O que é proteção de identidade?
O Identity Protection permite que as organizações executem três tarefas importantes:
- Automatizar a detecção e a correção de riscos baseados em identidade.
- Investigar os riscos usando os dados no portal.
- Exportar dados de detecção de risco para outras ferramentas.
O Identity Protection usa os aprendizados que a Microsoft adquiriu com sua posição em organizações com o Azure Active Directory, com o espaço do consumidor nas Contas Microsoft e com os jogos do Xbox para proteger seus usuários. A Microsoft analisa trilhões de sinais por dia para identificar e proteger os clientes contra ameaças.
Os sinais gerados pelo Identidade Protection e fornecidos a ele podem ser alimentados posteriormente em ferramentas como o Acesso Condicional para tomar decisões de acesso ou retroalimentar uma ferramenta de SIEM (gerenciamento de eventos e informações de segurança) para uma investigação mais detalhada.
Por que a automação é importante?
Na postagem no blog Cyber Signals: defesa contra ameaças cibernéticas com as pesquisas, os insights e as tendências mais recentes de 3 de fevereiro de 2022, compartilhamos um resumo da inteligência contra ameaças, incluindo as seguintes estatísticas:
- Analisamos... 24 trilhões de sinais de segurança combinados com inteligência que rastreamos ao monitorar mais de 40 grupos de estados-nação e mais de 140 grupos de ameaças...
- ... De janeiro de 2021 a dezembro de 2021, bloqueamos mais de 25,6 bilhões de ataques de autenticação de força bruta ao Azure AD...
A magnitude da escala de sinais e ataques exige certo nível de automação para conseguir acompanhar.
Detectar risco
O Identity Protection detecta riscos de vários tipos, incluindo:
- Uso de endereço IP anônimo
- Viagem atípica
- Endereço IP vinculado a malware
- Propriedades de entrada desconhecidas
- Credenciais vazadas
- Pulverização de senha
- e muito mais...
Os sinais de risco podem disparar esforços de correção, como exigir: a execução da autenticação multifator, redefinição de senhas usando a redefinição de senha por autoatendimento ou o bloqueio do acesso até que um administrador execute uma ação.
Mais detalhes sobre esses riscos, incluindo como ou quando são calculados podem ser encontrados no artigo, O que é risco.
Investigar risco
Os administradores podem examinar as detecções e executar uma ação manual sobre elas, se necessário. Há três importantes relatórios que os administradores usam para investigações no Identity Protection:
- Usuários de risco
- Entradas de risco
- Detecções de risco
Mais informações podem ser encontradas no artigo, Como investigar o risco.
Níveis de risco
O Identity Protection categoriza os riscos em camadas: baixa, média e alta.
A Microsoft não fornece detalhes específicos sobre como o risco é calculado. Cada nível de risco traz maior confiança de que o usuário ou a entrada está comprometida. Por exemplo, algo como uma instância de propriedades de entrada desconhecidas para um usuário pode não ser tão ameaçador quanto as credenciais vazadas para outro usuário.
Uso posterior de informações de risco
Os dados do Identity Protection podem ser exportados para outras ferramentas para serem arquivados, investigados ainda mais e correlacionados. As APIs baseadas no Microsoft Graph permitem que as organizações coletem esses dados para processamento adicional em uma ferramenta como o SIEM. Informações sobre como acessar a API do Identity Protection podem ser encontradas no artigo, Introdução ao Azure Active Directory Identity Protection e ao Microsoft Graph
Informações sobre como integrar o Identity Protection ao Microsoft Sentinel podem ser encontradas no artigo Conectar dados do Microsoft Identity Protection.
As organizações podem optar por armazenar dados por períodos maiores ao alterar as configurações de diagnóstico no Azure AD. Elas podem optar por enviar os dados para um workspace do Log Analytics, arquivá-los em uma conta de armazenamento, transmiti-los para Hubs de Eventos ou enviá-los para a solução de um parceiro. Informações detalhadas sobre como fazer isso podem ser encontradas no artigo Como exportar dados de risco.
Funções necessárias
O Identity Protection requer que os usuários sejam um Leitor de Segurança, Operador de Segurança, Administrador da Segurança, Leitor Global ou Administrador Global para acessarem.
| Função | O que ele pode fazer | O que não pode fazer |
|---|---|---|
| Administrador Global | Acesso total à proteção de identidade | |
| Administrador de Segurança | Acesso total à proteção de identidade | Redefinir senha para um usuário |
| Operador de segurança | Exibir todos os relatórios do Identity Protection e a Visão Geral Ignorar o risco do usuário, confirmar a entrada segura, confirmar o comprometimento |
Configurar ou alterar políticas Redefinir senha para um usuário Configurar alertas |
| Leitor de segurança | Exibir todos os relatórios do Identity Protection e a Visão Geral | Configurar ou alterar políticas Redefinir senha para um usuário Configurar alertas Fornecer comentários sobre as detecções |
| Leitor global | Acesso somente leitura para o Identity Protection |
Atualmente, a função de Operador de segurança não pode acessar o relatório de entradas suspeitas.
Os administradores do Acesso Condicional podem criar políticas que consideram o risco de entrada ou do usuário como uma condição. Encontre mais informações no artigo Acesso Condicional: Condições.
Requisitos de licença
Para usar esse recurso, é necessária uma licença do Azure AD Premium P2. Para localizar a licença correta para os requisitos, confira Comparar os recursos geralmente disponíveis do Azure Active Directory.
| Recurso | Detalhes | Aplicativos do Azure AD Gratuito / Microsoft 365 | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| Políticas de risco | Políticas de entrada e risco do usuário (por meio do Identity Protection ou Acesso Condicional) | Não | Não | Sim |
| Relatórios de segurança | Visão geral | Não | Não | Sim |
| Relatórios de segurança | Usuários de risco | Informações limitadas. Somente os usuários com risco médio e alto são mostrados. Sem gaveta de detalhes ou histórico de riscos. | Informações limitadas. Somente os usuários com risco médio e alto são mostrados. Sem gaveta de detalhes ou histórico de riscos. | Acesso completo |
| Relatórios de segurança | Entradas de risco | Informações limitadas. Nenhum detalhe ou nível de risco é mostrado. | Informações limitadas. Nenhum detalhe ou nível de risco é mostrado. | Acesso completo |
| Relatórios de segurança | Detecções de risco | Não | Informações limitadas. Sem gaveta de detalhes. | Acesso completo |
| Notificações | Alertas de usuários em risco detectados | Não | Não | Sim |
| Notificações | Resumo semanal | Não | Não | Sim |
| Política de registro de MFA | Não | Não | Sim |
Mais informações sobre esses relatórios avançados podem ser encontradas no artigo Instruções: investigar o risco.