O que são detecções de risco?
O Microsoft Entra ID Protection fornece às organizações informações sobre atividades suspeitas em seu locatário e permite que elas respondam rapidamente para evitar que ocorram mais riscos. As detecções de risco são um recurso poderoso que pode incluir qualquer atividade suspeita ou anômala relacionada a uma conta de usuário no diretório. As detecções de risco do Protection ID podem ser vinculadas a um usuário individual ou a um evento de entrada e contribuir para a pontuação geral de risco do usuário encontrada no Relatório de Usuários Suspeitos.
As detecções de risco do usuário podem sinalizar uma conta de usuário legítima como em risco, quando um potencial ator de ameaça obtém acesso a uma conta comprometendo suas credenciais ou quando detecta algum tipo de atividade de usuário anômala. Detecções de risco de entrada representam a probabilidade de uma determinada solicitação de autenticação não ser o proprietário autorizado da conta. Ter a capacidade de identificar o risco no nível de entrada e de usuário é fundamental para que os clientes tenham a capacidade de proteger seu locatário.
Níveis de risco
O Identity Protection categoriza os riscos em três camadas: baixa, média e alta. Os níveis de risco calculados por nossos algoritmos de aprendizado de máquina representam o nível de confiança da Microsoft de que uma ou mais das credenciais do usuário sejam conhecidas por uma entidade não autorizada.
- Uma detecção de risco com nível de risco Alto significa que a Microsoft está altamente confiante de que a conta está comprometida.
- Uma detecção de risco com nível de risco Baixo significa que há anomalias presentes na entrada ou na credencial de um usuário, mas estamos menos confiantes de que essas anomalias significam que a conta está comprometida.
Muitas detecções podem ser disparadas em mais de um dos níveis de risco, dependendo do número ou gravidade das anomalias detectadas. Por exemplo, Propriedades de entrada desconhecidas podem ser disparadas em alta, média ou baixa com base na confiança nos sinais. Algumas detecções, como de credenciais vazadas e IP de ator de ameaça verificado, sempre são fornecidas como de alto risco.
Esse nível de risco é importante ao decidir quais detecções priorizar, investigar e corrigir. Ele também desempenha um papel fundamental na configuração de políticas de Acesso Condicional baseadas em risco, pois cada política pode ser definida para disparar com baixo, médio, alto ou nenhum risco detectado. Com base na tolerância a riscos da sua organização, você pode criar políticas que exigem MFA ou redefinição de senha quando o ID Protection detecta um determinado nível de risco para um de seus usuários. Essas políticas podem orientar o usuário a se autocorrigir para resolver o risco.
Importante
Todas as detecções e usuários de nível de risco "baixo" persistirão no produto por 6 meses e depois desse período serão removidos automaticamente ou para fornecer uma experiência de investigação mais limpa. Os níveis de risco médio e alto persistirão até que sejam corrigidos ou descartados.
Com base na tolerância a riscos de sua organização, você pode criar políticas que exigem MFA ou redefinição de senha quando a Proteção de ID detecta um determinado nível de risco. Essas políticas podem orientar o usuário a se autorremediar e resolver o risco ou o bloqueio, dependendo de suas tolerâncias.
Detecções em tempo real e offline
O ID Protection usa técnicas para aumentar a precisão das detecções de risco de entrada e de usuário calculando alguns riscos em tempo real ou offline após a autenticação. Detectar riscos em tempo real na entrada oferece a vantagem de identificar o risco antecipadamente para que os clientes possam investigar rapidamente o possível comprometimento. Em detecções que calculam o risco offline, eles podem fornecer mais informações sobre como o ator de ameaça obteve acesso à conta e o impacto sobre o usuário legítimo. Algumas detecções podem ser disparadas tanto offline quanto durante a entrada, o que aumenta a confiança na precisão sobre o comprometimento.
As detecções disparadas em tempo real levam de 5 a 10 minutos para exibir detalhes nos relatórios. As detecções offline levam até 48 horas para serem exibidas nos relatórios, pois leva tempo para avaliar as propriedades do risco potencial.
Observação
Nosso sistema pode detectar que o evento de risco que contribuiu para a pontuação de risco do usuário foi:
- Um falso positivo
- O risco do usuário foi corrigido pela política por:
- Concluir a autenticação multifator
- Alteração de senha segura
Nosso sistema ignorará o estado de risco e um detalhe de risco de segurança de entrada confirmada por IA será exibido e não contribuirá mais para o risco total do usuário.
