O que são deteções de risco?
O Microsoft Entra ID Protection fornece às organizações informações sobre atividades suspeitas em seus locatários e permite que elas respondam rapidamente para evitar a ocorrência de mais riscos. As deteções de risco são um recurso poderoso que pode incluir qualquer atividade suspeita ou anômala relacionada a uma conta de usuário no diretório. As deteções de risco da Proteção de ID podem ser vinculadas a um usuário individual ou a um evento de entrada e contribuir para a pontuação geral de risco do usuário encontrada no relatório Usuários Arriscados.
As deteções de risco do usuário podem sinalizar uma conta de usuário legítima como em risco, quando um agente de ameaça potencial obtém acesso a uma conta comprometendo suas credenciais ou quando deteta algum tipo de atividade anômala do usuário. As deteções de risco de início de sessão representam a probabilidade de um determinado pedido de autenticação não ser o proprietário autorizado da conta. Ter a capacidade de identificar o risco no nível do usuário e do login é fundamental para que os clientes tenham o poder de proteger seu locatário.
Níveis de risco
A Proteção de ID categoriza o risco em três níveis: baixo, médio e alto. Os níveis de risco calculados pelos nossos algoritmos de aprendizagem automática representam a confiança da Microsoft de que uma ou mais credenciais do utilizador são conhecidas por uma entidade não autorizada.
- Uma deteção de risco com nível de risco Alto significa que a Microsoft está altamente confiante de que a conta está comprometida.
- Uma deteção de risco com nível de risco Baixo significa que há anomalias presentes no login ou na credencial de um usuário, mas estamos menos confiantes de que essas anomalias significam que a conta está comprometida.
Muitas deteções podem disparar em mais de um dos nossos níveis de risco, dependendo do número ou gravidade das anomalias detetadas. Por exemplo, propriedades de entrada desconhecidas podem ser acionadas em alto, médio ou baixo com base na confiança nos sinais. Algumas deteções, como credenciais vazadas e IP do agente de ameaças verificado, são sempre entregues como de alto risco.
Esse nível de risco é importante ao decidir quais deteções priorizar, investigar e corrigir. Eles também desempenham um papel fundamental na configuração de políticas de Acesso Condicional baseadas em risco, pois cada política pode ser definida para acionar para baixo, médio, alto ou nenhum risco detetado. Com base na tolerância ao risco da sua organização, você pode criar políticas que exijam MFA ou redefinição de senha quando a Proteção de ID detetar um determinado nível de risco para um de seus usuários. Essas políticas podem orientar o usuário a se auto-corrigir para resolver o risco.
Importante
Todas as deteções e usuários de "baixo" nível de risco persistirão no produto por 6 meses, após os quais serão automaticamente envelhecidos para fornecer uma experiência de investigação mais limpa. Os níveis de risco médio e alto persistirão até serem remediados ou descartados.
Com base na tolerância ao risco da sua organização, você pode criar políticas que exijam MFA ou redefinição de senha quando a Proteção de ID detetar um determinado nível de risco. Essas políticas podem orientar o usuário a se auto-corrigir e resolver o risco ou bloquear, dependendo de suas tolerâncias.
Deteções em tempo real e offline
A Proteção de ID utiliza técnicas para aumentar a precisão das deteções de risco de entrada e usuário, calculando alguns riscos em tempo real ou offline após a autenticação. A deteção de riscos em tempo real no início de sessão oferece a vantagem de identificar o risco antecipadamente para que os clientes possam investigar rapidamente o potencial comprometimento. Nas deteções que calculam o risco offline, elas podem fornecer mais informações sobre como o agente da ameaça obteve acesso à conta e o impacto no usuário legítimo. Algumas deteções podem ser acionadas offline e durante o login, o que aumenta a confiança em ser preciso sobre o comprometimento.
As deteções acionadas em tempo real levam de 5 a 10 minutos para revelar detalhes nos relatórios. As deteções off-line levam até 48 horas para aparecer nos relatórios, pois leva tempo para avaliar as propriedades do risco potencial.
Nota
Nosso sistema pode detetar que o evento de risco que contribuiu para a pontuação de risco do usuário de risco foi:
- Um falso positivo
- O risco do usuário foi remediado pela política por:
- Concluindo a autenticação multifator
- Alteração segura de palavra-passe
Nosso sistema descartará o estado de risco e um detalhe de risco de login seguro confirmado por IA mostrará e não contribuirá mais para o risco geral do usuário.
