Guia de operações de segurança do Microsoft Entra para aplicativos
Os aplicativos têm uma superfície de ataque para violações de segurança e devem ser monitorados. Embora não sejam tão visados quanto as contas de usuários, isso pode ocorrer. Como os aplicativos geralmente são executados sem intervenção humana, os ataques podem ser mais difíceis de detectar.
Este artigo mostra diretrizes para monitorar e alertar sobre eventos do aplicativo. Ele é atualizado regularmente para ajudar a garantir que você:
Impeça que aplicativos mal-intencionados tenham acesso indevido aos dados
Impeça que os aplicativos sejam comprometidos por atores mal-intencionados
Reúna insights que permitem criar e configurar novos aplicativos com mais segurança
Se você não estiver familiarizado com o funcionamento dos aplicativos no Microsoft Entra ID, confira Aplicativos e entidades de serviço no Microsoft Entra ID.
Observação
Se você ainda não tiver revisado a Visão geral de operações de segurança do Microsoft Entra, faça isso agora.
O que procurar
Ao monitorar os logs do aplicativo quanto a incidentes de segurança, confira a lista a seguir para ajudar a diferenciar a atividade normal de atividades mal-intencionadas. Os eventos a seguir podem indicar preocupações de segurança. Cada um é abordado no artigo.
Todas as alterações que ocorrem fora dos processos e agendamentos de negócios normais
Alterações nas credenciais do aplicativo
Permissões de aplicativo
Entidade de serviço atribuída a uma função RBAC (controle de acesso baseado em função) do Azure ou do Microsoft Entra ID
Aplicativos que recebem permissões altamente privilegiadas
Alterações no Azure Key Vault
Usuário final dando consentimento a aplicativos
Interrupção do consentimento do usuário final com base no nível de risco
Alterações na configuração do aplicativo
URI (identificador de recurso universal) alterado ou não padrão
Alterações nos proprietários do aplicativo
URLs de logoff modificadas
Onde procurar
Os arquivos de log que você usa para investigação e monitoramento são:
No portal do Azure, é possível exibir os logs de auditoria do Microsoft Entra e baixá-los como arquivos CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation). O portal do Azure oferece diversas formas de integrar os logs do Microsoft Entra a outras ferramentas, que permitem maior automação da geração de alertas e do monitoramento:
Microsoft Sentinel – Permite a análise de segurança inteligente no nível empresarial com recursos de SIEM (gerenciamento de eventos e informações de segurança).
Regras Sigma – Sigma é um padrão aberto em evolução para gravar regras e modelos que as ferramentas de gerenciamento automatizadas poderão usar para analisar arquivos de log. Sempre que há modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link no repositório Sigma. Os modelos Sigma não são gravados, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.
Azure Monitor – Monitoramento e alertas automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de fontes diferentes.
Hubs de Eventos do Azure integrado com um SIEM- Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic pela integração do Hubs de Eventos do Azure.
Microsoft Defender para Aplicativos de Nuvem – Descubra e gerencie aplicativos, administre todos os aplicativos e recursos e verifique a conformidade dos seus aplicativos de nuvem.
Proteger identidades de carga de trabalho com o Identity Protection Versão Prévia − Detecta riscos em identidades de carga de trabalho no comportamento de entrada e nos indicadores offline de comprometimento.
Grande parte do que você monitora e alerta é um efeito de suas políticas de Acesso Condicional. Você pode usar a pasta de trabalho de insights e relatórios de Acesso Condicional para examinar os efeitos de uma ou mais políticas de Acesso Condicional em suas conexões, bem como os resultados das políticas, incluindo o estado do dispositivo. Use a pasta de trabalho para exibir um resumo e identificar os efeitos durante um período. Você pode usar a pasta de trabalho para investigar as entradas de um usuário específico.
O restante deste artigo fala sobre o que recomendamos que você monitore e alerte. Ele está organizado pelo tipo de ameaça. Onde há soluções predefinidas, vinculamos a elas ou fornecemos exemplos após a tabela. Caso contrário, você pode criar alertas usando as ferramentas anteriores.
Credenciais do aplicativo
Muitos aplicativos usam credenciais para a autenticação no Microsoft Entra ID. Qualquer outra credencial adicionada fora dos processos esperados pode estar sendo usada por um ator mal-intencionado. É recomendável usar certificados X509 emitidos por autoridades confiáveis ou Identidades Gerenciadas em vez de usar segredos do cliente. No entanto, se você precisar usar segredos do cliente, siga as boas práticas de limpeza para manter os aplicativos seguros. Observe que as atualizações de aplicativo e entidade de serviço são registradas como duas entradas no log de auditoria.