Detecções de risco mapeadas para riskEventType
| Detecção de risco | Tipo de detecção | Tipo | riskEventType |
|---|---|---|---|
| Detecções de risco de entrada | |||
| Atividade de um endereço IP anônimo | Offline | Premium | riskyIPAddress |
| Risco adicional detectado (entrada) | Em tempo real ou offline | Não premium | Classificação de detecção genérica = Premium para locatários não P2 |
| Usuário comprometido confirmado pelo administrador | Offline | Não premium | adminConfirmedUserCompromised |
| Token anormal | Em tempo real ou offline | Premium | anomalousToken |
| Endereço IP anônimo | Tempo real | Não premium | anonymizedIPAddress |
| Viagem atípica | Offline | Premium | unlikelyTravel |
| Viagem impossível | Offline | Premium | mcasImpossibleTravel |
| Endereço IP mal-intencionado | Offline | Premium | maliciousIPAddress |
| Acesso em Massa a Arquivos Confidenciais | Offline | Premium | mcasFinSuspiciousFileAccess |
| Inteligência contra ameaças do Microsoft Entra (entrada) | Em tempo real ou offline | Não premium | investigationsThreatIntelligence |
| Novo país | Offline | Premium | newCountry |
| Pulverização de senha | Offline | Premium | passwordSpray |
| Navegador suspeito | Offline | Premium | suspiciousBrowser |
| Encaminhamento suspeito da caixa de entrada | Offline | Premium | suspiciousInboxForwarding |
| Regras de manipulação de caixa de entrada suspeita | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| Anomalia do emissor do token | Offline | Premium | tokenIssuerAnomaly |
| Propriedades de entrada desconhecidas | Tempo real | Premium | unfamiliarFeatures |
| Verificação do IP do ator de ameaça | Tempo real | Premium | nationStateIP |
| Detecções de risco do usuário | |||
| Risco adicional detectado (usuário) | Em tempo real ou offline | Não premium | Classificação de detecção genérica = Premium para locatários não P2 |
| Atividade anômala do usuário | Offline | Premium | anomalousUserActivity |
| Attacker in the Middle | Offline | Premium | attackerinTheMiddle |
| Credenciais vazadas | Offline | Não premium | leakedCredentials |
| Inteligência contra ameaças do Microsoft Entra (usuário) | Em tempo real ou offline | Não premium | investigationsThreatIntelligence |
| Possível tentativa de acessar o PRT (token de atualização primário) | Offline | Premium | attemptedPrtAccess |
| Tráfego de API suspeito | Offline | Premium | suspiciousAPITraffic |
| Padrões de envio suspeitos | Offline | Premium | suspiciousSendingPatterns |
| O usuário relatou atividade suspeita | Offline | Premium | userReportedSuspiciousActivity |
Detecções Premium
As seguintes detecções premium são visíveis apenas para clientes Microsoft Entra ID P2.
Detecções premium de risco de logon
Atividade de um endereço IP anônimo
Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção identifica que os usuários estavam ativos em um endereço IP identificado como um endereço IP de proxy anônimo.
Token anômalo
Calculado em tempo real ou offline. Essa detecção indica características anormais no token, como um tempo de vida incomum ou um token executado de um local desconhecido. Essa detecção abrange tokens de sessão e tokens de atualização.
O token anômalo é ajustado para incorrer em mais ruído do que outras detecções no mesmo nível de risco. Essa troca é escolhida para aumentar a probabilidade de detecção de tokens reproduzidos que, de outra forma, poderiam passar despercebidos. Há uma chance maior do que o normal de que algumas das sessões sinalizadas por essa detecção sejam falsos positivos. É recomendável investigar as sessões sinalizadas por essa detecção no contexto de outras entradas do usuário. Se o local, o aplicativo, o endereço IP, o agente de usuário ou outras características forem inesperados para o usuário, o administrador deverá considerar esse risco como um indicador de possível reprodução de token.
Viagem atípica
Calculado offline. Esse tipo de detecção de risco identifica dois logins originados de locais geograficamente distantes, em que pelo menos um dos locais também pode ser atípico para o usuário, considerando o comportamento anterior. O algoritmo leva em conta vários fatores, incluindo o tempo entre os dois logins e o tempo que o usuário levaria para viajar do primeiro local para o segundo. Esse risco indica que um usuário diferente está usando as mesmas credenciais.
