Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Entra ID Protection fornece às organizações informações sobre atividades suspeitas em seu locatário e permite que você responda rapidamente para evitar que ocorram mais riscos. As detecções de risco são um recurso poderoso que pode incluir qualquer atividade suspeita ou anômala relacionada a contas de usuário e entidades de serviço no diretório. As detecções de risco da Proteção de ID podem ser vinculadas a um usuário individual ou a um evento de entrada e contribuir para a pontuação geral de risco do usuário encontrada no relatório de usuários arriscados.
As detecções de risco do usuário podem sinalizar uma conta de usuário legítima como em risco, quando um potencial ator de ameaça obtém acesso a uma conta comprometendo suas credenciais ou quando uma atividade de usuário anômala é detectada. Detecções de risco de entrada representam a probabilidade de uma determinada solicitação de autenticação não ser o proprietário autorizado da conta. Ter a capacidade de identificar o risco no nível de entrada e de usuário é fundamental para que os clientes tenham a capacidade de proteger seu locatário.
Observação
Para obter a lista completa de detecções de risco, como elas são calculadas e seus requisitos de licença, consulte os tipos de eventos e detecção de risco.
Níveis de risco
O Identity Protection categoriza os riscos em três camadas: baixa, média e alta. Os níveis de risco são calculados por nossos algoritmos de aprendizado de máquina e representam o quão confiante a Microsoft é de que uma ou mais das credenciais do usuário são conhecidas por uma entidade não autorizada.
As detecções podem ser ativadas em mais de um nível de risco, dependendo do nível de confiança. Por exemplo, propriedades de login desconhecidas podem ser acionadas de forma alta, média ou baixa, baseado no nível de familiaridade com as propriedades de login. Outras detecções, como credenciais vazadas e IP de ator de ameaça verificado , sempre são fornecidas como de alto risco porque encontramos uma prova da credencial vazada ou do ator de ameaça.
O nível de risco é importante ao decidir quais detecções priorizar, investigar e corrigir. O nível de risco ajuda você a priorizar seus esforços de investigação e correção.
Os níveis de risco também desempenham um papel fundamental na configuração de políticas de Acesso Condicional baseadas em risco, pois cada política pode ser definida para disparar para baixo, médio, alto ou nenhum risco detectado. Com base na tolerância a riscos de sua organização, você pode criar políticas de Acesso Condicional que exigem MFA ou redefinição de senha quando a Proteção de ID detecta um determinado nível de risco para um de seus usuários. Essas políticas podem orientar o usuário a se autocorrigir para resolver o risco.
Importante
Usuários e detecções de risco de nível baixo permanecem no produto por seis meses. Depois desse período, eles são removidos automaticamente para proporcionar uma experiência de investigação mais limpa. Os níveis de risco médio e alto persistem até serem corrigidos ou descartados.
Uma detecção de risco com o nível de risco de:
- Alta significa que a Microsoft está altamente confiante de que a conta está comprometida. Sinais como inteligência de ameaças e padrões de ataque conhecidos contribuem para o nível de confiança da detecção de risco.
- A média indica que uma ou mais anomalias de gravidade moderada foram detectadas, mas há menos confiança de que a conta está comprometida. Padrões de entrada, comportamentos e outros sinais levam em conta o nível de confiança da detecção de risco.
- Baixa indica que anomalias estão presentes na entrada ou na credencial de um usuário, mas estamos menos confiantes de que a conta não foi comprometida. Os padrões de entrada antes e durante a entrada são usados para determinar se há um padrão ou se a entrada é uma anomalia.
Detecções em tempo real e offline
O ID Protection usa técnicas para aumentar a precisão das detecções de risco de entrada e de usuário calculando alguns riscos em tempo real ou offline após a autenticação. Detectar riscos em tempo real na entrada oferece a vantagem de identificar o risco antecipadamente para que os usuários possam se auto-corrigir durante a entrada e os administradores possam investigar rapidamente o possível comprometimento. As políticas de Acesso Condicional acionadas durante o início de sessão podem parar um cibercriminoso antes que ele tenha acesso à conta.
As detecções calculadas offline podem fornecer mais informações sobre como o ator de ameaças obteve acesso à conta e o efeito sobre o usuário legítimo. Algumas detecções podem ser disparadas tanto offline quanto durante a entrada, o que aumenta a confiança na detecção de comprometimento.
As detecções disparadas em tempo real levam de 5 a 10 minutos para exibir detalhes nos relatórios. As detecções offline levam até 48 horas para serem exibidas nos relatórios, pois leva tempo para avaliar as propriedades do risco potencial. É importante lembrar que os níveis de risco podem mudar, pois algumas detecções de risco são calculadas offline após a entrada.
| Tipo de detecção | Risco de entrada | Risco do usuário |
|---|---|---|
| Tempo real | A entrada suspeita é detectada e pode ser corrigida em tempo real por meio de uma política de Acesso Condicional, como exigir MFA. | O risco do usuário é detectado e pode ser corrigido por meio de uma política de Acesso Condicional, como forçar uma alteração de senha segura em tempo real. |
| Offline | O risco do login é identificado depois que é feito. Se não for corrigido, esse risco poderá aumentar para o risco do usuário se mais riscos forem detectados e agregados ao risco do usuário. | O usuário é considerado arriscado após a entrada. Se a política de Acesso Condicional estiver configurada, o usuário será bloqueado até executar a redefinição de senha de autoatendimento na próxima vez que se autenticar. |
Observação
Nosso sistema pode determinar que o evento de risco que contribuiu para a pontuação de risco do usuário foi:
- Um falso positivo ou
- O risco do usuário foi corrigido pela política (concluindo a autenticação multifator ou uma alteração de senha segura).
Nosso sistema descarta o estado de risco e define os detalhes de risco como seguro de entrada confirmado pela IA, de modo que o estado de risco não contribui mais para o risco geral do usuário.
Detecção de tempo
Em dados detalhados de risco, Detecção de Tempo registra o momento exato em que um risco é identificado durante a entrada de um usuário, o que permite uma avaliação de risco em tempo real e a aplicação imediata de políticas para proteger o usuário e a organização. Última atualização de detecção mostra a atualização mais recente de uma detecção de risco, que pode ser devido a novas informações, mudanças no nível de risco ou ações administrativas, garantindo um gerenciamento de risco atualizado.
Esses campos são essenciais para o monitoramento em tempo real, a resposta a ameaças e a manutenção do acesso seguro aos recursos organizacionais.
Localizações
A localização nas detecções de risco é determinada usando a pesquisa de endereço IP. As credenciais de localizações nomeadas confiáveis melhoram a precisão do cálculo de risco do Microsoft Entra ID Protection, reduzindo o risco de credenciais do usuário quando ele se autentica de uma localização marcada como confiável.
Observação
Está procurando as detecções de risco mapeadas para a tabela riskEventType? Ele foi movido para o novo artigo de detecção de risco e tipos de evento .