Como detectar logons fora de locais confiáveis no Microsoft Entra ID

Netwrix Auditor for Microsoft EntraID

1. Execute o Netwrix Auditor → Navegue até "Pesquisar" → Especifique os seguintes critérios:

• Filtro – "Fonte de dados"
  Operador – "Igual a"
  Valor – "Azure AD"
• Filtro – "Tipo de objeto"
  Operador – "Igual a"
  Valor – "Logon"
• Filtro – "Workstation"
  Operador – "Não contém"
  Valor – Um endereço IP ou localização a ser excluído

Você pode excluir vários endereços IP ou localizações adicionando filtros adicionais de “Workstation”.

2. Clique em “Pesquisar”:

Para salvar este relatório para uso futuro, clique em “Ferramentas” -> Clique em “Salvar como relatório” -> Especifique um nome para o seu relatório -> Clique em “Salvar”.

Saiba mais sobre Netwrix Auditor for Microsoft Entra ID

Solução Nativa

1. Abra portal.azure.com -> Clique em “Azure Active Directory”.
2. Na seção de Monitoramento, clique em “Sign-ins”.
3. Clique em Download -> CSV.
4. Importe o arquivo resultante para o Microsoft Excel:
   • No Excel, clique em Arquivo -> Abrir –> Escolha o arquivo que acabou de baixar.
   • No Assistente de Importação de Texto, escolha Tipo de Dados = “Delimitado” e marque a caixa “Meus dados têm cabeçalhos” -> Clique em Avançar.
   • Na seção Delimitadores, marque “Vírgula” -> Clique em Próximo.
   • Deslize pela pré-visualização dos campos e escolha “Não importar coluna (ignorar)”, deixando apenas as seguintes colunas: Data (UTC), Usuário, Nome de usuário, Endereço IP, Localização, Status. (Para mais detalhes de logon, você também pode deixar os campos “Aplicativo”, “Recurso”, “Requisito de autenticação”, “Navegador”, “Sistema Operacional” marcados.) -> Clique em “Concluir”.
5. Filtre por locais confiáveis (ou endereços IP) utilizando a coluna “Localização” (ou “Endereço IP”).
6. Revise os resultados:

Encontre acessos suspeitos ao seu Microsoft Entra ID com mais facilidade

Muitas organizações têm operado com uma força de trabalho remota expandida por vários meses agora. Embora a maioria dos desafios relacionados a colocar trabalhadores remotos em funcionamento tenha sido resolvida, ainda existem sérios desafios de segurança. Em particular, não podemos mais confiar em regras tradicionais de firewall para controlar o acesso, especialmente à medida que as ameaças se tornam mais sofisticadas.

As políticas de acesso condicional do Microsoft Entra ID permitem que você controle o acesso do usuário aos recursos e até implemente MFA com base na localização de entrada. No entanto, com tantos trabalhadores remotos e aplicações na nuvem, sua superfície de ataque é significativamente maior e, portanto, é crítico acompanhar os eventos de entrada no Azure.

Os registros de auditoria de ID do Microsoft Entra registram todos os eventos de logon, mas você não pode filtrar efetivamente as entradas para excluir locais conhecidos (seguros), deixando-o com um volume impossível de informações para processar manualmente.

Netwrix Auditor for Microsoft Entra ID facilita o controle de acesso para segurança e conformidade, fornecendo relatórios de segurança sobre tentativas bem-sucedidas e falhas de acesso ao seu Microsoft Entra ID e aplicações na nuvem. A função de busca conveniente permite que você filtre registros desnecessários e encontre rapidamente as informações que procura. Você pode até salvar sua busca como um relatório personalizado ao qual pode inscrever partes interessadas e configurar um alerta para garantir que você esteja imediatamente ciente de qualquer tentativa suspeita de login.