Esse algoritmo ignora “falsos positivos” óbvios que contribuem para condições impossíveis de viagem, como VPNs e locais regularmente usados por outros usuários na organização. O sistema tem um período inicial de aprendizado dos primeiros 14 dias ou 10 logons, durante o qual ele aprende o comportamento de entrada de um novo usuário.
Viagem impossível
Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção identifica atividades do usuário (em uma única ou várias sessões) provenientes de locais geograficamente distantes em um período de tempo menor que o tempo que leva para o usuário viajar do primeiro local para o segundo. Esse risco indica que um usuário diferente está usando as mesmas credenciais.
Endereço IP mal-intencionado
Calculado offline. Essa detecção indica a entrada de um endereço IP mal-intencionado. Um endereço IP é considerado mal-intencionado com base em taxas de falha altas devido a credenciais inválidas recebidas do endereço IP ou outras fontes de reputação de IP.
Acesso em massa a arquivos confidenciais
Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção analisa o seu ambiente e dispara alertas quando os usuários acessam vários arquivos do Microsoft SharePoint Online ou Microsoft OneDrive. Um alerta é disparado somente se o número de arquivos acessados for incomum para o usuário e os arquivos poderão conter informações confidenciais.
Novo país
Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção considera os locais de atividades anteriores para determinar os locais novos e pouco frequentes. O mecanismo de detecção de anomalias armazena informações sobre locais anteriores usados por usuários na organização.
Pulverização de senha
Calculado offline. Um ataque de pulverização de senha é quando vários nomes de usuários são atacados usando senhas comuns em uma maneira de força bruta unificada para obter acesso não autorizado. Essa detecção de risco é disparada quando um ataque de pulverização de senha é executado. Por exemplo, o invasor é autenticado com êxito na instância detectada.
Navegador suspeito
Calculado offline. A detecção de navegador suspeito indica um comportamento anormal com base na atividade de entrada suspeita em vários locatários de diferentes países no mesmo navegador.
Encaminhamento suspeito da caixa de entrada
Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção procura regras de encaminhamento de email suspeito, por exemplo, se um usuário criou uma regra de caixa de entrada que encaminha uma cópia de todos os emails para um endereço externo.
Regras de manipulação de caixa de entrada suspeita
Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção analisa o ambiente e dispara alertas quando regras suspeitas que excluem ou movem mensagens ou pastas são definidas na caixa de entrada de um usuário. Essa detecção pode indicar: a conta de um usuário está comprometida, as mensagens estão sendo intencionalmente ocultadas e a caixa de correio está sendo usada para distribuir spam ou malware na sua organização.
Anomalia do emissor de token
Calculado offline. Essa detecção de risco indica que o emissor do token SAML do token SAML associado possivelmente está comprometido. As declarações incluídas no token são incomuns ou correspondem a padrões de invasor conhecidos.
Propriedades de entrada desconhecidas
Calculado em tempo real. Esse tipo de detecção de risco considera o histórico de entrada anterior para procurar entradas anômalas. O sistema armazena informações sobre entradas anteriores e diferentes uma detecção de risco quando uma entrada não é familiar para o usuário. Essas propriedades podem incluir IP, ASN, localização, dispositivo, navegador e sub-rede IP do locatário. Os usuários recém-criados estão no período de um "modo de aprendizado", no qual a detecção de risco de propriedades de entrada desconhecidas é desativada enquanto nossos algoritmos aprendem o comportamento do usuário. A duração do modo de aprendizado é dinâmica e depende de quanto tempo leva o algoritmo para reunir informações suficientes sobre os padrões de entrada do usuário. A duração mínima é de cinco dias. Um usuário pode voltar para o modo de aprendizado após um longo período de inatividade.
Também podemos executar essa detecção para a autenticação Básica (ou protocolos herdados). Como esses protocolos não têm propriedades modernas, como a ID do cliente, há dados limitados para reduzir os falsos positivos. Recomendamos que nossos clientes mudem para a autenticação moderna.
Propriedades de entrada desconhecidas podem ser detectadas em entradas interativas e não interativas. Quando essa detecção é detectada em entradas não interativas, ela merece maior investigação devido ao risco de ataques de reprodução de token.
A seleção de um risco de propriedades de entrada desconhecida permite que você veja informações adicionais, mostrando mais detalhes sobre o motivo pelo qual esse risco foi disparado.
Verificação do IP do ator de ameaça
Calculado em tempo real. Este tipo de detecção de risco indica atividade de entrada que é consistente com endereços IP conhecidos e associados a atores de um país/região ou grupos de crimes cibernéticos, baseado nos dados do Centro de Inteligência Contra Ameaças da Microsoft (MSTIC).
