinir uma senha segura com base no nível de risco detectado. Se o usuário concluir com êxito o controle de acesso, o risco será automaticamente corrigido.

Quando a correção automatizada não estiver habilitada, o administrador deverá analisar manualmente os riscos identificados nos relatórios por meio do portal, da API ou do Microsoft Defender XDR. Os administradores podem executar ações manuais para ignorar, confirmar a segurança ou confirmar o comprometimento dos riscos.

Exportar

Os dados do Identity Protection podem ser exportados para outras ferramentas para arquivamento, investigação adicional e correlação. As APIs baseadas no Microsoft Graph permitem que as organizações coletem esses dados para processamento posterior em ferramentas como o SIEM. Os dados também podem ser enviados para um workspace do Log Analytics, dados arquivados em uma conta de armazenamento, transmitidos para Hubs de Eventos ou soluções.