O que são detecções de risco?
As detecções de risco no Microsoft Entra Identity Protection incluem quaisquer ações suspeitas identificadas relacionadas a contas de usuário no diretório. As detecções de risco (usuário e entrada vinculados) contribuem com a pontuação geral de risco do usuário encontrada no relatório de Usuários suspeitos.
O Identity Protection fornece às organizações acesso a recursos avançados para ver e responder rapidamente a essas ações suspeitas.
Observação
O Identity Protection gera detecções de risco somente quando as credenciais corretas são usadas. Se credenciais incorretas forem usadas em uma entrada, isso não representará o risco de comprometimento de credenciais.
Tipos de risco e detecção
É possível detectar riscos no nível do Usuário e de Entrada, e há dois tipos de detecção ou cálculo, Tempo real e Offline. Alguns riscos são considerados premium disponíveis apenas para clientes Microsoft Entra ID P2, enquanto outros estão disponíveis para clientes Gratuitos e Microsoft Entra ID P1.
Um risco de entrada representa a probabilidade de uma determinada solicitação de autenticação não ser o proprietário autorizado da identidade. Atividades suspeitas de usuários podem ser detectadas sem vínculo com uma entrada mal-intencionada específica, mas com o usuário em si.
É possível que as detecções em tempo real não apareçam no relatório por 5 a 10 minutos. É possível que as detecções offline não apareçam no relatório por 48 horas.
Observação
Nosso sistema pode detectar que o evento de risco que contribuiu para a pontuação de risco do usuário foi:
- Um falso positivo
- O risco do usuário foi corrigido pela política por:
- Concluir a autenticação multifator
- Alteração de senha segura.
Nosso sistema ignorará o estado de risco, e um detalhe de risco de "segurança de entrada confirmada por IA" será exibido e não contribuirá mais para o risco total do usuário.
Detecções de risco de entrada
| Detecção de risco | Tipo de detecção | Type |
|---|---|---|
| Viagem atípica | Offline | Premium |
| Token anormal | Em tempo real ou offline | Premium |
| Navegador suspeito | Offline | Premium |
| Propriedades de entrada desconhecidas | Tempo real | Premium |
| Endereço IP mal-intencionado | Offline | Premium |
| Regras de manipulação de caixa de entrada suspeita | Offline | Premium |
| Pulverização de senha | Offline | Premium |
| Viagem impossível | Offline | Premium |
| Novo país | Offline | Premium |
| Atividade de um endereço IP anônimo | Offline | Premium |
| Encaminhamento suspeito da caixa de entrada | Offline | Premium |
| Acesso em Massa a Arquivos Confidenciais | Offline | Premium |
| Verificação do IP do ator de ameaça | Tempo real | Premium |
| Risco adicional detectado | Em tempo real ou offline | Não premium |
| Endereço IP anônimo | Tempo real | Não premium |
| Usuário comprometido confirmado pelo administrador | Offline | Não premium |
| Inteligência contra ameaças do Microsoft Entra | Em tempo real ou offline | Não premium |
Detecções de risco do usuário
| Detecção de risco | Tipo de detecção | Type |
|---|---|---|
| Possível tentativa de acessar o PRT (token de atualização primário) | Offline | Premium |
| Atividade anômala do usuário | Offline | Premium |
| O usuário relatou atividade suspeita | Offline | Premium |
| Tráfego de API suspeito | Offline | Premium |
| Padrões de envio suspeitos | Offline | Premium |
| Risco adicional detectado | Em tempo real ou offline | Não premium |
| Credenciais vazadas | Offline | Não premium |
| Inteligência contra ameaças do Microsoft Entra | Offline | Não premium |
Detecções Premium
As seguintes detecções premium são visíveis apenas para clientes Microsoft Entra ID P2.
