Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Entra ID Protection pode fornecer uma ampla gama de deteções de risco que podem ser usadas para identificar atividades suspeitas em sua organização. As tabelas incluídas neste artigo resumem a lista de deteções de risco de entrada e usuário, incluindo os requisitos de licença ou se a deteção ocorrer em tempo real ou offline. Mais detalhes sobre cada deteção de risco podem ser encontrados seguindo as tabelas.
- Detalhes completos sobre a maioria das deteções de risco requerem o Microsoft Entra ID P2.
- Os clientes sem licenças Microsoft Entra ID P2 recebem deteções intituladas Risco adicional detetado sem detalhes de deteção de risco.
- For more information, see the license requirements.
- Para obter informações sobre deteções de risco de identidade de carga de trabalho, consulte Protegendo identidades de carga de trabalho.
Note
Para obter detalhes sobre deteções e níveis de risco em tempo real versus offline, consulte Tipos e níveis de deteção de risco.
Deteções de risco de entrada mapeadas para riskEventType
Selecione uma deteção de risco na lista para exibir a descrição da deteção de risco, como ela funciona e os requisitos de licença. In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license.
Nonpremium indicates the detection is available with Microsoft Entra ID Free. A riskEventType
coluna indica o valor que aparece nas consultas da API do Microsoft Graph.
Deteção de risco de início de sessão | Detection type | Tipo | riskEventType |
---|---|---|---|
Atividade do endereço IP anônimo | Offline | Premium | riskyIPAddress |
Risco adicional detetado (início de sessão) | Em tempo real ou offline | Nonpremium | generic ^ |
Administrador confirmou que o utilizador foi comprometido | Offline | Nonpremium | adminConfirmedUserCompromised |
Token anómalo (início de sessão) | Em tempo real ou offline | Premium | anomalousToken |
Endereço IP anónimo | Real-time | Nonpremium | anonymizedIPAddress |
Atypical travel | Offline | Premium | unlikelyTravel |
Impossible travel | Offline | Premium | mcasImpossibleTravel |
Endereço IP malicioso | Offline | Premium | maliciousIPAddress |
Acesso em massa a arquivos confidenciais | Offline | Premium | mcasFinSuspiciousFileAccess |
Inteligência de ameaças do Microsoft Entra (início de sessão) | Em tempo real ou offline | Nonpremium | investigationsThreatIntelligence |
New country | Offline | Premium | newCountry |
Password spray | Em tempo real ou offline | Premium | passwordSpray |
Suspicious browser | Offline | Premium | suspiciousBrowser |
Reencaminhamento suspeito da caixa de entrada | Offline | Premium | suspiciousInboxForwarding |
Regras suspeitas de manipulação da caixa de entrada | Offline | Premium | mcasSuspiciousInboxManipulationRules |
Anomalia do emissor do token | Offline | Premium | tokenIssuerAnomaly |
Propriedades de login não familiares | Real-time | Premium | unfamiliarFeatures |
IP do agente de ameaças verificado | Real-time | Premium | nationStateIP |
^ O riskEventType para deteção de risco adicional detetado é genérico para locatários com Microsoft Entra ID Free ou Microsoft Entra ID P1. Detetamos algo arriscado, mas os detalhes não estão disponíveis sem uma licença do Microsoft Entra ID P2.
Deteções de risco do usuário mapeadas para riskEventType
Selecione uma deteção de risco na lista para exibir a descrição da deteção de risco, como ela funciona e os requisitos de licença.
Deteção de risco do usuário | Detection type | Tipo | riskEventType |
---|---|---|---|
Risco adicional detetado (utilizador) | Em tempo real ou offline | Nonpremium | generic ^ |
Token Anómalo (utilizador) | Em tempo real ou offline | Premium | anomalousToken |
Atividade anômala do usuário | Offline | Premium | anomalousUserActivity |
Atacante no meio | Offline | Premium | attackerinTheMiddle |
Leaked credentials | Offline | Nonpremium | leakedCredentials |
Inteligência de ameaças do Microsoft Entra (utilizador) | Em tempo real ou offline | Nonpremium | investigationsThreatIntelligence |
Possível tentativa de acessar o PRT (Primary Refresh Token) | Offline | Premium | attemptedPrtAccess |
Tráfego de API suspeito | Offline | Premium | suspiciousAPITraffic |
Padrões de envio suspeitos | Offline | Premium | suspiciousSendingPatterns |
O usuário relatou atividade suspeita | Offline | Premium | userReportedSuspiciousActivity |
^ O riskEventType para deteção de risco adicional detetado é genérico para locatários com Microsoft Entra ID Free ou Microsoft Entra ID P1. Detetamos algo arriscado, mas os detalhes não estão disponíveis sem uma licença do Microsoft Entra ID P2.
