O que é proteção de identidade?What is Identity Protection?

Com a ferramenta Identity Protection, as organizações podem executar três tarefas importantes:Identity Protection is a tool that allows organizations to accomplish three key tasks:

  • Automatizar a detecção e a correção de riscos baseados em identidade.Automate the detection and remediation of identity-based risks.
  • Investigar os riscos usando os dados no portal.Investigate risks using data in the portal.
  • Exportar os dados de detecção de riscos a utilitários de terceiros para análise adicional.Export risk detection data to third-party utilities for further analysis.

O Identity Protection usa os aprendizados que a Microsoft adquiriu com sua posição em organizações com o Azure AD, com o espaço do consumidor com as contas Microsoft e com os jogos do Xbox para proteger seus usuários.Identity Protection uses the learnings Microsoft has acquired from their position in organizations with Azure AD, the consumer space with Microsoft Accounts, and in gaming with Xbox to protect your users. A Microsoft analisa 6,5 trilhões de sinais por dia para identificar e proteger os clientes contra ameaças.Microsoft analyses 6.5 trillion signals per day to identify and protect customers from threats.

Os sinais gerados pelo Identidade Protection e fornecidos a ele podem ser alimentados ainda mais em ferramentas como o Acesso Condicional para tomar decisões de acesso ou retroalimentar uma ferramenta SIEM (gerenciamento de evento e informações de segurança) para uma maior investigação com base nas políticas impostas por sua organização.The signals generated by and fed to Identity Protection, can be further fed into tools like Conditional Access to make access decisions, or fed back to a security information and event management (SIEM) tool for further investigation based on your organization's enforced policies.

Por que a automação é importante?Why is automation important?

Em sua postagem no blog em outubro de 2018, Alex Weinert, líder da equipe de Segurança e Proteção de Identidade da Microsoft, explica por que a automação é tão importante ao lidar com o volume de eventos:In his blog post in October of 2018 Alex Weinert, who leads Microsoft's Identity Security and Protection team, explains why automation is so important when dealing with the volume of events:

Todos os dias, nossos sistemas de aprendizado de máquina e heurística fornecem pontuações de risco para 18 bilhões de tentativas de logon para mais de 800 milhões de contas diferentes, das quais 300 milhões são perceptivelmente feitas por adversários (entidades como criminosos e hackers).Each day, our machine learning and heuristic systems provide risk scores for 18 billion login attempts for over 800 million distinct accounts, 300 million of which are discernibly done by adversaries (entities like: criminal actors, hackers).

No Ignite do ano passado, falei sobre os três principais ataques em nossos sistemas de identidade.At Ignite last year, I spoke about the top 3 attacks on our identity systems. Este é o volume recente desses ataquesHere is the recent volume of these attacks

  • Repetição de violação: 4,6 bilhões de ataques detectados em maio de 2018Breach replay: 4.6BN attacks detected in May 2018
  • Pulverização de senha: 350 mil em abril de 2018Password spray: 350k in April 2018
  • Phishing: é difícil quantificar exatamente, mas vimos 23 milhões de eventos de risco em março de 2018, sendo que muitos deles estão relacionados a phishingPhishing: This is hard to quantify exactly, but we saw 23M risk events in March 2018, many of which are phish related

Detecção e correção de riscosRisk detection and remediation

O Identity Protection identifica riscos nas seguintes classificações:Identity Protection identifies risks in the following classifications:

Tipo de detecção de riscoRisk detection type DescriçãoDescription
Viagem atípicaAtypical travel Entrada proveniente de uma localização atípica com base nas conexões recentes do usuário.Sign in from an atypical location based on the user's recent sign-ins.
Endereço IP anônimoAnonymous IP address Entrada de um endereço IP anônimo (por exemplo: navegador Tor, VPNs para anonimato).Sign in from an anonymous IP address (for example: Tor browser, anonymizer VPNs).
Propriedades de entrada desconhecidasUnfamiliar sign-in properties Entrada com propriedades que não vimos recentemente para o usuário especificado.Sign in with properties we've not seen recently for the given user.
Endereço IP vinculado a malwareMalware linked IP address Entrada de um endereço IP vinculado a malware.Sign in from a malware linked IP address.
Credenciais vazadasLeaked Credentials Indica que as credenciais válidas do usuário foram vazadas.Indicates that the user's valid credentials have been leaked.
Pulverização de senhaPassword spray Indica que vários nomes de usuário estão sendo atacados por meio de senhas comuns de maneira unificada, por força bruta.Indicates that multiple usernames are being attacked using common passwords in a unified, brute-force manner.
Inteligência contra ameaças do Azure ADAzure AD threat intelligence As fontes internas e externas de inteligência contra ameaças da Microsoft identificaram um padrão de ataque conhecido.Microsoft's internal and external threat intelligence sources have identified a known attack pattern.

Mais detalhes sobre esses riscos e como/quando são calculados podem ser encontrados no artigo, O que é risco.More detail on these risks and how/when they are calculated can be found in the article, What is risk.

Os sinais de risco podem disparar esforços de remediação, como exigir que os usuários: executem a Autenticação Multifator do Azure, redefinam sua senha usando a redefinição de senha por autoatendimento ou bloqueiem até que um administrador executa uma ação.The risk signals can trigger remediation efforts such as requiring users to: perform Azure Multi-Factor Authentication, reset their password using self-service password reset, or blocking until an administrator takes action.

Investigação de riscosRisk investigation

Os administradores podem examinar as detecções e executar uma ação manual sobre elas, se necessário.Administrators can review detections and take manual action on them if needed. Há três importantes relatórios que os administradores usam para investigações no Identity Protection:There are three key reports that administrators use for investigations in Identity Protection:

  • Usuários de riscoRisky users
  • Entradas de riscoRisky sign-ins
  • Detecções de riscoRisk detections

Mais informações podem ser encontradas no artigo, Como investigar o risco.More information can be found in the article, How To: Investigate risk.

Níveis de riscoRisk levels

O Identity Protection categoriza os riscos em três camadas: baixa, média e alta.Identity Protection categorizes risk into three tiers: low, medium, and high.

Embora a Microsoft não forneça detalhes específicos sobre como o risco é calculado, diremos que cada nível traz uma maior confiança de que a entrada ou o usuário está comprometido.While Microsoft does not provide specific details about how risk is calculated, we will say that each level brings higher confidence that the user or sign-in is compromised. Por exemplo, algo como uma instância de propriedades de entrada desconhecidas para um usuário pode não ser tão ameaçador quanto as credenciais vazadas para outro usuário.For example, something like one instance of unfamiliar sign-in properties for a user might not be as threatening as leaked credentials for another user.

Exportar dados de riscoExporting risk data

Os dados do Identity Protection podem ser exportados para outras ferramentas para serem arquivados, investigados ainda mais e correlacionados.Data from Identity Protection can be exported to other tools for archive and further investigation and correlation. As APIs baseadas no Microsoft Graph permitem que as organizações coletem esses dados para processamento adicional em uma ferramenta como o SIEM.The Microsoft Graph based APIs allow organizations to collect this data for further processing in a tool such as their SIEM. Informações sobre como acessar a API do Identity Protection podem ser encontradas no artigo, Introdução ao Azure Active Directory Identity Protection e ao Microsoft GraphInformation about how to access the Identity Protection API can be found in the article, Get started with Azure Active Directory Identity Protection and Microsoft Graph

Informações sobre integrar o Identity Protection ao Azure Sentinel podem ser encontradas no artigo, Conectar dados do Azure AD Identity Protection.Information about integrating Identity Protection information with Azure Sentinel can be found in the article, Connect data from Azure AD Identity Protection.

