Operações de segurança para contas de usuários do Microsoft Entra
A identidade do usuário é um dos aspectos mais importantes da proteção da sua organização e dos dados. Este artigo apresenta diretrizes para monitorar a criação, a exclusão e o uso da conta. A primeira parte aborda como monitorar a criação e a exclusão de contas incomuns. A segunda parte aborda como monitorar o uso de contas incomuns.
Se você ainda não leu a Visão geral das operações de segurança do Microsoft Entra, recomendamos que faça isso antes de continuar.
Este artigo aborda as contas de usuário gerais. Para contas com privilégios, confira Operações de segurança – contas com privilégios.
Definir uma linha de base
Para descobrir o comportamento anormal, primeiro você deve definir o comportamento normal e o esperado. Definir qual é o comportamento esperado para sua organização ajuda a determinar quando ocorre um comportamento inesperado. A definição também ajuda a reduzir o nível de ruído de falsos positivos ao monitorar e alertar.
Depois de definir o que você espera, execute o monitoramento de linha de base para validar suas expectativas. Com essas informações, você pode monitorar os logs para qualquer situação que esteja fora das tolerâncias que você definir.
Use os logs de auditoria do Microsoft Entra, os logs de entrada do Microsoft Entra e os atributos de diretório como suas fontes de dados para contas criadas fora dos processos normais. Veja a seguir sugestões para ajudá-lo a pensar e definir o que é normal para sua organização.
Criação de contas de usuários – avalie o seguinte:
Estratégia e princípios para ferramentas e processos usados para criar e gerenciar contas de usuário. Por exemplo, existem atributos padrão, formatos que são aplicados aos atributos de conta de usuário.
Fontes aprovadas para a criação da conta. Por exemplo, originado em sistemas Active Directory Domain Services (AD), Microsoft Entra ID ou sistemas de RH, como Workday.
Estratégia de alerta para contas criadas fora de fontes aprovadas. Há uma lista controlada de organizações com as quais sua organização colabora?
Provisionamento de contas de convidados e parâmetros de alerta para contas criadas fora do gerenciamento de direitos ou outros processos normais.
Parâmetros de estratégia e alerta para contas criadas, modificadas ou desabilitadas por uma conta que não é um administrador de usuário aprovado.
Estratégia de monitoramento e alerta para contas com atributos padrão ausentes, como ID de funcionário ou não seguindo convenções de nomenclatura organizacional.
Estratégia, princípios e processo para exclusão e retenção de conta.
Contas de usuário no local: avalie o seguinte para contas sincronizadas com o Microsoft Entra Connect:
As florestas, domínios e UOs (unidades organizacionais) no escopo para sincronização. Quem são os administradores aprovados que podem mudar essas configurações e com que frequência o escopo é verificado?
Os tipos de contas que são sincronizadas. Por exemplo, contas de usuário e contas de serviço.
O processo para criar contas locais privilegiadas e como a sincronização desse tipo de conta é controlada.
O processo para criar contas de usuário locais e como a sincronização desse tipo de conta é gerenciada.
Para obter mais informações sobre como proteger e monitorar contas locais, confira Proteger o Microsoft 365 de ataques locais.
Contas de usuário na nuvem – avalie o seguinte:
O processo para provisionar e gerenciar contas de nuvem diretamente no Microsoft Entra ID.
O processo para determinar os tipos de usuários provisionados como contas de nuvem do Microsoft Entra. Por exemplo, você só permite contas privilegiadas ou também permite contas de usuário?
O processo para criar e manter uma lista de indivíduos confiáveis e/ou processos esperados para criar e gerenciar contas de usuário de nuvem.
O processo para criar e manter uma estratégia de alerta para contas não aprovadas baseadas em nuvem.
Onde procurar
Os arquivos de log que você usa para investigação e monitoramento são:
No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixá-los como arquivos valores separados por vírgula (CSV) ou JavaScript Object Notation (JSON). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação de monitoramento e de alerta:
Microsoft Sentinel – Permite a análise de segurança inteligente no nível empresarial fornecendo recursos de SIEM (gerenciamento de eventos e informações de segurança).
Regras Sigma – Sigma é um padrão aberto em evolução para gravar regras e modelos que as ferramentas de gerenciamento automatizadas poderão usar para analisar arquivos de log. Onde há modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são gravados, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.