Deteções de risco mapeadas para riskEventType
| Deteção de riscos | Tipo de deteção | Type | riskEventType |
|---|---|---|---|
| Deteções de risco de início de sessão | |||
| Atividade do endereço IP anônimo | Offline | Premium | riskyIPAddress |
| Risco adicional detetado (início de sessão) | Em tempo real ou offline | Não premium | generic = Classificação de deteção Premium para inquilinos não P2 |
| Usuário confirmado pelo administrador comprometido | Offline | Não premium | adminConfirmedUserCompromised |
| Token anômalo | Em tempo real ou offline | Premium | anômaloToken |
| Endereço IP anónimo | Em Tempo Real | Não premium | anonimizadoIPAddress |
| Viagens atípicas | Offline | Premium | improvávelViagem |
| Viagens impossíveis | Offline | Premium | mcasImpossibleTravel |
| Endereço IP malicioso | Offline | Premium | mal-intencionadoIPAddress |
| Acesso em massa a arquivos confidenciais | Offline | Premium | mcasFinSuspiciousFileAccess |
| Inteligência de ameaças do Microsoft Entra (entrar) | Em tempo real ou offline | Não premium | investigaçõesThreatIntelligence |
| Novo país | Offline | Premium | newCountry |
| Spray de senha | Offline | Premium | senhaSpray |
| Navegador suspeito | Offline | Premium | suspeitoNavegador |
| Reencaminhamento suspeito da caixa de entrada | Offline | Premium | suspeitoInboxForwarding suspeito |
| Regras suspeitas de manipulação da caixa de entrada | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| Anomalia do emissor do token | Offline | Premium | tokenEmissor Anomalia |
| Propriedades de início de sessão desconhecidas | Em Tempo Real | Premium | desconhecidoCaracterísticas |
| IP do agente de ameaças verificado | Em Tempo Real | Premium | Estado-naçãoIP |
| Deteções de risco do usuário | |||
| Risco adicional detetado (utilizador) | Em tempo real ou offline | Não premium | generic = Classificação de deteção Premium para inquilinos não P2 |
| Atividade anômala do usuário | Offline | Premium | anômaloUserActivity |
| Atacante no meio | Offline | Premium | atacante inTheMiddle |
| Fuga de credenciais | Offline | Não premium | Credenciais vazadas |
| Inteligência de ameaças do Microsoft Entra (usuário) | Em tempo real ou offline | Não premium | investigaçõesThreatIntelligence |
| Possível tentativa de acessar o PRT (Primary Refresh Token) | Offline | Premium | attemptedPrtAccess |
| Tráfego de API suspeito | Offline | Premium | suspeitaAPITraffic |
| Padrões de envio suspeitos | Offline | Premium | suspeitoSendingPatterns |
| O usuário relatou atividade suspeita | Offline | Premium | userReportedSuspiciousActivity |
Deteções Premium
As seguintes deteções premium são visíveis apenas para clientes do Microsoft Entra ID P2.
Deteções de risco de início de sessão Premium
Atividade do endereço IP anônimo
Calculado offline. Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção identifica que os usuários estavam ativos a partir de um endereço IP identificado como um endereço IP de proxy anônimo.
Token anômalo
Calculado em tempo real ou offline. Essa deteção indica características anormais no token, como um tempo de vida incomum ou um token jogado de um local desconhecido. Essa deteção abrange Tokens de Sessão e Tokens de Atualização.
O token anômalo é ajustado para incorrer em mais ruído do que outras deteções no mesmo nível de risco. Essa troca é escolhida para aumentar a probabilidade de detetar tokens reproduzidos que, de outra forma, poderiam passar despercebidos. Há uma chance maior do que o normal de que algumas das sessões sinalizadas por essa deteção sejam falsos positivos. Recomendamos investigar as sessões sinalizadas por essa deteção no contexto de outras entradas do usuário. Se o local, aplicativo, endereço IP, agente de usuário ou outras características forem inesperadas para o usuário, o administrador deve considerar esse risco como um indicador de potencial reprodução de token.
Viagem atípica
Calculado offline. Esse tipo de deteção de risco identifica dois logins originários de locais geograficamente distantes, onde pelo menos um dos locais também pode ser atípico para o usuário, dado o comportamento passado. O algoritmo leva em conta vários fatores, incluindo o tempo entre os dois logins e o tempo que levaria para o usuário viajar do primeiro local para o segundo. Esse risco pode indicar que um usuário diferente está usando as mesmas credenciais.