Monitore aplicativos para identificar tempos longos de expiração de credenciais.
Substitua as credenciais de longa duração por um período de vida curto. Verifique se as credenciais não são comprometidas nos repositórios de código e se estão armazenadas em segurança.
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Credenciais adicionadas a aplicativos existentes | Alto | Logs de auditoria do Microsoft Entra | Diretório Service-Core, Category-ApplicationManagement Atividade: atualização de certificados de aplicativo e gerenciamento de segredos -e- Atividade: atualização da entidade de serviço/atualização do aplicativo |
Alertará quando as credenciais forem: adicionadas fora do horário comercial ou dos fluxos de trabalho normais, de tipos não usados no ambiente ou adicionadas a um fluxo não SAML que dá suporte à entidade de serviço. Modelo do Microsoft Sentinel Regras Sigma |
| Credenciais com um tempo de vida maior do que suas políticas permitem. | Médio | Microsoft Graph | Estado e data de término das credenciais da Chave do Aplicativo -e- Credenciais de senha do aplicativo |
Você pode usar a API do MS Graph para encontrar a data de início e de término das credenciais e avaliar tempos de vida maiores do que o permitido. Siga esta tabela para conferir o script do PowerShell. |
Os seguintes alertas e monitoramento pré-criados estão disponíveis:
Microsoft Sentinel – Alerta quando novas credenciais de entidade de serviço ou aplicativo são adicionadas
Azure Monitor – Pasta de trabalho do Microsoft Entra para ajudar você a avaliar os riscos do Solorigate – Microsoft Tech Community
Defender for Cloud Apps – Guia de investigação de alertas de detecção de anomalias do Defender for Cloud Apps
PowerShell – Script de exemplo do PowerShell para encontrar o tempo de vida da credencial.
Permissões de aplicativo
Como uma conta de administrador, os aplicativos podem receber funções privilegiadas. Os aplicativos podem receber quaisquer funções do Microsoft Entra, como Administrador de Usuário ou funções RBAC do Azure, como Leitor de Cobrança. Como eles podem ser executados sem usuário e como um serviço em segundo plano, monitore de perto quando um aplicativo receber uma função ou permissão com privilégios.
Entidade de serviço atribuída a uma função
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Aplicativo atribuído a uma função RBAC do Azure ou a uma função do Microsoft Entra | Alto a médio | Logs de auditoria do Microsoft Entra | Tipo: entidade de serviço Atividade: "Adicionar membro à função" ou "Adicionar membro qualificado à função" -ou- "Adicionar membro no escopo à função." |
Para funções altamente privilegiadas, o risco é alto. Para funções com privilégios menores, o risco é médio. Gere alertas sempre que um aplicativo for atribuído a uma função do Azure ou do Microsoft Entra fora dos procedimentos normais de gerenciamento de alterações ou configuração. Modelo do Microsoft Sentinel Regras Sigma |
Aplicativos que têm permissões altamente privilegiadas
Os aplicativos devem seguir o princípio do privilégio mínimo. Investigue as permissões do aplicativo para verificar se elas são necessárias. Você pode criar um relatório de concessão de consentimento do aplicativo para ajudar a identificar aplicativos e realçar permissões com privilégios.
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| O aplicativo concedeu permissões altamente privilegiadas, como permissões com " .All” (Directory.ReadWrite.All) ou permissões abrangentes (Mail. ) | Alto | Logs de auditoria do Microsoft Entra | "Adicionar atribuição de função de aplicativo à entidade de serviço", - em que- Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph) -e- AppRole.Value identifica uma permissão de aplicativo altamente privilegiada (função de aplicativo). |
Os aplicativos concederam permissões amplas, como " .All" (Directory.ReadWrite.All) ou permissões abrangentes (Mail. ) Modelo do Microsoft Sentinel Regras Sigma |
| Administrador concede permissões de aplicativo (funções de aplicativo) ou permissões delegadas altamente privilegiadas | Alto | Portal do Microsoft 365 | "Adicionar atribuição de função de aplicativo à entidade de serviço", -em que- Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph) "Adicionar concessão de permissão delegada", -em que- Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph) -e- DelegatedPermissionGrant.Scope inclui permissões de alto privilégio. |
Alertar quando um administrador conceder o consentimento para um aplicativo. Procure, especialmente, o consentimento fora da atividade normal e altere os procedimentos. Modelo do Microsoft Sentinel Modelo do Microsoft Sentinel Modelo do Microsoft Sentinel Regras Sigma |
| O aplicativo recebe permissões para o Microsoft Graph, o Exchange, o SharePoint ou o Microsoft Entra ID. | Alto | Logs de auditoria do Microsoft Entra | "Adicionar concessão de permissão delegada" -ou- "Adicionar atribuição de função de aplicativo à entidade de serviço", -em que- Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph, o Exchange Online etc.) |
Alerta como na linha anterior. Modelo do Microsoft Sentinel Regras Sigma |
| Permissões de aplicativo (funções de aplicativo) para outras APIs são concedidas | Médio | Logs de auditoria do Microsoft Entra | "Adicionar atribuição de função de aplicativo à entidade de serviço", -em que- Os destinos identificam qualquer outra API. |
Alerta como na linha anterior. Regras Sigma |
| Permissões delegadas altamente privilegiadas são concedidas em nome de todos os usuários | Alto | Logs de auditoria do Microsoft Entra | "Adicionar concessão de permissão delegada", em que destinos identificam uma API com dados confidenciais (como o Microsoft Graph) DelegatedPermissionGrant.Scope inclui permissões de alto privilégio -e- DelegatedPermissionGrant.ConsentType é "AllPrincipals". |
Alerta como na linha anterior. Modelo do Microsoft Sentinel Modelo do Microsoft Sentinel Modelo do Microsoft Sentinel Regras Sigma |
Para saber mais sobre o monitoramento de permissões de aplicativo, confira este tutorial: Investigar e corrigir aplicativos OAuth arriscados.
