Guia de operações de segurança do Microsoft Entra

A Microsoft tem uma abordagem comprovada e bem-sucedida de segurança Confiança Zero que usa princípios de Defesa Aprofundada com a identidade como um painel de controle. As organizações continuam adotando um mundo de cargas de trabalho híbridas para escala, economia de custos e segurança. O Microsoft Entra ID tem papel fundamental na estratégia de gerenciamento de identidade. Recentemente, notícias sobre comprometimento de identidade e segurança levaram os departamentos de TI das empresas a pensar em suas posturas de segurança de identidade como uma medida de sucesso na segurança defensiva.

As organizações precisam cada vez mais adotar uma mistura de aplicativos locais e na nuvem, que os usuários acessam com contas tanto locais quando na nuvem. O gerenciamento de usuários, aplicativos e dispositivos localmente e na nuvem apresenta cenários desafiadores.

Identidade híbrida

O Microsoft Entra ID cria uma identidade de usuário comum para autenticação e autorização para todos os recursos, independentemente da localização. Chamamos isso de identidade híbrida.

Para obter a identidade híbrida com o Microsoft Entra ID, pode ser usado um dos três métodos de autenticação, dependendo dos cenários. Os três métodos são:

• PHS (sincronização de hash de senha)
• PTA (Autenticação de Passagem)
• Federação (AD FS)

Quando auditar suas operações de segurança atuais e definir operações de segurança para o ambiente do Azure, recomendamos que você:

• Leia partes específicas das diretrizes de segurança da Microsoft para estabelecer uma linha de base de conhecimento sobre como proteger seu ambiente do Azure híbrido ou baseado em nuvem.
• Audite sua estratégia de conta e senha e seus métodos de autenticação para ajudar a impedir os vetores de ataque mais comuns.
• Crie uma estratégia de monitoramento e alertas contínuos em atividades que possam indicar uma ameaça à segurança.

Público

O Guia de SecOps do Microsoft Entra serve para equipes de operações de segurança e identidade de TI empresariais e provedores de serviços gerenciados que precisem lidar com ameaças aprimorando os perfis de monitoramento e a configuração de segurança de identidade. Este guia é particularmente relevante para administradores de TI e arquitetos de identidade que aconselham equipes do SOC (Centro de Operações de Segurança) e de testes de penetração para melhorar e manter a postura de segurança de identidade.

Escopo

Esta introdução fornece as recomendações de estratégia e auditoria de senhas como pré-leitura. Este artigo também oferece uma visão geral das ferramentas disponíveis para ambientes do Azure híbridos e para ambientes do Azure totalmente baseados em nuvem. Por fim, fornecemos uma lista de fontes de dados que você pode usar para monitorar, gerar alertas e configurar sua estratégia e seu ambiente de SIEM (gerenciamento de eventos e informações de segurança). O restante das diretrizes apresenta estratégias de monitoramento e alertas nas seguintes áreas:

• Contas de usuário. Diretrizes específicas para contas de usuário sem privilégios administrativos, incluindo criação e uso de contas anômalas e credenciais incomuns.

• Contas com privilégios. Diretrizes específicas para contas de usuários com privilégios que tenham permissões com privilégio elevado para realizar tarefas administrativas. As tarefas incluem atribuições de função do Microsoft Entra, atribuições de função de recursos do Azure e gerenciamento de acesso a recursos e assinaturas do Azure.

• PIM (Privileged Identity Management). Diretrizes específicas para usar o PIM no gerenciamento, no controle e no monitoramento de acesso aos recursos.

• Aplicativos. Diretrizes específicas para contas usadas no fornecimento de autenticação para aplicativos.

• Dispositivos. Diretrizes específicas para o monitoramento e os alertas de dispositivos registrados ou unidos fora de políticas, de uso não conforme, de gerenciamento de funções de administração de dispositivos e conexões com máquinas virtuais.

• Infraestrutura. Diretrizes específicas para monitorar e alertas sobre ameaças aos ambientes híbridos e totalmente em nuvem.