Detecções premium de risco de logon
Viagem atípica
Calculado offline. Esse tipo de detecção de risco identifica dois logins originados de locais geograficamente distantes, em que pelo menos um dos locais também pode ser atípico para o usuário, considerando o comportamento anterior. O algoritmo leva em conta vários fatores, incluindo o tempo entre os dois logins e o tempo que o usuário levaria para viajar do primeiro local para o segundo. Esse risco indica que um usuário diferente está usando as mesmas credenciais.
Esse algoritmo ignora “falsos positivos” óbvios que contribuem para condições impossíveis de viagem, como VPNs e locais regularmente usados por outros usuários na organização. O sistema tem um período inicial de aprendizado dos primeiros 14 dias ou 10 logons, durante o qual ele aprende o comportamento de entrada de um novo usuário.
Investigando detecções de viagem atípicas
- Se você conseguir confirmar que a atividade não foi executada por um usuário legítimo:
- Ação recomendada: marque a entrada como comprometida e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA e redefina a senha.
- Se um usuário for conhecido por usar o endereço IP no escopo de suas funções:
- Ação recomendada: ignorar o alerta
- Se você puder confirmar que o usuário viajou recentemente para o destino mencionado detalhadamente no alerta:
- Ação recomendada: ignorar o alerta.
- Se você conseguir confirmar que o intervalo de endereços IP é de uma VPN sancionada.
- Ação recomendada: marque a entrada como segura e adicione o intervalo de endereços IP VPN a locais nomeados no Azure AD e assinale o login como seguro e adicione o intervalo de endereços de IP da VPN aos locais nomeados no Microsoft Entra ID e nos Aplicativos do Microsoft Defender para Nuvem.
Token anômalo
Calculado em tempo real ou offline. Essa detecção indica que há características anormais no token, como um tempo de vida de token incomum ou um token executado de um local desconhecido. Essa detecção abrange tokens de sessão e tokens de atualização.
Observação
O token anômalo é ajustado para incorrer em mais ruído do que outras detecções no mesmo nível de risco. Essa troca é escolhida para aumentar a probabilidade de detecção de tokens reproduzidos que, de outra forma, poderiam passar despercebidos. Como essa é uma detecção de ruídos alta, há uma chance maior do que o normal de que algumas das sessões sinalizadas por essa detecção sejam falsos positivos. É recomendável investigar as sessões sinalizadas por essa detecção no contexto de outras entradas do usuário. Se o local, o aplicativo, o endereço IP, o agente do usuário ou outras características forem inesperados para o usuário, o administrador do locatário deverá considerar esse risco como um indicador de possível reprodução de token.
Investigando detecções anômalas de token
- Se você conseguir confirmar que a atividade não foi executada por um usuário legítimo usando uma combinação de alerta de risco, localização, aplicativo, endereço IP, Agente de Usuário ou outras características inesperadas para o usuário:
- Ação recomendada: marque a entrada como comprometida e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA e redefina a senha e revogue todos os tokens.
- Se você conseguir confirmar a localização, o aplicativo, o endereço IP, o Agente do Usuário ou outras características forem esperadas para o usuário e não houver outras indicações de comprometimento:
- Ação recomendada: permita que o usuário corrija a ação automaticamente com uma política de risco de Acesso Condicional ou faça com que um administrador confirme a entrada como segura.
Para obter uma investigação mais detalhada sobre detecções baseadas em token, consulte o artigo Táticas de token: como prevenir, detectar e responder a de roubo de token na nuvem e o Guia estratégico de investigação de roubo de tokens .
Anomalia do emissor de token
Calculado offline. Essa detecção de risco indica que o emissor do token SAML do token SAML associado possivelmente está comprometido. As declarações incluídas no token são incomuns ou correspondem a padrões de invasor conhecidos.
Investigando detecções de anomalias do emissor do token
- Se você conseguir confirmar que a atividade não foi executada por um usuário legítimo:
- Ação recomendada: marque a entrada como comprometida e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA e redefina a senha e revogue todos os tokens.
- Se o usuário confirmar que essa ação foi realizada por ele, e não houver outros indicadores de comprometimento:
- Ação recomendada: permita que o usuário corrija a ação automaticamente com uma política de risco de Acesso Condicional ou faça com que um administrador confirme a entrada como segura.
