O que são detecções de risco?

O Microsoft Entra ID Protection fornece às organizações informações sobre atividades suspeitas em seu locatário e permite que elas respondam rapidamente para evitar que ocorram mais riscos. As detecções de risco são um recurso poderoso que pode incluir qualquer atividade suspeita ou anômala relacionada a uma conta de usuário no diretório. As detecções de risco do Protection ID podem ser vinculadas a um usuário individual ou a um evento de entrada e contribuir para a pontuação geral de risco do usuário encontrada no Relatório de Usuários Suspeitos.

As detecções de risco do usuário podem sinalizar uma conta de usuário legítima como em risco, quando um potencial ator de ameaça obtém acesso a uma conta comprometendo suas credenciais ou quando detecta algum tipo de atividade de usuário anômala. Detecções de risco de entrada representam a probabilidade de uma determinada solicitação de autenticação não ser o proprietário autorizado da conta. Ter a capacidade de identificar o risco no nível de entrada e de usuário é fundamental para que os clientes tenham a capacidade de proteger seu locatário.

Níveis de risco

O Identity Protection categoriza os riscos em três camadas: baixa, média e alta. Os níveis de risco calculados por nossos algoritmos de aprendizado de máquina representam o nível de confiança da Microsoft de que uma ou mais das credenciais do usuário sejam conhecidas por uma entidade não autorizada.

  • Uma detecção de risco com nível de risco Alto significa que a Microsoft está altamente confiante de que a conta está comprometida.
  • Uma detecção de risco com nível de risco Baixo significa que há anomalias presentes na entrada ou na credencial de um usuário, mas estamos menos confiantes de que essas anomalias significam que a conta está comprometida.

Muitas detecções podem ser disparadas em mais de um dos níveis de risco, dependendo do número ou gravidade das anomalias detectadas. Por exemplo, Propriedades de entrada desconhecidas podem ser disparadas em alta, média ou baixa com base na confiança nos sinais. Algumas detecções, como de credenciais vazadas e IP de ator de ameaça verificado, sempre são fornecidas como de alto risco.

Esse nível de risco é importante ao decidir quais detecções priorizar, investigar e corrigir. Ele também desempenha um papel fundamental na configuração de políticas de Acesso Condicional baseadas em risco, pois cada política pode ser definida para disparar com baixo, médio, alto ou nenhum risco detectado. Com base na tolerância a riscos da sua organização, você pode criar políticas que exigem MFA ou redefinição de senha quando o ID Protection detecta um determinado nível de risco para um de seus usuários. Essas políticas podem orientar o usuário a se autocorrigir para resolver o risco.

Importante

Todas as detecções e usuários de nível de risco "baixo" persistirão no produto por 6 meses e depois desse período serão removidos automaticamente ou para fornecer uma experiência de investigação mais limpa. Os níveis de risco médio e alto persistirão até que sejam corrigidos ou descartados.

Com base na tolerância a riscos de sua organização, você pode criar políticas que exigem MFA ou redefinição de senha quando a Proteção de ID detecta um determinado nível de risco. Essas políticas podem orientar o usuário a se autorremediar e resolver o risco ou o bloqueio, dependendo de suas tolerâncias.

Detecções em tempo real e offline

O ID Protection usa técnicas para aumentar a precisão das detecções de risco de entrada e de usuário calculando alguns riscos em tempo real ou offline após a autenticação. Detectar riscos em tempo real na entrada oferece a vantagem de identificar o risco antecipadamente para que os clientes possam investigar rapidamente o possível comprometimento. Em detecções que calculam o risco offline, eles podem fornecer mais informações sobre como o ator de ameaça obteve acesso à conta e o impacto sobre o usuário legítimo. Algumas detecções podem ser disparadas tanto offline quanto durante a entrada, o que aumenta a confiança na precisão sobre o comprometimento.

