Pasta de trabalho de relatório de operações confidenciais
Como administrador de TI, você precisa ser capaz de identificar comprometimentos em seu ambiente para garantir que possa mantê-lo em um estado íntegro.
A pasta de trabalho de relatório de operações confidenciais destina-se a ajudar a identificar atividades principais suspeitas de aplicativos e serviços que possam indicar comprometimentos em seu ambiente.
Este artigo fornece uma visão geral da pasta de trabalho Relatório de Operações Confidenciais.
Pré-requisitos
Para usar as Pastas de Trabalho do Azure para o Microsoft Entra ID, você precisa:
- Um locatário do Microsoft Entra com uma licença Premium P1
- Um espaço de trabalho do Log Analytics e acesso a esse espaço de trabalho
- As funções apropriadas para o Azure Monitor e o Microsoft Entra ID
Área de trabalho do Log Analytics
Você deve criar um espaço de trabalhodo Log Analytics antes de poder usar as pastas de trabalho do Microsoft Entra. vários fatores determinam o acesso aos espaços de trabalho do Log Analytics. Você precisa das funções certas para o espaço de trabalho e os recursos que enviam os dados.
Para obter mais informações, consulte Gerenciar o acesso a espaços de trabalho do Log Analytics.
Funções do Azure Monitor
O Azure Monitor fornece duas funções internas para exibir dados de monitoramento e editar configurações de monitoramento. O RBAC (controle de acesso baseado em função) do Azure também fornece duas funções internas do Log Analytics que concedem acesso semelhante.
Visão:
- Leitor de Monitorização
- Leitor do Log Analytics
Visualize e modifique as configurações:
- Contribuidor de Monitorização
- Contribuidor do Log Analytics
Funções do Microsoft Entra
O acesso somente leitura permite visualizar dados de log do Microsoft Entra ID dentro de uma pasta de trabalho, consultar dados do Log Analytics ou ler logs no centro de administração do Microsoft Entra. O acesso à atualização adiciona a capacidade de criar e editar configurações de diagnóstico para enviar dados do Microsoft Entra para um espaço de trabalho do Log Analytics.
Read (Ler):
- Leitor de Relatórios
- Leitor de Segurança
- Leitor Global
Atualização:
- Administrador de Segurança
Para obter mais informações sobre as funções internas do Microsoft Entra, consulte Funções internas do Microsoft Entra.
Para obter mais informações sobre as funções RBAC do Log Analytics, consulte Funções internas do Azure.
Description
Esta pasta de trabalho identifica operações confidenciais recentes que foram executadas em seu locatário e que podem comprometer a entidade de serviço.
Se sua organização for nova em pastas de trabalho de monitoramento do Azure, você precisará integrar seus logs de entrada e auditoria do Microsoft Entra com o Azure Monitor antes de acessar a pasta de trabalho. Essa integração permite que você armazene, consulte e visualize seus logs usando pastas de trabalho por até dois anos. Somente os eventos de entrada e auditoria criados após a integração do Azure Monitor são armazenados, portanto, a pasta de trabalho não conterá informações anteriores a essa data. Saiba mais sobre os pré-requisitos para pastas de trabalho do Azure Monitor para o Microsoft Entra ID. Se tiver integrado anteriormente os seus registos de início de sessão e auditoria do Microsoft Entra com o Azure Monitor, pode utilizar o livro para avaliar informações anteriores.
Como acessar a pasta de trabalho
Entre no centro de administração do Microsoft Entra usando a combinação apropriada de funções.
Navegue até Monitoramento de Identidade>& Pastas de Trabalho de integridade>.
Selecione a pasta de trabalho Relatório de Operações Confidenciais na seção Solução de problemas .
Secções
Esta pasta de trabalho é dividida em quatro seções:
Credenciais/métodos de autenticação de entidade de serviço e aplicativo modificados - Este relatório sinaliza os atores que alteraram recentemente muitas credenciais da entidade de serviço e quantas de cada tipo de credenciais da entidade de serviço foram alteradas.
