Como simular detecções de risco na Microsoft Entra ID Protection

Os administradores podem querer simular riscos no próprio ambiente para alcançar os seguintes objetivos:

  • Popular dados no ambiente do Microsoft Entra ID Protection, simulando detecções de risco e de vulnerabilidades.
  • Configurar políticas de acesso condicional baseadas em risco e testar o efeito dessas políticas.

Este artigo fornece as etapas para simular os seguintes tipos de detecção de risco:

  • Endereço IP anônimo (fácil)
  • Propriedades de entrada desconhecidas (moderado)
  • Viagem atípica (difícil)
  • Credenciais vazadas no GitHub para identidades de carga de trabalho (moderada)

Outras detecções de risco não podem ser simuladas de maneira segura.

Mais informações sobre cada detecção de risco podem ser encontradas no artigo O que é risco para usuário e identidade de carga de trabalho.

Endereço IP anônimo

A conclusão do procedimento a seguir requer que você use:

  • O Tor Browser para simular endereços IP anônimos. Talvez você precise usar uma máquina virtual, caso sua organização restrinja o uso do navegador Tor.
  • Uma conta de teste que ainda não está registrada na autenticação multifator do Microsoft Entra.

Para simular uma entrada de um IP anônimo, realize as seguintes etapas:

  1. No Navegador Tor, acesse https://myapps.microsoft.com.
  2. Insira as credenciais da conta que deseja exibir no relatório Entradas de endereços IP anônimos .

A entrada aparece no painel de segurança Identity Protection dentro de 10 a 15 minutos.

Propriedades de entrada desconhecidas

Para simular locais desconhecidos, você deve usar uma localização e um dispositivo que a conta de teste ainda não tenha usado.

O procedimento a seguir usa um criado recentemente:

  • Conexão VPN, para simular novo local.
  • Máquina virtual, para simular um novo dispositivo.

A conclusão do procedimento a seguir requer que você use uma conta de usuário que tenha:

  • Pelo menos um histórico entrada de 30 dias.
  • Autenticação multifator do Microsoft Entra.

Para simular uma entrada de um local desconhecido, realize as seguintes etapas:

  1. Usando sua nova VPN, navegue até https://myapps.microsoft.com e insira as credenciais da sua conta de teste.
  2. Ao entrar com sua conta de teste, erre o desafio da autenticação multifator não sendo aprovado nele.

A entrada aparece no painel de segurança Identity Protection dentro de 10 a 15 minutos.

Viagem atípica

Simular a condição atípica de viagem é difícil. O algoritmo usa o aprendizado de máquina para eliminar falsos positivos, tais como viagens atípicas de dispositivos conhecidos ou entradas de VPNs usadas por outros usuários no diretório. Além disso, o algoritmo requer um histórico de entrada de 14 dias e 10 logins do usuário antes de começar a gerar detecções de risco. Por causa dos modelos de machine learning complexos e das regras acima, existe a possibilidade de que as etapas a seguir não disparem uma detecção de risco. O ideal é replicar essas etapas em várias contas do Microsoft Entra para simular essa detecção.

Para simular uma detecção de risco de viagem atípica, execute as seguintes etapas:

  1. Usando o navegador padrão, navegue até https://myapps.microsoft.com.
  2. Insira as credenciais da conta para a qual você deseja gerar uma detecção de risco de viagem atípica.
  3. Altere o agente do usuário. Você pode alterar o agente do usuário no Microsoft Edge nas Ferramentas para Desenvolvedores (F12).
  4. Altere seu endereço IP. É possível alterar seu endereço IP usando uma VPN, um complemento do Tor ou criando uma máquina virtual no Azure em um data center diferente.
  5. Entre em https://myapps.microsoft.com usando as mesmas credenciais de antes, alguns minutos após a entrada anterior.

A entrada aparece no painel de controle Identity Protection dentro de 2 a 4 horas.

Credenciais vazadas para identidades de carga de trabalho

Essa detecção de risco indica que as credenciais válidas do aplicativo foram vazadas. Esse vazamento pode ocorrer quando alguém faz check-in das credenciais em um artefato de código público no GitHub. Portanto, para simular essa detecção, você precisa de uma conta do GitHub e pode inscrever-se em uma conta do GitHub se ainda não tiver uma.

Simular credenciais vazadas no GitHub para identidades de carga de trabalho

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

  2. Navegue até Identidade>Aplicativos>Registros de aplicativo.

  3. Selecione Novo registro para registrar um novo aplicativo ou reutilizar um aplicativo obsoleto existente.

  4. Selecione Certificados e Segredos>Novo segredo do cliente, adicione uma descrição do segredo do cliente e defina uma expiração para o segredo ou especifique um tempo de vida personalizado e selecione Adicionar. Registre o valor do segredo para uso posterior para sua Confirmação do GitHub.

    Observação

    Você não pode recuperar o segredo novamente depois de sair desta página.

  5. Obtenha a ID de TenantID e Application(Client) na página Visão geral.

  6. Certifique-se de desabilitar o aplicativo em Identidade>Aplicativos>Aplicativo empresarial>Propriedades>DefinirHabilitado para conexão de usuários como Não.

  7. Crie um Repositório GitHub público, adicione a configuração a seguir e confirme a alteração como um arquivo com a extensão .txt.

      "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
      "AadSecret": "p3n7Q~XXXX",
      "AadTenantDomain": "XXXX.onmicrosoft.com",
      "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
    
  8. Em cerca de 8 horas, você poderá ver uma detecção de credencial vazada em Proteção>Proteção de Identidade>Detecção de Risco>Detecções de identidade de carga de trabalho, onde outras informações contêm a URL do seu commit do GitHub.

Testar políticas de risco

Esta seção fornece etapas para testar as políticas de risco de usuário e de entrada criadas no artigo Como configurar e habilitar políticas de risco.

Política de risco do usuário

Para testar uma política de segurança de risco de usuário, execute as seguintes etapas:

  1. Configure uma política de risco do usuário direcionada aos usuários com os quais você planeja testar.
  2. Eleve o risco de usuário de uma conta de teste, por exemplo, simulando uma das detecções de risco algumas vezes.
  3. Aguarde alguns minutos e, em seguida, verifique se o risco para o usuário aumentou. Se não tiver aumentado, simule mais detecções de risco para o usuário.
  4. Retorne à sua política de risco e defina Impor política como Ativado e escolha Salvar a alteração da política.
  5. Agora, é possível testar o acesso condicional com base em risco de usuário, entrando usando um usuário com um nível de risco elevado.

Política de segurança de risco de entrada

Para testar uma política de risco de entrada, execute as seguintes etapas:

  1. Configure uma política de risco de entrada direcionada aos usuários com os quais você planeja testar.
  2. Agora, é possível testar o acesso condicional com base em risco de entrada, usando uma sessão arriscada (por exemplo, usando o navegador Tor).

Próximas etapas