Partilhar via


O que são deteções de risco?

O Microsoft Entra ID Protection pode fornecer uma ampla gama de deteções de risco que podem ser usadas para identificar atividades suspeitas em sua organização. As tabelas incluídas neste artigo resumem a lista de deteções de risco de entrada e usuário, incluindo os requisitos de licença ou se a deteção ocorrer em tempo real ou offline. Mais detalhes sobre cada deteção de risco podem ser encontrados seguindo as tabelas.

  • Detalhes completos sobre a maioria das deteções de risco requerem o Microsoft Entra ID P2.
    • Os clientes sem licenças Microsoft Entra ID P2 recebem deteções intituladas Risco adicional detetado sem detalhes de deteção de risco.
    • For more information, see the license requirements.
  • Para obter informações sobre deteções de risco de identidade de carga de trabalho, consulte Protegendo identidades de carga de trabalho.

Note

Para obter detalhes sobre deteções e níveis de risco em tempo real versus offline, consulte Tipos e níveis de deteção de risco.

Deteções de risco de entrada mapeadas para riskEventType

Selecione uma deteção de risco na lista para exibir a descrição da deteção de risco, como ela funciona e os requisitos de licença. In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license. Nonpremium indicates the detection is available with Microsoft Entra ID Free. A riskEventType coluna indica o valor que aparece nas consultas da API do Microsoft Graph.

Deteção de risco de início de sessão Detection type Tipo riskEventType
Atividade do endereço IP anônimo Offline Premium riskyIPAddress
Risco adicional detetado (início de sessão) Em tempo real ou offline Nonpremium generic ^
Administrador confirmou que o utilizador foi comprometido Offline Nonpremium adminConfirmedUserCompromised
Token anómalo (início de sessão) Em tempo real ou offline Premium anomalousToken
Endereço IP anónimo Real-time Nonpremium anonymizedIPAddress
Atypical travel Offline Premium unlikelyTravel
Impossible travel Offline Premium mcasImpossibleTravel
Endereço IP malicioso Offline Premium maliciousIPAddress
Acesso em massa a arquivos confidenciais Offline Premium mcasFinSuspiciousFileAccess
Inteligência de ameaças do Microsoft Entra (início de sessão) Em tempo real ou offline Nonpremium investigationsThreatIntelligence
New country Offline Premium newCountry
Password spray Em tempo real ou offline Premium passwordSpray
Suspicious browser Offline Premium suspiciousBrowser
Reencaminhamento suspeito da caixa de entrada Offline Premium suspiciousInboxForwarding
Regras suspeitas de manipulação da caixa de entrada Offline Premium mcasSuspiciousInboxManipulationRules
Anomalia do emissor do token Offline Premium tokenIssuerAnomaly
Propriedades de login não familiares Real-time Premium unfamiliarFeatures
IP do agente de ameaças verificado Real-time Premium nationStateIP

^ O riskEventType para deteção de risco adicional detetado é genérico para locatários com Microsoft Entra ID Free ou Microsoft Entra ID P1. Detetamos algo arriscado, mas os detalhes não estão disponíveis sem uma licença do Microsoft Entra ID P2.

Deteções de risco do usuário mapeadas para riskEventType

Selecione uma deteção de risco na lista para exibir a descrição da deteção de risco, como ela funciona e os requisitos de licença.

Deteção de risco do usuário Detection type Tipo riskEventType
Risco adicional detetado (utilizador) Em tempo real ou offline Nonpremium generic ^
Token Anómalo (utilizador) Em tempo real ou offline Premium anomalousToken
Atividade anômala do usuário Offline Premium anomalousUserActivity
Atacante no meio Offline Premium attackerinTheMiddle
Leaked credentials Offline Nonpremium leakedCredentials
Inteligência de ameaças do Microsoft Entra (utilizador) Em tempo real ou offline Nonpremium investigationsThreatIntelligence
Possível tentativa de acessar o PRT (Primary Refresh Token) Offline Premium attemptedPrtAccess
Tráfego de API suspeito Offline Premium suspiciousAPITraffic
Padrões de envio suspeitos Offline Premium suspiciousSendingPatterns
O usuário relatou atividade suspeita Offline Premium userReportedSuspiciousActivity

^ O riskEventType para deteção de risco adicional detetado é genérico para locatários com Microsoft Entra ID Free ou Microsoft Entra ID P1. Detetamos algo arriscado, mas os detalhes não estão disponíveis sem uma licença do Microsoft Entra ID P2.

