Como simular detecções de risco no Identity Protection

  • Artigo
  • 4 minutos para o fim da leitura

Os administradores podem querer simular riscos no próprio ambiente para alcançar os seguintes objetivos:

  • Popular dados no ambiente do Identity Protection, simulando detecções de risco e de vulnerabilidades.
  • Configurar políticas de acesso condicional baseadas em risco e testar o impacto dessas políticas.

Este artigo fornece as etapas para simular os seguintes tipos de detecção de risco:

  • Endereço IP anônimo (fácil)
  • Propriedades de entrada desconhecidas (moderado)
  • Viagem atípica (difícil)

Outras detecções de risco não podem ser simuladas de maneira segura.

Mais informações sobre cada detecção de risco podem ser encontradas no artigo O que é risco.

Endereço IP anônimo

A conclusão do procedimento a seguir requer que você use:

  • O Tor Browser para simular endereços IP anônimos. Talvez você precise usar uma máquina virtual, caso sua organização restrinja o uso do navegador Tor.
  • Uma conta de teste que ainda não está registrada para Autenticação Multifator do Azure AD.

Para simular uma entrada de um IP anônimo, realize as seguintes etapas:

  1. No Navegador Tor, acesse https://myapps.microsoft.com.
  2. Insira as credenciais da conta que deseja exibir no relatório Entradas de endereços IP anônimos .

A entrada aparece no painel de segurança Identity Protection dentro de 10 a 15 minutos.

Propriedades de entrada desconhecidas

Para simular locais desconhecidos, você deve entrar a partir de um local e do dispositivo em que a sua conta de teste não tenha entrado anteriormente.

O procedimento abaixo usa um criado recentemente:

  • Conexão VPN, para simular novo local.
  • Máquina virtual, para simular um novo dispositivo.

A conclusão do procedimento a seguir requer que você use uma conta de usuário que tenha:

  • Pelo menos um histórico entrada de 30 dias.
  • A Autenticação Multifator do Azure AD habilitada.

Para simular uma entrada de um local desconhecido, realize as seguintes etapas:

  1. Ao entrar com sua conta de teste, falhe o desafio MFA (autenticação multifator) ao não passar pelo desafio MFA.
  2. Usando sua nova VPN, navegue até https://myapps.microsoft.com e insira as credenciais da sua conta de teste.

A entrada aparece no painel de segurança Identity Protection dentro de 10 a 15 minutos.

Viagem atípica

É difícil simular a condição de viagem atípica porque o algoritmo usa o aprendizado de máquina para eliminar falsos positivos, tais como viagens atípicas de dispositivos conhecidos ou entradas de VPNs usadas por outros usuários no diretório. Além disso, o algoritmo requer um histórico de entrada de 14 dias e 10 logons do usuário, antes que ele comece a gerar detecções de risco. Por causa dos modelos de Machine Learning complexos e regras acima, há a possibilidade de que as etapas a seguir não potencialize uma detecção de risco. É conveniente replicar essas etapas em várias contas do Azure AD para simular essa detecção.

Para simular uma detecção de risco de viagem atípica, execute as seguintes etapas:

  1. Usando o navegador padrão, navegue até https://myapps.microsoft.com.
  2. Insira as credenciais da conta para a qual você deseja gerar uma detecção de risco de viagem atípica.
  3. Altere o agente do usuário. Você pode alterar o agente do usuário no Microsoft Edge nas Ferramentas para Desenvolvedores (F12).
  4. Altere seu endereço IP. É possível alterar seu endereço IP usando uma VPN, um complemento do Tor ou criando uma máquina virtual no Azure em um data center diferente.
  5. Entre em https://myapps.microsoft.com usando as mesmas credenciais de antes, alguns minutos após a entrada anterior.

A entrada aparece no painel de controle Identity Protection dentro de 2 a 4 horas.

Testar políticas de risco

Esta seção fornece etapas para testar as políticas de risco de usuário e de entrada criadas no artigo Como configurar e habilitar políticas de risco.

Política de risco do usuário

Para testar uma política de segurança de risco de usuário, execute as seguintes etapas:

  1. Navegue até o Portal do Azure.
  2. Navegue até Azure Active Directory>Segurança>Proteção de Identidade>Visão geral.
  3. Selecione Configurar política de risco do usuário.
    1. Em Atribuições
      1. Usuários – escolha Todos os usuários ou Selecionar indivíduos e grupos, para limitar a distribuição.
        1. Você tem a opção de excluir usuários da política.
      2. Condições - Risco do usuário – a recomendação da Microsoft é definir essa opção como Alto.
    2. Em Controles
      1. Acesso – a recomendação da Microsoft é Permitir o acesso e Exigir alteração de senha.
    3. Impor a Política - Desativado
    4. Salvar – essa ação retornará você à página Visão geral.
  4. Eleve o risco de usuário de uma conta de teste, por exemplo, simulando uma das detecções de risco algumas vezes.
  5. Aguarde alguns minutos e, em seguida, verifique se o risco para o usuário aumentou. Se não tiver aumentado, simule mais detecções de risco para o usuário.
  6. Retorne à sua política de risco e defina Impor política como Ativado e escolha Salvar a alteração da política.
  7. Agora, é possível testar o acesso condicional com base em risco de usuário, entrando usando um usuário com um nível de risco elevado.

Política de segurança de risco de entrada

Para testar uma política de segurança de entrada, execute as seguintes etapas:

  1. Navegue até o Portal do Azure.
  2. Navegue até Azure Active Directory>Segurança>Proteção de Identidade>Visão geral.
  3. Selecione Configurar política de risco de entrada.
    1. Em Atribuições
      1. Usuários – escolha Todos os usuários ou Selecionar indivíduos e grupos, para limitar a distribuição.
        1. Você tem a opção de excluir usuários da política.
      2. Condições - Risco de entrada – a recomendação da Microsoft é definir essa opção como Médio e superior.
    2. Em Controles
      1. Acesso – a recomendação da Microsoft é Permitir o acesso e Exigir a autenticação multifator.
    3. Impor a política - Ativado
    4. Salvar – essa ação retornará você à página Visão geral.
  4. Agora, é possível testar o acesso condicional com base em risco de entrada, usando uma sessão arriscada (por exemplo, usando o navegador Tor).

Próximas etapas