Partilhar via


Painel de proteção de ID do Microsoft Entra

A Proteção de ID do Microsoft Entra evita comprometimentos de identidade detetando ataques de identidade e relatando riscos. Ele permite que os clientes protejam suas organizações monitorando riscos, investigando-os e configurando políticas de acesso baseadas em riscos para proteger o acesso confidencial e corrigir automaticamente os riscos.

Nosso painel ajuda os clientes a analisar melhor sua postura de segurança, entender o quão bem eles estão protegidos, identificar vulnerabilidades e executar ações recomendadas.

Captura de tela mostrando o painel de visão geral do Microsoft Entra ID Protection.

Este painel foi concebido para capacitar as organizações com informações avançadas e recomendações acionáveis adaptadas ao seu inquilino. Essas informações fornecem uma melhor visão da postura de segurança da sua organização e permitem que você habilite proteções eficazes de acordo. Você tem acesso a métricas-chave, gráficos de ataque, um mapa destacando locais de risco, recomendações para melhorar a postura de segurança e atividades recentes.

Pré-requisitos

Para acessar esse painel, você precisa:

  • Licenças do Microsoft Entra ID Free, ou Microsoft Entra ID P1 ou Microsoft Entra ID P2 para seus usuários.
  • Para exibir uma lista abrangente de recomendações e selecionar os links de ação recomendados, você precisa de licenças do Microsoft Entra ID P2.

Aceda ao painel

Você pode acessar o painel da seguinte forma:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Segurança.
  2. Navegue até Painel de>Proteção> de Identidade.

Cartões métricos

À medida que você implementa mais medidas de segurança, como políticas baseadas em risco, a proteção do locatário se fortalece. Portanto, agora estamos fornecendo quatro métricas principais para ajudá-lo a entender a eficácia das medidas de segurança que você tem em vigor.

Captura de tela mostrando os gráficos métricos no painel.

Métrica Definição métrica Frequência de atualização Onde ver detalhes
Número de ataques bloqueados Número de ataques bloqueados para este inquilino em cada dia.

Um ataque é considerado bloqueado se o início de sessão arriscado for interrompido por qualquer política de acesso. O controle de acesso exigido pela política deve bloquear o invasor de entrar, bloqueando o ataque em tempo real.
A cada 24 horas. Veja as deteções de risco que determinaram os ataques no relatório Deteções de risco, filtre "Estado de risco" por:

- Remediado
- Julgado improcedente
- Seguro confirmado
Número de utilizadores protegidos Número de usuários neste locatário cujo estado de risco mudou de Em risco para Remediado ou Dispensado em cada dia.

Um estado de risco remediado indica que o usuário auto-corrigiu seu risco de usuário completando MFA ou alteração de senha segura, e sua conta está, portanto, protegida.

Um estado de risco Descartado indica que um administrador descartou o risco do usuário porque identificou a conta do usuário como segura.
A cada 24 horas. Exibir usuários protegidos no relatório Usuários arriscados, filtrar "Estado de risco" por:

- Remediado
- Julgado improcedente
Tempo médio que seus usuários levam para auto-remediar seus riscos Tempo médio para que o estado de risco de usuários arriscados em seu locatário mude de Em risco para Remediado.

O estado de risco de um usuário muda para Remediated quando ele auto-corrigiu seu risco de usuário por meio de MFA ou alteração de senha segura.

Para reduzir o tempo de autocorreção em seu locatário, implante políticas de Acesso Condicional baseadas em risco.
A cada 24 horas. Visualize usuários remediados no relatório Usuários arriscados, filtre "Estado de risco" por:

- Remediado
Número de novos utilizadores de alto risco detetados Número de novos utilizadores de risco com nível de risco elevado detetado em cada dia. A cada 24 horas. Exibir usuários de alto risco no relatório Usuários arriscados, filtrar o nível de risco por

- "Alta"

A agregação de dados para as três métricas a seguir começou em 22 de junho de 2023, portanto, essas métricas estão disponíveis a partir dessa data. Estamos trabalhando na atualização do gráfico para refletir isso.

  • Número de ataques bloqueados
  • Número de utilizadores protegidos
  • Tempo médio para remediar o risco do usuário

Os gráficos fornecem uma janela de dados contínua de 12 meses.

Gráfico de ataque

Para ajudá-lo a entender melhor sua exposição ao risco, nosso gráfico de ataque exibe padrões de ataque comuns baseados em identidade detetados para seu locatário. Os padrões de ataque são representados pelas técnicas MITRE ATT&CK e são determinados pelas nossas deteções avançadas de risco. Para obter mais informações, consulte a seção Tipo de deteção de risco para mapeamento de tipo de ataque MITRE.

Captura de tela mostrando o gráfico de ataque no painel.

O que é considerado um ataque no Microsoft Entra ID Protection?

Um ataque é um evento em que detetamos um agente mal-intencionado tentando entrar no seu ambiente. Esse evento aciona uma deteção de risco de entrada em tempo real mapeada para uma técnica MITRE ATT&CK correspondente. Consulte a tabela a seguir para obter o mapeamento entre as deteções de risco de entrada em tempo real e os ataques do Microsoft Entra ID Protection, conforme categorizado pelas técnicas MITRE ATT&CK.

Como o gráfico de ataque está apenas ilustrando a atividade de risco de entrada em tempo real, a atividade arriscada do usuário não está incluída. Para visualizar a atividade arriscada do usuário em seu ambiente, você pode ir para o relatório de usuários arriscados.

Como interpretar o gráfico de ataque?