Azure Monitor : permite o monitoramento e o alerta automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de fontes diferentes.
Hubs de Eventos do Azure Integrado com um SIEM – Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração do Hubs de Eventos do Azure.
Microsoft Defender for Cloud Apps – permite que você descubra e gerencie aplicativos, administre aplicativos e recursos e verifique a conformidade dos aplicativos em nuvem.
Proteger identidades de carga de trabalho com o Identity Protection Preview − Usado para detectar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.
Grande parte do que você monitorará e alertará são os efeitos de suas políticas de acesso condicional. Você pode usar a pasta de trabalho de insights e relatórios de Acesso Condicional para examinar os efeitos de uma ou mais políticas de Acesso Condicional em suas conexões, bem como os resultados das políticas, incluindo o estado do dispositivo. Esta pasta de trabalho permite que você exiba um resumo e identifique os efeitos em um período específico. Você também pode usar a pasta de trabalho para investigar as entradas de um usuário específico.
O restante deste artigo descreve o que é recomendável monitorar e alertar e é organizado pelo tipo de ameaça. Onde há soluções predefinidas específicas, vinculamos a elas ou fornecemos exemplos que seguem a tabela. Caso contrário, você pode criar alertas usando as ferramentas anteriores.
Criação de conta
A criação de conta anômala pode indicar um problema de segurança. Contas de curta duração, contas que não seguem os padrões de nomenclatura e contas criadas fora dos processos normais devem ser investigadas.
Contas de curta duração
A criação e a exclusão de contas fora dos processos normais de gerenciamento de identidade devem ser monitoradas no Microsoft Entra ID. Contas de curta duração são contas criadas e excluídas em um curto período. Esse tipo de criação de conta e exclusão rápida podem significar que um ator inadequado está tentando evitar a detecção criando contas, usando-as e, em seguida, excluindo a conta.
Padrões de conta de curta duração podem indicar que pessoas ou processos não aprovados podem ter o direito de criar e excluir contas que se enquadram fora dos processos e políticas estabelecidos. Esse tipo de comportamento remove os marcadores visíveis do diretório.
Se a trilha de dados para criação e exclusão de conta não for descoberta rapidamente, as informações necessárias para investigar um incidente talvez não existam mais. Por exemplo, as contas podem ser excluídas e, em seguida, limpas da lixeira. Os logs de atividade são retidos por 30 dias. No entanto, você pode exportar seus logs para o Azure Monitor ou para uma solução de SIEM (gerenciamento de informações e eventos de segurança) para retenção de longo prazo.
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Eventos de criação e exclusão de conta em um período de fechamento. | Alto | Logs de auditoria do Microsoft Entra | Atividade: adicionar usuário Status = êxito -e- Atividade: excluir usuário Status = êxito |
Procure eventos de nome UPN. Procure contas criadas e excluídas em menos de 24 horas. Modelo do Microsoft Sentinel |
| Contas criadas e excluídas por usuários ou processos não aprovados. | Médio | Logs de auditoria do Microsoft Entra | Iniciado por (ator) – NOME UPN -e- Atividade: adicionar usuário Status = êxito and-or Atividade: excluir usuário Status = êxito |
Se os atores forem usuários não aprovados, configure para enviar um alerta. Modelo do Microsoft Sentinel |
| Contas de fontes não aprovadas. | Médio | Logs de auditoria do Microsoft Entra | Atividade: adicionar usuário Status = êxito Destino(s) = NOME UPN |
Se a entrada não for de um domínio aprovado ou for um domínio bloqueado conhecido, configure para enviar um alerta. Modelo do Microsoft Sentinel |
| Contas atribuídas a uma função privilegiada. | Alto | Logs de auditoria do Microsoft Entra | Atividade: adicionar usuário Status = êxito -e- Atividade: excluir usuário Status = êxito -e- Atividade = adicionar membro a função Status = êxito |
Se a conta for atribuída a uma função do Microsoft Entra, função do Azure ou associação de grupo com privilégios, alerte e priorize a investigação. Modelo do Microsoft Sentinel Regras Sigma |
Contas com privilégios e sem privilégios devem ser monitoradas e alertadas. No entanto, como as contas com privilégios têm permissões administrativas, elas devem ter prioridade mais alta nos processos de monitoramento, alerta e resposta.
