O que é o Microsoft Entra ID Protection?
O Microsoft Entra ID Protection ajuda as organizações a detetar, investigar e corrigir riscos baseados em identidade. Esses riscos baseados em identidade podem ser alimentados em ferramentas como o Acesso Condicional para tomar decisões de acesso ou realimentados por uma ferramenta de gerenciamento de informações e eventos de segurança (SIEM) para investigação e correlação adicionais.
Detetar riscos
A Microsoft adiciona e atualiza continuamente deteções em nosso catálogo para proteger as organizações. Essas deteções vêm de nossos aprendizados baseados na análise de trilhões de sinais todos os dias do Ative Directory, Contas da Microsoft e em jogos com Xbox. Essa ampla gama de sinais ajuda a Proteção de ID a detetar comportamentos de risco como:
- Utilização anónima de endereços IP
- Ataques de spray de senha
- Credenciais vazadas
- e muito mais...
Durante cada início de sessão, a Proteção de ID executa todas as deteções de início de sessão em tempo real, gerando um nível de risco de sessão de início de sessão, indicando a probabilidade de o início de sessão estar comprometido. Com base nesse nível de risco, as políticas são aplicadas para proteger o usuário e a organização.
Para obter uma lista completa dos riscos e como eles são detetados, consulte o artigo O que é risco.
Investigar
Quaisquer riscos detetados em uma identidade são rastreados com relatórios. A Proteção de ID fornece três relatórios importantes para que os administradores investiguem riscos e tomem medidas:
- Deteções de risco: Cada risco detetado é relatado como uma deteção de risco.
- Entradas de risco: uma entrada arriscada é relatada quando há uma ou mais deteções de risco relatadas para essa entrada.
- Usuários arriscados: um usuário arriscado é relatado quando uma ou ambas as situações a seguir são verdadeiras:
- O usuário tem um ou mais logins de risco.
- Uma ou mais deteções de risco são relatadas.
Para obter mais informações sobre como usar os relatórios, consulte o artigo Como investigar o risco.
Remediar riscos
Por que a automação é fundamental na segurança?
Na postagem do blog Cyber Signals: Defending against cyber threats with the latest research, insights, and trends datada de 3 de fevereiro de 2022, a Microsoft compartilhou um resumo de inteligência de ameaças, incluindo as seguintes estatísticas:
Analisado... 24 trilhões de sinais de segurança combinados com inteligência que rastreamos monitorando mais de 40 grupos de Estados-nação e mais de 140 grupos de ameaças...
... De janeiro de 2021 a dezembro de 2021, bloqueamos mais de 25,6 bilhões de ataques de autenticação de força bruta do Microsoft Entra...
A grande escala de sinais e ataques requer algum nível de automação apenas para acompanhar.
Remediação automática
As políticas de Acesso Condicional baseadas em risco podem ser habilitadas para exigir controles de acesso, como fornecer um método de autenticação forte, executar autenticação multifator ou executar uma redefinição segura de senha com base no nível de risco detetado. Se o usuário concluir com êxito o controle de acesso, o risco será automaticamente corrigido.
Remediação manual
Quando a correção do usuário não está habilitada, um administrador deve revisá-los manualmente nos relatórios no portal, por meio da API ou no Microsoft 365 Defender. Os administradores podem executar ações manuais para descartar, confirmar a segurança ou confirmar o comprometimento dos riscos.
Utilização dos dados
Os dados do ID Protection podem ser exportados para outras ferramentas para arquivamento, investigação adicional e correlação. As APIs baseadas no Microsoft Graph permitem que as organizações coletem esses dados para processamento posterior em uma ferramenta como o SIEM. Informações sobre como acessar a API de proteção de ID podem ser encontradas no artigo Introdução à proteção de ID do Microsoft Entra e ao Microsoft Graph
Informações sobre a integração de informações de Proteção de ID com o Microsoft Sentinel podem ser encontradas no artigo Conectar dados da Proteção de ID do Microsoft Entra.
As organizações podem armazenar dados por períodos mais longos alterando as configurações de diagnóstico no Microsoft Entra ID. Eles podem optar por enviar dados para um espaço de trabalho do Log Analytics, arquivar dados em uma conta de armazenamento, transmitir dados para Hubs de Eventos ou enviar dados para outra solução. Informações detalhadas sobre como fazer isso podem ser encontradas no artigo, Como: Exportar dados de risco.
Funções obrigatórias
A Proteção de ID exige que os usuários recebam uma ou mais das seguintes funções para acessar.
| Funções | Pode fazer | Não pode fazer |
|---|---|---|
| Administrador de Segurança | Acesso total à Proteção de ID | Redefinir senha para um usuário |
| Operador de Segurança | Ver todos os relatórios e visão geral da Proteção de ID Dispense o risco do usuário, confirme o login seguro, confirme o compromisso |
Configurar ou alterar políticas Redefinir senha para um usuário Configurar alertas |
| Leitor de Segurança | Ver todos os relatórios e visão geral da Proteção de ID | Configurar ou alterar políticas Redefinir senha para um usuário Configurar alertas Enviar comentários sobre deteções |
| Leitor Global | Acesso somente leitura à Proteção de ID | |
| Administrador de usuários | Redefinir senhas de usuário |
Atualmente, a função Operador de Segurança não pode acessar o relatório de entradas de Risco.
Os administradores de Acesso Condicional podem criar políticas que considerem o risco de utilizador ou início de sessão como uma condição. Encontre mais informações no artigo Acesso condicional: condições.
Requisitos de licença
O uso desse recurso requer licenças do Microsoft Entra ID P2. Para encontrar a licença certa para seus requisitos, consulte Comparar recursos geralmente disponíveis do Microsoft Entra ID.
| Capacidade | Detalhes | Microsoft Entra ID Grátis / Aplicativos Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Políticas de risco | Políticas de início de sessão e de risco do utilizador (através da Proteção de ID ou Acesso Condicional) | Não | Não | Sim |
| Relatórios de segurança | Visão geral | Não | Não | Sim |
| Relatórios de segurança | Utilizadores arriscados | Informações limitadas. Apenas usuários com risco médio e alto são mostrados. Sem detalhes de gaveta ou histórico de risco. | Informações limitadas. Apenas usuários com risco médio e alto são mostrados. Sem detalhes de gaveta ou histórico de risco. | Acesso total |
| Relatórios de segurança | Entradas arriscadas | Informações limitadas. Nenhum detalhe ou nível de risco é mostrado. | Informações limitadas. Nenhum detalhe ou nível de risco é mostrado. | Acesso total |
| Relatórios de segurança | Deteções de risco | Não | Informações limitadas. Sem gaveta de detalhes. | Acesso total |
| Notificações | Alertas detetados por utilizadores em risco | Não | Não | Sim |
| Notificações | Resumo semanal | Não | Não | Sim |
| Política de registo de AMF | Não | Não | Sim |
Mais informações sobre esses relatórios avançados podem ser encontradas no artigo, Como: Investigar o risco.
Para usar o risco de identidade da carga de trabalho, incluindo a guia Identidades de carga de trabalho de risco e Deteções de identidade da carga de trabalho nos painéis Deteções de risco no centro de administração, você deve ter o licenciamento Identidades de carga de trabalho Premium. Para obter mais informações, consulte o artigo Protegendo identidades de carga de trabalho.