Operações de segurança do Microsoft Entra para o Privileged Identity Management

Artigo
10/25/2023

A segurança dos ativos de negócios da organização moderna depende da integridade das contas com privilégios que administram seus sistemas de TI. Os criminosos cibernéticos usam ataques de roubo de credenciais para atingir contas de administrador e outras contas de acesso com privilégios para tentar obter acesso a dados confidenciais.

Para serviços de nuvem, prevenção e resposta são as responsabilidades conjuntas do provedor de serviços de nuvem e do cliente.

Tradicionalmente, a segurança organizacional concentra-se nos pontos de entrada e saída de uma rede como o perímetro de segurança. No entanto, os aplicativos de SaaS e dispositivos pessoais tornaram essa abordagem menos eficaz. No Microsoft Entra ID, substituímos o perímetro de segurança de rede pela autenticação na camada de identidade de sua organização. À medida que os usuários recebem funções administrativas com privilégios, o acesso deles deve ser protegido em ambientes locais, de nuvem e híbridos.

Você é inteiramente responsável por todas as camadas de segurança de seu ambiente local de TI. Ao usar os serviços de nuvem do Azure, a prevenção e a resposta são responsabilidades conjuntas da Microsoft, como o provedor de serviços de nuvem, e do cliente.

Para saber mais sobre o modelo de responsabilidade compartilhada, veja Responsabilidade compartilhada na nuvem.
Para saber mais sobre como proteger o acesso de usuários com privilégios, veja Proteger o acesso com privilégios para implantações híbridas e de nuvem no Microsoft Entra ID.
Para uma ampla variedade de vídeos, guias de instruções e conteúdos dos principais conceitos de identidade privilegiada, acesse a Documentação do Privileged Identity Management.

O PIM (Privileged Identity Management) é um serviço do Microsoft Entra que permite gerenciar, controlar e monitorar o acesso a importantes recursos na sua organização. Esses recursos incluem os recursos no Microsoft Entra ID, no Azure e em outros Serviços online da Microsoft, como o Microsoft 365 ou o Microsoft Intune. É possível usar o PIM para ajudar a reduzir os seguintes riscos:

Identificar e minimizar o número de pessoas com acesso a informações e recursos seguros.
Detectar permissões de acesso excessivas, desnecessárias ou de uso incorreto em recursos confidenciais.
Reduzir as chances de um agente mal-intencionado obter acesso a informações ou recursos protegidos.
Reduzir a possibilidade de um usuário não autorizado impactar inadvertidamente recursos confidenciais.

Use este artigo a fim de fornecer diretrizes para definir linhas de base, entradas de auditoria e uso de contas privilegiadas. Use a origem do log de auditoria para ajudar a manter a integridade da conta privilegiada.

Onde procurar

Os arquivos de log que você usa para investigação e monitoramento são:

Veja no portal do Azure os logs de auditoria do Microsoft Entra e baixe-os como arquivos de valores separados por vírgula (CSV) ou JavaScript Object Notation (JSON). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas para automação do monitoramento e dos alertas:

Microsoft Sentinel – Permite a análise de segurança inteligente no nível empresarial fornecendo recursos de SIEM (gerenciamento de eventos e informações de segurança).
Regras Sigma – Sigma é um padrão aberto em evolução para gravar regras e modelos que as ferramentas de gerenciamento automatizadas poderão usar para analisar arquivos de log. Onde há modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são gravados, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.
Azure Monitor : permite o monitoramento e o alerta automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de fontes diferentes.
Hubs de Eventos do Azureintegrados com um SIEM- Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração dos Hubs de Eventos do Azure.
Microsoft Defender para Aplicativos em Nuvem – Permite que você descubra e gerencie aplicativos, administre em aplicativos e recursos e verifique a conformidade dos seus aplicativos em nuvem.
Proteger identidades de carga de trabalho com o Identity Protection Preview − Usado para detectar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.

O restante deste artigo tem recomendações para definir uma linha de base para monitoramento e alertas, com um modelo de camadas. Os links para soluções predefinidas são exibidos após a tabela. É possível criar alertas usando as ferramentas anteriores. O conteúdo é organizado nas seguintes áreas:

Linhas de base
Atribuição de função do Microsoft Entra
Configurações de alerta de função do Microsoft Entra
Atribuição de função de recurso do Azure
Gerenciamento de acesso para recursos do Azure
Acesso elevado para gerenciar assinaturas do Azure

Linhas de base

Veja a seguir as configurações de linha de base recomendadas:

O que monitorar	Nível de risco	Recomendação	Funções	Observações
Atribuição de funções do Microsoft Entra	Alto	Exigir justificativa para ativação. Exigir aprovação para ativação. Defina o processo do aprovador de dois níveis. Na ativação, exija a autenticação multifator do Microsoft Entra. Defina a duração máxima de elevação para oito horas.	Administrador de Funções com Privilégios, Administrador Global	Um administrador de função com privilégios pode personalizar o PIM na organização do Microsoft Entra, incluindo a alteração da experiência dos usuários que ativam uma atribuição de função qualificada.
Configuração de função de recurso do Azure	Alto	Exigir justificativa para ativação. Exigir aprovação para ativação. Defina o processo do aprovador de dois níveis. Na ativação, exija a autenticação multifator do Microsoft Entra. Defina a duração máxima de elevação para oito horas.	Proprietário, Administrador de Recursos, Administrador de Acesso do Usuário, Administrador Global, Administrador da Segurança	Investigue imediatamente se não for uma alteração planejada. Essa configuração pode permitir que um invasor acesse as assinaturas do Azure em seu ambiente.