Para obter uma investigação mais detalhada sobre detecções baseadas em token, consulte o artigo Táticas de token: como prevenir, detectar e responder a de roubo de token na nuvem.
Navegador suspeito
Calculado offline. A detecção de navegador suspeito indica um comportamento anormal com base na atividade de entrada suspeita em vários locatários de diferentes países no mesmo navegador.
Investigando detecções suspeitas do navegador
- Geralmente, o navegador não é usado pelo usuário ou a atividade no navegador não corresponde ao comportamento normal dos usuários.
- Ação recomendada: marque a entrada como comprometida e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA e redefina a senha e revogue todos os tokens.
Propriedades de entrada desconhecidas
Calculado em tempo real. Esse tipo de detecção de risco considera o histórico de entrada anterior para procurar entradas anômalas. O sistema armazena informações sobre entradas anteriores e diferentes uma detecção de risco quando uma entrada não é familiar para o usuário. Essas propriedades podem incluir IP, ASN, localização, dispositivo, navegador e sub-rede IP do locatário. Os usuários recém-criados estão no período de "modo de aprendizado", no qual a detecção de risco de propriedades de entrada desconhecidas é desativada enquanto nossos algoritmos aprendem o comportamento do usuário. A duração do modo de aprendizado é dinâmica e depende de quanto tempo leva o algoritmo para reunir informações suficientes sobre os padrões de entrada do usuário. A duração mínima é de cinco dias. Um usuário pode voltar para o modo de aprendizado após um longo período de inatividade.
Também podemos executar essa detecção para a autenticação Básica (ou protocolos herdados). Como esses protocolos não têm propriedades modernas, como a ID do cliente, há dados limitados para reduzir os falsos positivos. Recomendamos que nossos clientes mudem para a autenticação moderna.
Propriedades de entrada desconhecidas podem ser detectadas em entradas interativas e não interativas. Quando essa detecção é detectada em entradas não interativas, ela merece maior investigação devido ao risco de ataques de reprodução de token.
A seleção de um risco de propriedades de entrada desconhecida permite que você veja Informações adicionais, mostrando mais detalhes sobre o motivo pelo qual esse risco foi acionado. A captura de tela a seguir mostra um exemplo desses detalhes.
Endereço IP mal-intencionado
Calculado offline. Essa detecção indica a entrada de um endereço IP mal-intencionado. Um endereço IP é considerado mal-intencionado com base em taxas de falha altas devido a credenciais inválidas recebidas do endereço IP ou outras fontes de reputação de IP.
Investigando detecções de endereço IP mal-intencionado
- Se você conseguir confirmar que a atividade não foi executada por um usuário legítimo:
- Ação recomendada: marque a entrada como comprometida e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA e redefina a senha e revogue todos os tokens.
- Se um usuário for conhecido por usar o endereço IP no escopo de suas funções:
- Ação recomendada: ignorar o alerta
Regras de manipulação de caixa de entrada suspeita
Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção analisa o ambiente e dispara alertas quando regras suspeitas que excluem ou movem mensagens ou pastas são definidas na caixa de entrada de um usuário. Essa detecção pode indicar: a conta de um usuário está comprometida, as mensagens estão sendo intencionalmente ocultadas e a caixa de correio está sendo usada para distribuir spam ou malware na sua organização.
Pulverização de senha
Calculado offline. Um ataque de pulverização de senha é quando vários nomes de usuários são atacados usando senhas comuns em uma maneira de força bruta unificada para obter acesso não autorizado. Essa detecção de risco é disparada quando um ataque de pulverização de senha é executado com sucesso. Por exemplo, o invasor é autenticado com êxito na instância detectada.
Investigando detecções de pulverização de senha
- Se você conseguir confirmar que a atividade não foi executada por um usuário legítimo:
- Ação recomendada: marque a entrada como comprometida e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA e redefina a senha e revogue todos os tokens.
