Instruções: Investigar riscos

Artigo
10/24/2023

A Proteção de Identidade fornece às organizações relatórios que podem usar para investigar riscos de identidade em seu ambiente. Esses relatórios incluem usuários arriscados, entradas arriscadas, identidades de carga de trabalho arriscadas e deteções de risco. A investigação de eventos é fundamental para compreender melhor e identificar quaisquer pontos fracos na sua estratégia de segurança. Todos esses relatórios permitem o download de eventos no . Formato CSV ou integração com outras soluções de segurança, como uma ferramenta SIEM dedicada para análise posterior.

As organizações podem aproveitar as integrações da API do Microsoft Graph para agregar dados com outras fontes às quais possam ter acesso como organização.

Os três relatórios encontram-se no centro>de administração do Microsoft Entra Protection>Identity Protection.

Navegando pelos relatórios

Cada relatório é iniciado com uma lista de todas as deteções para o período mostrado na parte superior do relatório. Cada relatório permite a adição ou remoção de colunas com base na preferência do administrador. Os administradores podem optar por transferir os dados em . CSV ou . Formato JSON. Os relatórios podem ser filtrados usando os filtros na parte superior do relatório.

A seleção de entradas individuais pode permitir mais entradas na parte superior do relatório, como a capacidade de confirmar um login como comprometido ou seguro, confirmar um usuário como comprometido ou descartar o risco do usuário.

A seleção de entradas individuais expande uma janela de detalhes abaixo das deteções. A visualização de detalhes permite que os administradores investiguem e tomem medidas em cada deteção.

Utilizadores de risco

O relatório de usuários arriscados lista todos os usuários cujas contas estão atualmente ou foram consideradas em risco de comprometimento. Os utilizadores de risco devem ser investigados e remediados para impedir o acesso não autorizado aos recursos.

Por que motivo um utilizador está em risco?

Um utilizador torna-se um utilizador arriscado quando:

Eles têm um ou mais sign-ins arriscados.
Há um ou mais riscos detetados na conta do usuário, como credenciais vazadas.

Como investigar usuários de risco?

Para visualizar e investigar os logins arriscados de um usuário, selecione a guia "Entradas arriscadas recentes" ou o link "Entradas arriscadas de usuários".

Para visualizar e investigar os riscos na conta de um usuário, selecione a guia "Deteções não vinculadas a um login" ou o link "Deteções de risco do usuário".

A guia Histórico de riscos também mostra todos os eventos que levaram a uma alteração de risco do usuário nos últimos 90 dias. Essa lista inclui deteções de risco que aumentaram o risco do usuário e ações de correção administrativa que reduziram o risco do usuário. Visualize-o para entender como o risco do usuário mudou.

Captura de tela do relatório Usuários arriscados.

Com as informações fornecidas pelo relatório de usuários arriscados, os administradores podem encontrar:

Que utilizadores estão em risco, tiveram o risco remediado ou tiveram o risco rejeitado?
Detalhes sobre deteções
Histórico de todos os logins arriscados
Antecedentes de risco

Os administradores podem então optar por tomar medidas relativamente a estes eventos. Os administradores podem optar por:

Redefinir a senha do usuário
Confirmar o comprometimento do usuário
Dispensar o risco de utilizador
Bloquear o início de sessão do utilizador
Investigue mais usando o Microsoft Defender for Identity

Entenda o escopo

Considere a criação de um banco de dados de viajantes conhecido para relatórios de viagem organizacionais atualizados e use-o para fazer referência cruzada à atividade de viagem.
Adicione VPNs corporativas e intervalos de endereços IP a locais nomeados para reduzir falsos positivos.
Revise os logs para identificar atividades semelhantes com as mesmas características. Isso pode ser um indício de contas mais comprometidas.
1. Se houver características comuns, como endereço IP, geografia, sucesso/falha, etc..., considere bloqueá-las com uma política de Acesso Condicional.
2. Analise qual recurso pode ter sido comprometido, como possíveis downloads de dados ou modificações administrativas.
3. Habilitar políticas de autocorreção por meio do Acesso Condicional
Se você vir que o usuário realizou outras atividades arriscadas, como baixar um grande volume de arquivos de um novo local, isso é um forte indício de um possível comprometimento.

