Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
À medida que as organizações adotam, criam e implantam agentes autônomos de IA, a necessidade de monitorar e proteger esses agentes torna-se crítica. Microsoft Entra ID Protection ajuda a proteger sua organização detectando e respondendo automaticamente aos riscos baseados em identidade em agentes que usam a plataforma Microsoft Entra Agent ID.
Pré-requisitos
Funções
Para usar nossos relatórios do Agente Arriscado, você deve ter uma das seguintes funções de administrador atribuídas.
Para configurar políticas que usam o Risco do Agente como condição, você deve ter a função administrador de acesso condicional atribuída.
Licenciamento
- A Proteção de ID para agentes é incluída com a licença P2 Microsoft Entra durante a versão prévia.
Como funciona
Como os agentes podem operar de forma autônoma e em nome de um usuário, eles podem exibir um comportamento de entrada exclusivo. Os agentes podem tomar iniciativa, interagir com dados confidenciais e operar em escala. Microsoft Entra ID Protection para agentes foi projetado para identificar e reduzir os riscos associados a esses recursos. O sistema determina uma linha de base para a atividade normal de um agente e, em seguida, a monitora continuamente em busca de anomalias em Microsoft Entra ID. Depois que um agente exibe um comportamento suspeito, a Proteção de ID sinaliza a atividade e a marca como arriscada.
Atividades que contribuem para o risco
A tabela a seguir fornece as atividades anômalas que podem contribuir para que o agente seja sinalizado para risco. Neste momento, todas as detecções de risco para agentes arriscados estão offline.
| Detecção de risco do agente | Tipo de detecção | Description | riskEventType |
|---|---|---|---|
| Acesso a recursos desconhecidos | Offline | O agente direcionou recursos que normalmente não acessa. Essa detecção pode significar que um invasor está tentando acessar recursos confidenciais além da finalidade pretendida pelo agente. | unfamiliarResourceAccess |
| Pico de login | Offline | O Agente fez um número maior de logons comparado à sua frequência de logon habitual. Esse pico pode ser um indicador de que um invasor está usando automação ou um kit de ferramentas. | signInSpike |
| Tentativa de acesso com falha | Offline | O agente tentou e falhou ao acessar recursos para os quais ele não está autorizado. Essa detecção pode indicar que um invasor está tentando reutilizar o token de um agente em um recurso não autorizado. | tentativaDeAcessoFalhada |
| Login por usuário de risco | Offline | O agente entrou em nome de um usuário arriscado durante uma autenticação delegada. Essa detecção significa que um invasor pode estar usando as credenciais de um usuário comprometido para explorar um agente. | entradaDeUsuárioArriscada |
| Comprometimento confirmado | Offline | Administrador confirmou: agente comprometido | AdministradorConfirmouAgenteComprometido |
| Microsoft Entra inteligência contra ameaças | Offline | A Microsoft identificou uma atividade consistente com padrões de ataque conhecidos com base em suas fontes internas e externas de inteligência contra ameaças. | contaDeInteligênciaDeAmeaças |
Visualizar o relatório de agente de risco
O relatório Agentes Arriscados fornece uma lista de todos os agentes que foram sinalizados para comportamentos arriscados. Um resumo de agentes arriscados é exibido no Painel de Proteção de ID. Essa exibição de instantâneo fornece uma visão geral do número de agentes sinalizados para risco por nível de risco. Selecione Exibir agentes arriscados para abrir o relatório completo.
Você também pode navegar diretamente para o relatório Agentes de Risco no menu de navegação da Proteção de Identidade. Filtrar e classificar para localizar agentes específicos, estados de risco ou níveis de risco.
Você pode tomar medidas sobre agentes diretamente do relatório, incluindo:
- Confirmar comprometimento: selecione após a investigação manual ou a detecção automatizada confirma que a conta está comprometida. Esta etapa é útil como parte da resposta a incidentes para evitar danos adicionais. Confirmar um comprometimento define automaticamente o nível de risco como Alto e cria um evento nas detecções de risco do agente. Essa ação dispara políticas de Acesso Condicional baseadas em risco configuradas para bloquear o acesso em Alto Risco de Agente.
- Confirme a segurança: marca o usuário como seguro após a investigação e limpa qualquer estado de risco ativo para esse usuário definindo o nível de risco como Nenhum. Use essa opção quando quiser marcar um falso positivo e para que o sistema evite sinalizar atividade semelhante.
- Descartar risco: informa ao sistema que o risco detectado para um agente não é mais relevante após a investigação ou é um verdadeiro positivo benigno em que você deseja que o sistema continue a sinalizar atividades semelhantes.
- Disable: impede todas as entradas desse agente em Microsoft Entra ID e aplicativos conectados.
Exibir os detalhes do agente arriscado
No relatório do agente arriscado, selecione uma entrada para exibir os detalhes completos, incluindo as detecções de risco correspondentes para esse agente. Assim como acontece com todos os relatórios de risco da Proteção de ID, você pode tomar medidas sobre o agente diretamente do relatório ou do modo de exibição de detalhes.
Os detalhes do agente arriscado incluem:
- Nome e ID de exibição do agente
- Estado de risco e nível de risco
- Tipo de agente e patrocinadores (se especificado)
Você também pode navegar até o relatório detecções de risco e selecionar a guia Detecções do Agente para exibir uma lista completa dos eventos de risco de detecção até os últimos 90 dias.
Acesso condicional baseado em risco para agentes
Você pode usar o Acesso Condicional para agentes para definir políticas de risco que impedem agentes arriscados de acessar recursos ou outros agentes. Use este modelo de Acesso Condicional para ajudar os administradores a implantar essa política em sua organização.
Microsoft Graph
Você também pode consultar agentes arriscados utilizando o microsoft Graph API. Há duas novas coleções nas APIs de Proteção de Identidade.
riskyAgentsagentRiskDetections