Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Entra ID Protection pode fornecer uma ampla gama de detecções de risco que podem ser usadas para identificar atividades suspeitas em sua organização. As tabelas incluídas neste artigo resumem a lista de detecções de risco de entrada e de usuário, incluindo os requisitos de licença ou se a detecção ocorrer em tempo real ou offline. Mais detalhes sobre cada detecção de risco podem ser encontrados seguindo as tabelas.
- Detalhes completos sobre a maioria das detecções de risco exigem o Microsoft Entra ID P2.
- Os clientes sem licenças do Microsoft Entra ID P2 recebem detecções intituladas Risco adicional detectado sem detalhes de detecção de risco.
- For more information, see the license requirements.
- Para obter informações sobre detecções de risco de identidade de carga de trabalho, consulte Proteção de identidades de carga de trabalho.
Note
Para obter detalhes sobre detecções e níveis de risco em tempo real versus offline, consulte os tipos e níveis de detecção de risco.
Detecções de risco de entrada mapeadas para riskEventType
Selecione uma detecção de risco na lista para exibir a descrição da detecção de risco, como ela funciona e os requisitos de licença. In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license.
Nonpremium indicates the detection is available with Microsoft Entra ID Free. A riskEventType coluna indica o valor que aparece nas consultas da API do Microsoft Graph.
| Detecção de risco de entrada | Detection type | Tipo | riskEventType |
|---|---|---|---|
| Atividade de um endereço IP anônimo | Offline | Premium | riskyIPAddress |
| Risco adicional detectado (entrada) | Em tempo real ou offline | Nonpremium | generic ^ |
| Usuário comprometido confirmado pelo administrador | Offline | Nonpremium | adminConfirmedUserCompromised |
| Token anômalo (entrada) | Em tempo real ou offline | Premium | anomalousToken |
| Endereço IP anônimo | Real-time | Nonpremium | anonymizedIPAddress |
| Atypical travel | Offline | Premium | unlikelyTravel |
| Impossible travel | Offline | Premium | mcasImpossibleTravel |
| Endereço IP mal-intencionado | Offline | Premium | maliciousIPAddress |
| Acesso em Massa a Arquivos Confidenciais | Offline | Premium | mcasFinSuspiciousFileAccess |
| Inteligência contra ameaças do Microsoft Entra (entrada) | Em tempo real ou offline | Nonpremium | investigationsThreatIntelligence |
| New country | Offline | Premium | newCountry |
| Password spray | Em tempo real ou offline | Premium | passwordSpray |
| Suspicious browser | Offline | Premium | suspiciousBrowser |
| Encaminhamento suspeito da caixa de entrada | Offline | Premium | suspiciousInboxForwarding |
| Regras de manipulação de caixa de entrada suspeita | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| Anomalia do emissor do token | Offline | Premium | tokenIssuerAnomaly |
| Propriedades de entrada desconhecidas | Real-time | Premium | unfamiliarFeatures |
| Verificação do IP do ator de ameaça | Real-time | Premium | nationStateIP |
^ O riskEventType para detecção de risco adicional detectado é genérico para locatários com Microsoft Entra ID Free ou Microsoft Entra ID P1. Detectamos algo arriscado, mas os detalhes não estão disponíveis sem uma licença do Microsoft Entra ID P2.
Detecções de risco de usuário mapeadas para riskEventType
Selecione uma detecção de risco na lista para exibir a descrição da detecção de risco, como ela funciona e os requisitos de licença.
| Detecção de risco do usuário | Detection type | Tipo | riskEventType |
|---|---|---|---|
| Risco adicional detectado (usuário) | Em tempo real ou offline | Nonpremium | generic ^ |
| Token anômalo (usuário) | Em tempo real ou offline | Premium | anomalousToken |
| Atividade anômala do usuário | Offline | Premium | anomalousUserActivity |
| Invasor no meio | Offline | Premium | attackerinTheMiddle |
| Leaked credentials | Offline | Nonpremium | leakedCredentials |
| Inteligência contra ameaças do Microsoft Entra (usuário) | Em tempo real ou offline | Nonpremium | investigationsThreatIntelligence |
| Possível tentativa de acessar o PRT (token de atualização primário) | Offline | Premium | attemptedPrtAccess |
| Tráfego de API suspeito | Offline | Premium | suspiciousAPITraffic |
| Padrões de envio suspeitos | Offline | Premium | suspiciousSendingPatterns |
| O usuário relatou atividade suspeita | Offline | Premium | userReportedSuspiciousActivity |
^ O riskEventType para detecção de risco adicional detectado é genérico para locatários com Microsoft Entra ID Free ou Microsoft Entra ID P1. Detectamos algo arriscado, mas os detalhes não estão disponíveis sem uma licença do Microsoft Entra ID P2.