As detecções disparadas em tempo real levam de 5 a 10 minutos para exibir detalhes nos relatórios. As detecções offline levam até 48 horas para serem exibidas nos relatórios, pois leva tempo para avaliar as propriedades do risco potencial.

Observação

Nosso sistema pode detectar que o evento de risco que contribuiu para a pontuação de risco do usuário foi:

Nosso sistema ignorará o estado de risco e um detalhe de risco de segurança de entrada confirmada por IA será exibido e não contribuirá mais para o risco total do usuário.

Em dados detalhados de risco, Detecção de Tempo registra o momento exato em que um risco é identificado durante o login de um usuário, o que permite uma avaliação de risco em tempo real e a aplicação imediata de políticas para proteger o usuário e a organização. Última atualização de detecção mostra a atualização mais recente de uma detecção de risco, que pode ser devido a novas informações, mudanças no nível de risco ou ações administrativas, garantindo um gerenciamento de risco atualizado.

Esses campos são essenciais para o monitoramento em tempo real, a resposta a ameaças e a manutenção do acesso seguro aos recursos organizacionais.

Detecções de risco mapeadas para riskEventType

Detecção de risco Tipo de detecção Tipo riskEventType
Detecções de risco de entrada
Atividade de um endereço IP anônimo Offline Premium riskyIPAddress
Risco adicional detectado (entrada) Em tempo real ou offline Não premium Classificação de detecção genérica = Premium para locatários não P2
Usuário comprometido confirmado pelo administrador Offline Não premium adminConfirmedUserCompromised
Token anormal Em tempo real ou offline Premium anomalousToken
Endereço IP anônimo Tempo real Não premium anonymizedIPAddress
Viagem atípica Offline Premium unlikelyTravel
Viagem impossível Offline Premium mcasImpossibleTravel
Endereço IP mal-intencionado Offline Premium maliciousIPAddress
Acesso em Massa a Arquivos Confidenciais Offline Premium mcasFinSuspiciousFileAccess
Inteligência contra ameaças do Microsoft Entra (entrada) Em tempo real ou offline Não premium investigationsThreatIntelligence
Novo país Offline Premium newCountry
Pulverização de senha Offline Premium passwordSpray
Navegador suspeito Offline Premium suspiciousBrowser
Encaminhamento suspeito da caixa de entrada Offline Premium suspiciousInboxForwarding
Regras de manipulação de caixa de entrada suspeita Offline Premium mcasSuspiciousInboxManipulationRules
Anomalia do emissor do token Offline Premium tokenIssuerAnomaly
Propriedades de entrada desconhecidas Tempo real Premium unfamiliarFeatures
Verificação do IP do ator de ameaça Tempo real Premium nationStateIP
Detecções de risco do usuário
Risco adicional detectado (usuário) Em tempo real ou offline Não premium Classificação de detecção genérica = Premium para locatários não P2
Atividade anômala do usuário Offline Premium anomalousUserActivity
Attacker in the Middle Offline Premium attackerinTheMiddle
Credenciais vazadas Offline Não premium leakedCredentials
Inteligência contra ameaças do Microsoft Entra (usuário) Em tempo real ou offline Não premium investigationsThreatIntelligence
Possível tentativa de acessar o PRT (token de atualização primário) Offline Premium attemptedPrtAccess
Tráfego de API suspeito Offline Premium suspiciousAPITraffic
Padrões de envio suspeitos Offline Premium suspiciousSendingPatterns
O usuário relatou atividade suspeita Offline Premium userReportedSuspiciousActivity

Detecções Premium

As seguintes detecções premium são visíveis apenas para clientes Microsoft Entra ID P2.

Detecções premium de risco de logon

Atividade de um endereço IP anônimo

Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção identifica que os usuários estavam ativos em um endereço IP identificado como um endereço IP de proxy anônimo.

Token anômalo

Calculado em tempo real ou offline. Essa detecção indica características anormais no token, como um tempo de vida incomum ou um token executado de um local desconhecido. Essa detecção abrange tokens de sessão e tokens de atualização.