Contas que não seguem as políticas de nomenclatura
As contas de usuário que não seguem as políticas de nomenclatura podem ter sido criadas fora das políticas organizacionais.
Uma melhor prática é ter uma política de nomenclatura entre objetos de usuário. Ter uma política de nomenclatura torna o gerenciamento mais fácil e ajuda a gerar consistência. A política também pode ajudar a descobrir quando os usuários foram criados fora dos processos aprovados. Um ator incorreto pode não estar ciente de seus padrões de nomenclatura e pode facilitar a detecção de uma conta provisionada fora de seus processos organizacionais.
As organizações tendem a ter formatos e atributos específicos que são usados para criar contas de usuário e ou privilegiadas. Por exemplo:
UPN da conta de administrador = ADM_firstname.lastname@tenant.onmicrosoft.com
UPN da conta de usuário = Firstname.Lastname@contoso.com
Com frequência, as contas de usuário têm um atributo que identifica um usuário real. Por exemplo, EMPID = XXXNNN. Use as seguintes sugestões para ajudar a definir o normal da sua organização e para definir uma linha de base para entradas de log quando as contas não seguirem sua convenção de nomenclatura:
Contas que não seguem a convenção de nomenclatura. Por exemplo,
nnnnnnn@contoso.comxfirstname.lastname@contoso.com.Contas que não têm os atributos padrão preenchidos ou não estão no formato correto. Por exemplo, não ter uma ID de funcionário válida.
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Contas de usuário que não têm atributos esperados definidos. | Baixo | Logs de auditoria do Microsoft Entra | Atividade: adicionar usuário Status = êxito |
Procure contas com seus atributos padrão nulos ou no formato errado. Por exemplo, EmployeeID Modelo do Microsoft Sentinel |
| Contas de usuário criadas usando o formato de nomenclatura incorreto. | Baixo | Logs de auditoria do Microsoft Entra | Atividade: adicionar usuário Status = êxito |
Procure contas com um UPN que não siga sua política de nomenclatura. Modelo do Microsoft Sentinel |
| Contas com privilégios que não seguem a política de nomenclatura. | Alto | Assinatura do Azure | Listar atribuições de função do Azure usando o portal do Azure - Azure RBAC | Liste atribuições de função para assinaturas e alertas em que o nome de logon não corresponde ao formato da sua organização. Por exemplo, ADM_ como um prefixo. |
| Contas com privilégios que não seguem a política de nomenclatura. | Alto | diretório do Microsoft Entra | Listar atribuições de função do Microsoft Entra | Liste atribuições de funções para o alerta de funções do Microsoft Entra em que o UPN não corresponde ao formato de sua organização. Por exemplo, ADM_ como um prefixo. |
Para obter mais informações sobre análise, confira:
Para logs de auditoria do Microsoft Entra – Analisar dados de texto do Azure Monitor Logs
Assinaturas do Azure – Listar atribuições de função do Azure usando o Azure PowerShell
Microsoft Entra ID – Listar atribuições de função do Microsoft Entra
Contas criadas fora dos processos normais
Ter processos padrão para criar usuários e contas privilegiadas é importante para que você possa controlar com segurança o ciclo de vida das identidades. Se os usuários forem provisionados e desprovisionados fora dos processos estabelecidos, poderão introduzir riscos de segurança. Operar fora dos processos estabelecidos também pode introduzir problemas de gerenciamento de identidade. Os riscos potenciais incluem:
Contas privilegiadas e de usuário podem não ser administradas para aderir às políticas organizacionais. Isso pode levar a uma superfície de ataque maior em contas que não são gerenciadas corretamente.
Fica mais difícil detectar quando atores mal-intencionados criam contas para fins mal-intencionados. Ao ter contas válidas criadas fora dos procedimentos estabelecidos, fica mais difícil detectar quando as contas são criadas ou as permissões modificadas para fins mal-intencionados.
Recomendamos que contas privilegiadas e de usuário sejam criadas somente seguindo as políticas da sua organização. Por exemplo, uma conta deve ser criada com os padrões de nomenclatura corretos, informações organizacionais e no escopo da governança de identidade apropriada. As organizações devem ter controles rigorosos sobre quem tem os direitos de criar, gerenciar e excluir identidades. As funções para criar essas contas devem ser fortemente gerenciadas, e os direitos disponibilizados somente depois de seguir um fluxo de trabalho estabelecido para aprovar e obter essas permissões.