Cofre de Chave do Azure
Use o Azure Key Vault para armazenar os segredos do seu locatário. É recomendável prestar especial a quaisquer alterações na configuração e nas atividades do Key Vault.
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Como e quando os Key Vaults são acessados e por quem | Médio | Logs do Azure Key Vault | Tipo de recurso: Key Vaults | Procurar: qualquer acesso ao Key Vault fora dos processos e dos horários normais, qualquer alteração na ACL do Key Vault. Modelo do Microsoft Sentinel Regras Sigma |
Depois de configurar o Azure Key Vault, habilite o registro em log. Confira como e quando o seus Key Vaults são acessados, e configurar alertas no Key Vault para notificar usuários atribuídos ou listas de distribuição por email, telefone, mensagem de texto ou notificação da Grade de Eventos, se a integridade for afetada. Além disso, configurar o monitoramento com os insights do Key Vault oferece um instantâneo das solicitações, do desempenho, das falhas e da latência do Key Vault. O Log Analytics também tem algumas consultas de exemplo do Azure Key Vault que podem ser acessadas após a seleção do Key Vault, em "Monitoramento" e "Registro".
Consentimento do usuário final
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Consentimento do usuário final para aplicativos | Baixo | Logs de auditoria do Microsoft Entra | Atividade: consentimento para aplicativos / ConsentContext.IsAdminConsent = false | Procurar: contas de alto perfil ou altamente privilegiadas, aplicativos que solicitam permissões de alto risco, aplicativos com nomes suspeitos; por exemplo, genéricos, com erros de ortografia e assim por diante. Modelo do Microsoft Sentinel Regras Sigma |
O ato de dar consentimento a um aplicativo, em si, não é mal-intencionado. No entanto, investigue novas concessões de consentimento do usuário final procurando por aplicativos suspeitos. Você pode restringir operações de consentimento do usuário.
Para saber mais sobre as operações de consentimento, confira estes recursos:
Detectar e corrigir concessões de consentimento ilícitas – Office 365
Manual de resposta a incidentes – Investigação de concessão de consentimento para aplicativos
O usuário final parou devido a um consentimento baseado em risco
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Consentimento do usuário final interrompido devido a um consentimento baseado em risco | Médio | Logs de auditoria do Microsoft Entra | Diretório principal/ApplicationManagement/Consentimento para o aplicativo Motivo do status de falha = Microsoft.online.Security.userConsent BlockedForRiskyAppsExceptions |
Monitore e analise sempre que o consentimento for interrompido devido a risco. Procurar: contas de alto perfil ou altamente privilegiadas, aplicativos que solicitam permissões de alto risco ou aplicativos com nomes suspeitos; por exemplo, genéricos, com erros de ortografia e assim por diante. Modelo do Microsoft Sentinel Regras Sigma |
Fluxos de Autenticação de Aplicativo
Há vários fluxos no protocolo OAuth 2.0. O fluxo recomendado para um aplicativo depende do tipo de aplicativo que está sendo criado. Em alguns casos, há uma opção de fluxos disponíveis para o aplicativo. Para esse caso, alguns fluxos de autenticação são recomendados em relação a outros. Especificamente, evite ROPC (credenciais de senha do proprietário do recurso) porque elas exigem que o usuário exponha ao aplicativo as credenciais de senha atuais dele. Então, o aplicativo usa as credenciais para autenticar o usuário em relação ao provedor de identidade. A maioria dos aplicativos deve usar o fluxo de código de autenticação ou fluxo de código de autenticação com PKCE (Proof Key for Code Exchange), pois esse fluxo é recomendado.