Deteções de risco de início de sessão

Atividade de endereço IP anónimo

Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção identifica que os usuários estavam ativos a partir de um endereço IP identificado como um endereço IP de proxy anônimo.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Risco adicional detetado (início de sessão)

Essa deteção indica que uma das deteções premium foi detetada. Como as deteções premium são visíveis apenas para clientes do Microsoft Entra ID P2, elas são intituladas Risco adicional detetado para clientes sem licenças do Microsoft Entra ID P2.

  • Calculado em tempo real ou offline
  • Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1

Confirmação de utilizador em risco pelo administrador

Essa deteção indica que um administrador selecionou Confirmar usuário comprometido na interface do usuário de usuários arriscados ou usando a API riskyUsers. Para ver qual administrador confirmou que esse usuário foi comprometido, verifique o histórico de risco do usuário (via interface do usuário ou API).

  • Calculated offline
  • Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1

Token anómalo (início de sessão)

Essa deteção indica características anormais no token, como um tempo de vida incomum ou um token jogado de um local desconhecido. Essa deteção abrange "Tokens de sessão" e "Tokens de atualização".

O token anómalo é ajustado para gerar mais ruído comparado a outras detecções no mesmo nível de risco. Essa troca é escolhida para aumentar a probabilidade de detetar tokens reproduzidos que, de outra forma, poderiam passar despercebidos. Há uma chance maior do que o normal de que algumas das sessões sinalizadas por essa deteção sejam falsos positivos. Recomendamos investigar as sessões sinalizadas por essa deteção no contexto de outras entradas do usuário. Se o local, aplicativo, endereço IP, agente de usuário ou outras características forem inesperadas para o usuário, o administrador deve considerar esse risco como um indicador de potencial reprodução de token.

Endereço IP anónimo

Esse tipo de deteção de risco indica entradas de um endereço IP anônimo (por exemplo, navegador Tor ou VPN anônima). Esses endereços IP geralmente são usados por atores que desejam ocultar suas informações de entrada (endereço IP, local, dispositivo e assim por diante) para fins potencialmente mal-intencionados.

  • Calculado em tempo real
  • Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1

viagem atípica

Esse tipo de deteção de risco identifica dois logins originários de locais geograficamente distantes, onde pelo menos um dos locais também pode ser atípico para o usuário, dado o comportamento passado. O algoritmo leva em conta vários fatores, incluindo o tempo entre os dois logins e o tempo que levaria para o usuário viajar do primeiro local para o segundo. Esse risco pode indicar que um usuário diferente está usando as mesmas credenciais.

O algoritmo ignora "falsos positivos" óbvios que contribuem para as condições de viagem impossíveis, como VPNs e locais usados regularmente por outros usuários na organização. O sistema tem um período de aprendizagem inicial de 14 dias ou 10 logins, durante o qual aprende o comportamento de início de sessão de um novo utilizador.

viagem impossível

Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção identifica as atividades do usuário (em uma única ou várias sessões) originadas de locais geograficamente distantes dentro de um período de tempo menor do que o tempo necessário para viajar do primeiro local para o segundo. Esse risco pode indicar que um usuário diferente está usando as mesmas credenciais.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Endereço IP malicioso

Essa deteção indica o login de um endereço IP mal-intencionado. Um endereço IP é considerado malicioso com base em altas taxas de falha devido a credenciais inválidas recebidas do endereço IP ou de outras fontes de reputação IP. Em alguns casos, essa deteção é desencadeada por atividades maliciosas anteriores.

Acesso em massa a arquivos confidenciais

Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção analisa seu ambiente e dispara alertas quando os usuários acessam vários arquivos do Microsoft SharePoint Online ou do Microsoft OneDrive. Um alerta é acionado somente se o número de arquivos acessados for incomum para o usuário e os arquivos puderem conter informações confidenciais.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Inteligência de ameaças do Microsoft Entra (início de sessão)

Esse tipo de deteção de risco indica a atividade do usuário que é incomum para o usuário ou consistente com padrões de ataque conhecidos. Essa deteção é baseada nas fontes internas e externas de inteligência de ameaças da Microsoft.

Novo país

Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção considera locais de atividades anteriores para determinar locais novos e pouco frequentes. O mecanismo de deteção de anomalias armazena informações sobre locais anteriores usados pelos usuários na organização.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Utilização de palavra-passe única

Um ataque de pulverização de senhas ocorre quando várias identidades são atacadas usando senhas comuns numa abordagem de força bruta unificada. A deteção de risco é acionada quando a palavra-passe de uma conta é válida e há uma tentativa de início de sessão. Essa deteção sinaliza que a senha do usuário foi identificada corretamente por meio de um ataque de pulverização de senha, não que o invasor foi capaz de acessar quaisquer recursos.