Alertas do Privileged Identity Management

O Gerenciamento de Identidades Privilegiadas (PIM) gera alertas quando há atividades suspeitas ou inseguras em sua organização do Microsoft Entra. Quando um alerta é gerado, ele aparece no painel do Privileged Identity Management. Você também pode configurar uma notificação por email ou enviar para o SIEM por meio do GraphAPI. Como esses alertas se concentram especificamente em funções administrativas, você deve monitorar atentamente quaisquer alertas.

O que monitorar	Nível de risco	Where	Filtro/subfiltro UX	Observações
As funções estão sendo atribuídas fora do Privileged Identity Management	Alto	Privileged Identity Management, Alertas	As funções estão sendo atribuídas fora do Privileged Identity Management	Como configurar alertas de segurança Regras Sigma
Contas obsoletas possíveis em uma função com privilégios	Médio	Privileged Identity Management, Alertas	Contas obsoletas possíveis em uma função com privilégios	Como configurar alertas de segurança Regras Sigma
Administrators aren't using their privileged roles (Os administradores não estão utilizando suas funções privilegiadas)	Baixo	Privileged Identity Management, Alertas	Administrators aren't using their privileged roles (Os administradores não estão utilizando suas funções privilegiadas)	Como configurar alertas de segurança Regras Sigma
As funções não exigem autenticação multifator para ativação	Baixo	Privileged Identity Management, Alertas	As funções não exigem autenticação multifator para ativação	Como configurar alertas de segurança Regras Sigma
A organização não tem o Microsoft Entra ID P2 ou o Microsoft Entra ID Governance	Baixo	Privileged Identity Management, Alertas	A organização não tem o Microsoft Entra ID P2 ou o Microsoft Entra ID Governance	Como configurar alertas de segurança Regras Sigma
Há muitos administradores globais	Baixo	Privileged Identity Management, Alertas	Há muitos administradores globais	Como configurar alertas de segurança Regras Sigma
As funções estão sendo ativadas com muita frequência	Baixo	Privileged Identity Management, Alertas	As funções estão sendo ativadas com muita frequência	Como configurar alertas de segurança Regras Sigma

Atribuição de funções do Microsoft Entra

Um administrador de função com privilégios pode personalizar o PIM na organização do Microsoft Entra, que inclui a alteração da experiência do usuário de ativação de uma atribuição de função qualificada:

Impedir que o agente mal-intencionado remova os requisitos de autenticação multifator do Microsoft Entra para ativar o acesso com privilégios.
Impedir que usuários mal-intencionados contornem a justificativa e a aprovação para ativar o acesso com privilégios.

O que monitorar	Nível de risco	Where	Filtro/subfiltro	Observações
Alertar sobre Adicionar alterações às permissões de conta com privilégios	Alto	Logs de auditoria do Microsoft Entra	Categoria = gerenciamento de funções -e- Tipo de atividade – adicionar um membro qualificado (permanente) -e- Tipo de atividade – adicionar um membro qualificado (qualificado) -e- Status = êxito/falha -e- Propriedades modificadas = Role.DisplayName	Monitore e sempre alerte o administrador de função com privilégios e o administrador global sobre alterações. Isso pode indicar que um invasor está tentando obter privilégios para modificar as configurações de atribuição de função. Se você não tiver um limite definido, faça quatro alertas em 60 minutos para usuários e dois em 60 minutos para contas com privilégios. Regras Sigma
Alertar sobre alterações de exclusão em massa em permissões de conta com privilégios	Alto	Logs de auditoria do Microsoft Entra	Categoria = gerenciamento de funções -e- Tipo de atividade – Remover um membro qualificado (permanente) -e- Tipo de atividade – Remover um membro qualificado (qualificado) -e- Status = êxito/falha -e- Propriedades modificadas = Role.DisplayName	Investigue imediatamente se não for uma alteração planejada. Essa configuração pode permitir que um invasor acesse as assinaturas do Azure em seu ambiente. Modelo do Microsoft Sentinel Regras Sigma
Alterações nas configurações do PIM	Alto	Log de auditoria do Microsoft Entra	Serviço = PIM -e- Categoria = gerenciamento de funções -e- Tipo de atividade = atualizar a configuração de função no PIM -e- Motivo do status = MFA desabilitada na ativação (exemplo)	Monitore e sempre alerte o Administrador de Função com Privilégios e o Administrador Global sobre alterações. Isso pode ser uma indicação de que um invasor tem acesso para modificar as configurações de atribuição de função. Uma dessas ações pode reduzir a segurança da elevação do PIM e tornar mais fácil para os invasores adquirirem uma conta com privilégios. Modelo do Microsoft Sentinel Regras Sigma
Aprovações e elevação de negação	Alto	Log de auditoria do Microsoft Entra	Serviço = revisão de acesso -e- Categoria = UserManagement -e- Tipo de atividade = solicitação aprovada/negada -e- Ator iniciado = UPN	Todas as elevações devem ser monitoradas. Registre todas as elevações para fornecer indicação clara da linha do tempo de um ataque. Modelo do Microsoft Sentinel Regras Sigma
A configuração de alerta é alterada para desabilitada.	Alto	Logs de auditoria do Microsoft Entra	Serviço = PIM -e- Categoria = gerenciamento de funções -e- Tipo de atividade = desabilitar alerta do PIM -e- Status = sucesso/falha	Sempre alertar. Ajuda a detectar um agente mal-intencionado removendo alertas associados aos requisitos de autenticação multifator do Microsoft Entra para ativar o acesso com privilégios. Ajuda a detectar atividades suspeitas ou não seguras. Modelo do Microsoft Sentinel Regras Sigma