O token anômalo é ajustado para incorrer em mais ruído do que outras detecções no mesmo nível de risco. Essa troca é escolhida para aumentar a probabilidade de detecção de tokens reproduzidos que, de outra forma, poderiam passar despercebidos. Há uma chance maior do que o normal de que algumas das sessões sinalizadas por essa detecção sejam falsos positivos. É recomendável investigar as sessões sinalizadas por essa detecção no contexto de outras entradas do usuário. Se o local, o aplicativo, o endereço IP, o agente de usuário ou outras características forem inesperados para o usuário, o administrador deverá considerar esse risco como um indicador de possível reprodução de token.

Dicas para investigação de detecções anômalas de token.

Viagem atípica

Calculado offline. Esse tipo de detecção de risco identifica dois logins originados de locais geograficamente distantes, em que pelo menos um dos locais também pode ser atípico para o usuário, considerando o comportamento anterior. O algoritmo leva em conta vários fatores, incluindo o tempo entre os dois logins e o tempo que o usuário levaria para viajar do primeiro local para o segundo. Esse risco indica que um usuário diferente está usando as mesmas credenciais.

Esse algoritmo ignora “falsos positivos” óbvios que contribuem para condições impossíveis de viagem, como VPNs e locais regularmente usados por outros usuários na organização. O sistema tem um período inicial de aprendizado dos primeiros 14 dias ou 10 logons, durante o qual ele aprende o comportamento de entrada de um novo usuário.

Dicas para investigação de detecções de viagens atípicas.

Viagem impossível

Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção identifica atividades do usuário (em uma única ou várias sessões) provenientes de locais geograficamente distantes em um período de tempo menor que o tempo que leva para o usuário viajar do primeiro local para o segundo. Esse risco indica que um usuário diferente está usando as mesmas credenciais.

Endereço IP mal-intencionado

Calculado offline. Essa detecção indica a entrada de um endereço IP mal-intencionado. Um endereço IP é considerado mal-intencionado com base em taxas de falha altas devido a credenciais inválidas recebidas do endereço IP ou outras fontes de reputação de IP. Em alguns casos, essa detecção é acionada em atividades maliciosas anteriores.

Dicas para investigação de detecções de endereço IP mal-intencionado.

Acesso em massa a arquivos confidenciais

Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção analisa o seu ambiente e dispara alertas quando os usuários acessam vários arquivos do Microsoft SharePoint Online ou Microsoft OneDrive. Um alerta é disparado somente se o número de arquivos acessados for incomum para o usuário e os arquivos poderão conter informações confidenciais.

Novo país

Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção considera os locais de atividades anteriores para determinar os locais novos e pouco frequentes. O mecanismo de detecção de anomalias armazena informações sobre locais anteriores usados por usuários na organização.

Pulverização de senha

Calculado offline. Um ataque de pulverização de senha é quando várias identidades são atacadas usando senhas comuns em uma maneira de força bruta unificada. A detecção de risco é disparada quando a senha de uma conta é válida e houve uma tentativa de entrada. Essa detecção sinaliza que a senha do usuário foi identificada corretamente por meio de um ataque de pulverização de senha, não que o invasor tenha sido capaz de acessar quaisquer recursos.

Dicas para investigação de detecções de endereço IP mal-intencionado.

Navegador suspeito

Calculado offline. A detecção de navegador suspeito indica um comportamento anormal com base na atividade de entrada suspeita em vários locatários de diferentes países no mesmo navegador.

Dicas para investigação de detecções suspeitas do navegador.

Encaminhamento suspeito da caixa de entrada

Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção procura regras de encaminhamento de email suspeito, por exemplo, se um usuário criou uma regra de caixa de entrada que encaminha uma cópia de todos os emails para um endereço externo.