Conteúdo de referência importante

A Microsoft tem vários produtos e serviços que permitem personalizar seu ambiente de TI para atender às suas necessidades. Recomendamos que você examine as seguintes diretrizes para seu ambiente operacional:

• Sistemas operacionais Windows

  • Linha de base de segurança (FINAL) para Windows 10 v1909 e Windows Server v1909
  • Linha de base de segurança do Windows 11
  • Linha de base de segurança para Windows Server 2022

• Ambientes locais

  • Arquitetura do Microsoft Defender para Identidade
  • Guia de início rápido – Conectar o Microsoft Defender para Identidade ao Active Directory
  • Linha de base de segurança do Azure para Microsoft Defender para Identidade
  • Como monitorar o Active Directory em busca de sinais de comprometimento

• Ambientes do Azure baseados em nuvem

  • Monitorar entradas com o log de entradas do Microsoft Entra
  • Relatórios de atividade de auditoria no portal do Azure
  • Investigar o risco com o Microsoft Entra ID Protection
  • Conectar dados do Microsoft Entra ID Protection ao Microsoft Sentinel

• Active Directory Domain Services (AD DS)

  • Recomendações de política de auditoria

• Serviços de Federação do Active Directory (AD FS)

  • Solução de problemas do AD FS – Auditoria de eventos e registro em log

Fontes de dados

Os arquivos de log que você usa para investigação e monitoramento são:

• Logs de auditoria do Microsoft Entra
• Logs de entrada
• Logs de auditoria do Microsoft 365
• Logs do Azure Key Vault

No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra. Faça download dos logs como arquivos CSV (valores separados por vírgulas) ou JSON (JavaScript Object Notation). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação de monitoramento e de alerta:

• Microsoft Sentinel – Permite a análise de segurança inteligente no nível empresarial fornecendo recursos de SIEM (gerenciamento de eventos e informações de segurança).

• Regras Sigma – Sigma é um padrão aberto em evolução para gravar regras e modelos que as ferramentas de gerenciamento automatizadas poderão usar para analisar arquivos de log. Sempre que há modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são gravados, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.

• Azure Monitor – Permite o monitoramento e o alerta automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de fontes diferentes.

• Hubs de Eventos do Azure integrado a um SIEM. Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração dos Hubs de Eventos do Azure. Para obter mais informações, confira Transmitir logs do Microsoft Entra para um hub de eventos do Azure.

• Microsoft Defender para Aplicativos de Nuvem – Permite que você descubra e gerencie aplicativos, administre aplicativos e recursos e verifique a conformidade dos seus aplicativos de nuvem.

• Proteger identidades de carga de trabalho com o Identity Protection Preview − Usado para detectar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.

Grande parte do que você monitorará e alertará são os efeitos de suas políticas de acesso condicional. Você pode usar a pasta de trabalho de insights e relatórios de Acesso Condicional para examinar os efeitos de uma ou mais políticas de Acesso Condicional em suas conexões, bem como os resultados das políticas, incluindo o estado do dispositivo. Esta pasta de trabalho permite que você exiba um resumo de impacto e identifique o impacto em um período de tempo específico. Você também pode usar a pasta de trabalho para investigar as entradas de um usuário específico. Para obter mais informações, consulte Insights e relatórios de acesso condicional.

O restante deste artigo descreve o que deve ser monitorado e alertado. Quando houver soluções predefinidas específicas, apontaremos para elas ou forneceremos exemplos na sequência da tabela. Caso contrário, você pode criar alertas usando as ferramentas anteriores.

• Identity Protection gera três relatórios importantes que você pode usar para ajudar na investigação:

• Usuários suspeitos contém informações sobre quais usuários estão em risco, detalhes sobre detecções, histórico de todas as entradas suspeitas e histórico suspeito.

• Entradas suspeitas contém informações sobre a circunstância de uma entrada que pode indicar circunstâncias suspeitas. Para mais informações sobre a investigação de informações desse relatório, consulte Como investigar riscos.

• As detecções de risco contêm informações sobre sinais de risco detectados pelo Microsoft Entra ID Protection que indicam riscos de credenciais e usuários. Para obter mais informações, confira o Guia de operações de segurança do Microsoft Entra para contas de usuários.

Para obter mais informações, veja O que é a proteção de identidade.

Fontes de dados para monitoramento do controlador de domínio

Para obter melhores resultados, recomendamos que você monitore seus controladores de domínio usando o Microsoft Defender para Identidade. Essa abordagem oferece as melhores funcionalidades de detecção e automação. Siga as diretrizes desses recursos:

• Arquitetura do Microsoft Defender para Identidade
• Guia de início rápido – Conectar o Microsoft Defender para Identidade ao Active Directory

Se você não planeja usar o Microsoft Defender para Identidade, monitore seus controladores de domínio por uma destas abordagens:

• Mensagens do log de eventos. Consulte Como monitorar o Active Directory em busca de sinais de comprometimento.
• Cmdlets do PowerShell. Consulte Solução de problemas de implantação de controlador de domínio.

Componentes da autenticação híbrida

Como parte do ambiente híbrido do Azure, os itens a seguir devem receber uma linha de base e ser incluídos na sua estratégia de monitoramento e alertas.

