Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=identity-detection-findings

Descobertas

A página Descobertas exibe uma tabela de todos os resultados classificados por risco. As descobertas são o resultado das verificações de postura que são executadas em sua infraestrutura de identidade. Cada descoberta tem um status, nível de risco atribuído e categoria.

Descobertas de identidade.

Status das descobertas

Novas descobertas têm status de Aberto, que você pode alterar nos detalhes da descoberta fazer a triagem e mitigar problemas. O status pode ser:

  • Aberto: A descoberta ainda não foi abordada ou continua no ambiente.
  • Resolvido: A descoberta foi abordada ou mitigada.
  • Descartado: A descoberta é esperada e não precisa ser abordada.

Nível de risco das descobertas

A cada descoberta é atribuído um dos seguintes níveis de risco com base na verificação subjacente e no risco de segurança potencial que representa para a sua organização:

  • Crítico: A descoberta deve ser abordada imediatamente, pois representa um risco significativo.
  • Alto: A descoberta deve ser abordada imediatamente.
  • Média: A descoberta deve ser abordada, mas não representa um risco significativo.
  • Baixo: A descoberta representa um risco menor.
  • Info: A descoberta representa pouco ou nenhum risco, mas deve ser revisada quando houver tempo hábil.

Níveis de Risco de identidade.

Categoria das descobertas

As descobertas são categorizadas da seguinte forma com base no tipo de verificação realizada, alinhando-se à estrutura MITRE ATT&CK, sempre que aplicável:

  • Comportamento de usuário
  • Configuração
  • Lacunas de acesso condicional do Entra
  • Recursos inativos (dormentes)
  • Movimento lateral
  • Comprometimento de credenciais
  • Persistência
  • Escalonamento de privilégio
  • Evasão de defesas
  • Exfiltração

Triagem das descobertas

Faça a triagem das descobertas abordando primeiro aquelas com o nível de risco mais alto para ter o maior impacto na redução da sua superfície de ataque à identidade e na melhoria da sua pontuação de postura. Avalie cada descoberta com base nas necessidades dos negócios, no seu ambiente único, na sua tolerância ao risco e na sua capacidade de lidar com a descoberta. Isso é importante porque as alterações de configuração poderiam ter um impacto adverso nos usuários, nos aplicativos e no acesso.

Nem sempre é viável remediar todas as descobertas, pois pode haver problemas fora do seu controle, como aplicativos de terceiros que exigem permissões elevadas ou que suportam apenas mecanismos de autenticação mais fracos. No entanto, elas ainda representam um risco potencial para a sua organização, do qual você deve estar ciente e o qual deve continuar monitorando.

Depois que a descoberta for avaliada, adote uma das seguintes ações:

  • Resolva a descoberta remediando o problema dentro do sistema de identidade em que foi identificado para removê-la da sua pontuação de risco geral quando for calculada na próxima vez, o que ocorre a cada 24 horas.
  • Descarte a descoberta, o que suprimirá futuras ocorrências dessa descoberta para o objeto em questão e a excluirá da sua pontuação geral de risco. A descoberta continuará disponível na tabela de descobertas, mas não será incluída no painel de controle.
  • Mantenha a descoberta aberta para rastrear descobertas que não podem ser abordadas, o que continuará contribuindo para sua pontuação geral de risco.

Tabela de descobertas de identidade

A tabela de Descobertas de identidade inclui controles para classificar, filtrar e organizar dados. Use o menu de filtro recolhível à esquerda da tabela para reduzir a lista de descobertas.

Ao selecionar os filtros, a tabela e a URL são atualizadas dinamicamente para refletir suas escolhas. Você pode compartilhar a URL com colegas ou salvá-la para ver uma lista específica de descobertas.

Filtros selecionados aparecem acima da tabela. Clique em X para remover um só filtro ou em Limpar tudo para remover todos os filtros e exibir todas as descobertas.

Filtragem de descobertas

Filtre a tabela Descobertas de identidade usando uma combinação dos filtros a seguir:

  • Risco: Nível de risco da descoberta.

  • Status: O status da descoberta, que pode ser um dos seguintes:

    • Aberto
    • Resolvido
    • Descartado

  • Tipo de referência: O tipo de objeto ao qual a descoberta se refere, que pode ser um dos seguintes:

    • Objeto de Usuário
    • Aplicação
    • Objeto de Grupo
    • Objeto de Dispositivo
    • Configuração do locatário

  • Categoria: Categoria da descoberta.

  • É nova: Descobertas que foram vistas pela primeira vez nos últimos sete dias.
  • Descoberta: Título da descoberta.
  • Vista pela primeira vez: Quando a descoberta foi vista pela primeira vez.
  • Vista pela última vez: Quando a descoberta foi vista pela última vez.

Exibir detalhes das descobertas

Clique em um link na coluna Descobertas para exibir o painel de detalhes que inclui sua referência principal, outras referências, risco, carimbo data/hora de primeira visualização, carimbo data/hora de última visualização, carimbo data/hora de última modificação e recomendação.

Para exibir detalhes adicionais da descoberta, clique no ícone no canto superior esquerdo do painel para abrir a exibição da página de tela inteira em uma nova guia. As seguintes informações são exibidas em ambas as exibições:

  • Detalhes da descoberta: Resumo da descoberta, incluindo nível de risco, status, comentários, carimbos data/hora e tags.
  • Descrição: Uma descrição da descoberta.
  • Definição: Informações sobre a verificação de identidade associada e referências.
  • Recomendação: Recomendações da Sophos para mitigar a descoberta.

Painel de detalhes da descoberta.

Dica

Clique na Referência principal ou em Outras referências para ir diretamente para o objeto no Entra ID.

Atualizar status da descoberta

Atualize o status de uma descoberta clicando no menu Status e escolhendo o status desejado:

  • Aberto: A descoberta ainda não foi abordada ou continua no ambiente.
  • Descartado: A descoberta é esperada e não precisa ser abordada. Não serão geradas novas descobertas para esse problema.
  • Resolvido: A descoberta foi abordada ou mitigada.

Após o status ser definido como Resolvido ou Descartado, a descoberta não é mais considerada um risco para o seu ambiente. Se uma descoberta for resolvida manualmente e for vista novamente, ela será reaberta pelo sistema. Assegure-se de que as ações de mitigação necessárias ou tarefas de encerramento sejam concluídas.

As descobertas são resolvidas automaticamente pelo sistema quando não aparecem mais. As descobertas resolvidas pelo sistema incluem um comentário indicando isso.

Guia Resultado

A guia Resultado mostra a saída bruta no formato JSON da verificação que foi realizada. Use-a para ver detalhes adicionais sobre a descoberta que foi gerada.

Guia Histórico

A guia Histórico mostra as ações anteriores realizadas na descoberta. Clique em Exibir diferenças para ver os detalhes exatos da alteração.