Investigue o risco com a Proteção de Identidade no Azure AD B2C
A Proteção de Identidade fornece deteção de risco contínua para seu locatário do Azure AD B2C. Ele permite que as organizações descubram, investiguem e corrijam riscos baseados em identidade. A Proteção de Identidade vem com relatórios de risco que podem ser usados para investigar riscos de identidade em locatários do Azure AD B2C. Neste artigo, você aprenderá como investigar e mitigar riscos.
Descrição geral
A Proteção de Identidade do Azure AD B2C fornece dois relatórios. O relatório de usuários arriscados é onde os administradores podem encontrar quais usuários estão em risco e detalhes sobre deteções. O relatório de deteções de risco fornece informações sobre cada deteção de risco, incluindo tipo, outros riscos acionados ao mesmo tempo, local da tentativa de entrada e muito mais.
Cada relatório é iniciado com uma lista de todas as deteções para o período mostrado na parte superior do relatório. Os relatórios podem ser filtrados usando os filtros na parte superior do relatório. Os administradores podem optar por baixar os dados ou usar a API do MS Graph e o SDK do Microsoft Graph PowerShell para exportar continuamente os dados.
Limitações e considerações do serviço
Ao usar a Proteção de Identidade, considere o seguinte:
- A Proteção de Identidade está ativada por padrão.
- A Proteção de Identidade está disponível para identidades locais e sociais, como Google ou Facebook. Para identidades sociais, o Acesso Condicional deve ser ativado. A deteção é limitada porque as credenciais da conta social são gerenciadas pelo provedor de identidade externo.
- Nos locatários do Azure AD B2C, apenas um subconjunto das deteções de risco da Proteção de ID do Microsoft Entra está disponível. As seguintes deteções de risco são suportadas pelo Azure AD B2C:
| Tipo de deteção de risco | Description |
|---|---|
| Viagem atípica | Inicie sessão a partir de uma localização atípica com base nos inícios de sessão recentes do utilizador. |
| Endereço IP anónimo | Inicie sessão a partir de um endereço IP anónimo (por exemplo: navegador Tor, VPNs anónimas). |
| Endereço IP associado a malware | Inicie sessão a partir de um endereço IP ligado a malware. |
| Propriedades de inícios de sessão desconhecidos | Inicie sessão com propriedades que não vimos recentemente para determinado utilizador. |
| Usuário confirmado pelo administrador comprometido | Um administrador indicou que um usuário foi comprometido. |
| Spray de senha | Inicie sessão através de um ataque de pulverização de palavra-passe. |
| Inteligência de ameaças do Microsoft Entra | As fontes internas e externas de inteligência de ameaças da Microsoft identificaram um padrão de ataque conhecido. |
Escalão de preço
O Azure AD B2C Premium P2 é necessário para alguns recursos da Proteção de Identidade. Se necessário, altere o nível de preços do Azure AD B2C para Premium P2. A tabela a seguir resume os recursos do Identity Protection e o nível de preço necessário.
| Funcionalidade | P1 | P2 |
|---|---|---|
| Relatório dos utilizadores de risco | ✓ | ✓ |
| Detalhes do relatório de usuários arriscados | ✓ | |
| Usuários arriscados relatam remediação | ✓ | ✓ |
| Relatório de deteções de risco | ✓ | ✓ |
| Detalhes do relatório de deteções de risco | ✓ | |
| Download do relatório | ✓ | ✓ |
| Acesso à API do MS Graph | ✓ | ✓ |
Pré-requisitos
- Crie um fluxo de usuários para que os usuários possam se inscrever e entrar em seu aplicativo.
- Registe uma aplicação Web.
- Conclua as etapas em Introdução às políticas personalizadas no Ative Directory B2C
- Registe uma aplicação Web.
Investigar utilizadores de risco
Com as informações fornecidas pelo relatório de usuários arriscados, os administradores podem encontrar:
- O estado de risco, mostrando quais usuários estão em risco, tiveram o risco remediado ou tiveram o risco descartado
- Detalhes sobre deteções
- Histórico de todos os logins arriscados
- Antecedentes de risco
Os administradores podem então optar por tomar medidas relativamente a estes eventos. Os administradores podem optar por:
- Redefinir a senha do usuário
- Confirmar o comprometimento do usuário
- Dispensar o risco de utilizador
- Bloquear o início de sessão do utilizador
- Investigue mais usando o Azure ATP
Um administrador pode optar por descartar o risco de um usuário no portal do Azure ou programaticamente por meio da API do Microsoft Graph Discard User Risk. Os privilégios de administrador são necessários para descartar o risco de um usuário. A correção de um risco pode ser realizada pelo usuário arriscado ou por um administrador em nome do usuário, por exemplo, por meio de uma redefinição de senha.
Navegando no relatório de usuários arriscados
Inicie sessão no portal do Azure.
Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas .
Em Serviços do Azure, selecione Azure AD B2C. Ou use a caixa de pesquisa para localizar e selecionar Azure AD B2C.
Em Segurança, selecione Usuários arriscados.
A seleção de entradas individuais expande uma janela de detalhes abaixo das deteções. A visualização de detalhes permite que os administradores investiguem e executem ações em cada deteção.
Relatório de deteções de risco
O relatório de deteções de risco contém dados filtráveis dos últimos 90 dias (três meses).
Com as informações fornecidas pelo relatório de deteções de risco, os administradores podem encontrar:
- Informações sobre cada deteção de risco, incluindo o tipo.
- Outros riscos desencadeados ao mesmo tempo.
- Localização da tentativa de início de sessão.
Os administradores podem então optar por retornar ao relatório de risco ou de entrada do usuário para executar ações com base nas informações coletadas.
Navegando no relatório de deteções de risco
No portal do Azure, procure e selecione Azure AD B2C.
Em Segurança, selecione Deteções de risco.
Próximos passos
- Adicione acesso condicional a um fluxo de usuário.