{"id":2840,"date":"2026-04-14T17:58:44","date_gmt":"2026-04-14T17:58:44","guid":{"rendered":"https:\/\/raise-it.digital\/?p=2840"},"modified":"2026-04-14T17:58:44","modified_gmt":"2026-04-14T17:58:44","slug":"o-que-e-itdr-identity-threat-detection-and-response","status":"publish","type":"post","link":"https:\/\/raise-it.digital\/en\/blog\/o-que-e-itdr-identity-threat-detection-and-response\/2026\/","title":{"rendered":"O que \u00e9 ITDR (Identity Threat Detection and Response)?"},"content":{"rendered":"<p><strong>ITDR <\/strong>\u00e9 a disciplina (e o conjunto de controles) focada em<strong> detectar e responder a amea\u00e7as que exploram identidade<\/strong>: credenciais roubadas, sequestro de sess\u00e3o, abuso de permiss\u00f5es e movimenta\u00e7\u00e3o lateral usando contas leg\u00edtimas.<\/p>\n\n\n\n<p>No cen\u00e1rio atual, o atacante muitas veze<strong>s n\u00e3o \u201cinvade\u201d quebrando firewall <\/strong>\u2014 ele <strong>entra autenticando<\/strong>, com usu\u00e1rio e senha vazados, token roubado, MFA burlado ou conta privilegiada abusada.<\/p>\n\n\n\n<p>O objetivo do ITDR \u00e9 reduzir duas coisas:<\/p>\n\n\n\n<p><strong>\u00b7 Tempo para detectar<\/strong> que a identidade foi comprometida.<\/p>\n\n\n\n<p><strong>\u00b7 Tempo para conter <\/strong>antes de virar incidente maior (exfiltra\u00e7\u00e3o, ransomware, fraude).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Para que serve o ITDR nas empresas<\/h2>\n\n\n\n<p><strong>1) Detectar anomalias de identidade (o \u201csinal fraco\u201d antes do estrago)<\/strong><\/p>\n\n\n\n<p>ITDR busca padr\u00f5es como:<\/p>\n\n\n\n<p><strong>\u00b7 impossible travel<\/strong> (login em locais distantes em intervalo irreal)<\/p>\n\n\n\n<p>\u00b7 uso de <strong>dispositivo novo <\/strong>ou <strong>localiza\u00e7\u00e3o at\u00edpica<\/strong><\/p>\n\n\n\n<p>\u00b7 mudan\u00e7as suspeitas: reset de senha, troca de MFA, cria\u00e7\u00e3o de tokens<\/p>\n\n\n\n<p><strong>\u00b7 volume anormal<\/strong> de falhas de login, tentativas em massa, spray de senha<\/p>\n\n\n\n<p>\u00b7 acesso a sistemas\/dados incomuns para aquele usu\u00e1rio<\/p>\n\n\n\n<p>Aqui o ponto \u00e9:<strong> identificar comportamento<\/strong> fora do normal, mesmo que o login pare\u00e7a \u201cv\u00e1lido\u201d.<\/p>\n\n\n\n<p><strong>2) Responder automaticamente (conten\u00e7\u00e3o em minutos, n\u00e3o em dias)<\/strong><\/p>\n\n\n\n<p>Quando o risco sobe, o ITDR aciona respostas como:<\/p>\n\n\n\n<p><strong>\u00b7 bloqueio de sess\u00e3o<\/strong> \/ logout for\u00e7ado<\/p>\n\n\n\n<p>\u00b7 exigir <strong>step-up MFA<\/strong> (MFA extra s\u00f3 quando necess\u00e1rio)<\/p>\n\n\n\n<p>\u00b7 reset de credenciais, revoga\u00e7\u00e3o de tokens<\/p>\n\n\n\n<p>\u00b7 isolamento de conta, redu\u00e7\u00e3o tempor\u00e1ria de privil\u00e9gio<\/p>\n\n\n\n<p>\u00b7 abertura de incidente e coleta de evid\u00eancias para investiga\u00e7\u00e3o<\/p>\n\n\n\n<p>Resposta autom\u00e1tica n\u00e3o substitui time de seguran\u00e7a, mas ela <strong>ganha tempo<\/strong> quando o ataque \u00e9 r\u00e1pido.<\/p>\n\n\n\n<p><strong>3) Proteger o \u201ccora\u00e7\u00e3o\u201d da identidade: AD e Entra ID (Azure AD)<\/strong><\/p>\n\n\n\n<p>Ataques a diret\u00f3rios s\u00e3o cr\u00edticos porque, se o diret\u00f3rio cai, o<strong> resto cai junto.<\/strong> ITDR monitora sinais de:<\/p>\n\n\n\n<p>\u00b7 abuso de contas privilegiadas<\/p>\n\n\n\n<p>\u00b7 altera\u00e7\u00e3o de pol\u00edticas e regras de acesso<\/p>\n\n\n\n<p>\u00b7 cria\u00e7\u00e3o de contas \u201cde manuten\u00e7\u00e3o\u201d suspeitas<\/p>\n\n\n\n<p>\u00b7 mudan\u00e7as em grupos sens\u00edveis e permiss\u00f5es elevadas<\/p>\n\n\n\n<p>\u00b7 tentativas de persist\u00eancia (manter acesso mesmo ap\u00f3s corre\u00e7\u00e3o)<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">ITDR e ciberseguran\u00e7a: qual a rela\u00e7\u00e3o?