Josimar HedlerIdentity Protection é um serviço que permite que as organizações vejam a postura de segurança de qualquer conta. As organizações podem realizar três tarefas principais:
- Automatizar a detecção e a correção de riscos baseados em identidade.
- Investigar os riscos usando os dados no portal.
- Exportar os dados de detecção de riscos a utilitários de terceiros para análise adicional.
Lembre-se sempre de que o Microsoft Entra Identity Protection requer uma licença do Microsoft Entra ID Premium P2 para operar.
Os sinais gerados pelo Identity Protection e fornecidos a ele podem ser alimentados ainda mais em ferramentas como o Acesso Condicional para tomar decisões de acesso ou retroalimentar uma ferramenta SIEM (gerenciamento de evento e informações de segurança) para uma maior investigação com base nas políticas impostas por sua organização.
Requisitos
Para usar o recurso requer uma licença do Microsoft Entra ID Premium P2
Implementar e gerenciar uma política de risco de usuário.
Vá para o porta do Microsft Entra ID.
1 – Clique em Identity Protection.
2 – Depois em Política de risco de entrada.
3 – Defina as atribuições para a política, você pode selecionar um único usuário ou grupo, ou mesmo todos os usuários.
4 – Depois em Habilitado para aplicar a política.
Há duas políticas de risco que podem ser habilitadas na organização.
- Política de risco de entrada: A política de risco de entrada detecta ações suspeitas que vêm junto com a entrada. Ele se concentra na atividade de entrada em si e analisa a probabilidade de que a entrada tenha sido executada por outros que não o usuário.
- Política de risco do usuário: A política de risco do usuário detecta a probabilidade de que uma conta de usuário tenha sido comprometida detectando eventos de risco que são atípicos do comportamento de um usuário.
Ambas as políticas funcionam para automatizar a resposta a detecções de risco em seu ambiente e permitir que os usuários se corrijam quando o risco é detectado.
Você pode escolher os níveis de risco aceitáveis
As organizações podem decidir o nível de risco que estão dispostas a aceitar, equilibrando a experiência do usuário e a postura de segurança.
A recomendação da Microsoft é definir o limite de política de risco do usuário como alto e a política de risco de entrada como médio e superior.
Escolher um limite alto reduz o número de vezes que uma política é disparada e minimiza o desafio para os usuários. No entanto, ele exclui detecções de risco baixo e médio da política, o que não impede um invasor de explorar uma identidade comprometida. Selecionar um limite baixo introduz interrupções adicionais do usuário, mas proporciona uma postura de segurança aumentada.
Habilitando uma política de risco do usuário.
1 – Entre no Centro de administração do Microsoft Entra.
2 – Abra o menu do portal e selecione Identity Protection.
3 – No menu ao lado selecione Política de risco do usuário.
4 – Escolha as atribuições da sua política, como no outro exemplo aqui você também pode selecionar um único usuário ou grupo, ou mesmo todos os usuários.
Em Atribuições, selecione Todos os usuários e examine as opções disponíveis. Você pode selecionar de Todos os usuários ou Selecionar indivíduos e grupos, se limitar a distribuição. Além disso, você pode optar por excluir usuários da política.
Em Risco do usuário, selecione Baixo e superior.
No painel Risco do usuário, selecione Alto e, em seguida, selecione Concluído.
Em Controles, então Acesso e, então, selecione Bloquear acesso.
No painel de acesso, examine as opções disponíveis. Você deve sempre levar em considereção um equilibrio no disparo das políticas.
Dica
A recomendação da Microsoft é permitir o acesso e exigir alteração de senha.
Como monitorar, investigar e corrigir usuários arriscados com privilégios elevados.
Investigar risco
O Identity Protection fornece às organizações três relatórios que podem ser usados para investigar os riscos de identidade nos ambientes: usuários arriscados, entradas arriscadas e detecções de risco. A investigação de eventos é a chave para uma melhor compreensão e identificação dos pontos fracos em sua estratégia de segurança, com esses dados você pode adotar algumas melhorias.
Você pode encontrar os três relatórios no centro de administração do Microsoft Entra. Em seguida em Identidade
1- Em seguida, Proteção – Identity Protection.
2- Depois en relatórios.
Ja identidades de carga de trabalhos arriscadas são: Uma identidade de carga de trabalho é uma identidade que você atribui a uma carga de trabalho de software (como um aplicativo, serviço, script ou contêiner) para autenticar e acessar outros serviços e recursos, mas geralmente identidade de carga de trabalho é algo necessário para que a entidade de software se autentique em algum sistema.
Veja oque que fazer com identidades de usuários arriscadas.
Todos os eventos de risco ativos contribuem para o cálculo de um nível de risco do usuário chamado valor. O nível de risco do usuário é um indicador (baixo, médio, alto) para a probabilidade de que uma conta tenha sido comprometida. Como administrador, você deseja fechar todos os eventos de risco de modo que os usuários afetados não estejam mais em risco.
Algumas detecções de risco são marcadas pelo Identity Protection como “Fechado (sistema)” porque os eventos não foram mais determinados como arriscados.
Os administradores têm as seguintes opções para corrigir:
Correção automática com a política de risco.
Redefinição de senha manual.
Ignorar o risco de usuário.
Aprovar entrada e exigir MFA.
Fechar detecções de risco individuais manualmente.
Exigir que o usuário redefina a senha, mas para isso muito importante que o SSPR esteja abilitado para sua organização.
Você Já utilizou o Identity protection ? Quais desafios enfrentou e quais sucessos alcançou? Sua experiência é valiosa não deixe de compartilhar sua opinião.
Sua contribuição é importante. Venha também fazer parte dessa jornada.
Você sabe oque é PIM ? Veja esse outro artigo sobre como implementar um PIM (Acesso privilegiado)
