Compartilhar via

Como Investigar o risco

O Microsoft Entra ID Protection fornece às organizações relatórios que podem usar para investigar os riscos de identidade em seu ambiente. Esses relatórios incluem usuários suspeitos, entradas suspeitas, identidades de carga de trabalho suspeitas e detecções de risco. A investigação de eventos é a chave para uma melhor compreensão e identificação dos pontos fracos em sua estratégia de segurança. Todos esses relatórios permitem o download de eventos no formato .CSV ou integração com outras soluções de segurança, como uma ferramenta SIEM (Gerenciamento de eventos e informações de segurança) para análise adicional. As organizações também podem aproveitar as integrações do Microsoft Defender e da API do Microsoft Graph para agregar dados a outras fontes.

Pré-requisitos

  • A licença do Microsoft Entra ID P2 ou do Microsoft Entra Suite é necessária para acesso completo aos recursos do Microsoft Entra ID Protection.
  • A função Leitor Global é a função menos privilegiada necessária para exibir os relatórios de risco.
  • A função Leitor de Relatórios é a função de menor privilégio necessária para exibir os logs de login e auditoria.

Os relatórios de risco são encontrados no Centro de administração do Microsoft Entra em ID Protection. Você pode acessar diretamente os relatórios ou visualizar um resumo dos principais insights na visualização do painel, navegando para os relatórios correspondentes a partir dessa tela.

Captura de tela mostrando o widget com o número de usuários de alto risco do painel de Proteção de Identidade.

Cada relatório é iniciado com uma lista de todas as detecções do período que aparece na parte superior do relatório. Os administradores podem, opcionalmente, filtrar e adicionar ou remover colunas conforme sua preferência. Os administradores podem fazer download dos dados no formato .CSV ou .JSON para processamento futuro.

Quando os administradores selecionam uma ou várias entradas, as opções para confirmar ou descartar os riscos aparecem na parte superior do relatório. A seleção de um evento de risco individual abre um painel com mais detalhes para ajudar com as investigações.

Captura de tela do título do relatório de usuários arriscados mostrando as opções disponíveis para os administradores.

Relatório de usuários suspeitos

O relatório de usuários suspeitos inclui todos os usuários cujas contas estão atualmente, ou já estiveram, consideradas suspeitas de comprometimento. Usuários suspeitos devem ser investigados e corrigidos para impedir o acesso não autorizado aos recursos. Recomendamos começar pelos usuários de alto risco devido à alta probabilidade de comprometimento. Saiba mais sobre o que os níveis significam

Por que um usuário está em risco?

Um usuário se torna um usuário suspeito quando:

  • Eles têm uma ou mais entradas suspeitas.
  • Eles têm um ou mais riscos detectados em sua conta, como credenciais vazadas.

Como investigar usuários suspeitos?

Para visualizar e investigar usuários suspeitos, acesse o relatório de Usuários suspeitos e utilize os filtros para gerenciar os resultados. Há uma opção no topo da página para adicionar outras colunas, como nível, status e detalhes do risco.

Captura de tela do relatório de usuários arriscados mostrando exemplos de usuários em risco.

Quando os administradores selecionam um usuário individual, o painel de detalhes do Usuário suspeitos é exibido. Os detalhes do usuário suspeito fornecem informações como: ID do usuário, local do escritório, tentativas recentes de entrada suspeita, detecções não vinculadas a uma entrada e histórico de risco. A guia Histórico de risco exibe os eventos que levaram a uma alteração no status de risco do usuário nos últimos 90 dias. Essa lista inclui detecções de risco que aumentaram o risco do usuário. Ela também pode incluir ações de remediação realizadas pelo usuário ou pelo administrador que reduziram o risco do usuário; por exemplo, quando um usuário redefine a senha ou o administrador descarta o risco.

Captura de tela mostrando o submenu Detalhes do Usuário Arriscado com exemplos de histórico de risco.

