Purview Insider Risk Management (IRM) Agora Integrado com ENTRA Conditional Access

Uma novidade bem interessante anunciada em preview a poucos dias é a integração do resultado do Purview IRM com o acesso condicional do ENTRA.

Relembrando o que é o Insider Risk Management

O Purview IRM é um recurso do Defender XDR para monitorar atividades na organização no nível individual e corporativo.

Ele permite comparar o comportamento de um usuário em relação ao seu proprio comportamento tradicional ou ao comportamento da corporação como um todo e detectar anomalias. Por exemplo ele é capaz de detectar quando um funcionário enviou uma quantidade de emails ou copiou arquivos em uma curva diferente do que ele costuma fazer no dia a dia. Esse comportamento indica que o usuário está exfiltrando dados, seja interno ou externo.

Para os que não o conhecem, tratei desde recurso no Ignite After Party de 2022 (Marcelo Sincic | Evitando vazamento de dados com o Microsoft Purview).

Integrando com o Acesso Condicional

Neste preview agora podemos usar as métricas do IRM para detectar e bloquear um usuário que esteja tendo comportamento anormal.

Esse novo recurso irá evitar dinamicamente duas situações de risco:

  1. Um usuário que está vazando ou copiando dados continue se logando nos sistemas e serviços como OneDrive, SharePoint e outros será bloqueado após seu nivel de alerta alcançar o que você determinar
  2. Um hacker ou ator malicioso está copiando os dados para outro local se passando por um usuário legitimo que pode ter tido credenciais roubadas

A configuração dessa integraçao é muito simples, indique essa nova condição de acesso e o nivel desejado de sensibilidade:

Conclusão

Agora você poderá ter uma ação automatica e reativa quando houver a detecção de anomilia no comportamento de um usuario no IRM.

Referencia técnica: Help dynamically mitigate risks with adaptive protection (preview) | Microsoft Learn