O algoritmo ignora "falsos positivos" óbvios que contribuem para as condições de viagem impossíveis, como VPNs e locais usados regularmente por outros usuários na organização. O sistema tem um período de aprendizagem inicial de 14 dias ou 10 logins, durante o qual aprende o comportamento de início de sessão de um novo utilizador.
Deslocação impossível
Calculado offline. Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção identifica as atividades do usuário (em uma única ou várias sessões) originadas de locais geograficamente distantes dentro de um período de tempo menor do que o tempo necessário para viajar do primeiro local para o segundo. Esse risco pode indicar que um usuário diferente está usando as mesmas credenciais.
Endereço IP malicioso
Calculado offline. Essa deteção indica o login de um endereço IP mal-intencionado. Um endereço IP é considerado malicioso com base em altas taxas de falha devido a credenciais inválidas recebidas do endereço IP ou de outras fontes de reputação IP.
Acesso em massa a arquivos confidenciais
Calculado offline. Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção analisa seu ambiente e dispara alertas quando os usuários acessam vários arquivos do Microsoft SharePoint Online ou do Microsoft OneDrive. Um alerta é acionado somente se o número de arquivos acessados for incomum para o usuário e os arquivos puderem conter informações confidenciais.
Novo país
Calculado offline. Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção considera locais de atividades anteriores para determinar locais novos e pouco frequentes. O mecanismo de deteção de anomalias armazena informações sobre locais anteriores usados pelos usuários na organização.
Spray de senha
Calculado offline. Um ataque de pulverização de senha é quando vários nomes de usuário são atacados usando senhas comuns de forma unificada de força bruta para obter acesso não autorizado. Essa deteção de risco é acionada quando um ataque de pulverização de senha é executado. Por exemplo, o invasor é autenticado com êxito na instância detetada.
Navegador suspeito
Calculado offline. A deteção de navegadores suspeitos indica um comportamento anómalo com base na atividade de início de sessão suspeita em vários inquilinos de diferentes países no mesmo navegador.
Reencaminhamento suspeito da caixa de entrada
Calculado offline. Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção procura regras de encaminhamento de e-mails suspeitos, por exemplo, se um usuário criou uma regra de caixa de entrada que encaminha uma cópia de todos os e-mails para um endereço externo.
Regras suspeitas de manipulação da caixa de entrada
Calculado offline. Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção analisa seu ambiente e dispara alertas quando regras suspeitas que excluem ou movem mensagens ou pastas são definidas na caixa de entrada de um usuário. Essa deteção pode indicar: a conta de um usuário está comprometida, as mensagens estão sendo intencionalmente ocultadas e a caixa de correio está sendo usada para distribuir spam ou malware em sua organização.
Anomalia do emissor do token
Calculado offline. Essa deteção de risco indica que o emissor do token SAML para o token SAML associado está potencialmente comprometido. As declarações incluídas no token são incomuns ou correspondem a padrões de invasores conhecidos.
Propriedades de inícios de sessão desconhecidos
Calculado em tempo real. Este tipo de deteção de risco considera o histórico de início de sessão anterior para procurar entradas anómalas. O sistema armazena informações sobre entradas anteriores e dispara uma deteção de risco quando ocorre uma entrada com propriedades que não são familiares para o usuário. Essas propriedades podem incluir IP, ASN, localização, dispositivo, navegador e sub-rede IP do locatário. Os usuários recém-criados estão em um período de "modo de aprendizagem", onde a deteção de risco de propriedades de entrada desconhecidas é desativada enquanto nossos algoritmos aprendem o comportamento do usuário. A duração do modo de aprendizagem é dinâmica e depende de quanto tempo o algoritmo leva para reunir informações suficientes sobre os padrões de entrada do usuário. A duração mínima é de cinco dias. Um usuário pode voltar ao modo de aprendizagem após um longo período de inatividade.
Também executamos essa deteção para autenticação básica (ou protocolos herdados). Como esses protocolos não têm propriedades modernas, como ID do cliente, há dados limitados para reduzir falsos positivos. Recomendamos aos nossos clientes que mudem para a autenticação moderna.
Propriedades de entrada desconhecidas podem ser detetadas em entradas interativas e não interativas. Quando essa deteção é detetada em entradas não interativas, ela merece maior escrutínio devido ao risco de ataques de repetição de token.
Selecionar um risco de propriedades de entrada desconhecido permite que você veja informações adicionais mostrando mais detalhes sobre por que esse risco foi acionado.
