Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=identity-detection-faq

Perguntas frequentes sobre ITDR

Encontre respostas para perguntas comuns sobre o Sophos ITDR.

Quais provedores de identidade são suportados?

O Microsoft Entra ID é suportado.

Posso adicionar mais de um locatário do Microsoft Entra ID?

Sim, é possível adicionar vários locatários do Entra ID na página de Configurações de Identidade. Para obter mais informações, consulte Configurações de Identidade.

Qual licença do Microsoft Entra ID eu preciso?

O ITDR requer o Entra ID P1 ou P2, que estão disponíveis em produtos autônomos, complementos ou incluídos em outras licenças da Microsoft, como Microsoft 365 E3 e E5, Microsoft Business Premium e Microsoft 365 Frontline Worker F1, F3 e F5. O Microsoft Entra ID Free fornece acesso às APIs da Microsoft, mas limita alguns dos dados que podem ser ingeridos e verificações de postura que podem ser executadas.

Quanto tempo leva para o ITDR ser atualizado após a atualização do Entra ID Free para uma licença P1 ou P2?

O ITDR depende das APIs da Microsoft para coletar informações da conta. A Microsoft também restringe o acesso a determinadas APIs com base em licenciamento, de modo que informações como se um usuário é um administrador ou tem MFA registrado não aparecerão imediatamente após a atualização de uma licença. Podem ocorrer atrasos de até uma semana antes que a Microsoft forneça as informações atualizadas do usuário após um cliente atualizar a licença. Você pode verificar as informações no relatório de atividades no centro de administração do Microsoft Entra. Para obter mais informações, consulte Atividade de métodos de autenticação. Se as informações contidas no relatório do usuário não forem atualizadas, o ITDR também ficará desatualizado até que a Microsoft atualize as informações.

Por que meus usuários estão aparecendo como não protegidos por MFA?

Relacionamos abaixo algumas das possíveis causas:

  • Você não possui a licença Microsoft Entra ID necessária, como P1 ou P2.
  • Você recentemente atualizou sua licença e a Microsoft ainda não disponibilizou os dados. Para obter mais detalhes, consulte "Quanto tempo leva para o ITDR ser atualizado após a atualização do Entra ID Free para uma licença P1 ou P2?".

  • Você está utilizando um provedor de MFA de terceiros, como Okta ou Duo, com uma configuração legada. Neste cenário, o status do MFA não será relatado corretamente, pois o Microsoft Entra ID não armazena as informações do MFA no nível do usuário para provedores externos de MFA. Contudo, podemos deduzir que um provedor externo está sendo usado se você usar os novos métodos de autenticação externa da Microsoft na configuração do seu locatário do Entra ID.

    Para obter mais informações, consulte o Microsoft Entra Blog. Detalhes adicionais de configuração estão disponíveis para Duo e Okta. Para obter mais informações, consulte a documentação do Duo e a documentação do Okta.

Com que frequência são realizadas as verificações de postura?

O ITDR inclui uma suíte de avaliações, cada uma responsável por executar diferentes verificações, que são realizadas nos seguintes intervalos:

  • Verificações de postura do Entra ID: a cada 2 horas.
  • Verificações de recursos inativos: a cada 2 horas.
Com que frequência os dados são coletados do Entra ID?

Após a configuração inicial, coletamos o catálogo completo de dados do Microsoft Entra ID. Depois disso, verificamos atualizações com base no tipo dos dados conforme descrito abaixo:

  • Detalhes do usuário: a cada 10 minutos.
  • Detalhes de aplicativos e Entidades de serviço: a cada 10 minutos.
  • Grupos: a cada 10 minutos.
  • Dispositivos: a cada 10 minutos.
  • Configuração de MFA do Usuário: a cada 15 minutos.
  • Atividade do usuário (Último login): a cada 6 horas.
  • Dados de domínio: a cada 24 horas.
Com que frequência a pontuação de Postura de Risco de Identidade é atualizada?

A pontuação de Postura de Risco de Identidade é atualizada diariamente com base nas alterações do dia anterior. A pontuação aumenta ou diminui de acordo com as novas descobertas observadas ou se descobertas existentes forem resolvidas ou descartadas.

Como posso ver a lista de verificações que estão sendo realizadas?

Você pode ver a lista de verificações na guia Preferências de Verificação de Postura na página Configurações de Identidade. Para obter mais informações, consulte Configurações de Identidade.

Posso personalizar as verificações que estão sendo executadas no meu ambiente?

Sim, você pode ativar e desativar as verificações de postura na guia Preferências de Verificação de Postura na página Configurações de Identidade. Para obter mais informações, consulte Configurações de Identidade.

O ITDR é um serviço?

Não, o ITDR é um software que você monitora. No entanto, se você tiver o serviço MDR, a equipe de Operações MDR investigará as ameaças baseadas em identidade, além do que já investigam.

Se eu tiver o serviço MDR, a equipe de Operações MDR faz a triagem das minhas descobertas?

A equipe de Operações MDR foca principalmente em ameaças de identidade ativas e analisará um subconjunto de descobertas de nível Crítico ou Alto que possam indicar uma ameaça ativa. No entanto, é sua responsabilidade monitorar e gerenciar as descobertas.

Se eu tiver o serviço MDR, como o ITDR ajudará a equipe de Operações MDR?

A equipe de Operações MDR utiliza o contexto de identidade adicional coletado do Microsoft Entra ID para compreender melhor os usuários e os riscos associados, o que ajuda a acelerar os processos de investigação e resposta em ambas as detecções: de identidade e não identidade, às quais o usuário foi correlacionado.

O que determina se uma identidade for sinalizada como admin?

