O que é o Identity Protection?

A Identity Protection utiliza as aprendizagens Microsoft adquiriu da sua posição em organizações com o Azure Ative Directory, o espaço de consumo com Microsoft Contas e em jogos com a Xbox para proteger os seus utilizadores. Microsoft analisa triliões de sinais por dia para identificar e proteger os clientes de ameaças. A Proteção de Identidade permite que as organizações realizem três tarefas fundamentais:

Os sinais gerados e alimentados para a Proteção de Identidade, podem ser alimentados ainda mais em ferramentas como o Acesso Condicional para tomar decisões de acesso, ou alimentados de volta a uma ferramenta de informação de segurança e gestão de eventos (SIEM) para uma investigação mais aprofundada.

Por que a automação é importante?

Na publicação de blogue Cyber Signals: Defendendo-se contra ameaças cibernéticas com as mais recentes pesquisas, insights e tendências datadas de 3 de fevereiro de 2022, partilhámos um resumo da inteligência de ameaça, incluindo as seguintes estatísticas:

  • Analisado... 24 triliões de sinais de segurança combinados com a inteligência que rastreamos, monitorizando mais de 40 grupos do Estado-nação e mais de 140 grupos de ameaças...
  • ... De janeiro de 2021 a dezembro de 2021, bloqueámos mais de 25,6 mil milhões Azure AD ataques de autenticação de força bruta...

A escala total de sinais e ataques requer algum nível de automatização para ser capaz de acompanhar.

Detetar risco

A Proteção de Identidade deteta riscos de muitos tipos, incluindo:

  • Uso anónimo de endereços IP
  • Viagem atípica
  • Endereço IP ligado a malware
  • Propriedades de inícios de sessão desconhecidos
  • Fuga de credenciais
  • Spray de senha
  • e mais...

Os sinais de risco podem desencadear esforços de reparação, tais como a necessidade: realizar a autenticação multifactor, redefinir a sua palavra-passe utilizando o reset da palavra-passe de autosserviço ou bloquear o acesso até que um administrador tome medidas.

Mais detalhes sobre estes e outros riscos, incluindo como ou quando são calculados podem ser encontrados no artigo, O que é o risco.

Investigar riscos

Os administradores podem rever as deteções e tomar ações manuais sobre as mesmas, caso necessário. Existem três relatórios-chave que os administradores usam para investigações em Proteção de Identidade:

  • Utilizadores de risco
  • Inícios de sessão de risco
  • Deteções de riscos

Mais informações podem ser encontradas no artigo, Como: Investigar o risco.

Níveis de risco

A Proteção de Identidade categoriza o risco em níveis: baixo, médio e alto.

Microsoft não fornece detalhes específicos sobre como o risco é calculado. Cada nível de risco traz maior confiança de que o utilizador ou o sinal está comprometido. Por exemplo, algo como um exemplo de propriedades de inscrição desconhecidas para um utilizador pode não ser tão ameaçador como credenciais vazadas para outro utilizador.

Utilizar ainda mais as informações sobre riscos

Os dados da Proteção de Identidade podem ser exportados para outras ferramentas para arquivar e investigação e correlação. As APIs baseadas em gráficos de Microsoft permitem às organizações recolher estes dados para posterior processamento numa ferramenta como o seu SIEM. Informações sobre como aceder à API de Proteção de Identidade podem ser encontradas no artigo, Começar com Azure Ative Directory Identity Protection and Microsoft Graph

Informações sobre a integração de informações de Proteção de Identidade com Microsoft Sentinel podem ser encontradas no artigo, Ligue os dados da Azure AD Proteção de Identidade.

As organizações podem optar por armazenar dados por períodos mais longos alterando as definições de diagnóstico em Azure AD. Podem optar por enviar dados para um espaço de trabalho do Log Analytics, arquivar dados para uma conta de armazenamento, transmitir dados para Os Centros de Eventos ou enviar dados para uma solução de parceiro. Informações detalhadas sobre como fazê-lo podem ser encontradas no artigo, Como: Exportar dados de risco.

Funções necessárias

A Proteção de Identidade requer que os utilizadores sejam um Leitor de Segurança, Operador de Segurança, Administrador de Segurança, Leitor Global ou Administrador Global para aceder.

Função Pode fazer Não posso fazer.
Administrador Global Acesso total à Proteção de Identidade
Administrador de Segurança Acesso total à Proteção de Identidade Redefinir a palavra-passe para um utilizador
Operador de Segurança Ver todos os relatórios de Proteção de Identidade e Visão Geral Rejeitar o risco do utilizador, confirmar a entrada segura, confirmar compromisso Configurar ou alterar políticas Redefinir a palavra-passe para um utilizador configurar alertas
Leitor de Segurança Ver todos os relatórios de Proteção de Identidade e Visão Geral Configurar ou alterar políticas Redefinir palavra-passe para um utilizador Configurar alertas Dar feedback sobre deteções
Leitor Global Acesso apenas à Proteção de Identidade

Atualmente, a função de Operador de Segurança não pode aceder ao relatório de inscrições de Risco.

Os administradores de acesso condicional podem criar políticas que fator no risco de utilizador ou de inscrição como condição. Veja mais informações no artigo Acesso Condicionado: Condições.

Requisitos de licença

A utilização desta funcionalidade requer licenças Azure AD Premium P2. Para encontrar a licença certa para os requisitos, veja Comparar as funcionalidades geralmente disponíveis do Azure Active Directory.

Funcionalidade Detalhes Azure AD Gratuito / Microsoft 365 Apps Azure AD Premium P1 Azure AD Premium P2
Políticas de risco Política de risco do utilizador (via Proteção de Identidade) No No Yes
Políticas de risco Política de risco de inscrição (via Proteção de Identidade ou Acesso Condicional) No No Yes
Relatórios de segurança Descrição Geral No No Yes
Relatórios de segurança Utilizadores de risco Informação limitada. Apenas são mostrados utilizadores com risco médio e elevado. Sem detalhes gaveta ou histórico de risco. Informação limitada. Apenas são mostrados utilizadores com risco médio e elevado. Sem detalhes gaveta ou histórico de risco. Acesso completo
Relatórios de segurança Inícios de sessão de risco Informação limitada. Não é mostrado nenhum detalhe de risco ou nível de risco. Informação limitada. Não é mostrado nenhum detalhe de risco ou nível de risco. Acesso completo
Relatórios de segurança Deteções de riscos No Informação limitada. Sem detalhes na gaveta. Acesso completo
Notificações Utilizadores em risco detetados alertas No No Yes
Notificações Digestão semanal No No Yes
Política de registo na MFA No No Yes

Mais informações sobre estes relatórios ricos podem ser encontradas no artigo, Como: Investigar o risco.

Passos seguintes