Operações de segurança para infraestrutura
A infraestrutura tem vários componentes que poderão apresentar vulnerabilidades se não forem devidamente configurados. Como parte da sua estratégia de monitoramento e alertas de infraestrutura, monitore e crie alertas de eventos nas seguintes áreas:
Autenticação e autorização
Componentes da autenticação híbrida incluídos Servidores de federação
Políticas
Assinaturas
É essencial monitorar e alertar sobre componentes da infraestrutura de autenticação. Um comprometimento pode causar o comprometimento de todo o ambiente. Muitas empresas usam o Microsoft Entra ID em um ambiente de autenticação híbrida. Tanto os componentes na nuvem quanto locais devem ser incluídos na sua estratégia de monitoramento e alerta. Ter um ambiente de autenticação híbrido também introduz outro vetor de ataque em seu ambiente.
Recomendamos que todos os componentes sejam considerados ativos do Painel de Controle/Camada 0, assim como as contas usadas para gerenciá-los. Confira SPA (Protegendo ativos com privilégios) para diretrizes sobre como projetar e implementar seu ambiente. Essas diretrizes incluem recomendações para cada componente de autenticação híbrida que poderia ser usado em um locatário do Microsoft Entra.
Uma primeira etapa para poder detectar eventos inesperados e possíveis ataques é estabelecer uma linha de base. Para todos os componentes locais listados neste artigo, confira Implantação de acesso com privilégios, que é parte do guia SPA (Protegendo ativos com privilégios).
Onde procurar
Os arquivos de log que você usa para investigação e monitoramento são:
No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixá-los como arquivos valores separados por vírgula (CSV) ou JavaScript Object Notation (JSON). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação de monitoramento e de alerta:
Microsoft Sentinel – Permite a análise de segurança inteligente no nível empresarial fornecendo funcionalidades de SIEM (gerenciamento de eventos e informações de segurança).
Regras Sigma – Sigma é um padrão aberto em evolução para gravar regras e modelos que as ferramentas de gerenciamento automatizadas poderão usar para analisar arquivos de log. Onde há modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são gravados, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.
Azure Monitor – Permite monitoramento e alerta automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de fontes diferentes.
Hubs de Eventos do Azure Integrado com um SIEM – Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração do Hubs de Eventos do Azure.
Microsoft Defender para Aplicativos de Nuvem – Permite que você descubra e gerencie aplicativos, administre todos os aplicativos e recursos e verifique a conformidade dos seus aplicativos de nuvem.
Proteger identidades de carga de trabalho com o Identity Protection Preview − Usado para detectar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.
O restante deste artigo descreve o que deve ser monitorado e alertado. Ele está organizado pelo tipo de ameaça. Quando houver soluções pré-criadas, você vai encontrar links para elas após a tabela. Caso contrário, você pode criar alertas usando as ferramentas anteriores.
Infraestrutura de autenticação
Em ambientes híbridos que contêm tanto recursos e contas locais quanto baseados em nuvem, a infraestrutura do Active Directory é parte essencial da pilha de autenticação. A pilha também é alvo de ataques, ou seja, ela precisa ser configurada para manter um ambiente seguro e ser monitorada adequadamente. Exemplos de tipos atuais de ataques usados contra sua infraestrutura de autenticação usam técnicas de Pulverização de Senha e Solorigate. Abaixo estão links para artigos recomendados:
Visão geral de como proteger acesso com privilégios: artigo que fornece uma visão geral das técnicas atuais usando técnicas Confiança Zero para criar e manter acessos com privilégios seguros.
Atividades de domínio monitorado do Microsoft Defender para Identidade: artigo que fornece uma lista abrangente de atividades que devem ser monitoradas e gerar alertas.
Tutorial de alertas de segurança do Microsoft Defender para Identidade: artigo que fornece diretrizes sobre como criar e implementar uma estratégia de alertas de segurança.