- Se um usuário for conhecido por usar o endereço IP no escopo de suas funções:
- Ação recomendada: ignorar o alerta
- Se você puder confirmar que a conta não foi comprometida e não encontrar indicadores de força bruta ou de pulverização de senha contra a conta.
- Ação recomendada: permita que o usuário corrija a ação automaticamente com uma política de risco de Acesso Condicional ou faça com que um administrador confirme a entrada como segura.
Para obter mais investigações sobre detecções de risco de pulverização de senha, consulte o artigo Diretrizes para identificar e investigar ataques de pulverização de senha.
Viagem impossível
Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção identifica atividades do usuário (é uma única ou várias sessões) provenientes de locais geograficamente distantes em um período de tempo menor que o tempo que leva para o usuário viajar do primeiro local para o segundo. Esse risco indica que um usuário diferente está usando as mesmas credenciais.
Novo país
Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção considera os locais de atividades anteriores para determinar os locais novos e pouco frequentes. O mecanismo de detecção de anomalias armazena informações sobre locais anteriores usados por usuários na organização.
Atividade de um endereço IP anônimo
Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção identifica que os usuários estavam ativos com base em um endereço IP que foi identificado como um endereço IP de proxy anônimo.
Encaminhamento suspeito da caixa de entrada
Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção procura regras de encaminhamento de email suspeito, por exemplo, se um usuário criou uma regra de caixa de entrada que encaminha uma cópia de todos os emails para um endereço externo.
Acesso em massa a arquivos confidenciais
Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção analisa o seu ambiente e dispara alertas quando os usuários acessam vários arquivos do Microsoft SharePoint ou Microsoft OneDrive. Um alerta será disparado somente se o número de arquivos acessados for incomum para o usuário e os arquivos poderão conter informações confidenciais
Verificação do IP do ator de ameaça
Calculado em tempo real. Este tipo de detecção de risco indica atividade de entrada que é consistente com endereços IP conhecidos e associados a atores de um país/região ou grupos de crimes cibernéticos, baseado no Centro de Inteligência Contra Ameaças da Microsoft (MSTIC).
Detecções premium de risco de usuário
Possível tentativa de acessar o PRT (token de atualização primário)
Calculado offline. Esse tipo de detecção de risco é descoberto usando informações fornecidas pelo Microsoft Defender para Ponto de Extremidade (MDE). Um Token de Atualização Principal (PRT) é um importante artefato da autenticação do Microsoft Entra em dispositivos Windows 10, Windows Server 2016 e versões posteriores, iOS e Android. Um PRT é um JWT (Token Web JSON) emitido especialmente para agentes de token primários da Microsoft para habilitar o SSO (logon único) nos aplicativos usados nesses dispositivos. Os invasores podem tentar acessar esse recurso para se mover lateralmente em uma organização ou realizar o roubo de credenciais. Essa detecção move os usuários para alto risco e só é acionado em organizações que implantaram o MDE. Essa detecção é de baixo volume e é vista com pouca frequência na maioria das organizações. Quando essa detecção aparece como alto risco, os usuários devem ser corrigidos.
Atividade anômala do usuário
Calculado offline. Essa detecção de riscos define a linha de base do comportamento normal do usuário administrativo no Microsoft Entra ID e identifica padrões anômalos de comportamento, como alterações suspeitas no diretório. A detecção é disparada contra o administrador que está fazendo a alteração ou o objeto que foi alterado.
O usuário relatou atividade suspeita
Calculado offline. Essa detecção de risco é relatada quando um usuário nega um prompt de autenticação multifator (MFA) e o relata como uma atividade suspeita. Uma solicitação de MFA não iniciada por um usuário pode significar que suas credenciais estão comprometidas.
Tráfego suspeito de API
Calculado offline. Essa detecção de risco é relatada quando o tráfego anormal do Graph ou a enumeração de diretórios é observada por um usuário. O tráfego suspeito de API pode sugerir que um usuário está comprometido e realizando reconhecimento no seu ambiente.