Regras de manipulação de caixa de entrada suspeita

Calculado offline. Essa detecção é descoberta usando informações fornecidas pelos Aplicativos do Microsoft Defender para Nuvem. Essa detecção analisa o ambiente e dispara alertas quando regras suspeitas que excluem ou movem mensagens ou pastas são definidas na caixa de entrada de um usuário. Essa detecção pode indicar: a conta de um usuário está comprometida, as mensagens estão sendo intencionalmente ocultadas e a caixa de correio está sendo usada para distribuir spam ou malware na sua organização.

Anomalia do emissor de token

Calculado offline. Essa detecção de risco indica que o emissor do token SAML do token SAML associado possivelmente está comprometido. As declarações incluídas no token são incomuns ou correspondem a padrões de invasor conhecidos.

Dicas para investigação de detecções de anomalias do emissor do token.

Propriedades de entrada desconhecidas

Calculado em tempo real. Esse tipo de detecção de risco considera o histórico de entrada anterior para procurar entradas anômalas. O sistema armazena informações sobre entradas anteriores e diferentes uma detecção de risco quando uma entrada não é familiar para o usuário. Essas propriedades podem incluir IP, ASN, localização, dispositivo, navegador e sub-rede IP do locatário. Os usuários recém-criados estão no período de um "modo de aprendizado", no qual a detecção de risco de propriedades de entrada desconhecidas é desativada enquanto nossos algoritmos aprendem o comportamento do usuário. A duração do modo de aprendizado é dinâmica e depende de quanto tempo leva o algoritmo para reunir informações suficientes sobre os padrões de entrada do usuário. A duração mínima é de cinco dias. Um usuário pode voltar para o modo de aprendizado após um longo período de inatividade.

Também podemos executar essa detecção para a autenticação Básica (ou protocolos herdados). Como esses protocolos não têm propriedades modernas, como a ID do cliente, há dados limitados para reduzir os falsos positivos. Recomendamos que nossos clientes mudem para a autenticação moderna.

Propriedades de entrada desconhecidas podem ser detectadas em entradas interativas e não interativas. Quando essa detecção é detectada em entradas não interativas, ela merece maior investigação devido ao risco de ataques de reprodução de token.

A seleção de um risco de propriedades de entrada desconhecidas permite que você veja informações adicionais, mostrando mais detalhes sobre o motivo pelo qual esse risco foi disparado.

Verificação do IP do ator de ameaça

Calculado em tempo real. Este tipo de detecção de risco indica atividade de entrada que é consistente com endereços IP conhecidos e associados a atores de um país/região ou grupos de crimes cibernéticos, baseado nos dados do Centro de Inteligência Contra Ameaças da Microsoft (MSTIC).

Detecções premium de risco de usuário

Atividade anômala do usuário

Calculado offline. Essa detecção de riscos define a linha de base do comportamento normal do usuário administrativo no Microsoft Entra ID e identifica padrões anômalos de comportamento, como alterações suspeitas no diretório. A detecção é disparada contra o administrador que está fazendo a alteração ou o objeto que foi alterado.

Attacker in the Middle

Calculado offline. Também conhecida como Adversary in the Middle, essa detecção de alta precisão é disparada quando uma sessão de autenticação está vinculada a um proxy reverso mal-intencionado. Nesse tipo de ataque, o adversário pode interceptar as credenciais do usuário, incluindo tokens emitidos para o usuário. A equipe de Pesquisa de Segurança da Microsoft usa o Microsoft 365 Defender para capturar o risco identificado e eleva o usuário para risco Alto. Recomendamos que os administradores investiguem manualmente o usuário quando essa detecção é disparada para garantir que o risco seja limpo. Limpar esse risco pode exigir redefinição de senha segura ou revogação de sessões existentes.