A seguir estão links para artigos específicos que se concentram no monitoramento e nos alertas da sua infraestrutura de autenticação:
Entender e usar Caminhos de Movimento Lateral com o Microsoft Defender para Identidade – Técnicas de detecção que ajudam a identificar quando contas não confidenciais são usadas para obter acesso a contas confidenciais da rede.
Trabalhando com alertas de segurança no Microsoft Defender para Identidade – Este artigo descreve como examinar e gerenciar alertas depois que eles são registrados.
Procure especificamente por estes itens:
| O que monitorar | Nível de risco | Where | Observações |
|---|---|---|---|
| Tendências de bloqueio de extranet | Alto | Microsoft Entra Connect Health | Confira Monitorar o AD FS usando o Microsoft Entra Connect Health para obter ferramentas e técnicas que ajudam a detectar tendências de bloqueio de extranet. |
| Credenciais com falha | Alto | Portal do Connect Health | Exporte ou baixe o relatório de IPs de Risco e siga as diretrizes em Relatório de IPs de Risco (versão prévia pública) para saber as próximas etapas. |
| Em conformidade com a privacidade | Baixo | Microsoft Entra Connect Health | Configure o Microsoft Entra Connect Health para desabilitar as coletas de dados e o monitoramento usando o artigo Privacidade do usuário e o Microsoft Entra Connect Health. |
| Possível ataque de força bruta no LDAP | Médio | Microsoft Defender para Identidade | Use um sensor para ajudar na detecção de possíveis ataques de força bruta contra o LDAP. |
| Reconhecimento de enumeração de conta | Médio | Microsoft Defender para Identidade | Use um sensor para ajudar na realização de reconhecimento de enumeração de contas. |
| Correlação geral entre Microsoft Entra ID e Azure AD FS | Médio | Microsoft Defender para Identidade | Use funcionalidades para correlacionar atividades entre seus ambientes do Microsoft Entra ID e dos Serviços de Federação do Active Directory (AD FS). |
Monitoramento de autenticação de passagem
A autenticação de passagem do Microsoft Entra permite a entrada de usuários validando suas senhas diretamente no Active Directory local.
Procure especificamente por estes itens:
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Erros da autenticação de passagem do Microsoft Entra | Médio | Aplicativo e Logs de Serviço\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 – Não é possível se conectar ao Active Directory | Verifique se os servidores do agente são membros da mesma floresta do AD que os usuários cujas senhas precisam ser validadas e se podem se conectar ao Active Directory. |
| Erros da autenticação de passagem do Microsoft Entra | Médio | Aplicativo e Logs de Serviço\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002: um tempo limite ocorreu durante a conexão com o Active Directory | Verifique se o Active Directory está disponível e respondendo às solicitações dos agentes. |
| Erros da autenticação de passagem do Microsoft Entra | Médio | Aplicativo e Logs de Serviço\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004: o nome de usuário transmitido ao agente não era válido | Verifique se o usuário está tentando fazer logon com o nome de usuário correto. |
| Erros da autenticação de passagem do Microsoft Entra | Médio | Aplicativo e Logs de Serviço\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 – A validação encontrou WebException imprevisível | Um erro transitório. Tente novamente a solicitação. Caso a falha persista, contate o Suporte da Microsoft. |
| Erros da autenticação de passagem do Microsoft Entra | Médio | Aplicativo e Logs de Serviço\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 – Um erro ocorreu na comunicação com o Active Directory | Confira os logs do agente para obter mais informações e verifique se o Active Directory está funcionando conforme o esperado. |
| Erros da autenticação de passagem do Microsoft Entra | Alto | API de função do LogonUserA Win32 | Eventos de logon 4624(s): uma conta teve logon bem-sucedido - correlacionar com – 4625(F): falha no logon de uma conta |
Use com nomes de usuário suspeitos no controlador de domínio que esteja autenticando solicitações. Diretrizes na função LogonUserA (winbase.h) |
| Erros da autenticação de passagem do Microsoft Entra | Médio | Script do PowerShell para um controlador de domínio | Confira a consulta após a tabela. | Use as informações em Microsoft Entra Connect: solucionar problemas de autenticação de passagem para obter diretrizes. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Monitoramento para criação de novos locatários do Microsoft Entra
Talvez as organizações precisem monitorar e alertar sobre a criação de locatários do Microsoft Entra quando a ação for iniciada por identidades do locatário organizacional delas. O monitoramento desse cenário fornece visibilidade sobre quantos locatários estão sendo criados e podem ser acessados pelos usuários finais.