Suspicious browser

A deteção de comportamento suspeito no navegador indica um comportamento anómalo com base na atividade de início de sessão suspeita entre múltiplos utilizadores de diferentes países/regiões usando o mesmo navegador.

Reencaminhamento suspeito de caixa de entrada

Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção procura regras de encaminhamento de e-mails suspeitos, por exemplo, se um usuário criou uma regra de caixa de entrada que encaminha uma cópia de todos os e-mails para um endereço externo.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Regras suspeitas de manipulação de caixa de entrada

Essa deteção é descoberta usando informações fornecidas pelo Microsoft Defender for Cloud Apps. Essa deteção analisa seu ambiente e dispara alertas quando regras suspeitas que excluem ou movem mensagens ou pastas são definidas na caixa de entrada de um usuário. Essa deteção pode indicar: a conta de um usuário está comprometida, as mensagens estão sendo intencionalmente ocultadas e a caixa de correio está sendo usada para distribuir spam ou malware em sua organização.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Anomalia do emissor do token

Essa deteção de risco indica que o emissor do token SAML para o token SAML associado está potencialmente comprometido. As declarações incluídas no token são incomuns ou correspondem a padrões de invasores conhecidos.

Propriedades de inícios de sessão desconhecidos

Este tipo de deteção de risco considera o histórico de início de sessão anterior para procurar entradas anómalas. O sistema armazena informações sobre entradas anteriores e dispara uma deteção de risco quando ocorre uma entrada com propriedades que não são familiares para o usuário. Essas propriedades podem incluir IP, ASN, localização, dispositivo, navegador e sub-rede IP do locatário. Os usuários recém-criados estão em um período de "modo de aprendizagem", onde a deteção de risco de propriedades de entrada desconhecidas é desativada enquanto nossos algoritmos aprendem o comportamento do usuário. A duração do modo de aprendizagem é dinâmica e depende de quanto tempo o algoritmo leva para reunir informações suficientes sobre os padrões de entrada do usuário. A duração mínima é de cinco dias. Um usuário pode voltar ao modo de aprendizagem após um longo período de inatividade.

Também executamos essa deteção para autenticação básica (ou protocolos herdados). Como esses protocolos não têm propriedades modernas, como ID do cliente, há dados limitados para reduzir falsos positivos. Recomendamos aos nossos clientes que mudem para a autenticação moderna.

Propriedades de entrada desconhecidas podem ser detetadas em entradas interativas e não interativas. Quando essa deteção é detetada em entradas não interativas, ela merece maior escrutínio devido ao risco de ataques de repetição de token.

Selecionar um risco de propriedades de entrada desconhecido permite que você veja mais informações, mostrando mais detalhes sobre por que esse risco foi acionado.

  • Calculado em tempo real
  • Requisito de licença: Microsoft Entra ID P2

IP do agente de ameaças verificado

Calculado em tempo real. Este tipo de deteção de risco indica atividade de início de sessão consistente com endereços IP conhecidos associados a intervenientes de Estados-nação ou grupos de cibercrime, com base em dados do Centro de Informações sobre Ameaças da Microsoft (MSTIC).

  • Calculado em tempo real
  • Requisito de licença: Microsoft Entra ID P2

Deteções de risco do usuário

Risco adicional detetado (utilizador)

Essa deteção indica que uma das deteções premium foi detetada. Como as deteções premium são visíveis apenas para clientes do Microsoft Entra ID P2, elas são intituladas Risco adicional detetado para clientes sem licenças do Microsoft Entra ID P2.

  • Calculado em tempo real ou offline
  • Requisito de licença: Microsoft Entra ID Free ou Microsoft Entra ID P1

Token anómalo (utilizador)

Essa deteção indica características anormais no token, como um tempo de vida incomum ou um token jogado de um local desconhecido. Essa deteção abrange "Tokens de sessão" e "Tokens de atualização".

O token anómalo é ajustado para gerar mais ruído comparado a outras detecções no mesmo nível de risco. Essa troca é escolhida para aumentar a probabilidade de detetar tokens reproduzidos que, de outra forma, poderiam passar despercebidos. Há uma chance maior do que o normal de que algumas das sessões sinalizadas por essa deteção sejam falsos positivos. Recomendamos investigar as sessões sinalizadas por essa deteção no contexto de outras entradas do usuário. Se o local, aplicativo, endereço IP, agente de usuário ou outras características forem inesperadas para o usuário, o administrador deve considerar esse risco como um indicador de potencial reprodução de token.