Detecções de risco de entrada
Atividade de um endereço IP anônimo
Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção identifica que os usuários estavam ativos em um endereço IP identificado como um endereço IP de proxy anônimo.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Risco adicional detectado (entrada)
Essa detecção indica que uma das detecções premium foi detectada. Como as detecções premium são visíveis apenas para clientes do Microsoft Entra ID P2, elas são intituladas Risco adicional detectado para clientes sem licenças do Microsoft Entra ID P2.
- Calculado em tempo real ou offline
- Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1
Usuário comprometido confirmado pelo administrador
Essa detecção indica que um administrador selecionou Confirmar o usuário comprometido na interface do usuário de usuários suspeitos ou usando a API riskyUsers. Para ver qual administrador confirmou que esse usuário está comprometido, verifique o histórico de risco do usuário (por meio da interface de usuário ou API).
- Calculated offline
- Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1
Token anômalo (entrada)
Essa detecção indica características anormais no token, como um tempo de vida incomum ou um token executado de um local desconhecido. Essa detecção abrange "Tokens de Sessão" e "Tokens de Atualização".
O token anômalo é ajustado para incorrer em mais ruído do que outras detecções no mesmo nível de risco. Essa troca é escolhida para aumentar a probabilidade de detecção de tokens reproduzidos que, de outra forma, poderiam passar despercebidos. Há uma chance maior do que o normal de que algumas das sessões sinalizadas por essa detecção sejam falsos positivos. É recomendável investigar as sessões sinalizadas por essa detecção no contexto de outras entradas do usuário. Se o local, o aplicativo, o endereço IP, o agente de usuário ou outras características forem inesperados para o usuário, o administrador deverá considerar esse risco como um indicador de possível reprodução de token.
- Calculado em tempo real ou offline
- Requisito de licença: Microsoft Entra ID P2
- Dicas para investigação de detecções anômalas de token.
Endereço IP anônimo
Esse tipo de evento de risco indica entradas de um endereço IP anônimo (por exemplo, navegador Tor e VPNs para anonimato). Esses endereços IP costumam ser usados por atores que desejam ocultar as próprias informações de entrada (endereço IP, localização, dispositivo e assim por diante), potencialmente com más intenções.
- Calculado em tempo real
- Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1
Viagem atípica
Esse tipo de detecção de risco identifica dois logins originados de locais geograficamente distantes, em que pelo menos um dos locais também pode ser atípico para o usuário, considerando o comportamento anterior. O algoritmo leva em conta vários fatores, incluindo o tempo entre os dois logins e o tempo que o usuário levaria para viajar do primeiro local para o segundo. Esse risco indica que um usuário diferente está usando as mesmas credenciais.
Esse algoritmo ignora “falsos positivos” óbvios que contribuem para condições impossíveis de viagem, como VPNs e locais regularmente usados por outros usuários na organização. O sistema tem um período inicial de aprendizado dos primeiros 14 dias ou 10 logons, durante o qual ele aprende o comportamento de entrada de um novo usuário.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
- Dicas para investigação de detecções de viagens atípicas.
Viagem impossível
Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção identifica atividades do usuário (em uma única ou várias sessões) provenientes de locais geograficamente distantes em um período de tempo menor que o tempo que leva para o usuário viajar do primeiro local para o segundo. Esse risco indica que um usuário diferente está usando as mesmas credenciais.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Endereço IP mal-intencionado
Essa detecção indica a entrada de um endereço IP mal-intencionado. Um endereço IP é considerado mal-intencionado com base em taxas de falha altas devido a credenciais inválidas recebidas do endereço IP ou outras fontes de reputação de IP. Em alguns casos, essa detecção é acionada em atividades maliciosas anteriores.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
- Dicas para investigação de detecções de endereço IP mal-intencionado.
Acesso em massa a arquivos confidenciais
Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção analisa o seu ambiente e dispara alertas quando os usuários acessam vários arquivos do Microsoft SharePoint Online ou Microsoft OneDrive. Um alerta é disparado somente se o número de arquivos acessados for incomum para o usuário e os arquivos poderão conter informações confidenciais.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Inteligência contra ameaças do Microsoft Entra (entrada)
Esse tipo de detecção de risco indica atividade do usuário incomum para o usuário ou é consistente com padrões de ataque conhecidos. Essa detecção é baseada nas fontes internas e externas de inteligência contra ameaças da Microsoft.
- Calculado em tempo real ou offline
- Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1
- Dicas para investigação de detecções de inteligência contra ameaças do Microsoft Entra.