Para saber mais sobre como identificar alterações de configuração de função no log de auditoria do Microsoft Entra, confira Ver histórico de auditoria de funções do Microsoft Entra no Privileged Identity Management.

Atribuição de função de recurso do Azure

Monitorar atribuições de função de recurso do Azure permite visibilidade sobre atividades e ativações de funções de recursos. Essas atribuições podem ser usadas indevidamente para criar uma superfície de ataque para um recurso. Ao monitorar esse tipo de atividade, você está tentando detectar:

Atribuições de função de consulta em recursos específicos
Atribuições de função para todos os recursos filho
Todas as alterações de atribuição de função ativas e elegíveis

O que monitorar	Nível de risco	Where	Filtro/subfiltro	Observações
Auditar o log de auditoria de recursos de alerta quanto a atividades de conta com privilégios	Alto	No PIM, em Recursos do Azure, Auditoria de Recursos	Ação: adicionar o membro qualificado à função no PIM concluída (com limite de tempo) -e- Destino primário -e- Digitar o usuário -e- Status = sucesso	Sempre alertar. Ajuda a detectar um agente mal-intencionado adicionando funções qualificadas para gerenciar todos os recursos no Azure.
Auditoria de recurso de alerta para desabilitar alerta	Médio	No PIM, em Recursos do Azure, Auditoria de Recursos	Ação: desabilitar alerta -e- Destino primário: excesso de proprietários atribuídos a um recurso -e- Status = sucesso	Ajuda a detectar agentes mal-intencionados desabilitando alertas no painel de Alertas, que podem ignorar a atividade maliciosa que está sendo investigada
Auditoria de recurso de alerta para desabilitar alerta	Médio	No PIM, em Recursos do Azure, Auditoria de Recursos	Ação: desabilitar alerta -e- Destino primário: excesso de proprietários permanentes atribuídos a um recurso -e- Status = sucesso	Impedir que o agente mal-intencionado desative os alertas no painel de Alertas, que pode contornar a atividade maliciosa que está sendo investigada
Auditoria de recurso de alerta para desabilitar alerta	Médio	No PIM, em Recursos do Azure, Auditoria de Recursos	Ação: desabilitar alerta -e- Função duplicada de destino primário criada -e- Status = sucesso	Impedir que o agente mal-intencionado desative os alertas no painel de Alertas, que pode contornar a atividade maliciosa que está sendo investigada

Para saber como configurar alertas e auditar funções de recursos do Azure, confira:

Gerenciamento de acesso para recursos e assinaturas do Azure

Os usuários ou membros de grupo atribuídos às funções de assinatura de Proprietário ou Administrador de Acesso do Usuário e os administradores globais do Microsoft Entra que habilitaram o gerenciamento de assinaturas no Microsoft Entra ID têm permissões de Administrador de Recursos por padrão. Os administradores atribuem funções, definem configurações de função e revisam o acesso usando o PIM (Privileged Identity Management) para recursos do Azure.

Um usuário com permissões de Administrador de Recursos pode gerenciar o PIM quanto a recursos. Monitora e mitiga esse risco introduzido: a funcionalidade pode ser usada para permitir que atores mal-intencionados tenham acesso com privilégios aos recursos da assinatura do Azure, como VMs (máquinas virtuais) ou contas de armazenamento.

O que monitorar	Nível de risco	Where	Filtro/subfiltro	Observações
Elevações	Alto	Microsoft Entra ID, em Gerenciar, Propriedades	Revise periodicamente a configuração. Gerenciamento de acesso para recursos do Azure	Os administradores globais podem elevar habilitando o gerenciamento de acesso para os recursos do Azure. Verifique se os agentes mal-intencionados não ganharam permissões para atribuir funções em todas as assinaturas do Azure e grupos de gerenciamento associados ao Active Directory.