Uma novidade bem interessante anunciada em preview a poucos dias é a integração do resultado do Purview IRM com o acesso condicional do ENTRA.
Relembrando o que é o Insider Risk Management
O Purview IRM é um recurso do Defender XDR para monitorar atividades na organização no nível individual e corporativo.
Ele permite comparar o comportamento de um usuário em relação ao seu proprio comportamento tradicional ou ao comportamento da corporação como um todo e detectar anomalias. Por exemplo ele é capaz de detectar quando um funcionário enviou uma quantidade de emails ou copiou arquivos em uma curva diferente do que ele costuma fazer no dia a dia. Esse comportamento indica que o usuário está exfiltrando dados, seja interno ou externo.
Para os que não o conhecem, tratei desde recurso no Ignite After Party de 2022 (Marcelo Sincic | Evitando vazamento de dados com o Microsoft Purview).
Integrando com o Acesso Condicional
Neste preview agora podemos usar as métricas do IRM para detectar e bloquear um usuário que esteja tendo comportamento anormal.
Esse novo recurso irá evitar dinamicamente duas situações de risco:
- Um usuário que está vazando ou copiando dados continue se logando nos sistemas e serviços como OneDrive, SharePoint e outros será bloqueado após seu nivel de alerta alcançar o que você determinar
- Um hacker ou ator malicioso está copiando os dados para outro local se passando por um usuário legitimo que pode ter tido credenciais roubadas
A configuração dessa integraçao é muito simples, indique essa nova condição de acesso e o nivel desejado de sensibilidade:
Conclusão
Agora você poderá ter uma ação automatica e reativa quando houver a detecção de anomilia no comportamento de um usuario no IRM.
Referencia técnica: Help dynamically mitigate risks with adaptive protection (preview) | Microsoft Learn