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Criação de um locatário do Microsoft Entra, usando uma identidade do seu locatário. | Médio | Logs de auditoria do Microsoft Entra | Categoria: gerenciamento de diretórios Atividade: criar empresa |
Os destinos mostram o TenantID criado |
Conector de rede privada
O Proxy de Aplicativo do Microsoft Entra ID e do Microsoft Entra oferece aos usuários remotos uma experiência de logon único (SSO). Os usuários se conectam com segurança a aplicativos locais sem uma VPN (rede virtual privada) ou servidores de hospedagem dupla e regras de firewall. Se o servidor do conector de rede privada do Microsoft Entra for comprometido, os invasores poderão alterar a experiência de SSO ou mudar o acesso a aplicativos publicados.
Para configurar o monitoramento do Proxy de Aplicativo, confira Solucionar problemas do Proxy de Aplicativo e mensagens de erro. O arquivo de dados que registra informações pode ser encontrado em Logs de Aplicativos e Serviços\Microsoft\Microsoft Entra rede privada\Conector\Admin. Para obter um gu ia de referência completo para a atividade de auditoria, consulte a referência de atividade de auditoria do Microsoft Entra. Itens específicos a monitorar:
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Erros de Kerberos | Médio | Várias ferramentas | Médio | Diretrizes sobre erro de autenticação no Kerberos em Erros do Kerberos, em Solucionar problemas do Proxy de Aplicativo e mensagens de erro. |
| Problemas de segurança do DC | Alto | Logs de Auditoria de Segurança do DC | Event ID 4742(S): uma conta de computador foi alterada -e- Sinalizador – Confiável para delegação -ou- Sinalizador – Confiável para autenticação de delegação |
Investigue as alterações no sinalizador. |
| Ataques do tipo Pass-the-ticket | Alto | Siga as diretrizes em: Reconhecimento de entidade de segurança (LDAP) (ID 2038 externa) Tutorial: Alertas de credencial comprometida Entender e usar os caminhos de movimentação lateral com o Microsoft Defender para Identidade Noções básicas sobre perfis de entidade |
Configurações de autenticação herdada
Para que a MFA (autenticação multifator) funcione, você também precisa bloquear a autenticação herdada. Em seguida, precisa monitorar o ambiente e os alertas em relação ao uso de autenticações herdadas. Protocolos de autenticação herdados, como POP, SMTP, IMAP e MAPI, não podem impor MFA. Por conta disso, esses protocolos são os pontos de entrada preferenciais dos invasores. Para obter mais informações sobre ferramentas que você pode usar para bloquear a autenticação herdada, confira Novas ferramentas para bloquear autenticação herdada na sua organização.
A autenticação herdada é capturada no log de credenciais do Microsoft Entra como parte dos detalhes do evento. Você pode usar o workbook do Azure Monitor para identificar o uso de autenticações herdadas. Para obter mais informações, confira Credenciais usando autenticação herdada, que é parte de Como usar Workbooks do Azure Monitor em relatórios do Microsoft Entra. Você também pode usar a pasta de trabalho Protocolos não seguros para o Microsoft Azure Sentinel. Para obter mais informações, consulte Guia de implementação da pasta de trabalho Protocolos não seguros do Microsoft Azure Sentinel. As atividades específicas que devem ser monitoradas incluem:
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Autenticações herdadas | Alto | Log de entrada do Microsoft Entra | ClientApp : POP ClientApp : IMAP ClientApp : MAPI ClientApp: SMTP ClientApp : ActiveSync vai para EXO Outros clientes: SharePoint e EWS |
Em ambientes de domínio federado, as autenticações com falha não são gravadas e não aparecem no log. |
Microsoft Entra Connect
O Microsoft Entra Connect oferece um local centralizado que habilita a sincronização de conta e atributo entre seus ambientes do Microsoft Entra baseados em nuvem e locais. O Microsoft Entra Connect é a ferramenta da Microsoft criada para atender e atingir suas metas de identidade híbrida. Ela fornece os seguintes recursos:
Sincronização de hash de senha – um método de entrada que sincroniza o hash da senha do AD local do usuário com o Microsoft Entra ID.
