Responda às ameaças de identidade usando o resumo de usuários suspeitos
Importante
As informações neste artigo se aplicam ao Programa de Acesso Antecipado do Copilot da Segurança da Microsoft, um programa de pré-visualização pago somente para convidados para clientes comerciais. Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não dá garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
O Microsoft Entra ID Protection aplica os recursos do Microsoft Copilot para Microsoft Entra para resumir o nível de risco de um usuário, fornecer insights relevantes para o incidente em questão e fornecer recomendações para uma rápida mitigação. A investigação de risco de identidade é uma etapa crucial para defender uma organização. O Copilot para Microsoft Entra ajuda a reduzir o tempo de resolução, fornecendo aos administradores de TI e aos analistas do Centro de Operações de Segurança (SOC) o contexto certo para investigar e corrigir o risco de identidade e os incidentes baseados em identidade. A sumarização de usuários suspeitos fornece aos administradores e aos respondentes acesso rápido às informações mais importantes no contexto para ajudar na investigação.
Responda rapidamente às ameaças à identidade:
- Sumarização do risco: Sumarização em linguagem natural por que o nível de risco do usuário foi elevado.
- Recomendações: Obter diretrizes sobre como mitigar e responder a esses tipos de ataques, com links rápidos de ajuda e documentação.
Este artigo descreve como acessar o recurso de sumarização de usuários suspeitos do Identity Protection e Copilot para Microsoft Entra. O uso desse recurso exige licenças do Microsoft Entra ID P2.
Investigar usuários arriscados
Para exibir e investigar um usuário suspeito:
Entre no Centro de administração do Microsoft Entra como pelo menos Leitor de Segurança.
Navegue até Proteção>Identity Protection e depois até o relatório Usuários suspeitos.
Selecione um usuário no relatório de usuários suspeitos.
Na janela Detalhes do usuário suspeito, as informações aparecem em Sumarização.
O resumo do usuário suspeito contém três seções:
- Sumarização pelo Copilot: sumariza em linguagem natural por que o Identity Protection sinalizou o usuário como suspeito.
- O que fazer: lista as próximas etapas para investigar esse incidente e evitar futuros incidentes.
- Ajuda e documentação: lista os recursos de ajuda e documentação.
Neste exemplo, as correções sugeridas são:
- Criar políticas de acesso condicional baseadas na entrada suspeita e no risco do usuário.
A ajuda e a documentação sugeridas são:
- O que é risco no ID Protection?
- Guias estratégicos de resposta a incidentes
- Políticas de acesso baseadas em risco
Próximas etapas
- Saiba mais sobre usuários suspeitos.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de