Deteções de risco de início de sessão
Atividade de endereço IP anónimo
Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção identifica que os usuários estavam ativos a partir de um endereço IP identificado como um endereço IP de proxy anônimo.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Risco adicional detetado (início de sessão)
Essa deteção indica que uma das deteções premium foi detetada. Como as deteções premium são visíveis apenas para clientes do Microsoft Entra ID P2, elas são intituladas Risco adicional detetado para clientes sem licenças do Microsoft Entra ID P2.
- Calculado em tempo real ou offline
- Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1
Confirmação de utilizador em risco pelo administrador
Essa deteção indica que um administrador selecionou Confirmar usuário comprometido na interface do usuário de usuários arriscados ou usando a API riskyUsers. Para ver qual administrador confirmou que esse usuário foi comprometido, verifique o histórico de risco do usuário (via interface do usuário ou API).
- Calculated offline
- Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1
Token anómalo (início de sessão)
Essa deteção indica características anormais no token, como um tempo de vida incomum ou um token jogado de um local desconhecido. Essa deteção abrange "Tokens de sessão" e "Tokens de atualização".
O token anómalo é ajustado para gerar mais ruído comparado a outras detecções no mesmo nível de risco. Essa troca é escolhida para aumentar a probabilidade de detetar tokens reproduzidos que, de outra forma, poderiam passar despercebidos. Há uma chance maior do que o normal de que algumas das sessões sinalizadas por essa deteção sejam falsos positivos. Recomendamos investigar as sessões sinalizadas por essa deteção no contexto de outras entradas do usuário. Se o local, aplicativo, endereço IP, agente de usuário ou outras características forem inesperadas para o usuário, o administrador deve considerar esse risco como um indicador de potencial reprodução de token.
- Calculado em tempo real ou offline
- Requisito de licença: Microsoft Entra ID P2
- Dicas para investigar deteções de tokens anómalos.
Endereço IP anónimo
Esse tipo de deteção de risco indica entradas de um endereço IP anônimo (por exemplo, navegador Tor ou VPN anônima). Esses endereços IP geralmente são usados por atores que desejam ocultar suas informações de entrada (endereço IP, local, dispositivo e assim por diante) para fins potencialmente mal-intencionados.
- Calculado em tempo real
- Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1
viagem atípica
Esse tipo de deteção de risco identifica dois logins originários de locais geograficamente distantes, onde pelo menos um dos locais também pode ser atípico para o usuário, dado o comportamento passado. O algoritmo leva em conta vários fatores, incluindo o tempo entre os dois logins e o tempo que levaria para o usuário viajar do primeiro local para o segundo. Esse risco pode indicar que um usuário diferente está usando as mesmas credenciais.
O algoritmo ignora "falsos positivos" óbvios que contribuem para as condições de viagem impossíveis, como VPNs e locais usados regularmente por outros usuários na organização. O sistema tem um período de aprendizagem inicial de 14 dias ou 10 logins, durante o qual aprende o comportamento de início de sessão de um novo utilizador.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
- Dicas para investigar deteções de viagens atípicas.
viagem impossível
Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção identifica as atividades do usuário (em uma única ou várias sessões) originadas de locais geograficamente distantes dentro de um período de tempo menor do que o tempo necessário para viajar do primeiro local para o segundo. Esse risco pode indicar que um usuário diferente está usando as mesmas credenciais.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Endereço IP malicioso
Essa deteção indica o login de um endereço IP mal-intencionado. Um endereço IP é considerado malicioso com base em altas taxas de falha devido a credenciais inválidas recebidas do endereço IP ou de outras fontes de reputação IP. Em alguns casos, essa deteção é desencadeada por atividades maliciosas anteriores.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
- Dicas para investigar deteções de endereços IP maliciosos.
Acesso em massa a arquivos confidenciais
Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção analisa seu ambiente e dispara alertas quando os usuários acessam vários arquivos do Microsoft SharePoint Online ou do Microsoft OneDrive. Um alerta é acionado somente se o número de arquivos acessados for incomum para o usuário e os arquivos puderem conter informações confidenciais.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Inteligência de ameaças do Microsoft Entra (início de sessão)
Esse tipo de deteção de risco indica a atividade do usuário que é incomum para o usuário ou consistente com padrões de ataque conhecidos. Essa deteção é baseada nas fontes internas e externas de inteligência de ameaças da Microsoft.
- Calculado em tempo real ou offline
- Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1
- Dicas para investigar deteções de inteligência de ameaças do Microsoft Entra.