PermissõesPermissions

O Identity Protection requer que os usuários sejam um Leitor de Segurança, Operador de Segurança, Administrador da Segurança, Leitor Global ou Administrador Global para acessarem.Identity Protection requires users be a Security Reader, Security Operator, Security Administrator, Global Reader, or Global Administrator in order to access.

FunçãoRole O que ele pode fazerCan do O que não pode fazerCan't do
Administrador globalGlobal administrator Acesso total à proteção de identidadeFull access to Identity Protection
Administrador de segurançaSecurity administrator Acesso total à proteção de identidadeFull access to Identity Protection Redefinir senha para um usuárioReset password for a user
Operador de segurançaSecurity operator Exibir todos os relatórios da Proteção de Identidade e a folha de Visão GeralView all Identity Protection reports and Overview blade

Ignorar o risco do usuário, confirmar a entrada segura, confirmar o comprometimentoDismiss user risk, confirm safe sign-in, confirm compromise
Configurar ou alterar políticasConfigure or change policies

Redefinir senha para um usuárioReset password for a user

Configurar alertasConfigure alerts
Leitor de segurançaSecurity reader Exibir todos os relatórios da Proteção de Identidade e a folha de Visão GeralView all Identity Protection reports and Overview blade Configurar ou alterar políticasConfigure or change policies

Redefinir senha para um usuárioReset password for a user

Configurar alertasConfigure alerts

Fornecer comentários sobre as detecçõesGive feedback on detections

Atualmente, a função de operador de segurança não pode acessar o relatório de entradas suspeitas.Currently, the security operator role cannot access the Risky sign-ins report.

Os administradores do Acesso Condicional também podem criar políticas que consideram o risco de entrada como uma condição.Conditional Access administrators can also create policies that factor in sign-in risk as a condition. Encontre mais informações no artigo Acesso Condicional: Condições.Find more information in the article Conditional Access: Conditions.

Requisitos de licençaLicense requirements

Para usar esse recurso, é necessária uma licença do Azure AD Premium P2.Using this feature requires an Azure AD Premium P2 license. Para localizar a licença correta para satisfazer seus requisitos, confira  Comparar recursos em disponibilidade geral nas edições Gratuita, Aplicativos do Office 365 e Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Office 365 Apps, and Premium editions.

RecursoCapability DetalhesDetails Aplicativos do Azure AD Gratuito / Microsoft 365Azure AD Free / Microsoft 365 Apps Azure AD Premium P1Azure AD Premium P1 Azure AD Premium P2Azure AD Premium P2
Políticas de riscoRisk policies Política de risco do usuário (por meio do Identity Protection)User risk policy (via Identity Protection) NãoNo NãoNo SimYes
Políticas de riscoRisk policies Política de risco de entrada (por meio do Identity Protection ou do acesso condicional)Sign-in risk policy (via Identity Protection or Conditional Access) NãoNo NãoNo SimYes
Relatórios de segurançaSecurity reports Visão geralOverview NãoNo NãoNo SimYes
Relatórios de segurançaSecurity reports Usuários de riscoRisky users Informações limitadasLimited Information Informações limitadasLimited Information Acesso completoFull access
Relatórios de segurançaSecurity reports Entradas de riscoRisky sign-ins Informações limitadasLimited Information Informações limitadasLimited Information Acesso completoFull access
Relatórios de segurançaSecurity reports Detecções de riscoRisk detections NãoNo Informações limitadasLimited Information Acesso completoFull access
NotificaçõesNotifications Alertas de usuários em risco detectadosUsers at risk detected alerts NãoNo NãoNo SimYes
NotificaçõesNotifications Resumo semanalWeekly digest NãoNo NãoNo SimYes
Política de registro de MFAMFA registration policy NãoNo NãoNo SimYes

Mais informações sobre esses relatórios avançados podem ser encontradas no artigo Instruções: investigar o risco.More information on these rich reports can be found in the article, How To: Investigate risk.

Próximas etapasNext steps