Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Entra ID Protection ajuda as organizações a detetar, investigar e corrigir riscos baseados em identidade. Esses riscos podem ser alimentados em ferramentas como o Acesso Condicional para tomar decisões de acesso ou enviados para uma ferramenta de gerenciamento de informações e eventos de segurança (SIEM) para investigação e correlação adicionais.
Detetar riscos
A Microsoft adiciona e atualiza continuamente deteções em nosso catálogo para proteger as organizações. Essas deteções vêm de nossos aprendizados baseados na análise de trilhões de sinais todos os dias do Ative Directory, Contas da Microsoft e em jogos com Xbox. Essa ampla gama de sinais ajuda a Proteção de ID a detetar comportamentos de risco como:
- Utilização anónima de endereços IP
- Ataques de pulverização de senhas
- Fuga de credenciais
- e mais...
Durante cada início de sessão, a Proteção de ID executa todas as detecções de início de sessão em tempo real, gerando um nível de risco da sessão que indica como provavelmente a sessão está comprometida. Com base nesse nível de risco, as políticas são aplicadas para proteger o usuário e a organização.
Para obter uma lista completa dos riscos e como eles são detetados, consulte o artigo O que é risco.
Investigar
Quaisquer riscos detetados em uma identidade são rastreados através de relatórios. A Proteção de ID fornece três relatórios importantes para que os administradores investiguem riscos e tomem medidas:
- Deteções de risco: Cada risco detetado é relatado como uma deteção de risco.
- Entradas de risco: uma entrada arriscada é relatada quando há uma ou mais deteções de risco relatadas para essa entrada.
-
Usuários arriscados: um usuário arriscado é relatado quando uma ou ambas as situações a seguir são verdadeiras:
- O usuário tem um ou mais logins de risco.
- Uma ou mais deteções de risco são relatadas.
Para obter mais informações sobre como usar os relatórios, consulte o artigo Como investigar o risco.
Remediar os riscos
A automação é fundamental na segurança porque a escala de sinais e ataques exige automação para acompanhar.
O Microsoft Digital Defense Report 2024 fornece as seguintes estatísticas:
78 trilhões de sinais de segurança analisados por dia, um aumento de 13 trilhões em relação ao ano anterior
600 milhões de ataques a clientes da Microsoft por dia
Aumento de 2,75x ano a ano em ataques de ransomware operados por humanos
Estas estatísticas continuam a apresentar uma tendência ascendente, sem sinais de abrandamento. Nesse ambiente, a automação é a chave para identificar e remediar riscos para que as organizações de TI possam se concentrar nas prioridades certas.
Remediação automática
As políticas de Acesso Condicional baseadas em risco podem ser habilitadas para exigir controles de acesso, como fornecer um método de autenticação forte, executar autenticação multifator ou executar uma redefinição segura de senha com base no nível de risco detetado. Se o usuário concluir com êxito o controle de acesso, o risco será automaticamente corrigido.
Remediação manual
Quando a correção do usuário não está habilitada, um administrador deve revisá-los manualmente nos relatórios no portal, por meio da API ou no Microsoft Defender XDR. Os administradores podem executar ações manuais para descartar, confirmar a segurança ou confirmar o comprometimento dos riscos.
Utilização dos dados
Os dados do ID Protection podem ser exportados para outras ferramentas para arquivamento, investigação adicional e correlação. As APIs baseadas no Microsoft Graph permitem que as organizações coletem esses dados para processamento posterior em uma ferramenta como o SIEM. Informações sobre como acessar a API de proteção de ID podem ser encontradas no artigo Introdução à proteção de ID do Microsoft Entra e ao Microsoft Graph
Informações sobre como integrar dados da Proteção de ID do Microsoft Entra ao Microsoft Sentinel podem ser encontradas no artigo Conectar dados da Proteção de ID do Microsoft Entra.
As organizações podem armazenar dados por períodos mais longos alterando as configurações de diagnóstico no Microsoft Entra ID. Eles podem optar por enviar dados para um espaço de trabalho do Log Analytics, arquivar dados em uma conta de armazenamento, transmitir dados para Hubs de Eventos ou enviar dados para outra solução. Informações detalhadas sobre como fazer isso podem ser encontradas no artigo, Como: Exportar dados de risco.