Novo país
Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção considera locais de atividades anteriores para determinar locais novos e pouco frequentes. O mecanismo de deteção de anomalias armazena informações sobre locais anteriores usados pelos usuários na organização.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Utilização de palavra-passe única
Um ataque de pulverização de senhas ocorre quando várias identidades são atacadas usando senhas comuns numa abordagem de força bruta unificada. A deteção de risco é acionada quando a palavra-passe de uma conta é válida e há uma tentativa de início de sessão. Essa deteção sinaliza que a senha do usuário foi identificada corretamente por meio de um ataque de pulverização de senha, não que o invasor foi capaz de acessar quaisquer recursos.
- Calculado em tempo real ou offline
- Requisito de licença: Microsoft Entra ID P2
- Dicas para investigar deteções de ataque de pulverização de senhas.
Suspicious browser
A deteção de comportamento suspeito no navegador indica um comportamento anómalo com base na atividade de início de sessão suspeita entre múltiplos utilizadores de diferentes países/regiões usando o mesmo navegador.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
- Dicas para investigar deteções suspeitas do navegador.
Reencaminhamento suspeito de caixa de entrada
Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção procura regras de encaminhamento de e-mails suspeitos, por exemplo, se um usuário criou uma regra de caixa de entrada que encaminha uma cópia de todos os e-mails para um endereço externo.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Regras suspeitas de manipulação de caixa de entrada
Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção analisa seu ambiente e dispara alertas quando regras suspeitas que excluem ou movem mensagens ou pastas são definidas na caixa de entrada de um usuário. Essa deteção pode indicar: a conta de um usuário está comprometida, as mensagens estão sendo intencionalmente ocultadas e a caixa de correio está sendo usada para distribuir spam ou malware em sua organização.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Anomalia do emissor do token
Essa deteção de risco indica que o emissor do token SAML para o token SAML associado está potencialmente comprometido. As declarações incluídas no token são incomuns ou correspondem a padrões de invasores conhecidos.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
- Dicas para investigar deteções de anomalias do emissor de tokens.
Propriedades de inícios de sessão desconhecidos
Este tipo de deteção de risco considera o histórico de início de sessão anterior para procurar entradas anómalas. O sistema armazena informações sobre entradas anteriores e dispara uma deteção de risco quando ocorre uma entrada com propriedades que não são familiares para o usuário. Essas propriedades podem incluir IP, ASN, localização, dispositivo, navegador e sub-rede IP do locatário. Os usuários recém-criados estão em um período de "modo de aprendizagem", onde a deteção de risco de propriedades de entrada desconhecidas é desativada enquanto nossos algoritmos aprendem o comportamento do usuário. A duração do modo de aprendizagem é dinâmica e depende de quanto tempo o algoritmo leva para reunir informações suficientes sobre os padrões de entrada do usuário. A duração mínima é de cinco dias. Um usuário pode voltar ao modo de aprendizagem após um longo período de inatividade.
Também executamos essa deteção para autenticação básica (ou protocolos herdados). Como esses protocolos não têm propriedades modernas, como ID do cliente, há dados limitados para reduzir falsos positivos. Recomendamos aos nossos clientes que mudem para a autenticação moderna.
Propriedades de entrada desconhecidas podem ser detetadas em entradas interativas e não interativas. Quando essa deteção é detetada em entradas não interativas, ela merece maior escrutínio devido ao risco de ataques de repetição de token.
Selecionar um risco de propriedades de entrada desconhecido permite que você veja mais informações, mostrando mais detalhes sobre por que esse risco foi acionado.
- Calculado em tempo real
- Requisito de licença: Microsoft Entra ID P2
IP do agente de ameaças verificado
Calculado em tempo real. Este tipo de deteção de risco indica atividade de início de sessão consistente com endereços IP conhecidos associados a intervenientes de Estados-nação ou grupos de cibercrime, com base em dados do Centro de Informações sobre Ameaças da Microsoft (MSTIC).
- Calculado em tempo real
- Requisito de licença: Microsoft Entra ID P2
Deteções de risco do usuário
Risco adicional detetado (utilizador)
Essa deteção indica que uma das deteções premium foi detetada. Como as deteções premium são visíveis apenas para clientes do Microsoft Entra ID P2, elas são intituladas Risco adicional detetado para clientes sem licenças do Microsoft Entra ID P2.
- Calculado em tempo real ou offline
- Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1
Token anómalo (utilizador)
Essa deteção indica características anormais no token, como um tempo de vida incomum ou um token jogado de um local desconhecido. Essa deteção abrange "Tokens de sessão" e "Tokens de atualização".
