Compartilhar via

Cenário de Proteção de ID do Microsoft Entra: dominando a análise de risco para correção efetiva

As diretrizes de PoC (prova de conceito) nesta série de artigos ajudam você a aprender, implantar e testar o Microsoft Entra ID Protection para detectar, investigar e remediar riscos baseados em identidade.

Uma visão geral das diretrizes começa com a introdução às diretrizes de prova de conceito do Microsoft Entra ID Protection.

As diretrizes detalhadas continuam com estes cenários:

Este artigo ajuda os administradores de identidade a começar a dominar a análise de risco para uma correção efetiva com os Logs do Azure Monitor. A lista a seguir destaca as áreas de análise:

  • Acompanhar eventos de risco entre usuários e logins
  • Correlacionar anomalias com as políticas de Acesso Condicional do Microsoft Entra e os registros de entrada
  • Identificar possíveis padrões de ameaça

Use as seções a seguir para saber como gerenciar tipos comuns de eventos de risco, usuários sinalizados e padrões de nível de risco com logs do Azure Monitor e Microsoft Entra ID Protection.

Habilitar a análise de risco com a tabela AADUserRiskEvents

Os riscos de identidade aumentam em velocidade e complexidade a cada ano. Você pode usar insights de risco para entender o volume e os detalhes de possíveis ataques e comprometimentos de identidade. Habilite as tabelas de referência dos Logs do Azure Monitor para analisar informações sobre riscos com o Microsoft Entra ID Protection, que detecta, investiga e resolve riscos de identidade. Os dados de risco vão para acessar ferramentas de decisões ou ferramentas para investigação e correlação. O Microsoft Entra ID Protection é atualizado continuamente para ajudar as organizações a se manterem à frente de ameaças emergentes. O gerenciamento de risco de identidade torna-se mais proativo, escalonável e eficaz.

Com insights, tabelas de referência e muito mais, você pode investigar e corrigir riscos de identidade com acesso condicional e construir políticas direcionadas para resolver os riscos da sua organização.

Saiba mais na visão geral dos Logs do Azure Monitor.

No Microsoft Entra ID Protection, há quatro tabelas de risco para consultar eventos de risco, usuários arriscados e entidades de serviço arriscadas.

  • AADUserRiskEvents
  • AADRiskyUsers
  • AADServicePrincipalRiskEvents
  • AADRiskyServicePrincipals

Neste artigo, o foco é a tabela AADUserRiskEvents . Para entender mais sobre como discernir riscos para sua organização, consulte o vídeo a seguir.

Dominando a análise de risco com o Microsoft Entra ID Protection

Garantir que os pré-requisitos sejam atendidos

Para usar o Azure Monitor, verifique se os pré-requisitos a seguir são atendidos.

Criar um espaço de trabalho do Log Analytics

Um workspace do Log Analytics é um repositório de dados para coletar tipos de dados de log de recursos e aplicativos do Azure e fora do Azure. Recomendamos que você envie todos os dados de log para um workspace do Log Analytics.

  1. Crie um espaço de trabalho do Log Analytics.
  2. Para incorporar os dados que você deseja analisar, adicione as configurações de diagnóstico. Confira a seguinte lista:
  • AuditLogs
  • SignInLogs
  • Logs de Login de Usuário Não Interativo (NonInteractiveUserSignInLogs)
  • LogsDeEntradaDoPrincipalDoServiço
  • Registros de Conexão de Identidade Gerenciada
  • RiskyUsers
  • EventosDeRiscoDoUsuário
  • RiskyServicePrincipals
  • EventosDeRiscoDePrincipalDeServiço
  1. Para exibir o hub de consultas, acesse o espaço de trabalho do Log Analytics.
  2. Selecione Logs.
  3. Pesquise Risco.
  4. Localize a consulta de eventos de risco recente do usuário.
  5. Selecione Executar.
  6. Na lista suspensa, altere o modo Simples para o modo de linguagem de consulta Kusto (modo KQL).

Captura de tela da opção de modo KQL.

Captura de tela da opção de modo KQL no menu suspenso.