Inícios de sessão de risco

O relatório de entradas arriscadas contém dados filtráveis dos últimos 30 dias (um mês).

Com as informações fornecidas pelo relatório de entradas arriscadas, os administradores podem encontrar:

Quais logins são classificados como em risco, confirmados comprometidos, confirmados seguros, descartados ou remediados.
Níveis de risco agregados e em tempo real associados às tentativas de início de sessão.
Tipos de deteção acionados
Políticas de Acesso Condicional aplicadas
Detalhes do MFA
Informações do dispositivo
Application information (Informações da aplicação)
Informações de localização

Os administradores podem então optar por tomar medidas relativamente a estes eventos. Os administradores podem optar por:

Confirmar compromisso de início de sessão
Confirmar início de sessão seguro

Nota

A Proteção de Identidade avalia o risco de todos os fluxos de autenticação, sejam eles interativos ou não interativos. O relatório de entrada arriscada agora mostra entradas interativas e não interativas. Utilize o filtro "tipo de início de sessão" para modificar esta vista.

Deteções de risco

O relatório de deteções de risco contém dados filtráveis dos últimos 90 dias (três meses).

Com as informações fornecidas pelo relatório de deteções de risco, os administradores podem encontrar:

Informações sobre cada deteção de risco, incluindo o tipo.
Outros riscos desencadeados ao mesmo tempo
Local da tentativa de início de sessão
Link para obter mais detalhes do Microsoft Defender for Cloud Apps.

Os administradores podem então optar por retornar ao relatório de risco ou de entrada do usuário para executar ações com base nas informações coletadas.

Nota

Nosso sistema pode detetar que o evento de risco que contribuiu para a pontuação de risco do usuário foi um falso positivo ou o risco do usuário foi remediado com a aplicação de políticas, como a conclusão de um prompt de MFA ou alteração segura de senha. Portanto, nosso sistema descartará o estado de risco e um detalhe de risco de "login confirmado por IA seguro" surgirá e não contribuirá mais para o risco do usuário.

Quadro de investigação

As organizações podem usar as seguintes estruturas para iniciar a investigação de qualquer atividade suspeita. As investigações podem exigir uma conversa com o usuário em questão, revisão dos logs de entrada ou revisão dos logs de auditoria, para citar alguns.

Verifique os logs e valide se a atividade suspeita é normal para determinado usuário.
1. Observe as atividades anteriores do usuário, incluindo pelo menos as seguintes propriedades, para ver se elas são normais para determinado usuário.
  1. Aplicação
  2. Dispositivo - O dispositivo está registado ou em conformidade?
  3. Localização - O usuário está viajando para um local diferente ou acessando dispositivos de vários locais?
  4. Endereço IP
  5. Cadeia de caracteres do agente do usuário
2. Se você tiver acesso a outras ferramentas de segurança, como o Microsoft Sentinel, verifique se há alertas correspondentes que possam indicar um problema maior.
3. As organizações com acesso ao Microsoft 365 Defender podem seguir um evento de risco do usuário por meio de outros alertas e incidentes relacionados e da cadeia MITRE ATT&CK.
  1. Selecione o usuário no relatório Usuários arriscados.
  2. Selecione as reticências (...) na barra de ferramentas e, em seguida, escolha Investigar com o Microsoft 365 Defender.
Entre em contato com o usuário para confirmar se ele reconhece o login. Métodos como e-mail ou Teams podem ser comprometidos.
1. Confirme as informações de que dispõe, tais como:
  1. Aplicação
  2. Dispositivo
  3. Location
  4. Endereço IP

Importante

Se você suspeitar que um invasor pode se passar pelo usuário, redefinir sua senha e executar MFA; Você deve bloquear o usuário e revogar todos os tokens de atualização e acesso.

