Painel do Microsoft Entra ID Protection (versão prévia)

O Microsoft Entra ID Protection impede comprometimentos de identidade detectando ataques de identidade e relatando riscos. Ela permite que os clientes protejam suas organizações monitorando riscos, investigando-os e configurando políticas de acesso baseadas em risco para proteger o acesso confidencial e corrigir riscos automaticamente.

Nosso novo painel ajuda os clientes a analisar melhor sua postura de segurança, entender o nível de proteção, identificar vulnerabilidades e executar ações recomendadas.

Screenshot showing the new Microsoft Entra ID Protection overview dashboard.

Esse painel foi projetado para capacitar organizações com insights avançados e recomendações acionáveis adaptadas ao seu locatário. Essas informações fornecem uma visão melhor da postura de segurança da sua organização e permitem que você habilite proteções eficazes adequadamente. Você tem acesso às principais métricas, gráficos de ataque, um mapa realçando locais suspeitos, principais recomendações para aprimorar a postura de segurança e atividades recentes.

Pré-requisitos

Para acessar esse novo painel, você precisa de:

  • Licenças da ID do Microsoft Entra Gratuita, da ID do Microsoft Entra P1 ou da ID do Microsoft Entra P2 para os usuários.
  • Os usuários devem ter pelo menos a função Leitor de Segurança atribuída.
  • Para ver uma lista abrangente de recomendações e selecionar os links de ação recomendados, você precisa ter licenças do Microsoft Entra P2.

Acessar o painel

As organizações podem acessar o novo painel:

  1. Entre no Centro de administração do Microsoft Entra.
  2. Navegue até Proteção>Proteção de Identidade> Painel (versão prévia).

Cartões de métrica

À medida que você implementa mais medidas de segurança, como políticas baseadas em risco, sua proteção de locatário é fortalecida. Portanto, agora estamos fornecendo quatro métricas principais para ajudá-lo a entender a eficácia das medidas de segurança que você tem vigor.

Screenshot showing the metric graphs in the dashboard.

Metric Definição de métrica Frequência de atualização Onde exibir detalhes
Número de ataques bloqueados Número de ataques bloqueados para esse locatário em cada dia.

Um ataque será considerado bloqueado se a entrada suspeita tiver sido interrompida por qualquer política de acesso. O controle de acesso exigido pela política deve impedir que o invasor entre, bloqueando o ataque.
A cada 24 horas. Exiba as detecções de risco que determinaram os ataques no Relatório de detecções de risco, filtre o "Estado do risco" por:

- Corrigido
- Ignorado
-** Segurança confirmada**
Número de usuários protegidos Número de usuários nesse locatário cujo estado de risco mudou de Em risco para Corrigido ou Ignorado em cada dia.

Um estado de risco Corrigido indica que o usuário corrigiu sozinho o risco do usuário concluindo a MFA ou a alteração de senha segura e, portanto, sua conta está protegida.

Um estado de risco Ignorado indica que um administrador ignorou o risco do usuário porque identificou a conta do usuário como segura.
A cada 24 horas. Exiba os usuários protegidos no Relatório de usuários suspeitos, filtre o "Estado do risco" por:

- Corrigido
- Ignorado
Tempo médio que seus usuários levam para corrigir seus riscos Tempo médio para que o estado de risco de usuários suspeitos em seu locatário mude de Em risco para Corrigido.

O estado de risco de um usuário muda para Corrigido quando ele corrige sozinho o risco do usuário por meio de MFA ou alteração de senha segura.

Para reduzir o tempo de autocorreção em seu locatário, implante políticas de acesso condicional baseadas em risco.
A cada 24 horas. Exiba usuários corrigidos no Relatório de usuários suspeitos, filtre o "Estado do risco" por:

– Corrigido
Número de novos usuários de alto risco detectados Número de novos usuários suspeitos com nível de risco Alto detectado em cada dia. A cada 24 horas. Exiba usuários de alto risco no Relatório de usuários suspeitos, filtre o nível de risco por

– “Alto”

A agregação de dados para as três métricas a seguir começou em 22 de junho de 2023, portanto, essas métricas estão disponíveis desde essa data. Estamos trabalhando para atualizar o grafo para refletir isso.

  • Número de ataques bloqueados
  • Número de usuários protegidos
  • Tempo médio para corrigir o risco do usuário

O grafos fornecem uma janela contínua de 12 meses de dados.