<\/h2>\n\n\n\n<p>ITDR complementa <a href=\"https:\/\/raise-it.digital\/blog\/o-que-e-iam-identity-and-access-management\/2026\/\" data-type=\"link\" data-id=\"https:\/\/raise-it.digital\/blog\/o-que-e-iam-identity-and-access-management\/2026\/\"><strong>IAM<\/strong> <\/a>and <a href=\"https:\/\/raise-it.digital\/wp-content\/uploads\/2026\/02\/O-que-e-PAM-.png\" data-type=\"attachment\" data-id=\"2778\"><strong>PAM<\/strong><\/a>:<\/p>\n\n\n\n<p>\u00b7 <strong><a href=\"https:\/\/raise-it.digital\/wp-content\/uploads\/2026\/02\/O-que-e-IAM.png\" data-type=\"attachment\" data-id=\"2761\">IAM<\/a><\/strong> define quem pode entrar e em quais condi\u00e7\u00f5es (autentica\u00e7\u00e3o, pol\u00edticas, acesso).<\/p>\n\n\n\n<p>\u00b7 <strong><a href=\"https:\/\/raise-it.digital\/wp-content\/uploads\/2026\/02\/O-que-e-PAM-.png\" data-type=\"attachment\" data-id=\"2778\">PAM<\/a><\/strong><a href=\"https:\/\/raise-it.digital\/wp-content\/uploads\/2026\/02\/O-que-e-PAM-.png\" data-type=\"attachment\" data-id=\"2778\"> <\/a>controla e monitora acesso privilegiado (credenciais cr\u00edticas, sess\u00f5es administrativas, rota\u00e7\u00e3o).<\/p>\n\n\n\n<p>\u00b7 ITDR faz a vigil\u00e2ncia cont\u00ednua: mesmo depois que entrou, ele detecta abuso de identidade e coordena a resposta.<\/p>\n\n\n\n<p>Uma forma simples de entender:<\/p>\n\n\n\n<p><strong>\u00b7 IAM = <\/strong>porta e regras de entrada<\/p>\n\n\n\n<p><strong>\u00b7 PAM =<\/strong> cofre e controle do que \u00e9 privilegiado<\/p>\n\n\n\n<p><strong>\u00b7 ITDR =<\/strong> alarme inteligente e resposta quando algu\u00e9m \u201centra com crach\u00e1 leg\u00edtimo\u201d e come\u00e7a a agir como invasor<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Exemplos reais de \u201co que o ITDR pega\u201d<\/h2>\n\n\n\n<p>\u00b7 Usu\u00e1rio comum tenta acessar dados altamente sens\u00edveis pela primeira vez.<\/p>\n\n\n\n<p>\u00b7 Conta de TI faz login fora do hor\u00e1rio e come\u00e7a a enumerar recursos (comportamento t\u00edpico de invasor).<\/p>\n\n\n\n<p>\u00b7 A mesma identidade dispara v\u00e1rias autentica\u00e7\u00f5es falhas em servi\u00e7os diferentes (spray).<\/p>\n\n\n\n<p>\u00b7 Token\/sess\u00e3o \u00e9 usada de um IP incomum e logo em seguida h\u00e1 tentativa de elevar privil\u00e9gios.<\/p>\n\n\n\n<p>\u00b7 Altera\u00e7\u00f5es em grupos privilegiados e pol\u00edticas de acesso sem change registrado.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">O que um ITDR maduro costuma ter<\/h2>\n\n\n\n<p><strong>\u00b7 telemetria de identidade<\/strong> (logs do diret\u00f3rio, autentica\u00e7\u00e3o, MFA, sess\u00f5es, tokens)<\/p>\n\n\n\n<p><strong>\u00b7 correla\u00e7\u00e3o com SIEM\/SOAR<\/strong> (para resposta coordenada)<\/p>\n\n\n\n<p><strong>\u00b7 an\u00e1lise de comportamento <\/strong>(UEBA\/behavior analytics) aplicada \u00e0 identidade<\/p>\n\n\n\n<p><strong>\u00b7 playbooks <\/strong>de conten\u00e7\u00e3o (o que fazer, em que n\u00edvel de risco, com qual impacto)<\/p>\n\n\n\n<p>\u00b7 integra\u00e7\u00e3o com <strong>PAM <\/strong>para refor\u00e7ar conta privilegiada quando h\u00e1 suspeit<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">\u00b7 telemetria de identidade (logs do diret\u00f3rio, autentica\u00e7\u00e3o, MFA, sess\u00f5es, tokens)<\/h2>\n\n\n\n<p>\u00b7 correla\u00e7\u00e3o com SIEM\/SOAR (para resposta coordenada)<\/p>\n\n\n\n<p>\u00b7 an\u00e1lise de comportamento (UEBA\/behavior analytics) aplicada \u00e0 identidade<\/p>\n\n\n\n<p>\u00b7 playbooks de conten\u00e7\u00e3o (o que fazer, em que n\u00edvel de risco, com qual impacto)<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Vigil\u00e2ncia cont\u00ednua na identidade<\/h2>\n\n\n\n<p>Se identidade virou o alvo, a defesa n\u00e3o pode terminar no login. <strong>ITDR \u00e9 o mecanismo que observa, detecta e reage <\/strong>quando credenciais leg\u00edtimas come\u00e7am a ser usadas como arma. Ele reduz a janela entre \u201ccomprometeu\u201d e \u201cvirou incidente\u201d, que \u00e9 exatamente onde a maioria das empresas perde.