Investigue as deteções de inteligência de ameaças do Microsoft Entra

Para investigar uma deteção de risco do Microsoft Entra Threat Intelligence, siga estas etapas:

Se forem mostradas mais informações para a deteção:

O início de sessão foi a partir de um endereço IP suspeito:
1. Confirme se o endereço IP mostra um comportamento suspeito no seu ambiente.
2. O IP gera um alto número de falhas para um usuário ou conjunto de usuários em seu diretório?
3. O tráfego do IP é proveniente de um protocolo ou aplicativo inesperado, por exemplo, protocolos herdados do Exchange?
4. Se o endereço IP corresponder a um fornecedor de serviços em nuvem, exclua que não existam aplicações empresariais legítimas a partir do mesmo IP.
Esta conta foi vítima de um ataque de spray de senha:
1. Valide se nenhum outro usuário em seu diretório é alvo do mesmo ataque.
2. Outros usuários têm entradas com padrões atípicos semelhantes vistos na entrada detetada dentro do mesmo período de tempo? Os ataques de pulverização de senha podem exibir padrões incomuns em:
  1. Cadeia de caracteres do agente do usuário
  2. Aplicação
  3. Protocolo
  4. Intervalos de IPs/ASNs
  5. Hora e frequência dos logins
Essa deteção foi acionada por uma regra em tempo real:
1. Valide se nenhum outro usuário em seu diretório é alvo do mesmo ataque. Isso pode ser encontrado pelo número TI_RI_#### atribuído à regra.
2. As regras em tempo real protegem contra novos ataques identificados pela inteligência de ameaças da Microsoft. Se vários usuários em seu diretório foram alvos do mesmo ataque, investigue padrões incomuns em outros atributos do login.

Investigue o risco com o Microsoft 365 Defender

As organizações que implantaram o Microsoft 365 Defender e o Microsoft Defender for Identity obtêm valor extra dos sinais de Proteção de Identidade. Esse valor vem na forma de correlação aprimorada com outros dados de outras partes da organização e investigação e resposta extra automatizadas.

No Microsoft 365 Defender Security Professionals and Administrators pode fazer conexões com atividades suspeitas de áreas como:

Alertas no Defender for Identity
Microsoft Defender para Ponto Final
Microsoft Defender para a Cloud
Microsoft Defender for Cloud Apps

Para obter mais informações sobre como investigar atividades suspeitas usando o Microsoft 365 Defender, consulte os artigos Investigar ativos no Microsoft Defender for Identity e Investigar incidentes no Microsoft 365 Defender.

Para obter mais informações sobre esses alertas e sua estrutura, consulte o artigo Noções básicas sobre alertas de segurança.

Estado do inquérito

Quando o pessoal de segurança investiga riscos no Microsoft 365 Defender e no Defender for Identity, os seguintes estados e motivos são retornados para Proteção de Identidade no portal e APIs.

Status do Microsoft 365 Defender	Classificação do Microsoft 365 Defender	Estado de risco do Microsoft Entra ID Protection	Detalhes de risco na Proteção de ID do Microsoft Entra
Novo	Falso positivo	Seguro confirmado	`M365DAdminDismissedDetection`
Novo	Benigno verdadeiro positivo	Seguro confirmado	`M365DAdminDismissedDetection`
Novo	Verdadeiro positivo	Confirmado comprometido	`M365DAdminDismissedDetection`
Em Curso	Não definido	Em risco
Em Curso	Falso positivo	Seguro confirmado	`M365DAdminDismissedDetection`
Em Curso	Benigno verdadeiro positivo	Seguro confirmado	`M365DAdminDismissedDetection`
Em Curso	Verdadeiro positivo	Confirmado comprometido	`M365DAdminDismissedDetection`
Resolvido	Não definido	Dispensado	`M365DAdminDismissedDetection`
Resolvido	Falso positivo	Seguro confirmado	`M365DAdminDismissedDetection`
Resolvido	Benigno verdadeiro positivo	Seguro confirmado	`M365DAdminDismissedDetection`
Resolvido	Verdadeiro positivo	Corrigido	`M365DAdminDismissedDetection`