• Agente de PTA – O agente de autenticação de passagem é usado para permitir a autenticação de passagem e é instalado localmente. Confira Agente de autenticação de passagem do Microsoft Entra: histórico de lançamento de versão para obter mais informações sobre como verificar a versão do agente e as próximas etapas.

• AD FS/WAP – os Serviços de Federação do Active Directory (AD FS) e o Proxy de Aplicativo Web (WAP) permitem o compartilhamento seguro de direitos e identidade digital em todos os seus limites empresariais e de segurança. Para mais informações sobre as melhores práticas de segurança, veja as Melhores práticas para proteção dos Serviços de Federação do Active Directory.

• Agente do Microsoft Entra Connect Health – o agente usado para fornecer um link de comunicações ao Microsoft Entra Connect Health. Para obter informações sobre a instalação do agente, confira Instalação do agente do Microsoft Entra Connect Health.

• Mecanismo de Sincronização do Microsoft Entra Connect: o componente local, também chamado de mecanismo de sincronização. Para obter mais informações sobre o recurso, confira Recursos do serviço de sincronização do Microsoft Entra Connect.

• Agente de DC de Proteção de Senha – O agente de DC de proteção de senha do Azure é usado para ajudar a monitorar e a relatar mensagens de log de eventos. Para obter informações, confira Impor a proteção de senha local do Microsoft Entra para o Active Directory Domain Services.

• DLL de Filtro de Senha – A DLL de filtro de senha do agente de DC recebe solicitações de validação de senha de usuário do sistema operacional. O filtro os encaminha para o serviço de agente de DC que está sendo executado localmente no controlador de domínio. Para obter mais informações sobre como usar DLL, confira Impor Proteção de Senha do Microsoft Entra local ao Active Directory Domain Services.

• Agente de write-back de senha: o write-back de senha é um recurso habilitado com Microsoft Entra Connect que permite que as alterações de senha na nuvem possam efetuar write-back para um diretório local existente em tempo real. Para obter mais informações sobre esse recurso, confira Como a redefinição de senha self-service funciona no Microsoft Entra ID?.

• Conector de rede privada do Microsoft Entra – agentes leves que ficam no local e facilitam a conexão de saída para o serviço Proxy de Aplicativo. Para obter mais informações, consulte Noções básicas sobre conectores de rede privada do Microsoft Entra.

Componentes da autenticação baseada em nuvem

Como parte do ambiente de nuvem do Azure, os itens a seguir devem receber uma linha de base e ser incluídos na sua estratégia de monitoramento e alertas.

• Proxy de Aplicativo do Microsoft Entra: serviço de nuvem que oferece acesso remoto seguro a aplicativos Web locais. Para obter mais informações, confira Acesso remoto aos aplicativos locais por meio do Proxy de Aplicativo do Microsoft Entra.

• Microsoft Entra Connect – serviços usados para uma solução do Microsoft Entra Connect. Para obter mais informações, confira O que é o Microsoft Entra Connect.

• Microsoft Entra Connect Health – a Integridade do Serviço oferece um painel personalizável que acompanha a integridade dos serviços do Azure nas regiões em que são usados. Para obter mais informações, confira Microsoft Entra Connect Health.

• Autenticação multifator do Microsoft Entra – a autenticação multifator exige que o usuário forneça mais de uma forma de prova de autenticação. Essa abordagem pode ser um primeiro passo proativo para proteger seu ambiente. Para obter mais informações, confira Autenticação multifator do Microsoft Entra.

• Grupos dinâmicos – a configuração dinâmica da associação a grupos de segurança para Administradores do Microsoft Entra pode definir regras a fim de preencher grupos que sejam criados no Microsoft Entra ID com base em atributos do usuário. Para saber mais, confira Grupos dinâmicos e colaboração B2B do Microsoft Entra.

• Acesso condicional – o acesso condicional é a ferramenta usada pelo Microsoft Entra ID para reunir sinais de identidade, tomar decisões e impor políticas organizacionais. O acesso condicional está no centro do novo plano de controle controlado por identidade. Para obter mais informações, confira O que é o Acesso Condicional.

• Proteção de identidade – Uma ferramenta que permite que as organizações automatizem a detecção e a correção de riscos baseados em identidade, investiguem os riscos usando dados no portal e exportem os dados da detecção de riscos para seu SIEM. Para obter mais informações, veja O que é a proteção de identidade.

• Licenciamento baseado em grupos – As licenças podem ser atribuídas a grupos em vez de diretamente a usuários. O ID do Microsoft Entra armazena informações sobre estados de atribuição de licença para usuários.