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Contas de usuário criadas ou excluídas por usuários ou processos não aprovados. | Médio | Logs de auditoria do Microsoft Entra | Atividade: adicionar usuário Status = êxito and-or- Atividade: excluir usuário Status = êxito -e- Iniciado por (ator) = NOME UPN |
Alerta sobre contas criadas por usuários ou processos não aprovados. Priorize as contas criadas com privilégios aumentados. Modelo do Microsoft Sentinel |
| Contas de usuário criadas ou excluídas de fontes não aprovadas. | Médio | Logs de auditoria do Microsoft Entra | Atividade: adicionar usuário Status = êxito -ou- Atividade: excluir usuário Status = êxito -e- Destino(s) = NOME UPN |
Alertar quando o domínio for não aprovado ou conhecido como domínio bloqueado. |
Entradas incomuns
Ver as falhas de autenticação do usuário é normal. No entanto, ver padrões ou blocos de falhas pode ser um indicador de que algo está acontecendo com a identidade de um usuário. Por exemplo, durante ataques de força bruta ou de pulverização de senha, ou quando uma conta de usuário é comprometida. É fundamental você monitorar e alertar sempre que surgirem padrões. Isso ajuda a garantir que você possa proteger o usuário e os dados da sua organização.
O êxito parece indicar que tudo está bem. No entanto, isso pode significar que um ator inadequado acessou um serviço com êxito. O monitoramento de logons bem-sucedidos ajuda a detectar contas de usuário que estão tendo acesso, mas que não são contas de usuário que deveriam ter acesso. Os sucessos de autenticação do usuário são entradas normais nos logs de entrada do Microsoft Entra. Recomendamos que você monitore e alerte para detectar quando os padrões surgem. Isso ajuda a garantir que você possa proteger as contas de usuário e os dados da sua organização.
Ao projetar e operacionalizar uma estratégia de monitoramento e alerta de log, considere as ferramentas disponíveis para você por meio do portal do Azure. O Identity Protection permite automatizar a detecção, a proteção e a correção de riscos baseados em identidade. O Identity Protection usa sistemas de aprendizado de máquina e heurística alimentados por inteligência para detectar riscos e atribuir uma pontuação de risco para usuários e entradas. Os clientes podem configurar políticas com base em um nível de risco para quando permitir ou negar o acesso ou permitir que o usuário faça correção automática de um risco. As seguintes detecções de risco do Identity Protection informam os níveis de risco hoje:
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Detecção de risco do usuário por credenciais vazadas | Alto | Logs de detecção de risco do Microsoft Entra | UX: credenciais vazadas API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
| Detecção de risco do usuário de Inteligência contra ameaças do Microsoft Entra | Alto | Logs de detecção de risco do Microsoft Entra | UX: inteligência contra ameaças do Microsoft Entra API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
| Detecção de risco de entrada de endereço IP anônimo | Varia | Logs de detecção de risco do Microsoft Entra | UX: endereço IP anônimo API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
| Detecção de risco de entrada de viagem atípica | Varia | Logs de detecção de risco do Microsoft Entra | UX: viagem atípica API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
| Token anormal | Varia | Logs de detecção de risco do Microsoft Entra | UX: token anormal API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
| Detecção de risco de entrada de endereço IP vinculado a malware | Varia | Logs de detecção de risco do Microsoft Entra | UX: endereço IP vinculado a malware API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
| Detecção de risco de logon de navegador suspeito | Varia | Logs de detecção de risco do Microsoft Entra | UX: navegador suspeito API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
| Detecção de risco de entrada de propriedades de entrada desconhecidas | Varia | Logs de detecção de risco do Microsoft Entra | UX: propriedades de entrada desconhecidas API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
| Detecção de risco de entrada de endereço IP mal-intencionado | Varia | Logs de detecção de risco do Microsoft Entra | UX: endereço IP mal-intencionado API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
| Detecção de risco de regras de manipulação suspeita da caixa de entrada | Varia | Logs de detecção de risco do Microsoft Entra | UX: regras de manipulação suspeita da caixa de entrada API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
| Detecção de risco de entrada de pulverização de senha | Alto | Logs de detecção de risco do Microsoft Entra | UX: pulverização de senha API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
| Detecção de risco de entrada de viagem impossível | Varia | Logs de detecção de risco do Microsoft Entra | UX: viagem impossível API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
| Detecção de risco de entrada em um novo país/região | Varia | Logs de detecção de risco do Microsoft Entra | UX: novo país/região API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
| Detecção de risco de entrada de atividade de um endereço IP anônimo | Varia | Logs de detecção de risco do Microsoft Entra | UX: atividade de um endereço IP anônimo API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
| Detecção de risco de entrada de encaminhamento suspeito da caixa de entrada | Varia | Logs de detecção de risco do Microsoft Entra | UX: encaminhamento suspeito da caixa de entrada API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
| Detecção de risco de entrada na inteligência contra ameaças do Microsoft Entra | Alto | Logs de detecção de risco do Microsoft Entra | UX: inteligência contra ameaças do Microsoft Entra API: confira tipo de recurso riskDetection – Microsoft Graph |
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection Regras Sigma |
Para obter mais informações, acesse O que é o Identity Protection.