Possível tentativa de acessar o PRT (token de atualização primário)

Calculado offline. Esse tipo de detecção de risco é descoberto usando informações fornecidas pelo Microsoft Defender para Ponto de Extremidade (MDE). Um Token de Atualização Principal (PRT) é um importante artefato da autenticação do Microsoft Entra em dispositivos Windows 10, Windows Server 2016 e versões posteriores, iOS e Android. Um PRT é um JWT (Token Web JSON) emitido para agentes de token de terceiros da Microsoft para habilitar o SSO (logon único) nos aplicativos usados nesses dispositivos. Os invasores podem tentar acessar esse recurso para se mover lateralmente em uma organização ou realizar o roubo de credenciais. Essa detecção move os usuários para alto risco e só é acionado em organizações que implantam o MDPE. Essa detecção é de alto risco e recomendamos a correção rápida desses usuários. Ela aparece com pouca frequência na maioria das organizações devido ao seu baixo volume.

Tráfego suspeito de API

Calculado offline. Essa detecção de risco é relatada quando o tráfego anormal do GraphAPI ou a enumeração de diretórios é observada. O tráfego suspeito de API pode sugerir que um usuário está comprometido e realizando reconhecimento no ambiente.

Padrões de envio suspeitos

Calculado offline. Esse tipo de detecção de risco é descoberto usando informações fornecidas pelo Microsoft Defender para Office 365 (MDO). Esse alerta é gerado quando uma pessoa na sua organização enviou emails suspeitos e corre o risco de estar ou já foi impedida de enviar emails. Essa detecção migra os usuários para o risco médio e só é acionado em organizações que implantam o MDO. Essa detecção é de baixo volume e é vista com pouca frequência na maioria das organizações.

O usuário relatou atividade suspeita

Calculado offline. Essa detecção de risco é relatada quando um usuário nega um prompt de autenticação multifator (MFA) e o relata como uma atividade suspeita. Uma solicitação de MFA não iniciada por um usuário pode significar que suas credenciais estão comprometidas.

Detecções não premium

Os clientes sem licenças do Microsoft Entra ID P2 recebem detecções intituladas Risco adicional detectado sem as informações detalhadas sobre a detecção que os clientes com licenças P2 recebem. Para obter mais informações, veja os Requisitos de licença.

Detecções premium de risco de entrada

Risco adicional detectado (entrada)

Calculado em tempo real ou offline. Essa detecção indica que uma das detecções premium foi detectada. Como as detecções premium são visíveis apenas para clientes do Microsoft Entra ID P2, elas são intituladas Risco adicional detectado para clientes sem licenças do Microsoft Entra ID P2.

Usuário comprometido confirmado pelo administrador

Calculado offline. Essa detecção indica que um administrador selecionou Confirmar o usuário comprometido na interface do usuário de usuários suspeitos ou usando a API riskyUsers. Para ver qual administrador confirmou que esse usuário está comprometido, verifique o histórico de risco do usuário (por meio da interface de usuário ou API).

Endereço IP anônimo

Calculado em tempo real. Esse tipo de evento de risco indica entradas de um endereço IP anônimo (por exemplo, navegador Tor e VPNs para anonimato). Esses endereços IP costumam ser usados por atores que desejam ocultar as próprias informações de entrada (endereço IP, localização, dispositivo e assim por diante), potencialmente com más intenções.

Inteligência contra ameaças do Microsoft Entra (entrada)

Calculado em tempo real ou offline. Esse tipo de detecção de risco indica atividade do usuário incomum para o usuário ou é consistente com padrões de ataque conhecidos. Essa detecção é baseada nas fontes internas e externas de inteligência contra ameaças da Microsoft.

Dicas para investigação de detecções de inteligência contra ameaças do Microsoft Entra.

Detecções não premium de risco de usuário

Risco adicional detectado (usuário)

Calculado em tempo real ou offline. Essa detecção indica que uma das detecções premium foi detectada. Como as detecções premium são visíveis apenas para clientes do Microsoft Entra ID P2, elas são intituladas Risco adicional detectado para clientes sem licenças do Microsoft Entra ID P2.

Credenciais vazadas

Calculado offline. Essa detecção de risco indica que as credenciais válidas do usuário vazaram. Quando os cibercriminosos comprometem senhas válidas de usuários legítimos, eles geralmente compartilham essas credenciais coletadas. Geralmente, isso é feito postando-as publicamente na deep web ou em paste sites, ou então permutando-as ou vendendo-as no mercado ilegal. Quando o serviço de credenciais vazadas da Microsoft adquire credenciais de usuário da dark Web, de sites de colagem ou de outras pessoas, elas são verificadas em relação às credenciais válidas atuais dos usuários do Microsoft Entra para encontrar correspondências válidas. Para obter mais informações sobre credenciais vazadas, consulte Perguntas comuns.

Dicas para investigação de detecções de credenciais vazadas.

Inteligência contra ameaças do Microsoft Entra (usuário)

Calculado offline. Esse tipo de detecção de risco indica atividade do usuário incomum para o usuário ou é consistente com padrões de ataque conhecidos. Essa detecção é baseada nas fontes internas e externas de inteligência contra ameaças da Microsoft.

Dicas para investigação de detecções de inteligência contra ameaças do Microsoft Entra.

Perguntas comuns

E se as credenciais incorretas foram usadas para tentar entrar?

O Identity Protection gera detecções de risco somente quando as credenciais corretas são usadas. Se credenciais incorretas forem usadas em uma entrada, isso não representará o risco de comprometimento de credenciais.

A sincronização de hash de senha é necessária?

Detecções de risco como credenciais vazadas exigem a presença de hashes de senha para ocorrer. Para obter mais informações sobre o processo real de sincronização de hash de senha, consulte o artigo Implementar a sincronização de hash de senha com o Microsoft Entra Connect Sync.

Por que as detecções de risco são geradas para contas desabilitadas?

Contas de usuário em um estado desabilitado podem ser reabilitadas. Se as credenciais de uma conta desabilitada forem comprometidas e a conta for reabilitada, atores ruins podem usar essas credenciais para obter acesso. O Identity Protection gera detecções de risco para atividades suspeitas contra essas contas desabilitadas para alertar os clientes sobre o possível comprometimento da conta. Se uma conta não estiver mais em uso e não for reabilitada, os clientes devem considerar excluí-la para evitar comprometimento. Nenhuma detecção de risco é gerada para contas excluídas.

Perguntas comuns sobre credenciais vazadas

Onde a Microsoft encontra credenciais vazadas?

A Microsoft encontra credenciais vazadas em diversos locais, incluindo:

  • Sites públicos de colagem em que os atores mal-intencionados normalmente publicam tal material.
  • Agências de aplicação de leis.
  • Outros grupos da Microsoft fazendo pesquisas na deep web.

Por que não vejo credenciais vazadas?

As credenciais vazadas são processadas sempre que a Microsoft encontra um novo lote disponível publicamente. Devido à natureza confidencial, as credenciais vazadas são excluídas logo após o processamento. Somente novas credenciais vazadas encontradas após você habilitar a sincronização de hash de senha (PHS) são processadas no seu locatário. A confirmação com os pares de credenciais encontrados anteriormente não é feita.

Não vejo nenhum evento de risco de credencial vazado

Se não houver eventos de risco de credenciais vazadas, isso ocorreu devido aos seguintes motivos:

  • Você não tem o PHS habilitado para seu locatário.
  • A Microsoft não encontrou pares de credenciais vazadas que correspondam aos seus usuários.

Com que frequência a Microsoft processa novas credenciais?

As credenciais são processadas imediatamente depois de serem encontradas, normalmente em vários lotes por dia.

Locais

A localização nas detecções de risco é determinada usando a pesquisa de endereço IP. As credenciais de localizações nomeadas confiáveis melhoram a precisão do cálculo de risco do Microsoft Entra ID Protection, reduzindo o risco de credenciais do usuário quando ele se autentica de uma localização marcada como confiável.