Revise os fundamentos do Identity Protection
Identity Protection é um serviço que permite que as organizações vejam a postura de segurança de qualquer conta. As organizações podem realizar três tarefas principais:
- Automatizar a detecção e a correção de riscos baseados em identidade.
- Investigar os riscos usando os dados no portal.
- Exportar os dados de detecção de riscos a utilitários de terceiros para análise adicional.
Lembre-se sempre de que o Microsoft Entra Identity Protection requer uma licença do Microsoft Entra ID Premium P2 para operar. O licenciamento será abordado mais detalhadamente em uma unidade posterior.
O Identity Protection usa o conhecimento que a Microsoft adquiriu com sua posição em organizações com o Microsoft Entra ID, com o espaço do consumidor com as contas Microsoft e com os jogos do Xbox para proteger seus usuários. A Microsoft analisa 6,5 trilhões de sinais por dia para identificar e proteger os clientes contra ameaças.
Os sinais gerados pelo Identity Protection e fornecidos a ele podem ser alimentados ainda mais em ferramentas como o Acesso Condicional para tomar decisões de acesso ou retroalimentar uma ferramenta SIEM (gerenciamento de evento e informações de segurança) para uma maior investigação com base nas políticas impostas por sua organização.
Detecção e correção de riscos
O Identity Protection identifica riscos nas seguintes classificações:
| Tipo de detecção de risco | Descrição |
|---|---|
| Endereço IP anônimo | Entrada de um endereço IP anônimo (por exemplo: navegador Tor, VPNs para anonimato). |
| Viagem atípica | Conexão por meio de uma localização atípica com base nas conexões recentes do usuário. |
| Endereço IP vinculado a malware | Entrada de um endereço IP vinculado a malware. |
| Propriedades de entrada desconhecidas | Entrada com propriedades que não vimos recentemente para o usuário especificado. |
| Credenciais vazadas | Indica que as credenciais válidas do usuário foram vazadas. |
| Pulverização de senha | Indica que vários nomes de usuário estão sendo atacados por meio de senhas comuns de maneira unificada, por força bruta. |
| Inteligência contra ameaças do Microsoft Entra | As fontes internas e externas de inteligência contra ameaças da Microsoft identificaram um padrão de ataque conhecido. |
| Novo país | Essa detecção é descoberta pelo MDCA (Microsoft Defender para Aplicativos de Nuvem). |
| Atividade de um endereço IP anônimo | Essa detecção é descoberta pelo MDCA. |
| Encaminhamento suspeito da caixa de entrada | Essa detecção é descoberta pelo MDCA. |
Permissões
O Identity Protection requer que os usuários sejam um Leitor de Segurança, Operador de Segurança, Administrador da Segurança, Leitor Global ou Administrador Global para acessarem.
| Função | Pode ser feito | Não pode ser feito |
|---|---|---|
| Administrador Global | Acesso total à proteção de identidade | |
| Administrador de Segurança | Acesso total à proteção de identidade | Redefinir senha para um usuário |
| Operador de segurança | Exibir todos os relatórios do Identity Protection e a tela de Visão geral, Ignorar risco de usuário, confirmar entrada segura, confirmar comprometimento | Configurar ou alterar políticas, redefinir senha para um usuário, configurar alertas |
| Leitor de segurança | Exibir todos os relatórios da Proteção de Identidade e a tela de Visão Geral | Configurar ou alterar políticas, redefinir senha para um usuário, configurar alertas, fazer comentários sobre as detecções |
Atualmente, a função de operador de segurança não pode acessar o relatório de entradas suspeitas. Os administradores do Acesso Condicional também podem criar políticas que consideram o risco de entrada como uma condição.
Requisitos de licença
Usar esse recurso requer uma licença do Microsoft Entra ID Premium P2.
| Recurso | Detalhes | Microsoft Entra ID Gratuito / Microsoft 365 Apps | Microsoft Entra ID Premium P1 | Microsoft Entra ID Premium P2 |
|---|---|---|---|---|
| Políticas de risco | Política de risco do usuário (por meio do Identity Protection) | Não | No | Sim |
| Políticas de risco | Política de risco de entrada (por meio do Identity Protection ou do acesso condicional) | Não | No | Sim |
| Relatórios de segurança | Visão geral | Não | No | Sim |
| Relatórios de segurança | Usuários de risco | Informações limitadas. Somente os usuários com risco médio e alto são mostrados. Sem gaveta de detalhes ou histórico de riscos. | Informações limitadas. Somente os usuários com risco médio e alto são mostrados. Sem gaveta de detalhes ou histórico de riscos. | Acesso completo |
| Relatórios de segurança | Entradas suspeitas | Informações limitadas. Nenhum detalhe ou nível de risco é mostrado. | Informações limitadas. Nenhum detalhe ou nível de risco é mostrado. | Acesso completo |
| Relatórios de segurança | Detecções de risco | Não | Informações limitadas. Sem gaveta de detalhes. | Acesso completo |
| Notificações | Alertas de usuários em risco detectados | Não | No | Sim |
| Notificações | Resumo semanal | Não | No | Sim |
| Política de registro de MFA | Não | No | Sim |