Funções necessárias
A Proteção de ID exige que os usuários recebam uma ou mais das seguintes funções.
| Função | Pode fazer | Não é possível |
|---|---|---|
| Leitor Global | Acesso de leitura apenas à Proteção de Identidade | Acesso de escrita à Proteção de Identidade |
| Administrador de Utilizadores | Repor palavras-passe do utilizador | Ler ou gravar na Proteção de ID |
| Administrador de Acesso Condicional | Crie políticas que considerem o risco de usuário ou entrada como uma condição | Ler ou escrever em políticas herdadas de Proteção de Identidade |
| Leitor de Segurança | Ver todos os relatórios e visão geral da Proteção de ID | Configurar ou alterar políticas Redefinir senha para um usuário Configurar alertas Enviar comentários sobre deteções |
| Operador de Segurança | Ver todos os relatórios e visão geral da Proteção de ID Descarte o risco do utilizador, confirme o login seguro, confirme a violação |
Configurar ou alterar políticas Redefinir senha para um usuário Configurar alertas |
| Administrador de Segurança | Acesso total à Proteção de ID | Redefinir senha para um usuário |
Requisitos de licença
O uso desse recurso requer licenças do Microsoft Entra ID P2. Para encontrar a licença certa para os seus requisitos, consulte planos e preços do Microsoft Entra. A tabela a seguir descreve os principais recursos do Microsoft Entra ID Protection e os requisitos de licenciamento para cada recurso. Consulte a página de planos e preços do Microsoft Entra para obter detalhes de preços.
| Capacidade | Informações | Microsoft Entra ID Grátis / Aplicativos Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 / Microsoft Entra Suite |
|---|---|---|---|---|
| Políticas de risco | Políticas de início de sessão e de risco do utilizador (através da Proteção de ID ou Acesso Condicional) | Não | Não | Sim |
| Relatórios de segurança | Descrição geral | Não | Não | Sim |
| Relatórios de segurança | Utilizadores de risco | Informações limitadas. Apenas usuários com risco médio e alto são mostrados. Sem secção de detalhes ou histórico de risco. | Informações limitadas. Apenas usuários com risco médio e alto são mostrados. Sem secção de detalhes ou histórico de risco. | Acesso total |
| Relatórios de segurança | Inícios de sessão arriscados | Informações limitadas. Nenhum detalhe ou nível de risco é mostrado. | Informações limitadas. Nenhum detalhe ou nível de risco é mostrado. | Acesso total |
| Relatórios de segurança | Deteções de risco | Não | Informações limitadas. Sem gaveta de detalhes. | Acesso total |
| Notificações | Alertas de utilizadores em risco detetados | Não | Não | Sim |
| Notificações | Resumo semanal | Não | Não | Sim |
| Política de registo na MFA | Exigir MFA (via Acesso Condicional) | Não | Não | Sim |
| Gráfico da Microsoft | Todos os relatórios de risco | Não | Não | Sim |
Para visualizar o relatório Identidades de carga de trabalho de risco e o separador Deteções de identidade de carga de trabalho no relatório de Deteções de risco, é necessário o licenciamento premium para Identidades de carga de trabalho. Para obter mais informações, consulte Proteção das identidades das cargas de trabalho.
Microsoft Defender
O Microsoft Entra ID Protection recebe sinais dos produtos Microsoft Defender para várias deteções de risco, portanto, você também precisa da licença apropriada para o produto Microsoft Defender que possui o sinal em que está interessado.
Microsoft 365 E5 abrange todos os seguintes sinais:
Aplicativos do Microsoft Defender para Nuvem
- Atividade do endereço IP anônimo
- Viagens impossíveis
- Acesso em massa a arquivos confidenciais
- Novo país
Microsoft Defender para Office 365
- Regras suspeitas da caixa de entrada
Microsoft Defender para Endpoint
- Possível tentativa de acessar o token de atualização primário