Compartilhar via


O que é a Pontuação de Segurança de Identidade?

A Pontuação de Segurança de Identidade é mostrada como uma porcentagem que funciona como um indicador de quão alinhado você está com as recomendações de segurança da Microsoft. Cada ação de melhoria na Pontuação de Segurança de Identidade é adaptada à sua configuração. Você pode acessar a pontuação e exibir recomendações individuais relacionadas à sua pontuação nas recomendações do Microsoft Entra. Você também pode ver como sua pontuação muda ao longo do tempo.

Captura de tela da página Recomendações com os detalhes da Classificação Segura destacados.

Pré-requisitos

Como a Pontuação de Segurança de Identidade me beneficia?

Essa pontuação ajuda a medir objetivamente sua postura de segurança de identidade, ajudá-lo a planejar melhorias de segurança de identidade e examinar o sucesso de suas melhorias. Seguindo as ações de melhoria nas recomendações do Microsoft Entra, você pode aproveitar os recursos disponíveis para sua organização como parte de seus investimentos de identidade.

As seguintes recomendações estão incluídas na Pontuação de Segurança de Identidade:

  • Configurar a integração VPN
  • Designar mais de um Administrador Global
  • Não permitir que os usuários concedam consentimento a aplicativos não confiáveis
  • Não expirar senhas
  • Editar modelos de certificado de agente configurados incorretamente
  • Editar modelo de certificado do agente de registro configurado incorretamente
  • Habilitar a política para bloquear a autenticação herdada
  • Habilitar a sincronização de hash de senha se for híbrido
  • Habilitar a redefinição de senha de autoatendimento
  • Garantir que todos os usuários possam concluir a MFA
  • Modificar delegações Kerberos não seguras para evitar usurpação de identidade
  • Proteger todos os usuários com uma política de risco de entrada
  • Proteger todos os usuários com uma política de risco do usuário
  • Proteger e gerenciar senhas de administrador local com o Microsoft LAPS
  • Remover contas inativas de grupos confidenciais
  • Remover permissões não seguras em contas confidenciais do Microsoft Entra Connect
  • Substituir conta de administrador corporativo ou de domínio pelo conector AD DS do Microsoft Entra Connect
  • Exigir MFA (autenticação multifator) para funções administrativas
  • Senhas reversíveis encontradas em GPOs
  • Alterar senha da conta do conector AD DS do Microsoft Entra Connect
  • Interromper a exposição de credenciais em texto simples
  • Parar o uso de criptografia fraca
  • Usar funções administrativas com privilégios mínimos

Como funciona?

A cada 24 horas, analisamos sua configuração de segurança e comparamos suas configurações com as práticas recomendadas. Com base no resultado dessa avaliação, uma nova pontuação é calculada para o diretório. É possível que sua configuração de segurança não esteja totalmente alinhada com as diretrizes de prática recomendada e as ações de melhoria sejam atendidas apenas parcialmente. Nesses cenários, você recebe uma parte da pontuação máxima disponível para o controle.

Como posso usar a classificação de segurança de identidade?

Para acessar a classificação de segurança de identidade:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Leitor Global.
  2. Navegue até Entra ID>Identity Secure Score para exibir o painel.

A classificação e as recomendações relacionadas também são encontradas em Entra ID>Visão geral>Recomendações.

Cada recomendação é medida com base em sua configuração. Se você estiver usando produtos que não são da Microsoft para habilitar uma recomendação de prática recomendada, poderá indicar essa configuração nas configurações de uma ação de melhoria. Você pode definir recomendações a serem ignoradas se elas não se aplicarem ao seu ambiente. Uma recomendação ignorada não contribui para o cálculo de sua pontuação.

Captura de tela do painel de ação de melhoria.