Se você tiver o Copilot for Security, terá acesso a um resumo em linguagem natural , incluindo: por que o nível de risco do usuário foi elevado, diretrizes sobre como atenuar e responder e links para outros itens úteis ou documentação.

Captura de tela mostrando o resumo do risco fornecido pelo Copilot no submenu Detalhes do Usuário Arriscado.

Com as informações fornecidas pelo relatório de usuários suspeitos, os administradores podem descobrir:

  • Risco do usuário que foi corrigido, descartado ou ainda está em risco e precisa ser investigado
  • Detalhes sobre as detecções
  • Entradas suspeitas associadas a um determinado usuário
  • Histórico de risco

A ação no nível do usuário se aplica a todas as detecções atualmente associadas a esse usuário. Os administradores podem tomar medidas sobre os usuários e optar por:

  • Redefinir senha – essa ação revoga as sessões atuais do usuário.
  • Confirmar usuário comprometido - Essa ação é tomada em um verdadeiro positivo. O ID Protection define o risco do usuário como alto e adiciona uma nova detecção, o Usuário comprometido confirmado pelo administrador. O usuário é considerado suspeito até que as etapas de correção sejam tomadas.
  • Confirmar usuário seguro - Essa ação é tomada em um falso positivo. Isso elimina o risco e as detecções desse usuário e o coloca no modo de aprendizado para reaprender as propriedades de uso. Você pode usar essa opção para marcar falsos positivos.
  • Ignorar o risco de usuário - Essa ação é tomada em um risco de usuário positivo benigno. Esse risco do usuário que detectamos é real, mas não é malicioso como os de um teste de penetração conhecido. Daqui para frente, os usuários semelhantes devem continuar sendo avaliados quanto ao risco.
  • Bloquear o usuário – Essa ação impede que um usuário entre se o invasor tiver acesso à senha ou capacidade de executar a MFA.
  • Investigar com o Microsoft 365 Defender – Essa ação leva os administradores ao portal do Microsoft Defender para permitir que um administrador investigue mais.

Captura de tela mostrando o submenu Detalhes do Usuário Arriscado e as ações adicionais que um administrador pode executar.

Relatório de entradas suspeitas

O relatório de entradas suspeitas contém dados filtráveis para até os últimos 30 dias (1 mês). A Proteção de ID avalia o risco de todos os fluxos de autenticação, sejam eles interativos ou não. Agora o relatório de entrada suspeita mostra as entradas interativas e não interativas. Use o filtro "tipo de entrada" para alterar essa exibição.

Captura de tela mostrando o relatório de logins arriscados.

Com as informações fornecidas pelo relatório de entradas suspeitas, os administradores podem descobrir:

  • Entradas suspeitas, com comprometimento confirmado, com segurança confirmada, ignoradas ou corrigidas.
  • Níveis de risco agregados e em tempo real associados a tentativas de entrada.
  • Tipos de detecção disparados
  • Políticas de acesso condicional aplicadas
  • Detalhes da MFA
  • Informações do dispositivo
  • Informações do aplicativo
  • Informações de Local

Os administradores poderão tomar medidas sobre eventos de entradas suspeitas e escolher por:

  • Confirmar entrada comprometida – Esta ação confirma que a entrada é um verdadeiro positivo. A entrada é considerada arriscada até que as etapas de correção sejam tomadas. 
  • Confirme o login seguro – essa ação confirma que o login é um falso positivo. Entradas semelhantes não devem ser consideradas arriscadas no futuro. 
  • Ignorar o risco de entrada – Essa ação é usada para um verdadeiro positivo benigno. Esse risco de entrada que detectamos é real, mas não malicioso como aqueles provenientes de um teste de penetração conhecido ou de atividades geradas por um aplicativo aprovado. Entradas semelhantes devem continuar sendo avaliadas quanto ao risco daqui para frente.

Para saber mais sobre quando executar cada uma dessas ações, confira Como a Microsoft usa meus comentários de risco

Relatório de detecções de risco

O relatório de detecções de risco contém dados filtráveis para até os últimos 90 dias (três meses).