O token anómalo é ajustado para gerar mais ruído comparado a outras detecções no mesmo nível de risco. Essa troca é escolhida para aumentar a probabilidade de detetar tokens reproduzidos que, de outra forma, poderiam passar despercebidos. Há uma chance maior do que o normal de que algumas das sessões sinalizadas por essa deteção sejam falsos positivos. Recomendamos investigar as sessões sinalizadas por essa deteção no contexto de outras entradas do usuário. Se o local, aplicativo, endereço IP, agente de usuário ou outras características forem inesperadas para o usuário, o administrador deve considerar esse risco como um indicador de potencial reprodução de token.
- Calculado em tempo real ou offline
- Requisito de licença: Microsoft Entra ID P2
- Dicas para investigar deteções de tokens anómalos.
Atividade anômala do usuário
Essa deteção de risco baseia o comportamento administrativo normal do usuário no Microsoft Entra ID e deteta padrões anômalos de comportamento, como alterações suspeitas no diretório. A deteção é acionada contra o administrador que faz a alteração ou o objeto que foi alterado.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
Atacante no meio
Também conhecida como Adversary in the Middle, essa deteção de alta precisão é acionada quando uma sessão de autenticação é vinculada a um proxy reverso mal-intencionado. Neste tipo de ataque, o adversário pode intercetar as credenciais do usuário, incluindo tokens emitidos para o usuário. The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. Recomendamos que os administradores investiguem manualmente o usuário quando essa deteção for acionada para garantir que o risco seja eliminado. Eliminar esse risco pode exigir a redefinição segura de senha ou a revogação de sessões existentes.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
fuga de credenciais
Esse tipo de deteção de risco indica que as credenciais válidas do usuário vazaram. Quando os criminosos virtuais comprometem palavras-passe válidas de utilizadores legítimos, muitas vezes partilham essas credenciais recolhidas. Essas partilhas são, geralmente, feitas mediante publicação pública na "dark Web" ou em sites de colagem ou da troca e venda de credenciais no mercado negro. Quando o serviço de credenciais vazadas da Microsoft adquire credenciais de utilizador da dark web, de sites de colagem ou de outras fontes, estas são verificadas em relação às credenciais atuais e válidas dos utilizadores do Microsoft Entra, para identificar correspondências válidas. For more information about leaked credentials, see FAQs.
- Calculated offline
- Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1
- Dicas para investigar deteções de credenciais vazadas.
Inteligência de ameaças do Microsoft Entra (utilizador)
Esse tipo de deteção de risco indica a atividade do usuário que é incomum para o usuário ou consistente com padrões de ataque conhecidos. Essa deteção é baseada nas fontes internas e externas de inteligência de ameaças da Microsoft.
- Calculated offline
- Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1
- Dicas para investigar deteções de inteligência de ameaças do Microsoft Entra.
Possível tentativa de acessar o PRT (Primary Refresh Token)
Esse tipo de deteção de risco é descoberto usando informações fornecidas pelo Microsoft Defender for Endpoint (MDE). Um PRT (Primary Refresh Token) é um elemento essencial da autenticação do Microsoft Entra em dispositivos iOS e Android, além de no Windows 10, Windows Server 2016 e versões posteriores. Um PRT é um JSON Web Token (JWT) emitido para corretores de token primários da Microsoft para habilitar o logon único (SSO) entre os aplicativos usados nesses dispositivos. Os invasores podem tentar acessar esse recurso para entrar lateralmente em uma organização ou executar o roubo de credenciais. Essa deteção move os utilizadores para alto risco e é ativada apenas em organizações que implementam o MDE. Essa deteção é de alto risco e recomendamos a correção imediata desses usuários. Aparece com pouca frequência na maioria das organizações devido ao seu baixo volume.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
Tráfego de API suspeito
Esta deteção de risco é reportada quando é observado(a) tráfego anormal do GraphAPI ou enumeração de diretório. O tráfego suspeito da API pode sugerir que um usuário está comprometido e realizando reconhecimento no ambiente.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
Padrões de envio suspeitos
Esse tipo de deteção de risco é descoberto usando informações fornecidas pelo Microsoft Defender para Office 365 (MDO). Este alerta é gerado quando alguém na sua organização envia e-mails suspeitos e corre o risco de ser ou está impedido de enviar e-mails. Essa deteção move os utilizadores para o risco médio e só é acionada em organizações que implementam MDO. Essa deteção é de baixo volume e é vista com pouca frequência na maioria das organizações.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2
O usuário relatou atividade suspeita
Essa deteção de risco é relatada quando um usuário nega um prompt de autenticação multifator (MFA) e o relata como atividade suspeita. Um prompt de MFA não iniciado por um usuário pode significar que suas credenciais estão comprometidas.
- Calculated offline
- Requisito de licença: Microsoft Entra ID P2