O que procurar
Configurar o monitoramento dos dados nos logs de entrada do Microsoft Entra para garantir que os alertas ocorram e obedeçam às políticas de segurança da sua organização. Alguns exemplos disso são:
Autenticações com falha: como seres humanos, todos nos erramos nossas senhas de tempos em tempos. No entanto, muitas autenticações com falha podem indicar que um ator ruim está tentando obter acesso. Os ataques diferem em força, mas podem variar de algumas tentativas por hora a uma taxa muito maior. Por exemplo, a pulverização de senha normalmente aproveita senhas mais fáceis e as testa com muitas contas, enquanto o ataque de força bruta tenta várias senhas em contas direcionadas.
Autenticações interrompidas: Uma interrupção no Microsoft Entra ID representa uma injeção de um processo para atender à autenticação, como ao impor um controle em uma política de Acesso Condicional. Esse é um evento normal e pode acontecer quando os aplicativos não estão configurados corretamente. Mas quando você vê muitas interrupções para uma conta de usuário, isso pode indicar que algo está acontecendo com essa conta.
- Por exemplo, se você tiver filtrado um usuário nos logs de entrada e vir um grande volume de status de entrada = Interrompido e Acesso Condicional = Falha. Se nos aprofundarmos, talvez os detalhes de autenticação mostrem que a senha está correta, mas que uma autenticação forte é necessária. Isso pode significar que o usuário não está concluindo a MFA (autenticação multifator), o que pode indicar que a senha do usuário está comprometida e o ator mal-intencionado não consegue atender à MFA.
Bloqueio inteligente: o Microsoft Entra ID oferece um serviço de bloqueio inteligente que apresenta o conceito de locais familiares e não familiares ao processo de autenticação. Uma conta de usuário que visita um local familiar pode ser autenticada com êxito, enquanto um ator mal-intencionado não familiarizado com o mesmo local é bloqueado após várias tentativas. Procure contas que foram bloqueadas e investigue mais.
Alterações de IP: é normal ver usuários provenientes de endereços IP diferentes. No entanto, a Confiança Zero indica nunca confiar e sempre verificar. Ver um grande volume de endereços IP e falhas de entrada pode ser um indicador de intrusão. Procure um padrão de muitas autenticações com falha que ocorrem de vários endereços IP. Observe que as conexões VPN (rede virtual privada) podem causar falsos positivos. Independentemente dos desafios, recomendamos que você monitore as alterações de endereço IP e, se possível, use o Microsoft Entra ID Protection para detectar e atenuar automaticamente esses riscos.
Localizações: geralmente, você espera que uma conta de usuário esteja na mesma localização geográfica. Você também espera entradas de locais em que você tenha funcionários ou relações comerciais. Quando a conta de usuário vem de um local internacional diferente em menos tempo do que levaria para viajar até lá, pode indicar que a conta de usuário está sendo usada para fins mal-intencionados. Observe que as VPNs podem causar falsos positivos. Recomendamos que você monitore as contas de usuário que estão se comunicando de locais geograficamente distantes e, se possível, use o Microsoft Entra ID Protection para detectar e atenuar automaticamente esses riscos.