A sinalização de Admin no Entra ID é definida como verdadeira para usuários atribuídos a funções reconhecidas como administrativas ou privilegiadas dentro do Entra ID. Essas funções geralmente têm controle significativo sobre os recursos de diretório, usuários e configurações de segurança. Segue abaixo, uma lista das funções do Entra ID que definem o sinalizador de admin como verdadeiro:

  • Administrador global: Acesso total a todos os recursos administrativos no Entra ID.
  • Administrador de funções com privilégios: Gerencia atribuições de função no Entra ID, incluindo a atribuição de outros administradores.
  • Administrador de usuários: Gerencia contas de usuário, grupos e alguns atributos de usuário.
  • Administrador de segurança: Tem acesso total a todos os recursos e configurações de segurança.
  • Administrador de conformidade: Gerencia recursos relacionados à conformidade, como Descoberta Eletrônica e auditoria.
  • Administrador de aplicativos: Gerencia registros de aplicativos e configurações no Entra ID.
  • Administrador de autenticação: O usuário pode visualizar, definir e redefinir controles e métodos de autenticação, inclusive redefinição de senhas.
  • Administrador do Exchange: Gerencia configurações do Microsoft Exchange Online.
  • Administrador do SharePoint: Gerencia configurações do SharePoint Online.
  • Administrador do Teams: Gerencia configurações do Microsoft Teams.
  • Administrador do Intune: Gerencia as configurações e parâmetros de gerenciamento de dispositivos no Microsoft Intune.
  • Administrador de cobrança: Gerencia assinaturas, faturas e tíquetes de suporte.
  • Administrador da assistência técnica: Limitado a redefinições de senhas e solução de problemas básicos.
  • Administrador do suporte de serviços: Gerencia configurações relacionadas ao suporte de serviços.
  • Leitores de diretório (se combinado com outras funções privilegiadas): Podem ler informações de diretório; geralmente combinados com outra função para elevar privilégios.
  • Leitor global (se combinado com outra função de administrador): Acesso somente leitura a todos os serviços Entra ID e Microsoft; pode definir o sinalizador de admin como verdadeiro ao ser combinado com outra função de administrador.
  • Leitor de relatórios (se combinado com outra função de administrador): Acesso a relatórios e logs, geralmente combinado com outras responsabilidades administrativas.
  • Administrador de acesso condicional: Gerencia políticas de acesso condicional.
  • Administrador do Identity Governance: Gerencia configurações relacionadas à governança de identidade, revisões de acesso e gerenciamento de privilégios.
  • Funções personalizadas com privilégios administrativos: Uma função personalizada com permissões administrativas comparável ​​a qualquer uma das funções acima também pode definir o sinalizador de admin como verdadeiro.

Essa lista cobre as funções padrão no Entra ID que impactam o sinalizador de admin. No entanto, se a Microsoft atualizar essas funções ou adicionar novas funções, o comportamento do sinalizador de admin mudará de acordo.

O que determina se uma identidade é marcada como inativa (dormente)?

Se a última entrada foi realizada há mais de 90 dias, marcamos o usuário como inativo.

Com que frequência você verifica credenciais vazadas?

Monitoramos continuamente vazamentos de credenciais e assim que uma correspondência é identificada dentro do conjunto de dados, nós a processamos e determinamos se é válida.

Como são geradas as descobertas de comprometimento de contas?

Para garantir que nossas descobertas sejam acionáveis, seguimos as seguintes etapas de processamento para correlacionar e validar os dados que estamos coletando e analisando:

  1. Verificamos se uma identidade ativa existe nos provedores de identidade configurados.
  2. Identificamos quando a senha em texto puro ou hash foi vazada pela primeira vez com base nos dados históricos disponíveis. Isso é importante porque as listas de combinação recém-publicadas frequentemente contêm dados antigos de violações anteriores.
  3. Se for um valor de senha de texto puro, comparamos esse valor com os requisitos de complexidade de senha global do Microsoft Entra ID para eliminar valores inválidos.
  4. Por fim, comparamos a primeira data vazada da senha com o momento da última alteração de senha para a identidade. Se o vazamento ocorreu após a última alteração de senha, geramos uma descoberta.

Nota

As descobertas de comprometimento de conta são geradas apenas para identidades ativas. No entanto, ainda é possível ver os dados brutos na página Comprometimento de credenciais.

Como são determinados os níveis de risco de encontrar um comprometimento de conta?

Se determinarmos que uma descoberta deve ser gerada, verificaremos a conta associada para ver se o MFA está ativado e com qual nível de segurança. Abaixo estão os níveis de risco associados com base no tipo de usuário, tipo de vazamento e configuração de MFA:

Tipo de conta Tipo de Senha Sem MFA MFA habilitado MFA resistente a phishing habilitado
Conta de admin texto puro Crítico Alto Médio
Conta de admin hash Alto Médio Baixo
Conta não administrativa texto puro Alto Médio Baixo
Conta não administrativa hash Médio Baixo Baixo
Vocês coletam e armazenam hashes ou senhas?

Não, não armazenamos nenhuma das senhas em texto puro ou valores de hash. Também não temos a capacidade de capturar essas informações dos provedores de identidade. Ao varrer e coletar dados, aplicamos um hash personalizado aos valores observados e categorizamos o registro como uma senha em texto puro ou como uma senha com hash. Isso nos permite determinar a singularidade das senhas, bem como calcular métricas sem precisar reter os valores subjacentes das senhas.

Que dados são usados no monitoramento de credenciais vazadas?

Utilizamos dados de várias marketplaces da Dark Web, como o Marketplace russo e o Genesis Market, sites TOR, canais públicos e ocultos do Telegram, e arquivos de log de stealers.