O que são detecções de riscos?
As detecções de risco são recursos que ajudam as organizações a identificar atividades suspeitas em contas de usuário, alertando-as para possíveis ameaças e permitindo respostas rápidas. Esses riscos podem envolver ações incomuns, como tentativas de login de locais atípicos, uso de IPs suspeitos, ou comportamento anômalo durante o acesso a arquivos confidenciais.
Quando o sistema detectar alguma ação suspeita, essa tela aparecerá na sua clínica:
Níveis de riscos
Para ajudar a proteger contas, os riscos são categorizados em três níveis: baixo, médio e alto, dependendo da gravidade. Detecções de risco de nível alto indicam que a Microsoft tem alta confiança de que a conta foi comprometida, enquanto um nível baixo sugere apenas anomalias, sem certeza de invasão. Existem detecções de risco em tempo real (para ações rápidas) e offline (para análises mais detalhadas).
Importante💡: essa ferramenta também utiliza inteligência contra ameaças para identificar tentativas de invasão por meio de fontes externas, como IPs associados a crimes cibernéticos, protegendo assim o ambiente organizacional com maior precisão e agilidade.
Quando é solicitado a autenticação?
Talvez você esteja se perguntando o motivo que ser solicitado autenticação, as detecções identificam riscos em logons e atividades de usuários. Abaixo listamos algumas das situações mais comuns que são feitas estas detecções. Elas incluem:
1 | Risco de logon:
• Endereço IP anônimo: Identifica uso de IPs de proxy anônimos;
• Token anômalo: Detecta tokens com características suspeitas;
• Viagem atípica/impossível: Sinaliza logins em locais distantes sem tempo viável de viagem;
• IP mal-intencionado: Baseado em reputação de IP;
• Acesso em massa a arquivos: Identifica acesso incomum a arquivos confidenciais;
• Novo país: Logins em locais novos para o usuário;
• Pulverização de senha: Indica tentativa de força bruta com senha válida;
• Navegador suspeito: Logins de múltiplos países com o mesmo navegador;
• Encaminhamento/regras de caixa de entrada suspeitos: Busca regras de e-mail suspeitas;
• Propriedades de entrada desconhecidas: Detecta logons com características diferentes das habituais;
• Verificação de IP de ameaça: Identifica IPs associados a atores mal-intencionados.
2 | Risco de usuário:
• Atividade anômala: Detecta padrões de comportamento administrativo anormais;
• Attacker in the Middle: Identifica sessões interceptadas por proxies mal-intencionados;
• Acesso ao token PRT: Detecta tentativas de roubo de PRT;
• Tráfego suspeito de API: Indica uso suspeito de GraphAPI;
• Envio suspeito de e-mails: Sinaliza envios anômalos de e-mails;
• Relato de atividade suspeita: Usuário nega autenticação MFA e reporta suspeita.
Essas detecções visam proteger contra atividades suspeitas e possíveis compromissos de segurança, recomendando a investigação ou correção dos riscos identificados.
Importante💡: a autenticação de dois fatores (2FA) é uma aliada importante na proteção das nossas contas online. Com ela, mesmo que alguém descubra nossa senha, ainda precisa passar por uma segunda barreira, como um código enviado para o celular ou a confirmação por biometria. Essa camada extra faz toda a diferença para manter nossas informações seguras, reduzindo muito as chances de invasão e nos trazendo mais tranquilidade no uso de aplicativos e serviços online.
O que achou do nosso artigo? Deixe seu feedback! 💚