Gráfico de ataque

Para ajudá-lo a entender melhor sua exposição de risco, estamos introduzindo um gráfico de ataque inovador que exibe padrões de ataque comuns baseados em identidade detectados para seu locatário. Os padrões de ataque são representados por técnicas de MITRE ATT&CK e são determinados por nossas detecções avançadas de risco. Para obter mais informações, consulte a seção Tipo de detecção de risco para mapeamento de tipo de ataque MITRE.

Screenshot showing the attack graphic in the dashboard.

O que é considerado um ataque no Microsoft Entra ID Protection?

Cada tipo de detecção de risco corresponde a uma técnica MITRE ATT&CK. Quando os riscos são detectados durante uma entrada, as detecções de risco são geradas e a entrada se torna uma entrada suspeita. Em seguida, os ataques são identificados com base nas detecções de risco. Consulte a tabela abaixo para obter o mapeamento entre as detecções de risco e ataques do Microsoft Entra ID Protection, conforme categorizado pelas técnicas do MITRE ATT&CK.

Como interpretar o gráfico de ataque?

O gráfico apresenta os tipos de ataque que afetaram seu locatário nos últimos 30 dias e se eles foram bloqueados durante a entrada. No lado esquerdo, você vê o volume de cada tipo de ataque. No lado direito, os número de ataques bloqueados e ainda a serem corrigidos são exibidos. O grafo é atualizado a cada 24 horas, portanto, os volumes exibidos podem não espelhar exatamente o volume de detecções mais recentes no Relatório de detecções de risco.

  • Bloqueado: um ataque será classificado como bloqueado se a entrada suspeita associada tiver sido interrompida por uma política de acesso, como exigir autenticação multifator. Essa ação impede a entrada do invasor e bloqueia o ataque.
  • Não corrigido: entradas suspeitas bem-sucedidas que não foram interrompidas precisam de correção. Portanto, as detecções de risco associadas a essas entradas suspeitas também exigem correção. Você pode exibir essas entradas e detecções de risco associadas no Relatório de entradas suspeitas filtrando com o estado de risco “Em risco”.

Onde posso ver os ataques?

Para exibir as detecções de risco que identificaram os ataques,

  1. Consulte a tabela na seção Tipo de detecção de risco para mapeamento de tipo de ataque MITRE. Procure os tipos de detecção que correspondem ao tipo de ataque em que você está interessado.
  2. Acesse o Relatório de detecções de risco
  3. Use o filtro Tipo de detecção e selecione os tipos de detecção de risco identificados na etapa 1. Aplique o filtro para exibir detecções somente para o tipo de ataque.

Estamos aprimorando nosso Relatório de detecções de risco para incluir um filtro “Tipo de ataque” e exibir o tipo de ataque associado para cada tipo de detecção. Esse recurso facilita a exibição de detecções correspondentes a tipos de ataque específicos.

Aplicar filtros

Dois filtros podem ser aplicados ao grafo:

  • Tipos de Ataque: esse filtro permite que você exiba apenas os padrões de ataque selecionados.
  • Ataques Tratados: use esse filtro para exibir ataques bloqueados ou não corrigidos separadamente.

Tipo de detecção de risco para mapeamento de tipo de ataque MITRE

Tipo de detecção de risco do Microsoft Entra ID Protection Mapeamento de técnica do MITRE ATT&CK Nome de exibição do ataque
Propriedades de entrada desconhecidas T1078.004 Acesso usando uma conta válida (detectado na entrada)
Viagem impossível T1078 Acesso usando uma conta válida (detectado offline)
Entradas suspeitas T1078 Acesso usando uma conta válida (detectado offline)
Novo país do MCAS T1078 Acesso usando uma conta válida (detectado offline)
IP anônimo do MCAS T1078 Acesso usando uma conta válida (detectado offline)
IP do ator de ameaça verificada T1078 Acesso usando uma conta válida (detectado offline)
Navegador suspeito T1078 Acesso usando uma conta válida (detectado offline)
Inteligência contra ameaças do Microsoft Entra (usuário) T1078 Acesso usando uma conta válida (detectado offline)
Inteligência contra ameaças do Microsoft Entra (entrada) T1078 Acesso usando uma conta válida (detectado offline)
Atividade anômala do usuário T1098 Manipulação de contas
Pulverização de senha T1110.003 Força bruta: pulverização de senha
Acesso em massa a arquivos confidenciais TA0009 Coleção
Acesso em massa a arquivos confidenciais TA0009 Coleção
Manipulação do MCAS T1114.003 Coleção de email/Ocultar artefatos
Encaminhamento suspeito da caixa de entrada do MCAS T1114.003 Coleção de email/Ocultar artefatos
Anomalia do emissor do token T1606.002 Forjar credenciais da Web: tokens SAML
Credenciais vazadas T1589.001 Coletar informações de identidade da vítima
Endereço IP anônimo T1090 Ofuscação/Acesso usando proxy
IP malicioso T1090 Ofuscação/Acesso usando proxy
Possível tentativa de acessar o PRT (token de atualização primário) T1528 Roubar token de aplicativo
Token anormal T1539 Roubo de token/Roubar cookie de sessão da Web