Novo país
Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção considera os locais de atividades anteriores para determinar os locais novos e pouco frequentes. O mecanismo de detecção de anomalias armazena informações sobre locais anteriores usados por usuários na organização.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Pulverização de senha
Um ataque de pulverização de senha é quando várias identidades são atacadas usando senhas comuns em uma maneira de força bruta unificada. A detecção de risco é disparada quando a senha de uma conta é válida e houve uma tentativa de entrada. Essa detecção sinaliza que a senha do usuário foi identificada corretamente por meio de um ataque de pulverização de senha, não que o invasor tenha sido capaz de acessar recursos.
- Calculado em tempo real ou offline
- Requisito de licença: Microsoft Entra ID P2
- Dicas para investigar detecções de ataques de pulverização de senhas.
Suspicious browser
A detecção de navegador suspeito indica um comportamento anômalo com base na atividade de login suspeita em vários clientes de diferentes países/regiões no mesmo navegador.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
- Dicas para investigação de detecções suspeitas do navegador.
Encaminhamento suspeito da caixa de entrada
Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção procura regras de encaminhamento de email suspeito, por exemplo, se um usuário criou uma regra de caixa de entrada que encaminha uma cópia de todos os emails para um endereço externo.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Regras de manipulação suspeita da caixa de entrada
Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção analisa o ambiente e dispara alertas quando regras suspeitas que excluem ou movem mensagens ou pastas são definidas na caixa de entrada de um usuário. Essa detecção pode indicar: a conta de um usuário está comprometida, as mensagens estão sendo intencionalmente ocultadas e a caixa de correio está sendo usada para distribuir spam ou malware na sua organização.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Anomalia do emissor de token
Essa detecção de risco indica que o emissor do token SAML do token SAML associado possivelmente está comprometido. As declarações incluídas no token são incomuns ou correspondem a padrões de invasor conhecidos.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
- Dicas para investigação de detecções de anomalias do emissor do token.
Propriedades de entrada desconhecidas
Esse tipo de detecção de risco considera o histórico de entrada anterior para procurar entradas anômalas. O sistema armazena informações sobre entradas anteriores e diferentes uma detecção de risco quando uma entrada não é familiar para o usuário. Essas propriedades podem incluir IP, ASN, localização, dispositivo, navegador e sub-rede IP do locatário. Os usuários recém-criados estão no período de um "modo de aprendizado", no qual a detecção de risco de propriedades de entrada desconhecidas é desativada enquanto nossos algoritmos aprendem o comportamento do usuário. A duração do modo de aprendizado é dinâmica e depende de quanto tempo leva o algoritmo para reunir informações suficientes sobre os padrões de entrada do usuário. A duração mínima é de cinco dias. Um usuário pode voltar para o modo de aprendizado após um longo período de inatividade.
Também podemos executar essa detecção para a autenticação Básica (ou protocolos herdados). Como esses protocolos não têm propriedades modernas, como a ID do cliente, há dados limitados para reduzir os falsos positivos. Recomendamos que nossos clientes mudem para a autenticação moderna.
Propriedades de entrada desconhecidas podem ser detectadas em entradas interativas e não interativas. Quando essa detecção é detectada em entradas não interativas, ela merece maior investigação devido ao risco de ataques de reprodução de token.
A seleção de um risco de propriedades de entrada desconhecidas permite que você veja informações adicionais, mostrando mais detalhes sobre o motivo pelo qual esse risco foi disparado.
- Calculado em tempo real
- Requisito de licença: Microsoft Entra ID P2
Verificação do IP do ator de ameaça
Calculado em tempo real. Este tipo de detecção de risco indica atividade de entrada que é consistente com endereços IP conhecidos e associados a atores de um país/região ou grupos de crimes cibernéticos, baseado nos dados do Centro de Inteligência Contra Ameaças da Microsoft (MSTIC).
- Calculado em tempo real
- Requisito de licença: Microsoft Entra ID P2
Detecções de risco do usuário
Risco adicional detectado (usuário)
Essa detecção indica que uma das detecções premium foi detectada. Como as detecções premium são visíveis apenas para clientes do Microsoft Entra ID P2, elas são intituladas Risco adicional detectado para clientes sem licenças do Microsoft Entra ID P2.
- Calculado em tempo real ou offline
- Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1
Token anômalo (usuário)
Essa detecção indica características anormais no token, como um tempo de vida incomum ou um token executado de um local desconhecido. Essa detecção abrange "Tokens de Sessão" e "Tokens de Atualização".