Sincronização – responsável pela criação de usuários, grupos e outros objetos. E a garantia de que as informações de identidade dos usuários e grupos locais correspondam às da nuvem. Essa sincronização também inclui os hashes de senha.
Monitoramento de Integridade – o Microsoft Entra Connect Health pode fornecer monitoramento robusto e fornecer um local central no portal do Azure para exibir essa atividade.
A sincronização de identidade entre o ambiente local e o ambiente de nuvem introduz uma nova superfície de ataque nos ambientes local e de nuvem. Recomendações:
Tratar seus servidores primário e de preparo do Microsoft Entra Connect como Sistemas de Camada 0 no painel de controle.
Seguir um conjunto padrão de políticas que regem cada tipo de conta e seu uso no ambiente.
Instale o Microsoft Entra Connect e o Connect Health. Eles oferecem principalmente dados operacionais ao ambiente.
O registro em log de operações do Microsoft Entra Connect ocorre de maneiras diferentes:
O assistente do Microsoft Entra Connect registra os dados em log para
\ProgramData\AADConnect. Cada vez que o assistente é invocado, um arquivo de log de rastreamento com carimbo de data/hora é criado. O log de rastreamento pode ser importado para o Sentinel ou outra ferramenta de SIEM (gerenciamento de eventos e informações de segurança) de terceiros para análise.Algumas operações iniciam um script do PowerShell para capturar informações de registro em log. Para coletar esses dados, você precisa ter certeza de que o registro em log de bloqueio de script está habilitado.
Monitorando alterações na configuração
O Microsoft Entra ID usa o Microsoft SQL Server Data Engine ou o SQL para armazenar informações de configuração do Microsoft Entra Connect. Assim, o monitoramento e a auditoria dos arquivos de log associados à configuração devem ser incluídos na estratégia de monitoramento e auditoria. Mais especificamente, inclua as tabelas a seguir na estratégia de monitoramento e alertas.
| O que monitorar | Where | Observações |
|---|---|---|
| mms_management_agent | Registros de auditoria de serviço do SQL | Confira Registros de Auditoria do SQL Server |
| mms_partition | Registros de auditoria de serviço do SQL | Confira Registros de Auditoria do SQL Server |
| mms_run_profile | Registros de auditoria de serviço do SQL | Confira Registros de Auditoria do SQL Server |
| mms_server_configuration | Registros de auditoria de serviço do SQL | Confira Registros de Auditoria do SQL Server |
| mms_synchronization_rule | Registros de auditoria de serviço do SQL | Confira Registros de Auditoria do SQL Server |
Para obter mais informações sobre o que e como monitorar informações de configuração, confira:
No caso do SQL Server, confira Registros de Auditoria do SQL Server.
No caso do Microsoft Azure Sentinel, consulte Conectar-se a servidores Windows para coletar eventos de segurança.
Para obter informações sobre como configurar e usar o Microsoft Entra Connect, confira O que é o Microsoft Entra Connect?
Monitoramento e solução de problemas de sincronização
Uma função do Microsoft Entra Connect é sincronizar a sincronização de hash entre a senha local de um usuário e o Microsoft Entra ID. Se as senhas não estão sincronizando da maneira esperada, a sincronização poderá afetar um subconjunto de usuários ou todos eles. Use as ideias abaixo para verificar a devida operação ou solucionar problemas:
Informações para verificar e solucionar problemas com sincronização de hash, confira Solucionar problemas de sincronização de hash de senha com a sincronização do Microsoft Entra Connect.