Mapeamento

Um mapa é fornecido para exibir a localização do país das entradas suspeitas em seu locatário. O tamanho da bolha reflete o volume de entradas suspeitas nesse local. Passar o mouse sobre a bolha mostra uma caixa de chamada, fornecendo o nome do país e o número de entradas suspeitas desse local.

Screenshot showing the map graphic in the dashboard.

Ele contém os seguintes elementos:

  • Intervalo de datas: escolha o intervalo de datas e exiba entradas suspeitas dentro desse intervalo de tempo no mapa. Os valores disponíveis são: últimas 24 horas, últimos sete dias e último mês.
  • Nível de risco: escolha o nível de risco das entradas suspeitas a serem exibidas. Os valores disponíveis são: Alto, Médio e Baixo.
  • Contagem de localizações suspeitas:
    • Definição: o número de localizações de onde as entradas suspeitas do seu locatário vieram.
    • O filtro de nível de risco e o intervalo de datas se aplicam a essa contagem.
    • Selecionar essa contagem leva você para o Relatório de entradas suspeitas filtrado pelo intervalo de datas e nível de risco selecionados.
  • Contagem de entradas suspeitas:
    • Definição: o número total de entradas suspeitas com o nível de risco selecionado no intervalo de datas selecionado.
    • O filtro de nível de risco e o intervalo de datas se aplicam a essa contagem.
    • Selecionar essa contagem leva você para o Relatório de entradas suspeitas filtrado pelo intervalo de datas e nível de risco selecionados.

Recomendações

Também introduzimos novas recomendações do Microsoft Entra ID Protection para que os clientes configurem seu ambiente para aumentar sua postura de segurança. Essas recomendações são baseadas nos ataques detectados em seu locatário nos últimos 30 dias. As recomendações são fornecidas para orientar sua equipe de segurança com ações recomendadas a serem tomadas.

Screenshot showing recommendations in the dashboard.

Ataques comuns que são vistos, como pulverização de senha, credenciais vazadas em seu locatário e acesso em massa a arquivos confidenciais podem informá-lo de que houve uma possível violação. Na captura de tela anterior, o exemplo de Identity Protection detectou pelo menos 20 usuários com credenciais vazadas em seu locatário, a ação recomendada nesse caso seria criar uma política de acesso condicional que exija redefinição de senha segura para usuários suspeitos.

No componente de recomendações em nosso novo painel, os clientes veem:

  • Até três recomendações se ocorrem ataques específicos em sue locatário.
  • Insights sobre o impacto do ataque.
  • Links diretos para tomar as ações apropriadas para correção.

Os clientes com licenças P2 podem exibir uma lista abrangente de recomendações que fornecem insights com ações. Quando “Exibir tudo” é selecionado, ele abre um painel mostrando mais recomendações que foram disparadas com base nos ataques em seu ambiente.

Atividades recentes

A atividade recente fornece um resumo das atividades recentes relacionadas ao risco em seu locatário. Os tipos de atividade possíveis são:

  1. Atividade de ataque
  2. Atividade de correção do administrador
  3. Atividade de autocorreção
  4. Novos usuários de alto risco

Screenshot showing recent activities in the dashboard.

Problemas conhecidos

Dependendo da configuração do seu locatário, pode ou não haver recomendações ou atividades recentes em seu painel. Estamos trabalhando em uma exibição melhor sem novas recomendações ou atividades recentes para aprimorar a experiência.

Próximas etapas