Uma novidade bem interessante anunciada em preview a poucos dias é a integração do resultado do Purview IRM com o acesso condicional do ENTRA.
Relembrando o que é o Insider Risk Management
O Purview IRM é um recurso do Defender XDR para monitorar atividades na organização no nível individual e corporativo.
Ele permite comparar o comportamento de um usuário em relação ao seu proprio comportamento tradicional ou ao comportamento da corporação como um todo e detectar anomalias. Por exemplo ele é capaz de detectar quando um funcionário enviou uma quantidade de emails ou copiou arquivos em uma curva diferente do que ele costuma fazer no dia a dia. Esse comportamento indica que o usuário está exfiltrando dados, seja interno ou externo.
Para os que não o conhecem, tratei desde recurso no Ignite After Party de 2022 (Marcelo Sincic | Evitando vazamento de dados com o Microsoft Purview).
Integrando com o Acesso Condicional
Neste preview agora podemos usar as métricas do IRM para detectar e bloquear um usuário que esteja tendo comportamento anormal.
Esse novo recurso irá evitar dinamicamente duas situações de risco:
- Um usuário que está vazando ou copiando dados continue se logando nos sistemas e serviços como OneDrive, SharePoint e outros será bloqueado após seu nivel de alerta alcançar o que você determinar
- Um hacker ou ator malicioso está copiando os dados para outro local se passando por um usuário legitimo que pode ter tido credenciais roubadas
A configuração dessa integraçao é muito simples, indique essa nova condição de acesso e o nivel desejado de sensibilidade:
Conclusão
Agora você poderá ter uma ação automatica e reativa quando houver a detecção de anomilia no comportamento de um usuario no IRM.
Referencia técnica: Help dynamically mitigate risks with adaptive protection (preview) | Microsoft Learn
Uma mudança importante implantada em Preview no final de Novembro no Azure Active Directory é a localização por GPS.
Anteriormente só tinhamos a opção de usar o endereço IP, porem se a empresa utilizasse proxies externos ou o funcionário estivesse em uma rede com VPN como é o caso agora de muitos antivirus modernos com Web Protection, temos um problema!
Agora é possivel incluir nas politicas de acesso condicional que o usuário habilite o GPS do celular e com isso ter a localização geográfica real ao invés do IP.
Para isso entre nas politicas de Localizações e utilize a opção Determinar localização por coordenadas GPS:
Uma necessidade das empresas com a LGPD (Lei Geral de Proteção de Dados) é que os funcionários, terceiros e contratados com logins no ambiente é ter um termo de aceite.
Algumas empresas já o fazem na admissão de colaborados ou contratação quando terceiros. Esses termos de uso frequentemente se tornam obsoletos e enviar por email nem sempre se tem a “prova” de que o colaborador leu os novos termos.
Por outro lado, mesmo que não tenha renovação dos termos, um registro de que o colaborador leu periodicamente para relembrá-lo das normas de segurança é desejável para muitas empresas ou corporações.
Criando os Termos de Uso
O termo de uso precisa ser alinhado com o departamento legal junto com RH, uma vez que existem padrões e termos obrigatórios.
Uma vez definidos, gere um PDF que fará upload no portal do Azure em Acesso Condicional em Gerenciamento – Termos de Uso:
Veja que nessa opção já será onde poderemos auditar quem leu os termos e também fazer upload em diversos idiomas!
Importante: Veja a opção Periodicidade onde deixei como Mensal para que todos os meses (a cada 30 dias) os usuários tenham que aceitar novamente os termos. Outro item importante é a opção Exigir que os Termos sejam Expandidos.
Criando a Regra de Acesso Condicional para Termos de Uso
Para criar a Politica de Acesso, use o menu Politicas:
Nas politicas defina como regra de Permissão o Termo de Uso criado anteriormente. Veja que se houverem diversos termos de uso por conta de colaboradores e terceiros terem diferentes regras, poderá escolher qual se aplica.
No exemplo acima, seguimos a recomendação de termos uma politica de acesso especifica para os Termos de Uso e obrigando a leitura.
Claro que existem outras opções como a quem se aplica, regras combinadas, etc.
Resultado
E aqui o resultado, a cada 30 dias eu preciso expandir o Termo de Uso para acessar os recursos do Office 365:
No caso, eu já havia expandido os termos para que o botão Acessar estivesse habilitado 