Padrões de envio suspeitos
Calculado offline. Este tipo de detecção de risco é descoberto ao usar informações fornecidas pelo Microsoft Defender para Office (MDO). A geração deste alerta ocorre quando alguém em sua organização envia emails suspeitos e corre o risco de ser restringido de enviar emails ou já possui uma restrição para enviá-los. Esta detecção move os usuários para risco médio e é acionada somente em organizações que implantaram o MDO. Essa detecção é de baixo volume e é vista com pouca frequência na maioria das organizações.
Detecções não premium
Os clientes sem licenças do Microsoft Entra ID P2 recebem detecções intituladas "risco adicional detectado" sem as informações detalhadas sobre a detecção que os clientes com licenças P2 recebem.
Detecções premium de risco de entrada
Risco adicional detectado (entrada)
Calculado em tempo real ou offline. Essa detecção indica que uma das detecções premium foi detectada. Como as detecções premium são visíveis apenas para clientes Microsoft Entra ID P2, elas são intituladas "risco adicional detectado" para clientes sem licenças Microsoft Entra ID P2.
Endereço IP anônimo
Calculado em tempo real. Esse tipo de evento de risco indica entradas de um endereço IP anônimo (por exemplo, navegador Tor e VPNs para anonimato). Esses endereços IP costumam ser usados por atores que desejam ocultar as próprias informações de entrada (endereço IP, localização, dispositivo e assim por diante), potencialmente com más intenções.
Usuário comprometido confirmado pelo administrador
Calculado offline. Essa detecção indica que um administrador selecionou 'Confirmar o usuário comprometido' na interface do usuário de usuários arriscados ou usando a API riskyUsers. Para ver qual administrador confirmou que esse usuário está comprometido, verifique o histórico de risco do usuário (por meio da interface de usuário ou API).
Inteligência contra ameaças do Microsoft Entra (entrada)
Calculado em tempo real ou offline. Esse tipo de detecção de risco indica atividade do usuário incomum para o usuário ou é consistente com padrões de ataque conhecidos. Essa detecção é baseada nas fontes internas e externas de inteligência contra ameaças da Microsoft.
Detecções não premium de risco de usuário
Risco adicional detectado (usuário)
Calculado em tempo real ou offline. Essa detecção indica que uma das detecções premium foi detectada. Como as detecções premium são visíveis apenas para clientes Microsoft Entra ID P2, elas são intituladas "risco adicional detectado" para clientes sem licenças Microsoft Entra ID P2.
Credenciais vazadas
Calculado offline. Essa detecção de risco indica que as credenciais válidas do usuário foram vazadas. Quando os cibercriminosos comprometem senhas válidas de usuários legítimos, eles geralmente compartilham essas credenciais coletadas. Geralmente, isso é feito postando-as publicamente na deep web ou em paste sites, ou então permutando-as ou vendendo-as no mercado ilegal. Quando o serviço de credenciais vazadas da Microsoft adquire credenciais de usuário da dark Web, de sites de colagem ou de outras pessoas, elas são verificadas em relação às credenciais válidas atuais dos usuários do Microsoft Entra para encontrar correspondências válidas. Para obter mais informações sobre credenciais vazadas, consulte Perguntas comuns.
Investigando detecções de credenciais vazadas
- Se esse sinal de detecção tiver alertado para uma credencial vazada para um usuário:
- Ação recomendada: marque a entrada como comprometida e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA e redefina a senha e revogue todos os tokens.
Inteligência contra ameaças do Microsoft Entra (usuário)
Calculado offline. Esse tipo de detecção de risco indica atividade do usuário incomum para o usuário ou é consistente com padrões de ataque conhecidos. Essa detecção é baseada nas fontes internas e externas de inteligência contra ameaças da Microsoft.