Captura de tela mostrando o relatório detecções de risco.

Com as informações fornecidas pelo relatório de detecções de risco, os administradores podem descobrir:

  • Informações sobre cada detecção de risco
  • Tipo de ataque baseado na estrutura MITRE ATT&CK
  • Outros riscos disparados ao mesmo tempo
  • Local da tentativa de entrada
  • Link para obter mais detalhes dos aplicativos do Microsoft Defender para Aplicativos de Nuvem.

Depois, os administradores poderão optar por retornar ao relatório de risco ou de entradas do usuário para executar ações com base nas informações coletadas.

Observação

Nosso sistema pode detectar que o evento de risco que contribuiu para a pontuação de risco do usuário foi um falso positivo ou que o risco do usuário foi remediado por meio da aplicação de políticas, como o cumprimento de um prompt de MFA ou a alteração segura da senha. Portanto, nosso sistema descartará o estado de risco e um detalhe de risco "A IA confirmou entrada segura" será exibido, deixando de contribuir para o risco do usuário.

Triagem inicial

Ao começar a triagem inicial, recomendamos as seguintes ações:

  1. Revise o painel da Proteção de ID para visualizar o número de ataques, o número de usuários de alto risco e outras métricas importantes com base nas detecções do seu ambiente.
  2. Revise o workbook de Análise de Impacto para entender os cenários em que o risco está presente em seu ambiente e identificar onde as políticas de acesso baseadas em risco devem ser ativadas para gerenciar usuários e autenticações de alto risco.
  3. Adicione VPNs corporativas e intervalos de endereços IP a localizações nomeadas para reduzir os falsos positivos.
  4. Considere criar um banco de dados de viajantes conhecidos para relatórios de viagens organizacionais atualizados e usá-lo para fazer referência cruzada com as atividades de viagem.
  5. Examine os logs para identificar atividades semelhantes com as mesmas características. Essa atividade pode ser um indicativo de que há mais contas comprometidas.
    1. Se houver características comuns, como endereço IP, localização geográfica, sucesso/fracasso etc., considere bloqueá-las por meio de uma política de Acesso Condicional.
    2. Analise quais recursos podem estar comprometidos, incluindo possíveis downloads de dados ou modificações administrativas.
    3. Habilitar políticas de autocorreção por meio do acesso condicional
  6. Verifique se o usuário realizou outras atividades de risco, como o download de um grande volume de arquivos a partir de uma nova localização. Esse comportamento é um forte indício de comprometimento.

Se você suspeitar que um invasor pode se passar pelo usuário, exija que o usuário redefina a senha e realize autenticação multifator (MFA), ou então bloqueie o usuário e revogue todos os tokens de atualização e acesso.

Estrutura de investigação e correção de riscos

As organizações podem utilizar o seguinte framework para iniciar a investigação de qualquer atividade suspeita. A primeira etapa recomendada será a autocorreção, se for uma opção. A autocorreção pode ser realizada por meio da redefinição de senha self-service ou por meio do fluxo de remediação de uma política de Acesso Condicional baseada em risco.

Se a autocorreção não for uma opção, um administrador precisará corrigir o risco. A correção é realizada solicitando a redefinição de senha, exigindo que o usuário se recadastre na MFA, bloqueando o usuário ou revogando as sessões do usuário, dependendo do cenário. O fluxograma a seguir mostra o fluxo recomendado quando um risco é detectado:

Diagrama mostrando o fluxo de correção de risco.