Modificações nos espaços de conector, confira Solucionar problemas com objetos e atributos do Microsoft Entra Connect.
Recursos importantes de monitoramento
| O que monitorar | Recursos |
|---|---|
| Validação da sincronização de hash | Confira Solucionar problemas de sincronização de hash de senha com o Microsoft Entra Connect Sync |
| Modificações nos espaços de conector | confira Solução de problemas de objetos e atributos do Microsoft Entra Connect |
| Modificações nas regras configuradas | Monitorar alterações em: filtragem, domínio e UO, atributo e alterações baseadas no grupo |
| Alterações em SQL e MSDE | Alterações em parâmetros de registro em log e adição de funções personalizadas |
Monitore o seguinte:
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Alterações no Agendador | Alto | PowerShell | Set-ADSyncScheduler | Procurar modificações a serem agendadas |
| Alterações em tarefas agendadas | Alto | Logs de auditoria do Microsoft Entra | Atividade = 4699(S): uma tarefa agendada foi excluída -ou- Atividade = 4701(s): uma tarefa agendada foi desabilitada -ou- Atividade = 4702(s): uma tarefa agendada foi atualizada |
Monitorar tudo |
Para obter mais informações sobre como registrar em log as operações de script do PowerShell, confira Como habilitar o registro em log de bloqueio de script, que é parte da documentação de referência do PowerShell.
Para obter mais informações sobre como configurar o registro em log do PowerShell para análise pelo Splunk, confira Enviar dados para a Análise de comportamento de usuário do Splunk.
Monitorando logon único contínuo
O logon único contínuo (SSO contínuo) do Microsoft Entra conecta os usuários automaticamente quando estão nos respectivos desktops corporativos conectados à rede corporativa. O SSO contínuo fornece aos usuários acesso fácil aos seus aplicativos baseados em nuvem, sem outros componentes locais adicionais. O SSO usa as funcionalidades de autenticação de passagem e sincronização de hash de senha fornecidas pelo Microsoft Entra Connect.
O monitoramento de atividade de logon único e do Kerberos pode ajudar a detectar padrões gerais de ataque de roubo de credenciais. Monitore usando as seguintes informações:
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Erros associados a falhas de SSO e validação do Kerberos | Médio | Log de entrada do Microsoft Entra | Lista de códigos de erro de logon único em Logon único. | |
| Consulta para solução de problemas com erros | Médio | PowerShell | Veja a consulta na tabela a seguir. Verifique cada floresta com SSO habilitado. | Verifique cada floresta com SSO habilitado. |
| Eventos relacionados a Kerberos | Alto | Monitoramento do Microsoft Defender para Identidade | Reveja as diretrizes disponíveis em LMPs (Caminhos de Movimentação Lateral) do Microsoft Defender para Identidade |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Políticas de proteção de senha
Se você implantar a Proteção de Senha do Microsoft Entra, o monitoramento e os relatórios são tarefas essenciais. Os links a seguir fornecem detalhes para entender várias técnicas de monitoramento, incluindo o local em que cada serviço registra informações e como relatar o uso da Proteção de Senha do Microsoft Entra.
O agente de DC (controlador de domínio) e os serviços de proxy registram em log mensagens de log de evento. Todos os cmdlets do PowerShell descritos abaixo só estão disponíveis no servidor proxy (veja o módulo do PowerShell AzureADPasswordProtection). O software do agente DC não instala um módulo do PowerShell.