Atividade anômala do usuário

Essa deteção de risco baseia o comportamento administrativo normal do usuário no Microsoft Entra ID e deteta padrões anômalos de comportamento, como alterações suspeitas no diretório. A deteção é acionada contra o administrador que faz a alteração ou o objeto que foi alterado.

  • Calculated offline
  • Requisito de licença: Microsoft Entra ID P2

Atacante no meio

Também conhecida como Adversary in the Middle, essa deteção de alta precisão é acionada quando uma sessão de autenticação é vinculada a um proxy reverso mal-intencionado. Neste tipo de ataque, o adversário pode intercetar as credenciais do usuário, incluindo tokens emitidos para o usuário. The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. Recomendamos que os administradores investiguem manualmente o usuário quando essa deteção for acionada para garantir que o risco seja eliminado. Eliminar esse risco pode exigir a redefinição segura de senha ou a revogação de sessões existentes.

  • Calculated offline
  • Requisito de licença: Microsoft Entra ID P2

fuga de credenciais

Esse tipo de deteção de risco indica que as credenciais válidas do usuário vazaram. Quando os criminosos virtuais comprometem palavras-passe válidas de utilizadores legítimos, muitas vezes partilham essas credenciais recolhidas. Essas partilhas são, geralmente, feitas mediante publicação pública na "dark Web" ou em sites de colagem ou da troca e venda de credenciais no mercado negro. Quando o serviço de credenciais vazadas da Microsoft adquire credenciais de utilizador da dark web, de sites de colagem ou de outras fontes, estas são verificadas em relação às credenciais atuais e válidas dos utilizadores do Microsoft Entra, para identificar correspondências válidas. For more information about leaked credentials, see FAQs.

Inteligência de ameaças do Microsoft Entra (utilizador)

Esse tipo de deteção de risco indica a atividade do usuário que é incomum para o usuário ou consistente com padrões de ataque conhecidos. Essa deteção é baseada nas fontes internas e externas de inteligência de ameaças da Microsoft.

Possível tentativa de acessar o PRT (Primary Refresh Token)

Esse tipo de deteção de risco é descoberto usando informações fornecidas pelo Microsoft Defender for Endpoint (MDE). Um PRT (Primary Refresh Token) é um elemento essencial da autenticação do Microsoft Entra em dispositivos iOS e Android, além de no Windows 10, Windows Server 2016 e versões posteriores. Um PRT é um JSON Web Token (JWT) emitido para corretores de token primários da Microsoft para habilitar o logon único (SSO) entre os aplicativos usados nesses dispositivos. Os invasores podem tentar acessar esse recurso para entrar lateralmente em uma organização ou executar o roubo de credenciais. Essa deteção move os utilizadores para alto risco e é ativada apenas em organizações que implementam o MDE. Essa deteção é de alto risco e recomendamos a correção imediata desses usuários. Aparece com pouca frequência na maioria das organizações devido ao seu baixo volume.

  • Calculated offline
  • Requisito de licença: Microsoft Entra ID P2

Tráfego de API suspeito

Esta deteção de risco é reportada quando é observado(a) tráfego anormal do GraphAPI ou enumeração de diretório. O tráfego suspeito da API pode sugerir que um usuário está comprometido e realizando reconhecimento no ambiente.

  • Calculated offline
  • Requisito de licença: Microsoft Entra ID P2

Padrões de envio suspeitos

Esse tipo de deteção de risco é descoberto usando informações fornecidas pelo Microsoft Defender para Office 365 (MDO). Este alerta é gerado quando alguém na sua organização envia e-mails suspeitos e corre o risco de ser ou está impedido de enviar e-mails. Essa deteção move os utilizadores para o risco médio e só é acionada em organizações que implementam MDO. Essa deteção é de baixo volume e é vista com pouca frequência na maioria das organizações.

  • Calculated offline
  • Requisito de licença: Microsoft Entra ID P2

O usuário relatou atividade suspeita

Essa deteção de risco é relatada quando um usuário nega um prompt de autenticação multifator (MFA) e o relata como atividade suspeita. Um prompt de MFA não iniciado por um usuário pode significar que suas credenciais estão comprometidas.

  • Calculated offline
  • Requisito de licença: Microsoft Entra ID P2