Depois que o risco for contido, poderá ser necessário aprofundar a investigação para marcar o risco como seguro, comprometido ou descartá-lo. Para chegar a uma conclusão segura, pode ser necessário conversar com o usuário em questão, revisar os logs de entrada, revisar os logs de auditoria ou consultar os logs de risco no Log Analytics. A seguir estão as ações recomendadas para esta fase da investigação:

  1. Verifique os logs e valide se a atividade é normal para o usuário em questão.
    1. Analise as atividades anteriores do usuário, incluindo as seguintes propriedades, para verificar se são normais para esse usuário.
      1. Aplicativo
      2. Dispositivo - O dispositivo está registrado ou em conformidade?
      3. Local - O usuário está viajando para um local diferente ou acessando dispositivos de vários locais?
      4. endereço IP
      5. Cadeia de caracteres de agente do usuário
    2. Se você tiver acesso a outras ferramentas de segurança, como o Microsoft Sentinel, verifique se há alertas correspondentes que podem indicar um problema maior.
    3. Organizações com acesso ao Microsoft 365 Defender podem acompanhar um evento de risco relacionado ao usuário através de outros alertas, incidentes e da cadeia MITRE ATT&CK.
      1. Para navegar a partir do relatório de Usuários suspeito, selecione o usuário no relatório, clique na elipse (…) na barra de ferramentas e escolha a opção Investigar com o Microsoft 365 Defender.
  2. Entre em contato com o usuário para confirmar se ele reconhece a autenticação; no entanto, considere que métodos como email ou Teams podem estar comprometidos.
    1. Confirme as informações que você tem, como:
      1. Carimbo de data/hora
      2. Aplicativo
      3. Dispositivo
      4. Localidade
      5. endereço IP
  3. Dependendo dos resultados da investigação, marque o usuário ou a autenticação como comprometido confirmado, seguro confirmado ou descarte o risco.
  4. Configure políticas de Acesso Condicional baseadas em risco para evitar ataques semelhantes ou para resolver quaisquer lacunas na cobertura.

Investigar detecções específicas

Inteligência contra ameaças do Microsoft Entra

Para investigar uma detecção de risco do Microsoft Entra Threat Intelligence, siga estas etapas com base nas informações fornecidas no campo "informações adicionais" do painel de Detalhes da detecção de risco:

  1. A entrada era de um endereço IP suspeito:
    1. Confirme se o endereço IP mostra um comportamento suspeito em seu ambiente.
    2. O IP gera um grande número de falhas para um usuário ou conjunto de usuários em seu diretório?
    3. É o tráfego do IP proveniente de um protocolo ou aplicativo inesperado, por exemplo, protocolos herdados da Troca?
    4. Se o endereço IP corresponder a um provedor de serviços de nuvem, desconsidere que não há aplicativos corporativos legítimos em execução do mesmo IP.
  2. Esta conta foi vítima de um ataque de pulverização de senha:
    1. Valide se nenhum outro usuário em seu diretório é alvo do mesmo ataque.
    2. Outros usuários têm entradas com padrões de atípicos semelhantes vistos na entrada detectada dentro do mesmo período de tempo? Os ataques de Pulverização de senha podem exibir padrões incomuns em:
      1. Cadeia de caracteres de agente do usuário
      2. Aplicativo
      3. Protocolo
      4. Intervalos de IPs/ASNs
      5. Hora e frequência de entradas
  3. Esta detecção foi disparada por uma regra em tempo real:
    1. Valide se nenhum outro usuário em seu diretório é alvo do mesmo ataque. Isso pode ser encontrado pelo número TI_RI_#### atribuído à regra.
    2. As regras em tempo real protegem contra novos ataques identificados pela inteligência contra ameaças da Microsoft. Se vários usuários no seu diretório foram alvos do mesmo ataque, investigue os padrões incomuns em outros atributos do entrada.

Investigando detecções de viagem atípicas

  1. Se você conseguir confirmar que a atividade não foi executada por um usuário legítimo:
    1. Ação recomendada: marque o acesso como comprometido e realize uma redefinição de senha se ainda não tiver sido feita por autorrecuperação. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA e redefina a senha.
  2. Se um usuário for conhecido por usar o endereço IP no escopo de suas funções:
    1. Ação recomendada: confirme a entrada como segura.
  3. Se você puder confirmar que o usuário viajou recentemente para o destino mencionado detalhadamente no alerta:
    1. Ação recomendada: confirme a entrada como segura.
  4. Se você conseguir confirmar que o intervalo de endereços IP é de uma VPN sancionada.
    1. Ação recomendada: confirme a entrada como segura e adicione o intervalo de endereços IP VPN a locais nomeados na ID do Microsoft Entra e no Microsoft Defender para Aplicativos de Nuvem.

