Responda às ameaças de identidade usando o resumo de usuários suspeitos

O Microsoft Entra ID Protection aplica os recursos do Copilot no Microsoft Entra para resumir o nível de risco de um usuário, fornecer insights relevantes para o incidente em questão e fornecer recomendações para mitigação rápida. A investigação de risco de identidade é uma etapa crucial para defender uma organização. O Copilot no Microsoft Entra ajuda a reduzir o tempo de resolução fornecendo aos administradores de TI e analistas do SOC (Centro de Operações de Segurança) o contexto certo para investigar e corrigir o risco de identidade e incidentes baseados em identidade. A sumarização de usuários suspeitos fornece aos administradores e aos respondentes acesso rápido às informações mais importantes no contexto para ajudar na investigação.

Responda rapidamente às ameaças de identidade:

Resumo do risco: resumir em linguagem natural por que o nível de risco do usuário foi elevado.
Recomendações: obtenha diretrizes sobre como mitigar e responder a esses tipos de ataques, com links rápidos para ajuda e documentação.

Este artigo descreve como acessar a capacidade de resumo de usuários em risco do Microsoft Entra ID Protection e do Copilot no Microsoft Entra. Usar esse recurso requer licenças do Microsoft Entra ID P2.

Pré-requisitos

Um locatário com o Security Copilot habilitado. Consulte Introdução ao Microsoft Security Copilot para obter mais informações.

Investigar usuários arriscados

Para exibir e investigar um usuário arriscado:

Entre no Centro de administração do Microsoft Entra com a função de pelo menos Leitor de Segurança.
Navegue até Proteção de ID>usuários arriscados.
Selecione um usuário no relatório de usuários arriscados.
Na janela Detalhes do Usuário Arriscado , as informações são exibidas em Resumo.

O resumo do perfil de risco do usuário contém três seções:

Resumo por Copilot: resume em linguagem natural por que a Proteção de ID marcou o usuário como um risco.
O que fazer: lista as próximas etapas para investigar esse incidente e evitar incidentes futuros.
Ajuda e documentação: lista os recursos para ajuda e documentação.

Neste exemplo, as correções sugeridas são:

Crie políticas de acesso condicional baseadas em risco de entrada e risco do usuário.

A ajuda e a documentação sugeridas são:

Investigar usuários arriscados usando Copilot

Inicie o Security Copilot no botão Copilot no Centro de administração do Microsoft Entra. Use perguntas ou prompts de linguagem natural para:

Listar ou identificar usuários com base no risco
Extrair informações de risco específicas do usuário
Resumir o histórico de risco do usuário

Listar ou identificar usuários com base no risco

Usando o Microsoft Security Copilot, você pode recuperar e resumir facilmente informações sobre o status de risco do usuário em seu sistema.

Por exemplo:

Liste todos os usuários sinalizados no momento como arriscados.
Mostrar usuários que estão em risco no momento.
Identifique os usuários que foram marcados como arriscados.
Listar todos os usuários que foram comprometidos.
Mostrar aos usuários que atualmente são considerados seguros.
Quantos usuários estão sinalizados no momento como arriscados?
Forneça uma contagem de todos os usuários arriscados.

Informações de risco específicas do usuário

Usando o Microsoft Security Copilot, você pode se concentrar em um usuário específico e identificar seu nível de risco.

Por exemplo:

Determinar se esse usuário está atualmente em alto risco
Exibir informações detalhadas de risco para este usuário

Histórico de risco do usuário

Usando o Microsoft Security Copilot, você pode recuperar informações passadas sobre um usuário ao longo do tempo para estabelecer seu histórico de riscos.

Mostrar o histórico de riscos para este usuário
Esse usuário já foi sinalizado como arriscado
Esse usuário estava em risco anteriormente

Saiba mais sobre usuários arriscados.

Comentários

Esta página foi útil?

Last updated on 2025-10-03