Como: Investigar risco

O Identity Protection fornece às organizações três relatórios que elas podem usar para investigar os riscos de identidade nos ambientes. Esses relatórios são os usuários suspeitos, as entradas suspeitas e as detecções de risco. A investigação de eventos é a chave para uma melhor compreensão e identificação dos pontos fracos em sua estratégia de segurança.

Todos os três relatórios permitem o download de eventos no formato CSV para análise adicional fora do portal do Azure. Os relatórios de usuários suspeitos e de entradas suspeitas permitem baixar as 2500 entradas mais recentes, e o relatório de detecções de risco permite baixar os 5000 registros mais recentes.

As organizações podem aproveitar as integrações da API do Microsoft Graph para agregar dados com outras fontes às quais podem ter acesso como uma organização.

Os três relatórios são encontrados no portal do Azure>Azure Active Directory>Segurança.

Cada relatório é iniciado com uma lista de todas as detecções do período que aparece na parte superior do relatório. Cada relatório permite a adição ou a remoção de colunas com base na preferência do administrador. Os administradores podem optar por baixar os dados no formato .CSV ou .JSON. Os relatórios podem ser filtrados usando-se os filtros na parte superior do relatório.

A seleção de entradas individuais pode habilitar mais entradas adicionais na parte superior do relatório, como a capacidade de confirmar que uma entrada é comprometida ou segura, confirmar que um usuário é comprometido ou ignorar o risco do usuário.

A seleção de entradas individuais expande uma janela de detalhes abaixo das detecções. A exibição de detalhes permite que os administradores investiguem e executem ações em cada detecção.

Usuários de risco

Risky users report in the Azure portal

Com as informações fornecidas pelo relatório de usuários suspeitos, os administradores podem descobrir:

  • Quais usuários estão em risco, tiveram o risco corrigido ou tiveram o risco ignorado?
  • Detalhes sobre as detecções
  • Histórico de todas as entradas suspeitas
  • Histórico de risco

Depois, os administradores poderão optar por tomar medidas sobre esses eventos. Os administradores podem escolher:

  • Redefinir a senha do usuário
  • Confirmar usuário comprometido
  • Ignorar o risco de usuário
  • Bloquear a entrada de um usuário
  • Investigar mais usando o ATP do Azure

Entradas de risco

Risky sign-ins report in the Azure portal

O relatório de entradas suspeitas contém dados filtráveis para até os últimos 30 dias (1 mês).

Com as informações fornecidas pelo relatório de entradas suspeitas, os administradores podem descobrir:

  • Quais entradas são classificadas como em risco, comprometimento confirmado, segurança confirmada, ignoradas ou corrigidas.
  • Níveis de risco agregados e em tempo real associados a tentativas de entrada.
  • Tipos de detecção disparados
  • Políticas de acesso condicional aplicadas
  • Detalhes da Autenticação Multifator
  • Informações do dispositivo
  • Informações do aplicativo
  • Informações de localização

Depois, os administradores poderão optar por tomar medidas sobre esses eventos. Os administradores podem escolher:

  • Confirmar entrada comprometida
  • Confirmar entrada segura

Observação

O Identity Protection avalia o risco de todos os fluxos de autenticação, sejam eles interativos ou não. Agora o relatório de entrada suspeita mostra as entradas interativas e não interativas. Use o filtro "tipo de entrada" para alterar essa exibição.

Detecções de risco

Risk detections report in the Azure portal

O relatório de detecções de risco contém dados filtráveis para até os últimos 90 dias (três meses).

Com as informações fornecidas pelo relatório de detecções de risco, os administradores podem descobrir:

  • Informações sobre cada detecção de risco, incluindo o tipo.
  • Outros riscos disparados ao mesmo tempo
  • Local da tentativa de entrada
  • Link para obter mais detalhes dos aplicativos do Microsoft Defender para nuvem.

Depois, os administradores poderão optar por retornar ao relatório de risco ou de entradas do usuário para executar ações com base nas informações coletadas.

Observação

Nosso sistema pode detectar que o evento de risco que contribuiu para a pontuação de risco de usuário de risco foi um falso positivo ou que o risco do usuário foi corrigido com a imposição de política, como a conclusão de uma solicitação de MFA ou uma alteração de senha segura. Portanto, nosso sistema ignorará o estado de risco, e um detalhe de risco de "segurança de entrada confirmada por IA" será exibido e não contribuirá mais para o risco do usuário.

Estrutura de investigação

As organizações podem usar as seguintes estruturas para começar sua investigação em qualquer atividade suspeita. As investigações podem exigir a presença de uma conversa com o usuário em questão, a revisão dos logs de entradaou a revisão dos logs de auditoria para citar alguns.

  1. Verifique os logs e valide se a atividade suspeita é normal para o usuário determinado.
    1. Examine as atividades passadas do usuário, incluindo pelo menos as propriedades a seguir para ver se elas são normais para o usuário determinado.
      1. Aplicativo
      2. Dispositivo - O dispositivo está registrado ou em conformidade?
      3. Local - O usuário está viajando para um local diferente ou acessando dispositivos de vários locais?
      4. Endereço IP
      5. Cadeia de caracteres de agente do usuário
    2. Se você tiver acesso a outras ferramentas de segurança como o Microsoft Sentinel, verifique se há alertas correspondentes que possam indicar um problema maior.
  2. Entre em contato com o usuário para confirmar se ele reconhece a entrada. Os métodos como email ou Teams podem ser comprometidos.
    1. Confirme as informações que você tem, como:
      1. Aplicativo
      2. Dispositivo
      3. Local
      4. Endereço IP

Investigue as detecções da Inteligência contra ameaças do Azure AD

Para investigar uma detecção de risco da Inteligência contra ameaças do Azure AD, siga estas etapas:

Se mais informações forem exibidas para a detecção:

  1. A entrada era de um endereço IP suspeito:
    1. Confirme se o endereço IP mostra um comportamento suspeito em seu ambiente.
    2. O IP gera um grande número de falhas para um usuário ou conjunto de usuários em seu diretório?
    3. É o tráfego do IP proveniente de um protocolo ou aplicativo inesperado, por exemplo, protocolos herdados da Troca?
    4. Se o endereço IP corresponder a um provedor de serviços de nuvem, desconsidere que não há aplicativos corporativos legítimos em execução do mesmo IP.
  2. Esta conta foi atacada por uma Pulverização de senha:
    1. Valide se nenhum outro usuário em seu diretório é alvo do mesmo ataque.
    2. Outros usuários têm entradas com padrões de atípicos semelhantes vistos na entrada detectada dentro do mesmo período de tempo? Os ataques de Pulverização de senha podem exibir padrões incomuns em:
      1. Cadeia de caracteres de agente do usuário
      2. Aplicativo
      3. Protocolo
      4. Intervalos de IPs/ASNs
      5. Hora e frequência de entradas

Próximas etapas