Identificar usuários arriscados

Esta seção e as seções a seguir ilustram como analisar o risco com o Azure Monitor. Usuários arriscados têm uma ou mais entradas arriscadas ou outras ações arriscadas.

  1. Realize a consulta para resumir a contagem por UserDisplayName.
  2. Adicione um intervalo de tempo em DetectedDateTime < ago().

Na consulta de exemplo a seguir, 30d é o intervalo de datas.

// Recent user risk events 
// Gets list of the top 100 active user risk events. 
AADUserRiskEvents 
| where DetectedDateTime > ago(30d) 
| where RiskState == "atRisk" 
| take 100 
| summarize count()by UserDisplayName

Use a consulta anterior para identificar padrões comuns de usuário, como contas de serviço, ou subconjuntos de usuários pequenos gerando grandes quantidades de risco. Na captura de tela de exemplo, um usuário é responsável por significativamente mais eventos de risco do que outros. Se um único usuário for responsável por uma quantidade desproporcional de risco em seu locatário, recomendamos exigir uma alteração de senha segura.

Captura de tela dos dados de usuários arriscados da consulta.

Discernir tipos de evento de risco

Depois de examinarmos padrões de usuários específicos, recomendamos revisar as detecções em si e resumi-las por tipo de detecção.

  1. Use a tabela AADUserRiskEvents.
  2. Resumir com RiskEventType.

Consulta de exemplo

// Recent user risk events 
// Gets list of the top 100 active user risk events. 
AADUserRiskEvents 
| where DetectedDateTime > ago(30d) 
| where RiskState == "atRisk" 
| take 100  
| summarize count()by RiskEventType

Ao examinar tipos de risco, preste atenção a grandes volumes. No exemplo a seguir, há vários eventos de risco sinalizados. A maioria está relacionada a:

  • unfamiliarFeatures - Detectar propriedades de login não familiares para um usuário
    • Impor controles de sessão, como frequência de entrada, restrições de aplicativo e controles persistentes do navegador
  • anomalousToken – Configurar políticas de acesso condicional para exigir a redefinição de senha e executar a MFA (autenticação multifator)
    • Bloquear o acesso para logins de alto risco
  • unlikelyTravel - Adicionar locais nomeados como IPs confiáveis
    • Habilitar locais confiáveis para usuários que viajam com frequência

Confira a captura de tela a seguir dos resultados da consulta de eventos de risco do usuário ativo.

Captura de tela dos resultados da consulta de eventos de risco do usuário ativo.

Examinar os níveis de risco

Depois de examinarmos o comportamento do usuário e os tipos de evento de risco, a próxima etapa recomendada é examinar a tabela AADUserRiskEvents novamente para examinar os três níveis de risco: baixo, médio e alto. Resumir o risco por nível e analisar os números totais de cada nível de risco.

Consulta de exemplo

// Recent user risk events 
// Gets list of the top 100 active user risk events. 
AADUserRiskEvents 
| where DetectedDateTime > ago(30d) 
| where RiskState == "atRisk" 
| take 100 
| summarize count()by RiskLevel

Na captura de tela a seguir, há muitas detecções totais, mas apenas três são classificadas como de alto risco. A filtragem por confidencialidade — baixa, média ou alta — ajuda a isolar os problemas mais críticos. Priorizar as detecções de alto risco primeiro reduz o ruído e garante que você resolva as ameaças mais significativas. Para esses casos, recomendamos implementar uma política de acesso condicional de linha de base que imponha uma alteração de senha segura para usuários de alto risco.

Captura de tela dos resultados da consulta que mostram três usuários de alto risco.

Saiba mais sobre as decisões de controle de acesso: O que é o Acesso Condicional?

Introdução às tabelas de referência dos Logs do Azure Monitor

Para começar, explore as tabelas de referência de log do Azure Monitor para o Microsoft Entra ID Protection. Os links abaixo fornecem uma lista de tabelas por nome. Esses logs capturam insights importantes, incluindo eventos de risco do usuário, usuários arriscados, eventos de risco da Entidade de Serviço e entidades de serviço arriscadas, entre outros.

Próximas etapas

  • Last updated on