Para essa área de risco, recomendamos que você monitore contas de usuário padrão e contas privilegiadas, mas priorize as investigações de contas privilegiadas. Contas privilegiadas são as contas mais importantes em qualquer locatário do Microsoft Entra. Para obter diretrizes sobre contas com privilégios, confira Operações de segurança – contas com privilégios.
Como detectar
Você usa o Microsoft Entra ID Protection e os logs de entrada do Microsoft Entra para ajudar a descobrir ameaças indicadas por características incomuns de entrada. Informações sobre o Identity Protection estão disponíveis em O que é o Identity Protection. Você também pode replicar os dados para o Azure Monitor ou um SIEM para fins de monitoramento e alerta. Para definir o normal do seu ambiente e estabelecer uma linha de base, determine:
os parâmetros que você considera normais para sua base de usuários.
o número médio de tentativas de uma senha ao longo de um tempo antes de o usuário chamar o service desk ou executar uma redefinição de senha self-service.
quantas tentativas com falha você deseja permitir antes do alerta e se elas serão diferentes para contas de usuário e contas privilegiadas.
quantas tentativas de MFA você deseja permitir antes do alerta e se elas serão diferentes para contas de usuário e contas privilegiadas.
se a autenticação herdada estiver habilitada e seu roteiro para descontinuar o uso.
os endereços IP de saída conhecidos são para sua organização.
os países/regiões de onde seus usuários operam.
se existem grupos de usuários que permanecem estacionários dentro de um local de rede ou país/região.
Identifique outros indicadores de entradas incomuns específicos da sua organização. Por exemplo, dias ou horas da semana ou do ano em que sua organização não opera.
Depois de definir o escopo do que é normal para as contas do seu ambiente, considere a lista a seguir para ajudar a determinar quais cenários você deseja monitorar e alertar, assim como para ajustar seus alertas.
Você precisa monitorar e alertar se o Identity Protection está configurado?
Há condições mais rígidas aplicadas a contas privilegiadas que você pode usar para monitorar e alertar? Por exemplo, exigir que contas privilegiadas sejam usadas somente de endereços IP confiáveis.
As linhas de base que você definiu são muito agressivas? Ter muitos alertas pode fazer com que os alertas sejam ignorados ou ignorados.
Configure o Identity Protection para ajudar a garantir que a proteção esteja em vigor de acordo com as políticas de linha de base de segurança. Por exemplo, bloquear usuários se risco = alto. Esse nível de risco indica com um alto grau de confiança que uma conta de usuário está comprometida. Para obter mais informações sobre como configurar políticas de risco de login e políticas de risco do usuário, acesse Políticas do Identity Protection. Para obter mais informações sobre como configurar o Acesso Condicional, visite Acesso condicional: acesso condicional baseado em risco de entrada.
Os seguintes são listados em ordem de importância, com base no efeito e na gravidade das entradas.
Monitoramento de entradas de usuários externos
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Os usuários que se autenticam em outros locatários Microsoft Entra. | Baixo | Log de entrada do Microsoft Entra | Status = êxito Recurso tenantID != ID do Locatário da Página Inicial |
Detecta quando um usuário foi autenticado com êxito em outro locatário do Microsoft Entra com uma identidade no locatário da sua organização. Alerta se o Recurso TenantID não for igual à ID do Locatário da Página Inicial Modelo do Microsoft Sentinel Regras Sigma |
| O estado do usuário alterado de Convidado para Membro | Médio | Logs de auditoria do Microsoft Entra | Atividade: atualizar usuário Categoria: UserManagement UserType alterado de Convidado para Membro |
Monitora e alerta sobre a alteração do tipo de usuário de Convidado para Membro. Isso era esperado? Modelo do Microsoft Sentinel Regras Sigma |
| Usuários Convidados que recebem convites para locatário por emissores do convite não aprovados | Médio | Logs de auditoria do Microsoft Entra | Atividade: convidar usuário externo Categoria: UserManagement Iniciado por (ator): nome UPN |
