Partilhar via

Responda a ameaças de identidade utilizando a sumarização de utilizadores com risco

O Microsoft Entra ID Protection aplica os recursos do Copilot no Microsoft Entra para resumir o nível de risco de um usuário, fornecer informações relevantes para o incidente em questão e fornecer recomendações para mitigação rápida. A investigação de risco de identidade é um passo crucial para defender uma organização. O Copilot no Microsoft Entra ajuda a reduzir o tempo de resolução, fornecendo aos administradores de TI e analistas do centro de operações de segurança (SOC) o contexto certo para investigar e remediar o risco de identidade e incidentes baseados em identidade. A sumarização de usuários arriscados fornece aos administradores e respondedores acesso rápido às informações mais críticas no contexto para ajudar na investigação.

Responda rapidamente a ameaças de identidade:

  • Resumo do risco: resumir em linguagem natural por que o nível de risco do usuário foi elevado.
  • Recomendações: obtenha orientações sobre como mitigar e responder a esses tipos de ataques, com links rápidos para ajuda e documentação.

Este artigo descreve como acessar o recurso de resumo do usuário arriscado do Microsoft Entra ID Protection e Copilot no Microsoft Entra. O uso desse recurso requer licenças do Microsoft Entra ID P2.

Pré-requisitos

Investigue usuários de risco

Para visualizar e investigar um usuário arriscado:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Segurança.

  2. Navegue até Proteção de Identidade>Utilizadores de risco.

  3. Selecione um usuário no relatório de usuários arriscados.

    Captura de tela que mostra o relatório de usuários arriscados da Proteção de ID.

  4. Na janela Detalhes do Usuário Arriscado , as informações aparecem em Resumir.

    Captura de ecrã que mostra os detalhes do resumo do utilizador arriscado da Proteção de ID.

O resumo do usuário arriscado contém três seções:

  • Resumo por Copilot: resume em linguagem natural por que o ID Protection sinalizou o utilizador como estando em risco.
  • O que fazer: lista as próximas etapas para investigar esse incidente e evitar incidentes futuros.
  • Ajuda e documentação: lista recursos para ajuda e documentação.

Neste exemplo, as remediações sugeridas são:

A ajuda e a documentação sugeridas são:

Investigue usuários arriscados usando o Copilot

Inicie o Security Copilot a partir do botão Copilot no centro de administração do Microsoft Entra. Use perguntas ou prompts em linguagem natural para:

  • Listar ou identificar usuários com base no risco
  • Extrair informações de risco específicas do usuário
  • Resumir o histórico de risco do usuário

Listar ou identificar usuários com base no risco

Usando o Microsoft Security Copilot, você pode facilmente recuperar e resumir informações sobre o status de risco do usuário em seu sistema.

Por exemplo:

  • Liste todos os usuários atualmente sinalizados como arriscados.
  • Mostrar os usuários que estão atualmente em risco.
  • Identifique os usuários que foram marcados como de risco.
  • Liste todos os usuários que foram comprometidos.
  • Mostrar aos utilizadores que são atualmente considerados seguros.
  • Quantos usuários são atualmente sinalizados como arriscados?
  • Forneça uma contagem de todos os usuários arriscados.

Informações sobre riscos específicos do utilizador

Usando o Microsoft Security Copilot, você pode se concentrar em um usuário específico e identificar seu nível de risco.

Por exemplo:

  • Determinar se este usuário é atualmente de alto risco
  • Exibir informações detalhadas de risco para este usuário

Histórico de risco do usuário

Usando o Microsoft Security Copilot, você pode recuperar informações anteriores sobre um usuário ao longo do tempo para estabelecer seu histórico de riscos.

  • Mostrar o histórico de riscos para este utilizador
  • Este usuário já foi sinalizado como arriscado
  • Este utilizador estava anteriormente em risco

Conteúdo relacionado

  • Last updated on