<\/p>\n\n\n<ul class=\"wp-block-latest-posts__list wp-block-latest-posts\"><li><a class=\"wp-block-latest-posts__post-title\" href=\"https:\/\/raise-it.digital\/en\/blog\/o-que-e-itdr-identity-threat-detection-and-response\/2026\/\">O que \u00e9 ITDR (Identity Threat Detection and Response)?<\/a><\/li>\n<li><a class=\"wp-block-latest-posts__post-title\" href=\"https:\/\/raise-it.digital\/en\/blog\/ciam-o-que-e-para-que-serve-seguranca-clientes\/2026\/\">O que \u00e9 CIAM (Customer Identity and Access Management)?<\/a><\/li>\n<li><a class=\"wp-block-latest-posts__post-title\" href=\"https:\/\/raise-it.digital\/en\/blog\/ciam-e-lgpd-como-gerenciar-consentimento-dados-do-cliente-e-direitos-do-titular-com-seguranca\/2026\/\">CIAM e LGPD: como gerenciar consentimento, dados do cliente e direitos do titular com seguran\u00e7a<\/a><\/li>\n<li><a class=\"wp-block-latest-posts__post-title\" href=\"https:\/\/raise-it.digital\/en\/blog\/identidades-nao-humanas-nhi-seguranca-multi-cloud\/2026\/\">Identidades N\u00e3o Humanas (NHI) e Seguran\u00e7a Multi-cloud<\/a><\/li>\n<li><a class=\"wp-block-latest-posts__post-title\" href=\"https:\/\/raise-it.digital\/en\/blog\/o-que-e-ciem-cloud-infrastructure-entitlement-management\/2026\/\">O que \u00e9 CIEM (Cloud Infrastructure Entitlement Management)?<\/a><\/li>\n<\/ul>\n\n\n<p><\/p>","protected":false},"excerpt":{"rendered":"<p>ITDR \u00e9 a disciplina (e o conjunto de controles) focada em detectar e responder a amea\u00e7as que exploram identidade: credenciais roubadas, sequestro de sess\u00e3o, abuso de permiss\u00f5es e movimenta\u00e7\u00e3o lateral usando contas leg\u00edtimas. No cen\u00e1rio atual, o atacante muitas vezes n\u00e3o \u201cinvade\u201d quebrando firewall \u2014 ele entra autenticando, com usu\u00e1rio e senha vazados, token roubado, [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":2843,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[44],"tags":[87,7,22,86],"class_list":["post-2840","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-gestao-de-identidades-e-acessos","tag-ciberseguranca","tag-iam","tag-identity-management","tag-itdr"],"_links":{"self":[{"href":"https:\/\/raise-it.digital\/en\/wp-json\/wp\/v2\/posts\/2840","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/raise-it.digital\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/raise-it.digital\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/raise-it.digital\/en\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/raise-it.digital\/en\/wp-json\/wp\/v2\/comments?post=2840"}],"version-history":[{"count":2,"href":"https:\/\/raise-it.digital\/en\/wp-json\/wp\/v2\/posts\/2840\/revisions"}],"predecessor-version":[{"id":2844,"href":"https:\/\/raise-it.digital\/en\/wp-json\/wp\/v2\/posts\/2840\/revisions\/2844"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/raise-it.digital\/en\/wp-json\/wp\/v2\/media\/2843"}],"wp:attachment":[{"href":"https:\/\/raise-it.digital\/en\/wp-json\/wp\/v2\/media?parent=2840"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/raise-it.digital\/en\/wp-json\/wp\/v2\/categories?post=2840"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/raise-it.digital\/en\/wp-json\/wp\/v2\/tags?post=2840"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}