Monitora e alerta sobre atores não aprovados que convidam usuários externos. Modelo do Microsoft Sentinel Regras Sigma |
Monitoramento de falhas de login incomuns
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Tentativas de login com falha. | Médio – se incidente isolado Alto – se muitas contas estiverem com o mesmo padrão ou um VIP. |
Log de entrada do Microsoft Entra | Status = falha -e- Código de erro de entrada 50126 – Erro ao validar credenciais devido a um nome de usuário ou senha inválido. |
Defina um limite de linha de base e, em seguida, monitore e ajuste para se ajustar aos seus comportamentos organizacionais e limitar a geração de alertas falsos. Modelo do Microsoft Sentinel Regras Sigma |
| Eventos de bloqueio inteligente. | Médio – se incidente isolado Alto – se muitas contas estiverem com o mesmo padrão ou um VIP. |
Log de entrada do Microsoft Entra | Status = falha -e- Código de erro de entrada = 50053 – IdsLocked |
Defina um limite de linha de base e, em seguida, monitore e ajuste para se ajustar aos seus comportamentos organizacionais e limitar a geração de alertas falsos. Modelo do Microsoft Sentinel Regras Sigma |
| Interrupções | Médio – se incidente isolado Alto – se muitas contas estiverem com o mesmo padrão ou um VIP. |
Log de entrada do Microsoft Entra | 500121, a autenticação falhou durante uma solicitação de autenticação forte. -ou- 50097, a autenticação do dispositivo é necessária ou 50074, é necessária uma autenticação forte. -ou- 50155, DeviceAuthenticationFailed -ou- 50158, ExternalSecurityChallenge – O desafio de segurança externa não foi satisfeito -ou- Motivo da falha e 53003 = bloqueado pelo Acesso Condicional |
Monitore e alerte sobre interrupções. Defina um limite de linha de base e, em seguida, monitore e ajuste para se ajustar aos seus comportamentos organizacionais e limitar a geração de alertas falsos. Modelo do Microsoft Sentinel Regras Sigma |
Os itens a seguir são listados em ordem de importância, com base no efeito e na gravidade das entradas.
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Alertas de fraude da MFA (autenticação multifator). | Alto | Log de entrada do Microsoft Entra | Status = falha -e- Detalhes = MFA negada |
Monitore e alerte sobre entradas. Modelo do Microsoft Sentinel Regras Sigma |
| Autenticações com falha de países/regiões nos quais você não opera. | Médio | Log de entrada do Microsoft Entra | Local = < local não aprovado> | Monitore e alerte sobre entradas. Modelo do Microsoft Sentinel Regras Sigma |
| Autenticações com falha para protocolos herdados ou protocolos que não são usados. | Médio | Log de entrada do Microsoft Entra | Status = falha -e- Aplicativo cliente = outros clientes, POP, IMAP, MAPI, SMTP, ActiveSync |
Monitore e alerte sobre entradas. Modelo do Microsoft Sentinel Regras Sigma |
| Falhas bloqueadas pelo Acesso Condicional. | Médio | Log de entrada do Microsoft Entra | Código de erro = 53003 -e- Motivo da falha = bloqueado pelo Acesso Condicional |
Monitore e alerte sobre entradas. Modelo do Microsoft Sentinel Regras Sigma |
| Aumento de autenticações com falha de qualquer tipo. | Médio | Log de entrada do Microsoft Entra | A captura aumenta em caso de falhas em geral. Ou seja, o total de falhas para hoje é >10% no mesmo dia da semana anterior. | Se você não tiver um limite definido, monitore e alerte se as falhas aumentarem em 10% ou mais. Modelo do Microsoft Sentinel |
| Autenticação que ocorre em horários e dias da semana em que os países/regiões não realizam operações comerciais normais. | Baixo | Log de entrada do Microsoft Entra | Capturar a autenticação interativa que ocorre fora dos dias/horários de operação normal. Status = êxito -e- Location = <local> -e- Day\Time = < não há horário de trabalho normal> |
Monitore e alerte sobre entradas. Modelo do Microsoft Sentinel |
| Conta desabilitada/bloqueada para entradas | Baixo | Log de entrada do Microsoft Entra | Status = falha -e- código de erro = 50057, a conta de usuário está desabilitada. |
Isso pode indicar que alguém está tentando obter acesso a uma conta depois de ter deixado uma organização. Embora a conta esteja bloqueada, é importante registrar e alertar sobre essa atividade. Modelo do Microsoft Sentinel Regras Sigma |
