Investigue o risco com a Proteção de Identidade na ID Externa do Microsoft Entra
Aplica-se a:
Locatários da força de
trabalho Locatários externos (saiba mais)
O Microsoft Entra Identity Protection fornece deteção de risco contínua para seu locatário externo. Ele permite que as organizações descubram, investiguem e corrijam riscos baseados em identidade. A Proteção de Identidade vem com relatórios de risco que podem ser usados para investigar riscos de identidade em locatários externos. Neste artigo, você aprenderá como investigar e mitigar riscos.
Relatórios de proteção de identidade
A Proteção de Identidade fornece dois relatórios. O relatório de usuários arriscados é onde os administradores podem encontrar quais usuários estão em risco e detalhes sobre deteções. O relatório de deteções de risco fornece informações sobre cada deteção de risco. Este relatório inclui o tipo de risco, outros riscos acionados ao mesmo tempo, o local da tentativa de entrada e muito mais.
Cada relatório é iniciado com uma lista de todas as deteções para o período mostrado na parte superior do relatório. Os relatórios podem ser filtrados usando os filtros na parte superior do relatório. Os administradores podem optar por baixar os dados ou usar a API do MS Graph e o SDK do Microsoft Graph PowerShell para exportar continuamente os dados.
Limitações e considerações do serviço
Considere os seguintes pontos ao usar a Proteção de Identidade:
- A Proteção de Identidade não está disponível em locatários de avaliação.
- A Proteção de Identidade está ativada por padrão.
- A Proteção de Identidade está disponível para identidades locais e sociais, como Google ou Facebook. A deteção é limitada porque o provedor de identidade externo gerencia as credenciais da conta social.
- Atualmente, nos locatários externos do Microsoft Entra, um subconjunto das deteções de risco da Proteção de ID do Microsoft Entra está disponível. O Microsoft Entra External ID suporta as seguintes deteções de risco:
| Tipo de deteção de risco | Description |
|---|---|
| Viagem atípica | Inicie sessão a partir de uma localização atípica com base nos inícios de sessão recentes do utilizador. |
| Endereço IP anónimo | Inicie sessão a partir de um endereço IP anónimo (por exemplo: navegador Tor, VPNs anónimas). |
| Endereço IP associado a malware | Inicie sessão a partir de um endereço IP ligado a malware. |
| Propriedades de inícios de sessão desconhecidos | Inicie sessão com propriedades que não vimos recentemente para um determinado utilizador. |
| Usuário confirmado pelo administrador comprometido | Um administrador indicou que um usuário foi comprometido. |
| Spray de senha | Inicie sessão através de um ataque de pulverização de palavra-passe. |
| Inteligência de ameaças do Microsoft Entra | As fontes internas e externas de inteligência de ameaças da Microsoft identificaram um padrão de ataque conhecido. |
Investigar utilizadores de risco
Com as informações fornecidas pelo relatório de usuários arriscados, os administradores podem encontrar:
- O estado de risco, mostrando quais usuários estão em risco, tiveram o risco remediado ou tiveram o risco descartado
- Detalhes sobre deteções
- Histórico de todos os logins arriscados
- Antecedentes de risco
Os administradores podem então optar por tomar medidas relativamente a estes eventos. Os administradores podem optar por:
- Redefinir a senha do usuário
- Confirmar o comprometimento do usuário
- Dispensar o risco de utilizador
- Bloquear o início de sessão do utilizador
- Investigue mais usando o Azure ATP
Um administrador pode optar por descartar o risco de um usuário no centro de administração do Microsoft Entra ou programaticamente por meio da API do Microsoft Graph Discard User Risk. Os privilégios de administrador são necessários para descartar o risco de um usuário. O utilizador arriscado ou um administrador que trabalhe em nome do utilizador pode corrigir o risco, por exemplo, através de uma reposição da palavra-passe.
Navegando no relatório de usuários arriscados
Inicie sessão no centro de administração do Microsoft Entra.
Verifique se você está usando o diretório que contém seu locatário externo do Microsoft Entra: selecione o ícone
Configurações na barra de ferramentas e encontre seu locatário externo no menu Diretórios + assinaturas. Se não for o diretório atual, selecione Switch.Navegue até a Central de Segurança da Proteção>de Identidade>.
Selecione Proteção de identidade.
Em Relatório, selecione Usuários arriscados.
A seleção de entradas individuais expande uma janela de detalhes abaixo das deteções. A visualização de detalhes permite que os administradores investiguem e executem ações em cada deteção.
Relatório de deteções de risco
O relatório Deteções de risco contém dados filtráveis dos últimos 90 dias (três meses).
Com as informações fornecidas pelo relatório de deteções de risco, os administradores podem encontrar:
- Informações sobre cada deteção de risco, incluindo o tipo.
- Outros riscos desencadeados ao mesmo tempo.
- Localização da tentativa de início de sessão.
Os administradores podem então optar por retornar ao relatório de risco ou de entrada do usuário para executar ações com base nas informações coletadas.
Navegando no relatório de deteções de risco
Inicie sessão no centro de administração do Microsoft Entra.
Navegue até a Central de Segurança da Proteção>de Identidade>.
Selecione Proteção de identidade.
Em Relatório, selecione Deteções de risco.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários