O Identity Protection (Proteção de identidade) usa os aprendizados que a Microsoft adquiriu com sua posição em organizações com o Azure Active Directory, com o espaço do consumidor nas Contas Microsoft e com os jogos do Xbox para proteger seus usuários. A Microsoft analisa trilhões de sinais por dia para identificar e proteger os clientes contra ameaças. O Identity Protection permite que as organizações executem três tarefas importantes:
• Automatizar a detecção e a correção de riscos baseados em identidade.
• Investigar os riscos usando os dados no portal.
• Exportar dados de detecção de risco para outras ferramentas.
Os sinais gerados pelo Identity Protection e fornecidos a ele podem ser alimentados posteriormente em ferramentas como o Acesso Condicional para tomar decisões de acesso ou retroalimentar uma ferramenta de SIEM (gerenciamento de eventos e informações de segurança) para uma investigação mais detalhada.
Detectar Risco
O Identity Protection detecta riscos de vários tipos, incluindo:
• Uso de endereço IP anônimo
• Viagem atípica
• Endereço IP vinculado a malware
• Propriedades de entrada desconhecidas
• Credenciais vazadas
• Pulverização de senha
e muito mais…
Os sinais de risco podem disparar esforços de correção, como exigir: a execução da autenticação multifator, redefinição de senhas usando a redefinição de senha por autoatendimento ou o bloqueio do acesso até que um administrador execute uma ação.
Investigar Risco
Os administradores podem examinar as detecções e executar uma ação manual sobre elas, se necessário. Há três importantes relatórios que os administradores usam para investigações no Identity Protection:
• Usuários de risco
• Entradas de risco
• Detecções de risco
• Níveis de risco.
O Identity Protection categoriza os riscos em camadas: baixa, média e alta.
A Microsoft não fornece detalhes específicos sobre como o risco é calculado. Cada nível de risco traz maior confiança de que o usuário ou a entrada está comprometida. Por exemplo, algo como uma instância de propriedades de entrada desconhecidas para um usuário pode não ser tão ameaçador quanto as credenciais vazadas para outro usuário.
O Identity Protection categoriza os riscos em camadas: baixa, média e alta.
A Microsoft não fornece detalhes específicos sobre como o risco é calculado. Cada nível de risco traz maior confiança de que o usuário ou a entrada está comprometida. Por exemplo, algo como uma instância de propriedades de entrada desconhecidas para um usuário pode não ser tão ameaçador quanto as credenciais vazadas para outro usuário.
Uso posterior de informações de risco
Os dados do Identity Protection podem ser exportados para outras ferramentas para serem arquivados, investigados ainda mais e correlacionados. As APIs baseadas no Microsoft Graph permitem que as organizações coletem esses dados para processamento adicional em uma ferramenta como o SIEM.
As organizações podem optar por armazenar dados por períodos maiores ao alterar as configurações de diagnóstico no Azure AD. Elas podem optar por enviar os dados para um workspace do Log Analytics, arquivá-los em uma conta de armazenamento, transmiti-los para Hubs de Eventos ou enviá-los para a solução de um parceiro.
Todo esse conteúdo foi encontrado no docs da Microsoft e lá existem muitas outras informações importantes, encontre clicando aqui.