Novas permissões concedidas a entidades de serviço - Esta pasta de trabalho também destaca as permissões OAuth 2.0 concedidas recentemente para entidades de serviço.
Atualizações de função de diretório e associação de grupo para entidades de serviço
Configurações de federação modificadas - Este relatório destaca quando um usuário ou aplicativo modifica as configurações de federação em um domínio. Por exemplo, ele relata quando um novo objeto TrustedRealm do Ative Directory Federated Service (ADFS), como um certificado de assinatura, é adicionado ao domínio. A modificação das configurações de federação de domínio deve ser rara.
Credenciais/métodos de autenticação de entidade de serviço e aplicativo modificados
Uma das maneiras mais comuns de os invasores ganharem persistência no ambiente é adicionando novas credenciais a aplicativos e entidades de serviço existentes. As credenciais permitem que o invasor se autentique como o aplicativo de destino ou entidade de serviço, concedendo-lhes acesso a todos os recursos para os quais ele tem permissões.
Esta seção inclui os seguintes dados para ajudá-lo a detetar:
Todas as novas credenciais adicionadas a aplicativos e entidades de serviço, incluindo o tipo de credencial
Principais atores e o número de modificações de credenciais que realizaram
Uma linha do tempo para todas as alterações de credenciais
Novas permissões concedidas a entidades de serviço
Nos casos em que o invasor não consegue encontrar uma entidade de serviço ou um aplicativo com um conjunto de permissões de alto privilégio através do qual obter acesso, ele geralmente tentará adicionar as permissões a outra entidade de serviço ou aplicativo.
Esta seção inclui um detalhamento das concessões de permissões AppOnly para entidades de serviço existentes. Os administradores devem investigar quaisquer instâncias de permissões altas excessivas que estejam sendo concedidas, incluindo, mas não limitado a, Exchange Online e Microsoft Graph.
Atualizações de função de diretório e associação de grupo para entidades de serviço
Seguindo a lógica do invasor adicionar novas permissões a entidades de serviço e aplicativos existentes, outra abordagem é adicioná-las a funções ou grupos de diretório existentes.
Esta seção inclui uma visão geral de todas as alterações feitas nas associações de entidade de serviço e deve ser revisada para quaisquer adições a funções e grupos de alto privilégio.
Configurações de federação modificadas
Outra abordagem comum para ganhar uma posição de longo prazo no ambiente é:
- Modifique as confianças de domínio federado do locatário.
- Adicione outro IDP SAML que seja controlado pelo invasor como uma fonte de autenticação confiável.
Esta secção inclui os seguintes dados:
Alterações executadas em confianças de federação de domínio existentes
Adição de novos domínios e relações de confiança
Filtros
Este parágrafo lista os filtros suportados para cada seção.
Credenciais/métodos de autenticação de entidade de serviço e aplicativo e serviço modificados
- Intervalo de tempo
- Nome da operação
- Credencial
- Ator
- Excluir ator
Novas permissões concedidas a entidades de serviço
- Intervalo de tempo
- Aplicação cliente
- Recurso
Atualizações de função de diretório e associação de grupo para entidades de serviço
- Intervalo de tempo
- Operação
- Iniciando usuário ou aplicativo
Configurações de federação modificadas
- Intervalo de tempo
- Operação
- Iniciando usuário ou aplicativo
Melhores práticas
-
- Use credenciais modificadas de aplicativo e entidade de serviço** para procurar credenciais que estão sendo adicionadas a entidades de serviço que não são usadas com frequência em sua organização. Use os filtros presentes nesta seção para investigar melhor qualquer um dos atores suspeitos ou entidades de serviço que foram modificados.
Use as novas permissões concedidas a entidades de serviço para procurar permissões amplas ou excessivas que estão sendo adicionadas às entidades de serviço por atores que podem ser comprometidas.
Use a seção de configurações de federação modificadas para confirmar se o domínio/URL de destino adicionado ou modificado é um comportamento legítimo de administrador. Ações que modificam ou adicionam confianças de federação de domínio são raras e devem ser tratadas como alta fidelidade para serem investigadas o mais rápido possível.