  • Para resolver – você reconhece que a ação de melhoria é necessária e planeja resolvê-la em algum momento no futuro. Esse estado também se aplica a ações detectadas como parcialmente, mas não totalmente concluídas.
  • Risco aceito – a segurança deve ser sempre equilibrada com usabilidade, e nem todas as recomendações funcionam para todos. Quando esse for o caso, você pode optar por aceitar o risco ou o risco restante e não promulgar a ação de melhoria. Você não recebe nenhum ponto e a ação não está visível na lista de ações de melhoria. Você pode visualizar esta ação no histórico ou desfazê-la a qualquer momento.
  • Planejado - Há planos concretos em vigor para concluir a ação de melhoria.
  • Resolvido por terceiros e resolvido por meio de mitigação alternativa – a ação de melhoria foi tratada por um aplicativo ou software não Microsoft ou uma ferramenta interna. Você recebe os pontos que a ação vale, para que sua pontuação reflita melhor sua postura de segurança geral. Se uma ferramenta não Microsoft ou interna não abrange mais o controle, você pode escolher outro status. Tenha em mente que a Microsoft não terá visibilidade da integridade da implementação se a ação de melhoria estiver marcada como qualquer um desses status.

Perguntas frequentes

Muitos fatores podem afetar sua pontuação. Aqui estão algumas perguntas frequentes sobre a Pontuação de Segurança de Identidade.

Como as recomendações são pontuadas?

Recomendações podem ser pontuadas de duas maneiras. Alguns são classificados de maneira binária, assim você recebe 100% da classificação se tiver o recurso ou ajuste configurado com base em nossa recomendação. Outras pontuações são calculadas como uma porcentagem da configuração total. Por exemplo, a recomendação indicará um aumento máximo de 10,71% se você proteger todos os seus usuários com MFA. Você tem 5 de 100 usuários protegidos, então recebe uma classificação parcial em torno de 0,53% (5 protegidos/100 no total * máximo de 10,71% = classificação parcial de 0,53%).

O que [Não Pontuado] significa?

Ações rotuladas como [Não Pontuadas] são as que você pode executar em sua organização, mas não são pontuadas. Portanto, você ainda pode melhorar sua segurança, mas não recebe crédito por essas ações no momento.

Minha pontuação mudou. Como faço para descobrir por quê?

O portal do Microsoft Defender XDR mostra sua pontuação de segurança completa da Microsoft. Você pode ver facilmente todas as alterações da sua pontuação de segurança revisando as mudanças detalhadas na guia histórico.

A pontuação mede meu risco de sofrer uma invasão?

Não, a classificação não expressa uma medida absoluta da probabilidade de você sofrer uma violação. Ele expressa até que ponto você adotou recursos que podem compensar o risco. Nenhum serviço pode garantir a proteção e a pontuação não deve ser interpretada como uma garantia de forma alguma.

Há uma pontuação mínima para a qual devo mirar?

Em vez de se concentrar em uma pontuação específica, você deve se concentrar nas recomendações de alta importância relevantes para sua organização. É mais benéfico ter uma pontuação alta sobre as recomendações de alta importância do que uma pontuação alta em recomendações de baixa importância.

Como devo interpretar minha pontuação?

Sua pontuação melhora para configurar recursos de segurança recomendados ou executar tarefas relacionadas à segurança (como ler relatórios). Algumas ações são pontuadas para conclusão parcial, como habilitar a MFA (autenticação multifator) para seus usuários. Sua pontuação de segurança é diretamente representativa dos serviços de segurança da Microsoft que você usa. Lembre-se de que a segurança deve ser equilibrada com usabilidade. Todos os controles de segurança têm um componente de impacto do usuário. Controles com baixo impacto do usuário devem ter pouco ou nenhum efeito nas operações diárias de seus usuários.

Como a Pontuação de Segurança de Identidade se relaciona com a pontuação de segurança do Microsoft 365?

A de classificação de segurança da Microsoft contém cinco categorias de controle e pontuação distintas:

  • Identidade
  • Dados
  • Dispositivos
  • Infra-estrutura
  • Aplicativos

A Pontuação de Segurança de Identidade representa a parte de identidade da pontuação de segurança da Microsoft. Essa sobreposição significa que suas recomendações para a Pontuação de Segurança de Identidade e a pontuação de identidade na Microsoft são as mesmas.