• Serviço de Provisionamento – O provisionamento automático refere-se à criação de identidades e funções de usuário nos aplicativos de nuvem que os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam. Para obter mais informações, confira Como funciona o provisionamento de aplicativos no Microsoft Entra ID.

• API do Graph – A API do Microsoft Graph é uma API Web RESTful que permite acessar recursos de serviço do Microsoft Cloud. Depois de registrar seu aplicativo e obter tokens de autenticação para um usuário ou serviço, você pode fazer solicitações para a API do Microsoft Graph. Para saber mais, confira Visão geral do Microsoft Graph.

• Serviço de Domínio – o AD DS (Microsoft Entra Domain Services) fornece serviços de domínio gerenciados, como ingresso no domínio e política de grupo. Para obter mais informações, confira O que é o Microsoft Entra Domain Services.

• Azure Resource Manager – O Azure Resource Manager é o serviço de implantação e gerenciamento do Azure. Ele fornece uma camada de gerenciamento que lhe permite criar, atualizar e excluir recursos em sua conta do Azure. Para obter mais informações, confira O que é o Azure Resource Manager.

• Identidade Gerenciada – As identidades gerenciadas eliminam a necessidade de os desenvolvedores gerenciarem credenciais. As identidades gerenciadas fornecem uma identidade para os aplicativos usarem ao se conectarem a recursos que oferecem suporte à autenticação do Microsoft Entra. Para obter mais informações, confira O que são as identidades gerenciadas para recursos do Azure.

• Privileged Identity Management – o PIM é um serviço no Microsoft Entra ID que permite gerenciar, controlar e monitorar o acesso a importantes recursos na sua organização. Para obter mais informações, confira O que é o Microsoft Entra Privileged Identity Management.

• Revisões de acesso – as revisões de acesso do Microsoft Entra permitem que as organizações gerenciem com eficiência as associações de grupos, o acesso a aplicativos empresariais e as atribuições de funções. O acesso do usuário pode ser examinado regularmente para garantir que somente as pessoas corretas tenham acesso contínuo. Para obter mais informações, confira O que são as revisões de acesso do Microsoft Entra.

• Gerenciamento de direitos – o gerenciamento de direitos do Microsoft Entra é um recurso de governança de identidade. As organizações podem gerenciar o ciclo de vida de identidade e acesso em escala, automatizando fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração. Para obter mais informações, confira O que é o gerenciamento de direitos do Microsoft Entra.

• Logs de atividades – O log de atividades é um log de plataforma do Azure que fornece insights sobre eventos no nível da assinatura. Este log inclui informações sobre a alteração de um recurso ou a inicialização de uma máquina virtual. Para obter mais informações, confira Log de Atividades do Azure.

• Serviço de redefinição de senha self-service – a redefinição de senha self-service (SSPR) do Microsoft Entra dá aos usuários a capacidade de alterar ou redefinir a senha. Não é necessário um administrador ou suporte técnico. Para obter mais informações, confira Como funciona: redefinição de senha self-service do Microsoft Entra.

• Serviços de Dispositivo – O gerenciamento de identidades do dispositivo é a base do Acesso Condicional com base no dispositivo. Com as políticas de Acesso Condicional baseadas em dispositivos, é possível garantir que o acesso a recursos em seu ambiente seja feita apenas por dispositivos gerenciados. Para obter mais informações, confira O que é uma identidade do dispositivo.

• Gerenciamento de grupos de autoatendimento – você pode habilitar usuários para criar e gerenciar os próprios grupos de segurança ou grupos do Microsoft 365 no Microsoft Entra ID. O proprietário do grupo pode aprovar ou negar solicitações de associação e pode delegar o controle de associação de grupo. Os recursos de gerenciamento de grupos de autoatendimento não estão disponíveis para grupos de segurança habilitados para email ou listas de distribuição. Para obter mais informações, confira Configurar o gerenciamento de grupos de autoatendimento no Microsoft Entra ID.

• Detecções de risco – Contém informações sobre outros riscos acionados quando um risco é detectado e outras informações pertinentes, como local de entrada e outros detalhes do Microsoft Defender para Aplicativos de Nuvem.

Próximas etapas

Confira estes artigos do guia de operações de segurança:

Operações de segurança para contas de usuário

Operações de segurança para contas do consumidor

Operações de segurança para contas com privilégios

Operações de segurança para o Privileged Identity Management

Operações de segurança para aplicativos

Operações de segurança para dispositivos

Operações de segurança para infraestrutura