O que é o Identity Protection?
A Proteção de Identidade é uma ferramenta que permite às organizações realizar três tarefas-chave:
- Automatizar a deteção e reparação de riscos baseados na identidade.
- Investigar riscos usando dados no portal.
- Exportar dados de deteção de risco para o seu SIEM.
A Identity Protection utiliza as aprendizagens que a Microsoft adquiriu da sua posição em organizações com a Azure AD, o espaço de consumo com contas da Microsoft e em jogos com a Xbox para proteger os seus utilizadores. A Microsoft analisa 6,5 biliões de sinais por dia para identificar e proteger os clientes de ameaças.
Os sinais gerados e alimentados para a Proteção de Identidade, podem ser alimentados ainda mais em ferramentas como o Acesso Condicional para tomar decisões de acesso, ou alimentados de volta a uma ferramenta de informação de segurança e gestão de eventos (SIEM) para uma investigação mais aprofundada com base nas políticas aplicadas da sua organização.
Por que a automação é importante?
No post do blog Cyber Signals: Defendendo-se contra ameaças cibernéticas com as mais recentes pesquisas, insights e tendências datadas de 3 de fevereiro de 2022, partilhámos um resumo de inteligência de linha, incluindo as seguintes estatísticas:
- Analisado... 24 triliões de sinais de segurança combinados com a inteligência que rastreamos, monitorizando mais de 40 grupos do Estado-nação e mais de 140 grupos de ameaças...
- ... De janeiro de 2021 a dezembro de 2021, bloqueámos mais de 25,6 mil milhões de ataques de autenticação de força bruta Azure...
Esta escala de sinais e ataques requer algum nível de automatização para ser capaz de acompanhar.
Deteção e reparação de riscos
A Proteção de Identidade identifica riscos de muitos tipos, incluindo:
- Uso anónimo de endereços IP
- Viagem atípica
- Endereço IP ligado a malware
- Propriedades de inícios de sessão desconhecidos
- Fuga de credenciais
- Spray de senha
- e mais...
Mais detalhes sobre estes e outros riscos, incluindo como ou quando são calculados podem ser encontrados no artigo, O que é o risco.
Os sinais de risco podem desencadear esforços de remediação, tais como exigir que os utilizadores realizem a autenticação multi-factor Azure AD, reiniciem a sua palavra-passe utilizando o reset da palavra-passe de autosserviço ou bloqueiem até que um administrador tome medidas.
Investigação de risco
Os administradores podem rever as deteções e tomar medidas manuais sobre elas, se necessário. Existem três relatórios-chave que os administradores usam para investigações em Proteção de Identidade:
- Utilizadores de risco
- Inícios de sessão de risco
- Deteções de riscos
Mais informações podem ser encontradas no artigo, Como: Investigar o risco.
Níveis de risco
A Proteção de Identidade categoriza o risco em níveis: baixo, médio e alto.
Embora a Microsoft não forneça detalhes específicos sobre como o risco é calculado, diremos que cada nível traz maior confiança de que o utilizador ou o teste de saúde estão comprometidos. Por exemplo, algo como um exemplo de propriedades de inscrição desconhecidas para um utilizador pode não ser tão ameaçador como credenciais vazadas para outro utilizador.
Exportação de dados de risco
Os dados da Proteção de Identidade podem ser exportados para outras ferramentas para arquivar e investigação e correlação. As APIs baseadas no Microsoft Graph permitem que as organizações recolham estes dados para posterior processamento numa ferramenta como o seu SIEM. Informações sobre como aceder à API de Proteção de Identidade podem ser encontradas no artigo, Começar com a Azure Ative Directory Identity Protection e Microsoft Graph
Informações sobre a integração de informações sobre a Proteção de Identidade com o Microsoft Sentinel podem ser encontradas no artigo, Conecte os dados da Azure AD Identity Protection.
Além disso, as organizações podem optar por armazenar dados por períodos mais longos, alterando as definições de diagnóstico em AD AZure para enviar dados RiskyUsers e UserRiskEvents para um espaço de trabalho Log Analytics, arquivar dados para uma conta de armazenamento, transmitir dados para Centros de Eventos ou enviar dados para uma solução de parceiro. Informações detalhadas sobre como fazê-lo podem ser encontradas no artigo, Como: Exportar dados de risco.
Permissões
A Proteção de Identidade requer que os utilizadores sejam um Leitor de Segurança, Operador de Segurança, Administrador de Segurança, Leitor Global ou Administrador Global para aceder.
| Função | Pode fazer | Não posso fazer. |
|---|---|---|
| Administrador global | Acesso total à Proteção de Identidade | |
| Administrador de segurança | Acesso total à Proteção de Identidade | Redefinir a palavra-passe para um utilizador |
| Operador de segurança | Ver todos os relatórios de Proteção de Identidade e folha de visão geral Descartar o risco do utilizador, confirmar a entrada segura, confirmar compromisso |
Configurar ou alterar políticas Redefinir a palavra-passe para um utilizador Configurar alertas |
| Leitor de segurança | Ver todos os relatórios de Proteção de Identidade e folha de visão geral | Configurar ou alterar políticas Redefinir a palavra-passe para um utilizador Configurar alertas Dar feedback sobre deteções |
Atualmente, a função do operador de segurança não pode aceder ao relatório de inscrições de Risky.
Os administradores de acesso condicional também podem criar políticas que fator no risco de inscrição como condição. Veja mais informações no artigo Acesso Condicionado: Condições.
Requisitos de licença
A utilização desta funcionalidade requer uma licença Azure AD Premium P2. Para encontrar a licença certa para os seus requisitos, consulte As funcionalidades geralmente disponíveis do Azure AD.
| Funcionalidade | Detalhes | Azure AD Free / Microsoft 365 Apps | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| Políticas de risco | Política de risco do utilizador (via Proteção de Identidade) | No | No | Yes |
| Políticas de risco | Política de risco de inscrição (via Proteção de Identidade ou Acesso Condicional) | No | No | Yes |
| Relatórios de segurança | Descrição Geral | No | No | Yes |
| Relatórios de segurança | Utilizadores de risco | Informação limitada. Apenas são mostrados utilizadores com risco médio e elevado. Sem detalhes gaveta ou histórico de risco. | Informação limitada. Apenas são mostrados utilizadores com risco médio e elevado. Sem detalhes gaveta ou histórico de risco. | Acesso completo |
| Relatórios de segurança | Inícios de sessão de risco | Informação limitada. Não é mostrado nenhum detalhe de risco ou nível de risco. | Informação limitada. Não é mostrado nenhum detalhe de risco ou nível de risco. | Acesso completo |
| Relatórios de segurança | Deteções de riscos | No | Informação limitada. Sem detalhes na gaveta. | Acesso completo |
| Notificações | Utilizadores em risco detetados alertas | No | No | Yes |
| Notificações | Digestão semanal | No | No | Yes |
| Política de registo na MFA | No | No | Yes |
Mais informações sobre estes relatórios ricos podem ser encontradas no artigo, Como: Investigar o risco.