IP do agente de ameaças verificado
Calculado em tempo real. Este tipo de deteção de risco indica atividade de início de sessão consistente com endereços IP conhecidos associados a intervenientes de Estados-nação ou grupos de cibercrime, com base em dados do Centro de Informações sobre Ameaças da Microsoft (MSTIC).
Deteções de risco de usuário premium
Atividade anômala do usuário
Calculado offline. Essa deteção de risco baseia o comportamento administrativo normal do usuário no Microsoft Entra ID e deteta padrões anômalos de comportamento, como alterações suspeitas no diretório. A deteção é acionada contra o administrador que faz a alteração ou o objeto que foi alterado.
Atacante no meio
Calculado offline. Também conhecida como Adversary in the Middle, essa deteção de alta precisão é acionada quando uma sessão de autenticação é vinculada a um proxy reverso mal-intencionado. Neste tipo de ataque, o adversário pode intercetar as credenciais do usuário, incluindo tokens emitidos para o usuário. A equipe de pesquisa de segurança da Microsoft aproveita o Microsoft 365 Defender para capturar o risco identificado e eleva o usuário a alto risco. Recomendamos que os administradores investiguem manualmente o usuário quando essa deteção for acionada para garantir que o risco seja eliminado. Eliminar esse risco pode exigir a redefinição segura de senha ou a revogação de sessões existentes.
Possível tentativa de acessar o PRT (Primary Refresh Token)
Calculado offline. Esse tipo de deteção de risco é descoberto usando informações fornecidas pelo Microsoft Defender for Endpoint (MDE). Um PRT (Primary Refresh Token) é um artefato chave da autenticação do Microsoft Entra no Windows 10, Windows Server 2016 e versões posteriores, dispositivos iOS e Android. Um PRT é um JSON Web Token (JWT) emitido para corretores de token primários da Microsoft para habilitar o logon único (SSO) entre os aplicativos usados nesses dispositivos. Os invasores podem tentar acessar esse recurso para entrar lateralmente em uma organização ou executar o roubo de credenciais. Essa deteção move os usuários para alto risco e apenas incêndios em organizações que implantam o MDE. Essa deteção é de alto risco e recomendamos a correção imediata desses usuários. Aparece com pouca frequência na maioria das organizações devido ao seu baixo volume.
Tráfego de API suspeito
Calculado offline. Essa deteção de risco é relatada quando tráfego GraphAPI anormal ou enumeração de diretório é observado. O tráfego suspeito da API pode sugerir que um usuário está comprometido e realizando reconhecimento no ambiente.
Padrões de envio suspeitos
Calculado offline. Esse tipo de deteção de risco é descoberto usando informações fornecidas pelo Microsoft Defender para Office 365 (MDO). Este alerta é gerado quando alguém na sua organização envia e-mails suspeitos e corre o risco de ser ou está impedido de enviar e-mails. Essa deteção move os usuários para o risco médio e só é acionado em organizações que implantam o MDO. Essa deteção é de baixo volume e é vista com pouca frequência na maioria das organizações.
O usuário relatou atividade suspeita
Calculado offline. Essa deteção de risco é relatada quando um usuário nega um prompt de autenticação multifator (MFA) e o relata como atividade suspeita. Um prompt de MFA não iniciado por um usuário pode significar que suas credenciais estão comprometidas.
Deteções não premium
Os clientes sem licenças do Microsoft Entra ID P2 recebem deteções intituladas Risco adicional detetado sem as informações detalhadas sobre a deteção que os clientes com licenças P2 fazem. Para obter mais informações, consulte os requisitos de licença.
Deteções de risco de início de sessão não premium
Risco adicional detetado (início de sessão)
Calculado em tempo real ou offline. Essa deteção indica que uma das deteções premium foi detetada. Como as deteções premium são visíveis apenas para clientes do Microsoft Entra ID P2, elas são intituladas Risco adicional detetado para clientes sem licenças do Microsoft Entra ID P2.
Usuário confirmado pelo administrador comprometido
Calculado offline. Essa deteção indica que um administrador selecionou Confirmar usuário comprometido na interface do usuário de usuários arriscados ou usando a API riskyUsers. Para ver qual administrador confirmou que esse usuário foi comprometido, verifique o histórico de risco do usuário (via interface do usuário ou API).
Endereço IP anónimo
Calculado em tempo real. Esse tipo de deteção de risco indica entradas de um endereço IP anônimo (por exemplo, navegador Tor ou VPN anônima). Esses endereços IP geralmente são usados por atores que desejam ocultar suas informações de entrada (endereço IP, local, dispositivo e assim por diante) para fins potencialmente mal-intencionados.
