Partilhar via


Investigue o risco com a Proteção de ID no Microsoft Entra External ID

Aplica-se a:Círculo branco com um símbolo X cinzento. Locatários da força deCírculo verde com um símbolo de marca de verificação branco. trabalho Locatários externos (saiba mais)

A Proteção de ID do Microsoft Entra fornece deteção de risco contínua para seu locatário externo. Ele permite que as organizações descubram, investiguem e corrijam riscos baseados em identidade. A Proteção de ID vem com relatórios de risco que podem ser usados para investigar riscos de identidade em locatários externos. Neste artigo, você aprenderá como investigar e mitigar riscos.

Relatórios de proteção de ID

A Proteção de ID fornece dois relatórios. O relatório de usuários arriscados é onde os administradores podem encontrar quais usuários estão em risco e detalhes sobre deteções. O relatório de deteções de risco fornece informações sobre cada deteção de risco. Este relatório inclui o tipo de risco, outros riscos acionados ao mesmo tempo, o local da tentativa de entrada e muito mais.

Cada relatório é iniciado com uma lista de todas as deteções para o período mostrado na parte superior do relatório. Os relatórios podem ser filtrados usando os filtros na parte superior do relatório. Os administradores podem optar por baixar os dados ou usar a API do MS Graph e o SDK do Microsoft Graph PowerShell para exportar continuamente os dados.

Limitações e considerações do serviço

Considere os seguintes pontos ao usar a Proteção de ID:

  • A Proteção de ID não está disponível em locatários de avaliação.
  • A Proteção de ID está ativada por padrão.
  • A Proteção de ID está disponível para identidades locais e sociais, como Google ou Facebook. A deteção é limitada porque o provedor de identidade externo gerencia as credenciais da conta social.
  • Atualmente, nos locatários externos do Microsoft Entra, um subconjunto das deteções de risco da Proteção de ID do Microsoft Entra está disponível. O Microsoft Entra External ID suporta as seguintes deteções de risco:
Tipo de deteção de risco Description
Viagem atípica Inicie sessão a partir de uma localização atípica com base nos inícios de sessão recentes do utilizador.
Endereço IP anónimo Inicie sessão a partir de um endereço IP anónimo (por exemplo: navegador Tor, VPNs anónimas).
Endereço IP associado a malware Inicie sessão a partir de um endereço IP ligado a malware.
Propriedades de inícios de sessão desconhecidos Inicie sessão com propriedades que não vimos recentemente para um determinado utilizador.
Usuário confirmado pelo administrador comprometido Um administrador indicou que um usuário foi comprometido.
Spray de senha Inicie sessão através de um ataque de pulverização de palavra-passe.
Inteligência de ameaças do Microsoft Entra As fontes internas e externas de inteligência de ameaças da Microsoft identificaram um padrão de ataque conhecido.

Investigar utilizadores de risco

Com as informações fornecidas pelo relatório de usuários arriscados, os administradores podem encontrar:

  • O estado de risco, mostrando quais usuários estão em risco, tiveram o risco remediado ou tiveram o risco descartado
  • Detalhes sobre deteções
  • Histórico de todos os logins arriscados
  • Antecedentes de risco

Os administradores podem então optar por tomar medidas relativamente a estes eventos. Os administradores podem optar por:

  • Redefinir a senha do usuário
  • Confirmar o comprometimento do usuário
  • Dispensar o risco de utilizador
  • Bloquear o início de sessão do utilizador
  • Investigue mais usando o Azure ATP

Um administrador pode optar por descartar o risco de um usuário no centro de administração do Microsoft Entra ou programaticamente por meio da API do Microsoft Graph Discard User Risk. Os privilégios de administrador são necessários para descartar o risco de um usuário. O utilizador arriscado ou um administrador que trabalhe em nome do utilizador pode corrigir o risco, por exemplo, através de uma reposição da palavra-passe.

  1. Inicie sessão no centro de administração do Microsoft Entra.

  2. Verifique se você está usando o diretório que contém seu locatário externo do Microsoft Entra: selecione o ícone Configurações na barra de ferramentas e encontre seu locatário externo no menu Diretórios + assinaturas. Se não for o diretório atual, selecione Switch.

  3. Navegue até Proteção>de identidade.

  4. Em Relatório, selecione Usuários arriscados.

    A seleção de entradas individuais expande uma janela de detalhes abaixo das deteções. A visualização de detalhes permite que os administradores investiguem e executem ações em cada deteção.

Relatório de deteções de risco

O relatório Deteções de risco contém dados filtráveis dos últimos 90 dias (três meses).

Com as informações fornecidas pelo relatório de deteções de risco, os administradores podem encontrar:

  • Informações sobre cada deteção de risco, incluindo o tipo.
  • Outros riscos desencadeados ao mesmo tempo.
  • Localização da tentativa de início de sessão.

Os administradores podem então optar por retornar ao relatório de risco ou de entrada do usuário para executar ações com base nas informações coletadas.

  1. Inicie sessão no centro de administração do Microsoft Entra.

  2. Navegue até Proteção>de identidade.

  3. Em Relatório, selecione Deteções de risco.