Encontre informações detalhadas para planejar e implementar proteção de senha local em Planejar e implantar Proteção de Senha do Microsoft Entra local. Para ver os detalhes de monitoramento, confira Monitorar a proteção de senha do Microsoft Entra local. Em cada controlador de domínio, o software de serviço do agente do DC grava os resultados de cada operação de validação de senha individual (e outro status) no seguinte log de eventos local:
\Logs de Aplicativos e Serviços\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Logs de Aplicativos e Serviços\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Logs de Aplicativos e Serviços\Microsoft\AzureADPasswordProtection\DCAgent\Trace
O log de administração do agente do DC é a principal fonte de informações de como o software está se comportando. Por padrão, o log Rastreamento está desativado e precisa ser habilitado antes de os dados serem registrados. Para solucionar problemas de Proxy de Aplicativo e mensagens de erro, encontre informações detalhadas em Solucionar problemas de Proxy de Aplicativo do Microsoft Entra. As informações para esses eventos estão registradas em:
Logs de Aplicativos e Serviços\Microsoft\Microsoft Entra private network\Connector\Admin
Log de auditoria do Microsoft Entra, Proxy de Aplicativo de Categoria
A referência completa para atividades de auditoria do Microsoft Entra está disponível em Referência de atividade de auditoria do Microsoft Entra.
Acesso Condicional
Na ID do Microsoft Entra, você pode proteger o acesso aos seus recursos configurando políticas de acesso condicional. Como administrador de TI, você quer garantir que as políticas de Acesso Condicional funcionem conforme o esperado para assegurar que os recursos sejam protegidos. Monitorar e alertar sobre as alterações no serviço de Acesso Condicional garante que as políticas definidas pela organização relacionadas ao acesso a dados sejam impostas. O Microsoft Entra registra quando alterações são feitas no Acesso Condicional e também fornece pastas de trabalho para garantir que as políticas estejam fornecendo a cobertura esperada.
Links para Pastas de Trabalho
Monitore as alterações nas políticas de Acesso Condicional usando as seguintes informações:
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Nova Política de Acesso Condicional criada por atores não aprovados | Médio | Logs de auditoria do Microsoft Entra | Atividade: adicionar política de acesso condicional Categoria: política Iniciado por (ator): nome UPN |
Monitore e alerte sobre as alterações no Acesso Condicional. É iniciado por (ator): aprovado para fazer alterações no Acesso Condicional? Modelo do Microsoft Sentinel Regras Sigma |
| Política de Acesso Condicional removida por atores não aprovados | Médio | Logs de auditoria do Microsoft Entra | Atividade: excluir política de acesso condicional Categoria: política Iniciado por (ator): nome UPN |
Monitore e alerte sobre as alterações no Acesso Condicional. É iniciado por (ator): aprovado para fazer alterações no Acesso Condicional? Modelo do Microsoft Sentinel Regras Sigma |
| Política de Acesso Condicional atualizada por atores não aprovados | Médio | Logs de auditoria do Microsoft Entra | Atividade: atualizar política de acesso condicional Categoria: política Iniciado por (ator): nome UPN |
Monitore e alerte sobre as alterações no Acesso Condicional. É iniciado por (ator): aprovado para fazer alterações no Acesso Condicional? Examinar as Propriedades Modificadas e comparar os valores "antigo" versus "novo" Modelo do Microsoft Sentinel Regras Sigma |
| Remover um usuário de um grupo utilizado para definir o escopo de políticas críticas de Acesso Condicional | Médio | Logs de auditoria do Microsoft Entra | Atividade: remover membro do grupo Categoria: GroupManagement Destino: nome UPN |
Monitore e alerte sobre os grupos utilizados para definir o escopo de Políticas críticas de Acesso Condicional. "Target" é o usuário que foi removido. Regras Sigma |
| Adicionar um usuário a um grupo utilizado para definir o escopo de políticas críticas de Acesso Condicional | Baixo | Logs de auditoria do Microsoft Entra | Atividade: adicionar membro ao grupo Categoria: GroupManagement Destino: nome UPN |
Monitore e alerte sobre os grupos utilizados para definir o escopo de Políticas críticas de Acesso Condicional. "Target" é o usuário que foi adicionado. Regras Sigma |
Próximas etapas
Visão geral de operações de segurança do Microsoft Entra
Operações de segurança para contas de usuário
Operações de segurança para contas do consumidor
Operações de segurança para contas com privilégios
Operações de segurança para o Privileged Identity Management