Detecções premium de risco de usuário
Atividade anômala do usuário
Calculado offline. Essa detecção de riscos define a linha de base do comportamento normal do usuário administrativo no Microsoft Entra ID e identifica padrões anômalos de comportamento, como alterações suspeitas no diretório. A detecção é disparada contra o administrador que está fazendo a alteração ou o objeto que foi alterado.
Attacker in the Middle
Calculado offline. Também conhecida como Adversary in the Middle, essa detecção de alta precisão é disparada quando uma sessão de autenticação está vinculada a um proxy reverso mal-intencionado. Nesse tipo de ataque, o adversário pode interceptar as credenciais do usuário, incluindo tokens emitidos para o usuário. A equipe de Pesquisa de Segurança da Microsoft aproveita o Microsoft 365 Defender para capturar o risco identificado e eleva o usuário para risco Alto. Recomendamos que os administradores investiguem manualmente o usuário quando essa detecção é disparada para garantir que o risco seja limpo. Limpar esse risco pode exigir redefinição de senha segura ou revogação de sessões existentes.
Possível tentativa de acessar o PRT (token de atualização primário)
Calculado offline. Esse tipo de detecção de risco é descoberto usando informações fornecidas pelo Microsoft Defender para Ponto de Extremidade (MDE). Um Token de Atualização Principal (PRT) é um importante artefato da autenticação do Microsoft Entra em dispositivos Windows 10, Windows Server 2016 e versões posteriores, iOS e Android. Um PRT é um JWT (Token Web JSON) emitido para agentes de token de terceiros da Microsoft para habilitar o SSO (logon único) nos aplicativos usados nesses dispositivos. Os invasores podem tentar acessar esse recurso para se mover lateralmente em uma organização ou realizar o roubo de credenciais. Essa detecção move os usuários para alto risco e só é acionado em organizações que implantam o MDPE. Essa detecção é de alto risco e recomendamos a correção rápida desses usuários. Ela aparece com pouca frequência na maioria das organizações devido ao seu baixo volume.
Tráfego suspeito de API
Calculado offline. Essa detecção de risco é relatada quando o tráfego anormal do GraphAPI ou a enumeração de diretórios é observada. O tráfego suspeito de API pode sugerir que um usuário está comprometido e realizando reconhecimento no ambiente.
Padrões de envio suspeitos
Calculado offline. Esse tipo de detecção de risco é descoberto usando informações fornecidas pelo Microsoft Defender para Office 365 (MDO). Esse alerta é gerado quando uma pessoa na sua organização enviou emails suspeitos e corre o risco de estar ou já foi impedida de enviar emails. Essa detecção migra os usuários para o risco médio e só é acionado em organizações que implantam o MDO. Essa detecção é de baixo volume e é vista com pouca frequência na maioria das organizações.
O usuário relatou atividade suspeita
Calculado offline. Essa detecção de risco é relatada quando um usuário nega um prompt de autenticação multifator (MFA) e o relata como uma atividade suspeita. Uma solicitação de MFA não iniciada por um usuário pode significar que suas credenciais estão comprometidas.
Detecções não premium
Os clientes sem licenças do Microsoft Entra ID P2 recebem detecções intituladas Risco adicional detectado sem as informações detalhadas sobre a detecção que os clientes com licenças P2 recebem. Para obter mais informações, veja os Requisitos de licença.
Detecções premium de risco de entrada
Risco adicional detectado (entrada)
Calculado em tempo real ou offline. Essa detecção indica que uma das detecções premium foi detectada. Como as detecções premium são visíveis apenas para clientes do Microsoft Entra ID P2, elas são intituladas Risco adicional detectado para clientes sem licenças do Microsoft Entra ID P2.
Usuário comprometido confirmado pelo administrador
Calculado offline. Essa detecção indica que um administrador selecionou Confirmar o usuário comprometido na interface do usuário de usuários suspeitos ou usando a API riskyUsers. Para ver qual administrador confirmou que esse usuário está comprometido, verifique o histórico de risco do usuário (por meio da interface de usuário ou API).
Endereço IP anônimo
Calculado em tempo real. Esse tipo de evento de risco indica entradas de um endereço IP anônimo (por exemplo, navegador Tor e VPNs para anonimato). Esses endereços IP costumam ser usados por atores que desejam ocultar as próprias informações de entrada (endereço IP, localização, dispositivo e assim por diante), potencialmente com más intenções.
