Painel de proteção de ID do Microsoft Entra
A Proteção de ID do Microsoft Entra evita comprometimentos de identidade detetando ataques de identidade e relatando riscos. Ele permite que os clientes protejam suas organizações monitorando riscos, investigando-os e configurando políticas de acesso baseadas em riscos para proteger o acesso confidencial e corrigir automaticamente os riscos.
Nosso painel ajuda os clientes a analisar melhor sua postura de segurança, entender o quão bem eles estão protegidos, identificar vulnerabilidades e executar ações recomendadas.
Este painel foi concebido para capacitar as organizações com informações avançadas e recomendações acionáveis adaptadas ao seu inquilino. Essas informações fornecem uma melhor visão da postura de segurança da sua organização e permitem que você habilite proteções eficazes de acordo. Você tem acesso a métricas-chave, gráficos de ataque, um mapa destacando locais de risco, recomendações para melhorar a postura de segurança e atividades recentes.
Pré-requisitos
Para acessar esse painel, você precisa:
- Licenças do Microsoft Entra ID Free, ou Microsoft Entra ID P1 ou Microsoft Entra ID P2 para seus usuários.
- Para exibir uma lista abrangente de recomendações e selecionar os links de ação recomendados, você precisa de licenças do Microsoft Entra ID P2.
Aceda ao painel
Você pode acessar o painel da seguinte forma:
- Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Segurança.
- Navegue até Painel de>Proteção> de Identidade.
Cartões métricos
À medida que você implementa mais medidas de segurança, como políticas baseadas em risco, a proteção do locatário se fortalece. Portanto, agora estamos fornecendo quatro métricas principais para ajudá-lo a entender a eficácia das medidas de segurança que você tem em vigor.
| Metric | Definição métrica | Frequência de atualização | Onde ver detalhes |
|---|---|---|---|
| Número de ataques bloqueados | Número de ataques bloqueados para este inquilino em cada dia. Um ataque é considerado bloqueado se o início de sessão arriscado for interrompido por qualquer política de acesso. O controle de acesso exigido pela política deve bloquear o invasor de entrar, bloqueando o ataque em tempo real. |
A cada 24 horas. | Veja as deteções de risco que determinaram os ataques no relatório Deteções de risco, filtre "Estado de risco" por: - Remediado - Julgado improcedente -** Cofre confirmado** |
| Número de utilizadores protegidos | Número de usuários neste locatário cujo estado de risco mudou de Em risco para Remediado ou Dispensado em cada dia. Um estado de risco remediado indica que o usuário auto-corrigiu seu risco de usuário completando MFA ou alteração de senha segura, e sua conta está, portanto, protegida. Um estado de risco Descartado indica que um administrador descartou o risco do usuário porque identificou a conta do usuário como segura. |
A cada 24 horas. | Exibir usuários protegidos no relatório Usuários arriscados, filtrar "Estado de risco" por: - Remediado - Julgado improcedente |
| Tempo médio que seus usuários levam para auto-remediar seus riscos | Tempo médio para que o estado de risco de usuários arriscados em seu locatário mude de Em risco para Remediado. O estado de risco de um usuário muda para Remediated quando ele auto-corrigiu seu risco de usuário por meio de MFA ou alteração de senha segura. Para reduzir o tempo de autocorreção em seu locatário, implante políticas de Acesso Condicional baseadas em risco. |
A cada 24 horas. | Visualize usuários remediados no relatório Usuários arriscados, filtre "Estado de risco" por: - Remediado |
| Número de novos utilizadores de alto risco detetados | Número de novos utilizadores de risco com nível de risco elevado detetado em cada dia. | A cada 24 horas. | Exibir usuários de alto risco no relatório Usuários arriscados, filtrar o nível de risco por - "Alta" |
A agregação de dados para as três métricas a seguir começou em 22 de junho de 2023, portanto, essas métricas estão disponíveis a partir dessa data. Estamos trabalhando na atualização do gráfico para refletir isso.
- Número de ataques bloqueados
- Número de utilizadores protegidos
- Tempo médio para remediar o risco do usuário
Os gráficos fornecem uma janela de dados contínua de 12 meses.
Gráfico de ataque
Para ajudá-lo a entender melhor sua exposição ao risco, apresentamos um inovador Gráfico de Ataque que exibe padrões de ataque comuns baseados em identidade detetados para seu locatário. Os padrões de ataque são representados pelas técnicas MITRE ATT&CK e são determinados pelas nossas deteções avançadas de risco. Para obter mais informações, consulte a seção Tipo de deteção de risco para mapeamento de tipo de ataque MITRE.
O que é considerado um ataque no Microsoft Entra ID Protection?
Um ataque é um evento em que detetamos um agente mal-intencionado tentando entrar no seu ambiente. Esse evento aciona uma deteção de risco de entrada em tempo real mapeada para uma técnica MITRE ATT&CK correspondente. Consulte a tabela a seguir para obter o mapeamento entre as deteções de risco de entrada em tempo real e os ataques do Microsoft Entra ID Protection, conforme categorizado pelas técnicas MITRE ATT&CK.
Como o gráfico de ataque está apenas ilustrando a atividade de risco de entrada em tempo real, a atividade arriscada do usuário não está incluída. Para visualizar a atividade arriscada do usuário em seu ambiente, você pode ir para o relatório de usuários arriscados.
Como interpretar o gráfico de ataque?