Investigar detecções de anomalias em tokens e anomalias no emissor de tokens

  1. Se você conseguir confirmar que a atividade não foi executada por um usuário legítimo usando uma combinação de alerta de risco, localização, aplicativo, endereço IP, Agente de Usuário ou outras características inesperadas para o usuário:
    1. Ação recomendada: marque o acesso como comprometido e realize uma redefinição de senha se ainda não tiver sido feita por autorrecuperação. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar.
    2. Ação recomendada: configurar políticas de Acesso Condicional baseadas em risco para exigir redefinição de senha, executar MFA ou bloquear o acesso para todas as entradas de alto risco.
  2. Se você conseguir confirmar a localização, o aplicativo, o endereço IP, o Agente do Usuário ou outras características forem esperadas para o usuário e não houver outras indicações de comprometimento:
    1. Ação recomendada: permitir que o usuário se auto-corrija com uma política de Acesso Condicional baseada em risco ou faça com que um administrador confirme a entrada como segura.
  3. Para obter mais informações sobre detecções baseadas em token, consulte a postagem no blog Táticas de token: como prevenir, detectar e responder ao roubo de tokens de nuvem do guia estratégico de investigação de roubo de tokens.

Investigando detecções suspeitas do navegador

  • Geralmente, o navegador não é usado pelo usuário ou a atividade no navegador não corresponde ao comportamento normal dos usuários.
    • Ação recomendada: confirme a entrada como comprometida e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA.
    • Ação recomendada: configurar políticas de Acesso Condicional baseadas em risco para exigir redefinição de senha, executar MFA ou bloquear o acesso para todas as entradas de alto risco.

Investigando detecções de endereço IP mal-intencionado

  1. Se você conseguir confirmar que a atividade não foi executada por um usuário legítimo:
    1. Ação recomendada: confirme a entrada como comprometida e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA e redefina a senha e revogue todos os tokens.
    2. Ação recomendada: configure políticas de Acesso Condicional baseadas em risco para exigir a redefinição de senha ou executar a MFA para todas as entradas de alto risco.
  2. Se um usuário for conhecido por usar o endereço IP no escopo de suas funções:
    1. Ação recomendada: confirme a entrada como segura.

Investigando detecções de pulverização de senha

  1. Se você conseguir confirmar que a atividade não foi executada por um usuário legítimo:
    1. Ação recomendada: marque o acesso como comprometido e realize uma redefinição de senha se ainda não tiver sido feita por autorrecuperação. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA e redefina a senha e revogue todos os tokens.
  2. Se um usuário for conhecido por usar o endereço IP no escopo de suas funções:
    1. Ação recomendada: confirmar que o login é seguro.
  3. Se você conseguir confirmar que a conta não está comprometida e não identificar indícios de força bruta ou ataques de pulverização de senha contra a conta.
    1. Ação recomendada: permitir que o usuário se auto-corrija com uma política de Acesso Condicional baseada em risco ou faça com que um administrador confirme a entrada como segura.
  4. Verifique se o bloqueio inteligente do Microsoft Entra está configurado adequadamente para evitar bloqueios desnecessários de conta.

Para obter uma investigação mais detalhada sobre detecções de risco de pulverização de senha, consulte o artigo Investigação de pulverização de senha.

Investigando detecções de credenciais vazadas

  • Se essa detecção identificou uma credencial vazada para um usuário:
    • Ação recomendada: confirme o usuário como comprometido e invoque uma redefinição de senha se ainda não tiver sido executada por autocorreção. Bloqueie o usuário se um invasor tiver acesso para redefinir a senha ou executar a MFA e redefina a senha e revogue todos os tokens.

Próximas etapas