Inteligência de ameaças do Microsoft Entra (entrar)
Calculado em tempo real ou offline. Esse tipo de deteção de risco indica a atividade do usuário que é incomum para o usuário ou consistente com padrões de ataque conhecidos. Essa deteção é baseada nas fontes internas e externas de inteligência de ameaças da Microsoft.
Deteções de risco de usuário não premium
Risco adicional detetado (utilizador)
Calculado em tempo real ou offline. Essa deteção indica que uma das deteções premium foi detetada. Como as deteções premium são visíveis apenas para clientes do Microsoft Entra ID P2, elas são intituladas Risco adicional detetado para clientes sem licenças do Microsoft Entra ID P2.
Fuga de credenciais
Calculado offline. Esse tipo de deteção de risco indica que as credenciais válidas do usuário vazaram. Quando os criminosos virtuais comprometem palavras-passe válidas de utilizadores legítimos, muitas vezes partilham essas credenciais recolhidas. Essas partilhas são, geralmente, feitas mediante publicação pública na "dark Web" ou em sites de colagem ou da troca e venda de credenciais no mercado negro. Quando o serviço de credenciais vazadas da Microsoft adquire credenciais de usuário da dark web, sites de colagem ou outras fontes, eles são verificados em relação às credenciais válidas atuais dos usuários do Microsoft Entra para encontrar correspondências válidas. Para obter mais informações sobre credenciais vazadas, consulte perguntas comuns.
Inteligência de ameaças do Microsoft Entra (usuário)
Calculado offline. Esse tipo de deteção de risco indica a atividade do usuário que é incomum para o usuário ou consistente com padrões de ataque conhecidos. Essa deteção é baseada nas fontes internas e externas de inteligência de ameaças da Microsoft.
Perguntas comuns
E se credenciais incorretas forem usadas para tentar entrar?
A Proteção de ID gera deteções de risco somente quando as credenciais corretas são usadas. Se credenciais incorretas forem usadas em um login, isso não representará risco de comprometimento de credenciais.
A sincronização de hash de senha é necessária?
Deteções de risco, como credenciais vazadas, exigem a presença de hashes de senha para que a deteção ocorra. Para obter mais informações sobre a sincronização de hash de senha, consulte o artigo Implementar sincronização de hash de senha com o Microsoft Entra Connect Sync.
Por que as deteções de risco são geradas para contas desativadas?
As contas de usuário em um estado desativado podem ser reativadas. Se as credenciais de uma conta desativada forem comprometidas e a conta for reativada, os agentes mal-intencionados poderão usar essas credenciais para obter acesso. A Proteção de ID gera deteções de risco para atividades suspeitas nessas contas desativadas para alertar os clientes sobre possíveis comprometimentos de contas. Se uma conta não estiver mais em uso e não for reativada, os clientes devem considerar excluí-la para evitar comprometimento. Nenhuma deteção de risco é gerada para contas excluídas.
Perguntas comuns sobre credenciais vazadas
Onde a Microsoft encontra credenciais vazadas?
A Microsoft encontra credenciais vazadas em vários lugares, incluindo:
- Sites públicos de colagem onde os maus atores normalmente postam esse material.
- Agências de aplicação da lei.
- Outros grupos da Microsoft fazendo pesquisa na dark web.
Por que não estou vendo nenhuma credencial vazada?
As credenciais vazadas são processadas sempre que a Microsoft encontra um novo lote disponível publicamente. Devido à natureza sensível, as credenciais vazadas são excluídas logo após o processamento. Somente as novas credenciais vazadas encontradas depois que você habilita a sincronização de hash de senha (PHS) são processadas em relação ao seu locatário. A verificação em relação aos pares de credenciais encontrados anteriormente não foi feita.
Não vejo nenhum evento de risco de credencial vazado
Se você não vir nenhum evento de risco de credencial vazado, é devido aos seguintes motivos:
- Você não tem o PHS habilitado para seu locatário.
- A Microsoft não encontrou nenhum par de credenciais vazado que corresponda aos seus usuários.
Com que frequência a Microsoft processa novas credenciais?
As credenciais são processadas imediatamente após serem encontradas, normalmente em vários lotes por dia.
Localizações
A localização nas deteções de risco é determinada usando a pesquisa de endereços IP. As entradas a partir de localizações nomeadas fidedignas melhoram a precisão do cálculo de risco do Microsoft Entra ID Protection, reduzindo o risco de início de sessão de um utilizador quando este se autentica a partir de uma localização marcada como fidedigna.