Inteligência contra ameaças do Microsoft Entra (entrada)
Calculado em tempo real ou offline. Esse tipo de detecção de risco indica atividade do usuário incomum para o usuário ou é consistente com padrões de ataque conhecidos. Essa detecção é baseada nas fontes internas e externas de inteligência contra ameaças da Microsoft.
Detecções não premium de risco de usuário
Risco adicional detectado (usuário)
Calculado em tempo real ou offline. Essa detecção indica que uma das detecções premium foi detectada. Como as detecções premium são visíveis apenas para clientes do Microsoft Entra ID P2, elas são intituladas Risco adicional detectado para clientes sem licenças do Microsoft Entra ID P2.
Credenciais vazadas
Calculado offline. Essa detecção de risco indica que as credenciais válidas do usuário vazaram. Quando os cibercriminosos comprometem senhas válidas de usuários legítimos, eles geralmente compartilham essas credenciais coletadas. Geralmente, isso é feito postando-as publicamente na deep web ou em paste sites, ou então permutando-as ou vendendo-as no mercado ilegal. Quando o serviço de credenciais vazadas da Microsoft adquire credenciais de usuário da dark Web, de sites de colagem ou de outras pessoas, elas são verificadas em relação às credenciais válidas atuais dos usuários do Microsoft Entra para encontrar correspondências válidas. Para obter mais informações sobre credenciais vazadas, consulte Perguntas comuns.
Inteligência contra ameaças do Microsoft Entra (usuário)
Calculado offline. Esse tipo de detecção de risco indica atividade do usuário incomum para o usuário ou é consistente com padrões de ataque conhecidos. Essa detecção é baseada nas fontes internas e externas de inteligência contra ameaças da Microsoft.
Perguntas comuns
E se as credenciais incorretas foram usadas para tentar entrar?
O Identity Protection gera detecções de risco somente quando as credenciais corretas são usadas. Se credenciais incorretas forem usadas em uma entrada, isso não representará o risco de comprometimento de credenciais.
A sincronização de hash de senha é necessária?
Detecções de risco como credenciais vazadas exigem a presença de hashes de senha para ocorrer. Para obter mais informações sobre o processo real de sincronização de hash de senha, consulte o artigo Implementar a sincronização de hash de senha com o Microsoft Entra Connect Sync.
Por que as detecções de risco são geradas para contas desabilitadas?
Contas de usuário em um estado desabilitado podem ser reabilitadas. Se as credenciais de uma conta desabilitada forem comprometidas e a conta for reabilitada, atores ruins podem usar essas credenciais para obter acesso. O Identity Protection gera detecções de risco para atividades suspeitas contra essas contas desabilitadas para alertar os clientes sobre o possível comprometimento da conta. Se uma conta não estiver mais em uso e não for reabilitada, os clientes devem considerar excluí-la para evitar comprometimento. Nenhuma detecção de risco é gerada para contas excluídas.
Perguntas comuns sobre credenciais vazadas
Onde a Microsoft encontra credenciais vazadas?
A Microsoft encontra credenciais vazadas em diversos locais, incluindo:
- Sites públicos de colagem em que os atores mal-intencionados normalmente publicam tal material.
- Agências de aplicação de leis.
- Outros grupos da Microsoft fazendo pesquisas na deep web.
Por que não vejo credenciais vazadas?
As credenciais vazadas são processadas sempre que a Microsoft encontra um novo lote disponível publicamente. Devido à natureza confidencial, as credenciais vazadas são excluídas logo após o processamento. Somente novas credenciais vazadas encontradas após você habilitar a sincronização de hash de senha (PHS) são processadas no seu locatário. A confirmação com os pares de credenciais encontrados anteriormente não é feita.
Não vejo nenhum evento de risco de credencial vazado
Se não houver eventos de risco de credenciais vazadas, isso ocorreu devido aos seguintes motivos:
- Você não tem o PHS habilitado para seu locatário.
- A Microsoft não encontrou pares de credenciais vazadas que correspondam aos seus usuários.
Com que frequência a Microsoft processa novas credenciais?
As credenciais são processadas imediatamente depois de serem encontradas, normalmente em vários lotes por dia.
Locais
A localização nas detecções de risco é determinada usando a pesquisa de endereço IP. As credenciais de localizações nomeadas confiáveis melhoram a precisão do cálculo de risco do Microsoft Entra ID Protection, reduzindo o risco de credenciais do usuário quando ele se autentica de uma localização marcada como confiável.