O token anômalo é ajustado para incorrer em mais ruído do que outras detecções no mesmo nível de risco. Essa troca é escolhida para aumentar a probabilidade de detecção de tokens reproduzidos que, de outra forma, poderiam passar despercebidos. Há uma chance maior do que o normal de que algumas das sessões sinalizadas por essa detecção sejam falsos positivos. É recomendável investigar as sessões sinalizadas por essa detecção no contexto de outras entradas do usuário. Se o local, o aplicativo, o endereço IP, o agente de usuário ou outras características forem inesperados para o usuário, o administrador deverá considerar esse risco como um indicador de possível reprodução de token.
- Calculado em tempo real ou offline
- Requisito de licença: Microsoft Entra ID P2
- Dicas para investigação de detecções anômalas de token.
Atividade anômala do usuário
Essa detecção de riscos define a linha de base do comportamento normal do usuário administrativo no Microsoft Entra ID e identifica padrões anômalos de comportamento, como alterações suspeitas no diretório. A detecção é disparada contra o administrador que está fazendo a alteração ou o objeto que foi alterado.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
Invasor no meio
Também conhecida como Adversário no Meio, essa detecção de alta precisão é disparada quando uma sessão de autenticação está vinculada a um proxy reverso mal-intencionado. Nesse tipo de ataque, o adversário pode interceptar as credenciais do usuário, incluindo tokens emitidos para o usuário. The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. Recomendamos que os administradores investiguem manualmente o usuário quando essa detecção é disparada para garantir que o risco seja limpo. Limpar esse risco pode exigir redefinição de senha segura ou revogação de sessões existentes.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
Credenciais vazadas
Essa detecção de risco indica que as credenciais válidas do usuário vazaram. Quando os cibercriminosos comprometem senhas válidas de usuários legítimos, eles geralmente compartilham essas credenciais coletadas. Geralmente, isso é feito postando-as publicamente na deep web ou em paste sites, ou então permutando-as ou vendendo-as no mercado ilegal. Quando o serviço de credenciais vazadas da Microsoft adquire credenciais de usuário da dark Web, de sites de colagem ou de outras pessoas, elas são verificadas em relação às credenciais válidas atuais dos usuários do Microsoft Entra para encontrar correspondências válidas. For more information about leaked credentials, see FAQs.
- Calculated offline
- Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1
- Dicas para investigação de detecções de credenciais vazadas.
Inteligência contra ameaças do Microsoft Entra (usuário)
Esse tipo de detecção de risco indica atividade do usuário incomum para o usuário ou é consistente com padrões de ataque conhecidos. Essa detecção é baseada nas fontes internas e externas de inteligência contra ameaças da Microsoft.
- Calculated offline
- Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1
- Dicas para investigação de detecções de inteligência contra ameaças do Microsoft Entra.
Possível tentativa de acessar o PRT (token de atualização primário)
Esse tipo de detecção de risco é descoberto usando informações fornecidas pelo Microsoft Defender para Ponto de Extremidade (MDE). Um Token de Atualização Principal (PRT) é um importante artefato da autenticação do Microsoft Entra em dispositivos Windows 10, Windows Server 2016 e versões posteriores, iOS e Android. Um PRT é um JWT (Token Web JSON) emitido para agentes de token de terceiros da Microsoft para habilitar o SSO (logon único) nos aplicativos usados nesses dispositivos. Os invasores podem tentar acessar esse recurso para se mover lateralmente em uma organização ou realizar o roubo de credenciais. Essa detecção move os usuários para alto risco e só é acionado em organizações que implantam o MDPE. Essa detecção é de alto risco e recomendamos a correção rápida desses usuários. Ela aparece com pouca frequência na maioria das organizações devido ao seu baixo volume.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
Tráfego suspeito de API
Essa detecção de risco é relatada quando o tráfego anormal do GraphAPI ou a enumeração de diretórios é observada. O tráfego suspeito de API pode sugerir que um usuário está comprometido e realizando reconhecimento no ambiente.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
Padrões de envio suspeitos
Esse tipo de detecção de risco é descoberto usando informações fornecidas pelo Microsoft Defender para Office 365 (MDO). Esse alerta é gerado quando uma pessoa na sua organização enviou emails suspeitos e corre o risco de estar ou já foi impedida de enviar emails. Essa detecção migra os usuários para o risco médio e só é acionado em organizações que implantam o MDO. Essa detecção é de baixo volume e é vista com pouca frequência na maioria das organizações.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
O usuário relatou atividade suspeita
Essa detecção de risco é relatada quando um usuário nega um prompt de autenticação multifator (MFA) e o relata como uma atividade suspeita. Uma solicitação de MFA não iniciada por um usuário pode significar que suas credenciais estão comprometidas.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2