O gráfico apresenta os tipos de ataque que afetaram seu locatário nos últimos 30 dias e se eles foram bloqueados durante o login. No lado esquerdo, você vê o volume de cada tipo de ataque. À direita, são exibidos os números de ataques bloqueados e ainda a serem corrigidos. O gráfico é atualizado a cada 24 horas e está contando as deteções de entrada de risco que ocorrem em tempo real; portanto, o número total de ataques não corresponde ao número total de deteções.
- Bloqueado: um ataque é classificado como bloqueado se o início de sessão arriscado associado for interrompido por uma política de acesso, como exigir autenticação multifator. Esta ação impede o início de sessão do atacante e bloqueia o ataque.
- Não remediado: entradas arriscadas bem-sucedidas que não foram interrompidas e precisam de correção. Portanto, as deteções de risco associadas a essas entradas arriscadas também exigem correção. Você pode exibir essas entradas e deteções de risco associadas no relatório Entradas de risco filtrando com o estado de risco "Em risco".
Onde posso ver os ataques?
Para visualizar os detalhes do ataque, você pode selecionar a contagem de ataques no lado esquerdo do gráfico. Este gráfico leva você ao relatório de deteções de risco filtrado nesse tipo de ataque.
Você pode ir diretamente para o relatório de deteções de risco e filtrar os tipos de ataque. O número de ataques e deteções não é um mapeamento individual.
Tipo de deteção de risco para mapeamento de tipo de ataque MITRE
| Deteção de risco de início de sessão em tempo real | Tipo de deteção | Mapeamento da técnica MITRE ATT&CK | Nome de exibição do ataque | Type |
|---|---|---|---|---|
| Token anômalo | Em tempo real ou offline | T1539 | Roubar Roubo de Cookies/Tokens de Sessão da Web | Premium |
| Propriedades de inícios de sessão desconhecidos | Em Tempo Real | T1078 | Acesso usando uma conta válida (Detetado no login) | Premium |
| IP do agente de ameaças verificado | Em Tempo Real | T1078 | Acesso usando uma conta válida (Detetado no login) | Premium |
| Endereço IP anónimo | Em Tempo Real | T1090 | Ofuscação/Acesso usando proxy | Não premium |
| Inteligência de ameaças do Microsoft Entra | Em tempo real ou offline | T1078 | Acesso usando uma conta válida (Detetado no login) | Não premium |
Mapa
É fornecido um mapa para apresentar a localização geográfica dos inícios de sessão arriscados no seu inquilino. O tamanho da bolha reflete o volume de entradas de risco nesse local. Passar o mouse sobre a bolha mostra uma caixa de chamada, fornecendo o nome do país e o número de entradas arriscadas desse local.
Contém os seguintes elementos:
- Intervalo de datas: escolha o intervalo de datas e visualize entradas arriscadas dentro desse intervalo de tempo no mapa. Os valores disponíveis são: últimas 24 horas, últimos sete dias e último mês.
- Nível de risco: escolha o nível de risco dos logins arriscados para visualizar. Os valores disponíveis são: Alto, Médio, Baixo.
- Contagem de locais de risco:
- Definição: o número de locais de onde os logins arriscados do seu locatário eram.
- O intervalo de datas e o filtro de nível de risco aplicam-se a esta contagem.
- A seleção dessa contagem leva você ao relatório de entradas de risco filtrado pelo intervalo de datas e nível de risco selecionados.
- Contagem de entradas arriscadas:
- Definição: O número total de entradas de risco com o nível de risco selecionado no intervalo de datas selecionado.
- O intervalo de datas e o filtro de nível de risco aplicam-se a esta contagem.
- A seleção dessa contagem leva você ao relatório de entradas de risco filtrado pelo intervalo de datas e nível de risco selecionados.
Recomendações
As recomendações do Microsoft Entra ID Protection ajudam os clientes a configurar seu ambiente para aumentar sua postura de segurança. Estas Recomendações baseiam-se nos ataques detetados no seu inquilino nos últimos 30 dias. As recomendações são fornecidas para orientar sua equipe de segurança com as ações recomendadas a serem tomadas.
Ataques comuns que são vistos, como spray de senha, credenciais vazadas em seu locatário e acesso em massa a arquivos confidenciais podem informá-lo de que houve uma possível violação. Na captura de tela anterior, o exemplo de Proteção de Identidade detetou pelo menos 20 usuários com credenciais vazadas em seu locatário , a ação recomendada neste caso seria criar uma política de Acesso Condicional exigindo redefinição de senha segura em usuários arriscados.
No componente de recomendações em nosso painel, os clientes veem:
- Até três recomendações se ocorrerem ataques específicos no seu inquilino.
- Informações sobre o impacto do ataque.
- Links diretos para tomar as medidas apropriadas para a remediação.
Os clientes com licenças P2 podem visualizar uma lista abrangente de recomendações que fornecem informações com ações. Quando a opção "Ver tudo" é selecionada, abre-se um painel mostrando mais recomendações que foram acionadas com base nos ataques em seu ambiente.
Atividades recentes
Atividade recente fornece um resumo das atividades recentes relacionadas ao risco em seu locatário. Os tipos de atividade possíveis são:
- Atividade de ataque
- Atividade de correção do administrador
- Atividade de auto-remediação
- Novos utilizadores de alto risco
Problemas conhecidos
Dependendo da configuração do seu locatário, pode não haver recomendações ou atividades recentes no seu painel.