O gráfico apresenta os tipos de ataque que afetaram seu locatário nos últimos 30 dias e se eles foram bloqueados durante o login. No lado esquerdo, você vê o volume de cada tipo de ataque. À direita, são exibidos os números de ataques bloqueados e ainda a serem corrigidos. O gráfico é atualizado a cada 24 horas e está contando as deteções de entrada de risco que ocorrem em tempo real; portanto, o número total de ataques não corresponde ao número total de deteções.

  • Bloqueado: um ataque é classificado como bloqueado se o início de sessão arriscado associado for interrompido por uma política de acesso, como exigir autenticação multifator. Esta ação impede o início de sessão do atacante e bloqueia o ataque.
  • Não remediado: entradas arriscadas bem-sucedidas que não foram interrompidas e precisam de correção. Portanto, as deteções de risco associadas a essas entradas arriscadas também exigem correção. Você pode exibir essas entradas e deteções de risco associadas no relatório Entradas de risco filtrando com o estado de risco "Em risco".

Onde posso ver os ataques?

Para visualizar os detalhes do ataque, você pode selecionar a contagem de ataques no lado esquerdo do gráfico. Este gráfico leva você ao relatório de deteções de risco filtrado nesse tipo de ataque.

Você pode ir diretamente para o relatório de deteções de risco e filtrar os tipos de ataque. O número de ataques e deteções não é um mapeamento individual.

Tipo de deteção de risco para mapeamento de tipo de ataque MITRE

Deteção de risco de início de sessão em tempo real Tipo de deteção Mapeamento da técnica MITRE ATT&CK Nome de exibição do ataque Type
Token anômalo Em tempo real ou offline T1539 Roubar Roubo de Cookies/Tokens de Sessão da Web Premium
Propriedades de inícios de sessão desconhecidos Em Tempo Real T1078 Acesso usando uma conta válida (Detetado no login) Premium
IP do agente de ameaças verificado Em Tempo Real T1078 Acesso usando uma conta válida (Detetado no login) Premium
Endereço IP anónimo Em Tempo Real T1090 Ofuscação/Acesso usando proxy Não premium
Inteligência de ameaças do Microsoft Entra Em tempo real ou offline T1078 Acesso usando uma conta válida (Detetado no login) Não premium

Mapa

É fornecido um mapa para apresentar a localização geográfica dos inícios de sessão arriscados no seu inquilino. O tamanho da bolha reflete o volume de entradas de risco nesse local. Passar o mouse sobre a bolha mostra uma caixa de chamada, fornecendo o nome do país e o número de entradas arriscadas desse local.

Captura de tela mostrando o gráfico do mapa no painel.

Contém os seguintes elementos:

  • Intervalo de datas: escolha o intervalo de datas e visualize entradas arriscadas dentro desse intervalo de tempo no mapa. Os valores disponíveis são: últimas 24 horas, últimos sete dias e último mês.
  • Nível de risco: escolha o nível de risco dos logins arriscados para visualizar. Os valores disponíveis são: Alto, Médio, Baixo.
  • Contagem de locais de risco:
    • Definição: o número de locais de onde os logins arriscados do seu locatário eram.
    • O intervalo de datas e o filtro de nível de risco aplicam-se a esta contagem.
    • A seleção dessa contagem leva você ao relatório de entradas de risco filtrado pelo intervalo de datas e nível de risco selecionados.
  • Contagem de entradas arriscadas:
    • Definição: O número total de entradas de risco com o nível de risco selecionado no intervalo de datas selecionado.
    • O intervalo de datas e o filtro de nível de risco aplicam-se a esta contagem.
    • A seleção dessa contagem leva você ao relatório de entradas de risco filtrado pelo intervalo de datas e nível de risco selecionados.

Recomendações

As recomendações do Microsoft Entra ID Protection ajudam os clientes a configurar seu ambiente para aumentar sua postura de segurança. Estas Recomendações baseiam-se nos ataques detetados no seu inquilino nos últimos 30 dias. As recomendações são fornecidas para orientar sua equipe de segurança com as ações recomendadas a serem tomadas.

Captura de tela mostrando recomendações no painel.

Ataques comuns que são vistos, como spray de senha, credenciais vazadas em seu locatário e acesso em massa a arquivos confidenciais podem informá-lo de que houve uma possível violação. Na captura de tela anterior, o exemplo de Proteção de Identidade detetou pelo menos 20 usuários com credenciais vazadas em seu locatário , a ação recomendada neste caso seria criar uma política de Acesso Condicional exigindo redefinição de senha segura em usuários arriscados.

No componente de recomendações em nosso painel, os clientes veem:

  • Até três recomendações se ocorrerem ataques específicos no seu inquilino.
  • Informações sobre o impacto do ataque.
  • Links diretos para tomar as medidas apropriadas para a remediação.

Os clientes com licenças P2 podem visualizar uma lista abrangente de recomendações que fornecem informações com ações. Quando a opção "Ver tudo" é selecionada, abre-se um painel mostrando mais recomendações que foram acionadas com base nos ataques em seu ambiente.

Atividades recentes

Atividade recente fornece um resumo das atividades recentes relacionadas ao risco em seu locatário. Os tipos de atividade possíveis são:

  1. Atividade de ataque
  2. Atividade de correção do administrador
  3. Atividade de auto-remediação
  4. Novos utilizadores de alto risco

Captura de tela mostrando atividades recentes no painel.

Problemas conhecidos

Dependendo da configuração do seu locatário, pode não haver recomendações ou atividades recentes no seu painel.