Perguntas comuns
Níveis de risco
O Identity Protection categoriza os riscos em três camadas: baixa, média e alta. Os níveis de risco calculados por nossos algoritmos de aprendizado de máquina representam o nível de confiança da Microsoft de que uma ou mais das credenciais do usuário sejam conhecidas por uma entidade não autorizada. Uma detecção de risco com alto nível de risco significa que a Microsoft está altamente confiante de que a conta foi comprometida. O baixo risco significa que há anomalias presentes na entrada ou na credencial de um usuário, mas estamos menos confiantes de que essas anomalias significam que a conta foi comprometida.
Muitas detecções podem ser disparadas em mais de um nível, dependendo do número ou gravidade das anomalias detectadas. Por exemplo, uma detecção de propriedades de entrada desconhecidas de alto risco para um usuário tem maior confiança de que a Microsoft acredita que a conta foi comprometida do que uma detecção de propriedades de entrada desconhecidas de baixo ou médio risco. Algumas detecções, como de credenciais vazadas e IP de ator de ameaça verificado, sempre são fornecidas como de alto risco.
O nível de risco é importante ao decidir para quais detecções priorizar a investigação e a correção. Ele também desempenha um papel fundamental na configuração de Políticas de acesso condicional baseadas em risco, pois cada política pode ser definida para disparar para baixo, médio, alto ou nenhum risco detectado.
Importante
Todas as detecções e usuários de "baixo" nível de risco persistirão no produto por 6 meses, após os quais serão automaticamente movidos para fornecer uma experiência de investigação mais limpa. Os níveis de risco médio e alto persistirão até que sejam corrigidos ou descartados.
Com base na tolerância a riscos de sua organização, você pode criar políticas que exigem MFA ou redefinição de senha quando a Proteção de ID detecta um determinado nível de risco. Essas políticas podem orientar o usuário a se autorremediar e resolver o risco ou o bloqueio, dependendo de suas tolerâncias.
Sincronização de hash de senha
Detecções de risco como credenciais vazadas exigem a presença de hashes de senha para ocorrer. Para obter mais informações sobre o processo real de sincronização de hash de senha, consulte o artigo Implementar a sincronização de hash de senha com o Microsoft Entra Connect Sync.
Por que são geradas detecções de risco para contas de usuário desabilitadas?
Contas de usuário desabilitadas podem ser reabilitadas. Se as credenciais de uma conta desabilitada forem comprometidas e a conta for reabilitada, atores ruins podem usar essas credenciais para obter acesso. O Identity Protection gera detecções de risco para atividades suspeitas contra contas de usuário desabilitadas para alertar os clientes sobre o possível comprometimento da conta. Se uma conta não estiver mais em uso e não for reabilitada, os clientes devem considerar excluí-la para evitar comprometimento. Nenhuma detecção de risco é gerada para contas excluídas.
Onde a Microsoft encontra credenciais vazadas?
A Microsoft encontra credenciais vazadas em diversos locais, incluindo:
- Paste sites públicos como pastebin.com e paste.ca, em que os atores mal-intencionados normalmente lançam tal material. Esse local é a primeira parada da maioria dos atores mal-intencionados em sua busca de encontrar credenciais roubadas.
- Agências de aplicação de leis.
- Outros grupos da Microsoft fazendo pesquisas na deep web.
Por que não vejo credenciais vazadas?
As credenciais vazadas são processadas sempre que a Microsoft encontra um novo lote disponível publicamente. Devido à natureza confidencial, as credenciais vazadas são excluídas logo após o processamento. Somente novas credenciais vazadas encontradas após você habilitar a sincronização de hash de senha (PHS) são processadas em seu locatário. A confirmação com os pares de credenciais encontrados anteriormente não é feita.
Não vejo nenhum evento de risco de credencial vazada há algum tempo
Se você não viu eventos de riscos de credenciais vazados, isso ocorreu devido aos seguintes motivos:
- Você não tem o PHS habilitado para seu locatário.
- A Microsoft não encontrou pares de credenciais vazados que correspondam aos seus usuários.
Com que frequência a Microsoft processa novas credenciais?
As credenciais são processadas imediatamente depois de serem encontradas, normalmente em vários lotes por dia.
Locais
A localização nas detecções de risco é determinada usando a pesquisa de endereço IP.