Monitoramento de entradas incomuns com êxito
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Autenticações de contas com privilégios fora dos controles esperados. | Alto | Log de entrada do Microsoft Entra | Status = êxito -e- UserPricipalName = < conta do administrador> -e- Local = < local não aprovado> -e- Endereço IP = < IP não aprovado> Device Info= <navegador, sistema operacional não aprovados> |
Monitore e alerte sobre a autenticação bem-sucedida para contas privilegiadas fora dos controles esperados. Três controles comuns são listados. Modelo do Microsoft Sentinel Regras Sigma |
| Quando apenas a autenticação de fator único é necessária. | Baixo | Log de entrada do Microsoft Entra | Status = êxito Requisito de autenticação = autenticação de fator único |
Monitore periodicamente e assegure um comportamento esperado. Regras Sigma |
| Descubra contas privilegiadas não registradas para MFA. | Alto | API do Azure Graph | Consulta para IsMFARegistered eq false para contas de administrador. Listar credentialUserRegistrationDetails - Microsoft Graph beta |
Audite e investigue para determinar se é intencional ou um descuido. |
| Autenticações bem-sucedidas de países/regiões nos quais sua organização não opera. | Médio | Log de entrada do Microsoft Entra | Status = êxito Localização = <país/região não aprovado> |
Monitore e alerte sobre as entradas que não são iguais aos nomes de cidade que você forneceu. Regras Sigma |
| Autenticação bem-sucedida, sessão bloqueada pelo Acesso Condicional. | Médio | Log de entrada do Microsoft Entra | Status = êxito -e- código de erro = 53003 - Motivo da falha, bloqueado pelo Acesso Condicional |
Monitore e investigue quando a autenticação é bem-sucedida, mas a sessão é bloqueada pelo Acesso Condicional. Modelo do Microsoft Sentinel Regras Sigma |
| Autenticação bem-sucedida depois que você desabilitou a autenticação herdada. | Médio | Log de entrada do Microsoft Entra | Status = êxito -e- Aplicativo cliente = outros clientes, POP, IMAP, MAPI, SMTP, ActiveSync |
Se sua organização tiver desabilitado a autenticação herdada, monitore e alerte quando a autenticação herdada bem-sucedida tiver sido realizada. Modelo do Microsoft Sentinel Regras Sigma |
Recomendamos que você revise periodicamente as autenticações para aplicativos de MBI (impacto médio nos negócios) e HBI (alto impacto nos negócios) que exijam apenas a autenticação de fator único. Para cada um, determine se a autenticação de fator único era esperada ou não. Além disso, verifique se há aumentos de autenticações bem-sucedidas ou em horários inesperados com base no local.
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Autenticações para aplicativos MBI e HBI usando a autenticação de fator único. | Baixo | Log de entrada do Microsoft Entra | Status = êxito -e- ID do aplicativo = < aplicativo HBI> -e- Requisito de autenticação = autenticação de fator único. |
Revise e valide se essa configuração é intencional. Regras Sigma |
| Autenticações em dias e horários da semana ou do ano em que os países/regiões não realizam operações comerciais normais. | Baixo | Log de entrada do Microsoft Entra | Capturar a autenticação interativa que ocorre fora dos dias/horários de operação normal. Status = êxito Location = <local> Date\Time = < não há horário de trabalho normal> |
Monitorar e alertar sobre as autenticações em dias e horários da semana ou do ano em que os países/regiões não realizam operações comerciais normais. Regras Sigma |
| Aumento mensurável de logins bem-sucedidos. | Baixo | Log de entrada do Microsoft Entra | Capture aumenta na autenticação bem-sucedida no geral. Ou seja, os totais de êxitos de hoje são >10% o valor do mesmo dia na semana anterior. | Se você não tiver um limite definido, monitore e alerte se as autenticações bem-sucedidas aumentarem em 10% ou mais. Modelo do Microsoft Sentinel Regras Sigma |
Próximas etapas
Confira estes artigos do guia de operações de segurança:
Visão geral de operações de segurança do Microsoft Entra
Operações de segurança para contas do consumidor
Operações de segurança para contas com privilégios
Operações de segurança para o Privileged Identity Management
Operações de segurança para aplicativos