Simulando deteções de risco no Microsoft Entra ID Protection

Os administradores podem querer simular o risco em seu ambiente para realizar os seguintes itens:

• Preencha dados no ambiente Microsoft Entra ID Protection simulando deteções de risco e vulnerabilidades.
• Configure políticas de Acesso Condicional baseadas em risco e teste o efeito dessas políticas.

Este artigo fornece etapas para simular os seguintes tipos de deteção de risco:

• Endereços IP anónimos (fácil)
• Propriedades de inícios de sessão desconhecidas (moderado)
• Viagens atípicas (difícil)
• Credenciais vazadas no GitHub para identidades de carga de trabalho (moderadas)

Outras deteções de risco não podem ser simuladas de forma segura.

Mais informações sobre cada deteção de risco podem ser encontradas no artigo, O que é risco para a identidade do usuário e da carga de trabalho.

Endereço IP anónimo

A conclusão do procedimento a seguir requer que você use:

• O Navegador Tor para simular endereços IP anónimos. Talvez seja necessário usar uma máquina virtual se sua organização restringir o uso do navegador Tor.
• Uma conta de teste que ainda não está registrada para autenticação multifator do Microsoft Entra.

Para simular um início de sessão a partir de um IP anónimo, execute os seguintes passos:

1. Usando o navegador Tor, navegue até https://myapps.microsoft.com.
2. Introduza as credenciais da conta que pretende que apareçam no relatório Inícios de sessão a partir de endereços IP anónimos.

O início de sessão é apresentado no painel do Identity Protection dentro de 10 a 15 minutos.

Propriedades de inícios de sessão desconhecidos

Para simular locais desconhecidos, você deve usar um local e um dispositivo que sua conta de teste não tenha usado antes.

O procedimento a seguir usa um recém-criado:

• Conexão VPN, para simular nova localização.
• Máquina virtual, para simular um novo dispositivo.

A conclusão do procedimento a seguir requer que você use uma conta de usuário que tenha:

• Pelo menos um histórico de login de 30 dias.
• Autenticação multifator Microsoft Entra.

Para simular uma entrada de um local desconhecido, execute as seguintes etapas:

1. Usando sua nova VPN, navegue até https://myapps.microsoft.com e insira as credenciais de sua conta de teste.
2. Ao entrar com sua conta de teste, falhe no desafio de autenticação multifator não passando no desafio MFA.

O início de sessão é apresentado no painel do Identity Protection dentro de 10 a 15 minutos.

Viagem atípica

Simular a condição atípica de viagem é difícil. O algoritmo usa aprendizado de máquina para eliminar falsos positivos, como viagens atípicas de dispositivos familiares ou entradas de VPNs usadas por outros usuários no diretório. Além disso, o algoritmo requer um histórico de login de 14 dias ou 10 logins do usuário antes de começar a gerar deteções de risco. Devido aos modelos complexos de aprendizado de máquina e às regras acima, há uma chance de que as etapas a seguir não acionem uma deteção de risco. Talvez você queira replicar essas etapas para várias contas do Microsoft Entra para simular essa deteção.

Para simular uma deteção de risco de viagem atípica, execute as seguintes etapas:

1. Usando seu navegador padrão, navegue até https://myapps.microsoft.com.
2. Introduza as credenciais da conta para a qual pretende gerar uma deteção de risco de viagem atípica.
3. Altere seu agente de usuário. Você pode alterar o agente do usuário no Microsoft Edge a partir das Ferramentas de Desenvolvimento (F12).
4. Altere o seu endereço IP. Você pode alterar seu endereço IP usando uma VPN, um complemento Tor ou criando uma nova máquina virtual no Azure em um data center diferente.
5. Inicie sessão https://myapps.microsoft.com utilizando as mesmas credenciais que antes e dentro de alguns minutos após o início de sessão anterior.

O início de sessão é apresentado no painel do Identity Protection dentro de 2 a 4 horas.

Credenciais vazadas para identidades de carga de trabalho

Essa deteção de risco indica que as credenciais válidas do aplicativo foram vazadas. Esse vazamento pode ocorrer quando alguém verifica as credenciais em um artefato de código público no GitHub. Portanto, para simular essa deteção, você precisa de uma conta do GitHub e pode inscrever uma conta do GitHub se ainda não tiver uma.

Simule credenciais vazadas no GitHub para identidades de carga de trabalho

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue até Registros do aplicativo Identity>Applications>.

3. Selecione Novo registo para registar uma nova aplicação ou reutilizar uma aplicação obsoleta existente.

4. Selecione Certificados & Segredos>Novo segredo do cliente , adicione uma descrição do segredo do cliente e defina uma expiração para o segredo ou especifique um tempo de vida personalizado e selecione Adicionar. Registre o valor do segredo para uso posterior no seu GitHub Commit.

   Nota

   Você não pode recuperar o segredo novamente depois de sair desta página.

5. Obtenha o TenantID e o Application(Client)ID na página Visão geral .

6. Certifique-se de desativar o aplicativo por meio do Identity>Applications>Enterprise Application>Properties> set Enabled para que os usuários entrem emNão.

7. Crie um repositório GitHub público, adicione a seguinte configuração e confirme a alteração como um arquivo com a extensão .txt.

     "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
     "AadSecret": "p3n7Q~XXXX",
     "AadTenantDomain": "XXXX.onmicrosoft.com",
     "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
   

8. Em cerca de 8 horas, você pode visualizar uma deteção de credencial vazada em Deteções de identidade de carga de trabalho de deteção de risco de proteção>de identidade>>de proteção de identidade, onde outras informações contêm a URL da confirmação do GitHub.

Testando políticas de risco

Esta seção fornece etapas para testar o usuário e as políticas de risco de entrada criadas no artigo, Como configurar e habilitar políticas de risco.

Política de risco do utilizador

Para testar uma política de segurança de risco do usuário, execute as seguintes etapas:

1. Configure uma política de risco de usuário direcionada aos usuários com os quais você planeja testar.
2. Eleve o risco do usuário de uma conta de teste, por exemplo, simulando uma das deteções de risco algumas vezes.
3. Aguarde alguns minutos e, em seguida, verifique se o risco aumentou para o utilizador. Caso contrário, simule mais deteções de risco para o usuário.
4. Retorne à sua política de risco e defina Impor política como Ativado e Salvar sua alteração de política.
5. Agora você pode testar o Acesso Condicional baseado em risco do usuário entrando usando um usuário com um nível de risco elevado.

Política de segurança de risco de início de sessão

Para testar uma política de risco de entrada, execute as seguintes etapas:

1. Configure uma política de risco de entrada direcionada aos usuários com os quais você planeja testar.
2. Agora você pode testar o Acesso Condicional Baseado em Risco de Entrada entrando usando uma sessão arriscada (por exemplo, usando o navegador Tor).

Próximos passos

• O que é o risco?

• Protegendo identidades de carga de trabalho com o Identity

• Como: Configurar e habilitar políticas de risco

• Proteção de ID do Microsoft Entra