O único cenário em que o ROPC é sugerido é para testes automatizados de aplicativos. Consulte Executar testes de integração automatizada para obter mais detalhes.
O fluxo de código do dispositivo é outro fluxo de protocolo OAuth 2.0 para dispositivos com restrição de entrada e não é usado em todos os ambientes. Quando o fluxo de código do dispositivo aparece no ambiente e não é usado em um cenário de dispositivo restrito de entrada. Mais investigações são justificadas para um aplicativo configurado incorretamente ou algo potencialmente mal-intencionado. O fluxo de código de dispositivo também pode ser bloqueado ou permitido no Acesso Condicional. Confira Fluxos de autenticação de acesso condicional para obter detalhes.
Monitore a autenticação do aplicativo usando a seguinte formação:
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Aplicativos que estão usando o fluxo de autenticação ROPC | Médio | Log de entrada do Microsoft Entra | Status=Success Autenticação Protocol-ROPC |
Um alto nível de confiança está sendo colocado nesse aplicativo, pois as credenciais podem ser armazenadas em cache ou repositório. Mova, se possível, para um fluxo de autenticação mais seguro. Isso somente deverá ser usado em testes automatizados de aplicativos, se for o caso. Para obter mais informações, consulte Plataforma de identidade da Microsoft e Credenciais de Senha de Proprietário do Recurso do OAuth 2.0 Regras Sigma |
| Aplicativos que usam o fluxo de código do dispositivo | Baixo a médio | Log de entrada do Microsoft Entra | Status=Success Código de Autenticação Protocol-Device |
Os fluxos de código de dispositivo são usados para dispositivos com restrição de entrada que podem não estar em todos os ambientes. Se fluxos de código de dispositivo bem-sucedidos aparecerem, sem a necessidade deles, investigue a validade. Para obter mais informações, consulte plataforma de identidade da Microsoft e o fluxo de concessão de autorização de dispositivo OAuth 2.0 Regras Sigma |
Alterações na configuração do aplicativo
Monitorar alterações na configuração de aplicativos. Especificamente, as alterações de configuração para o URI (Uniform Resource Identifier), a propriedade e a URL de logoff.
URI pendente e alterações no URI de redirecionamento
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| URI pendente | Alto | Logs e registros de aplicativo do Microsoft Entra | Diretório Service-Core, Category-ApplicationManagement Atividade: atualizar aplicativo Sucesso – nome da propriedade AppAddress |
Por exemplo, procure por URIs pendentes que apontam para um nome de domínio que não existe mais ou para um que não lhe pertença explicitamente. Modelo do Microsoft Sentinel Regras Sigma |
| Alterações na configuração do URI de redirecionamento | Alto | Logs do Microsoft Entra | Diretório Service-Core, Category-ApplicationManagement Atividade: atualizar aplicativo Sucesso – nome da propriedade AppAddress |
Procure URIs que não usam HTTPS*, URIs com caracteres curingas ao final ou com o domínio da URL, URIs que NÃO são exclusivos do aplicativo, URIs que apontam para um domínio que você não controla. Modelo do Microsoft Sentinel Regras Sigma |
Alerte sempre que essas alterações forem detectadas.
URI de AppID adicionado, modificado ou removido
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Alterações no URI de AppID | Alto | Logs do Microsoft Entra | Diretório Service-Core, Category-ApplicationManagement Atividade: atualizar Aplicativo Atividade: atualizar entidade de serviço |
Procure quaisquer modificações de URI de AppID, como adicionar, modificar ou remover o URI. Modelo do Microsoft Sentinel Regras Sigma |
Alerte sempre que essas alterações forem detectadas fora dos procedimentos de gerenciamento de alterações aprovados.
Novo proprietário
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Alterações na propriedade do aplicativo | Médio | Logs do Microsoft Entra | Diretório Service-Core, Category-ApplicationManagement Atividade: adicionar proprietário ao aplicativo |
Procure qualquer instância de um usuário sendo adicionado como um proprietário de aplicativo fora das atividades normais de gerenciamento de alterações. Modelo do Microsoft Sentinel Regras Sigma |
URL de logoff modificada ou removida
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Alterações na URL de logoff | Baixo | Logs do Microsoft Entra | Diretório Service-Core, Category-ApplicationManagement Atividade: atualizar aplicativo -e- Atividade: atualizar entidade de serviço |
Pesquise modificações em uma URL de saída. Entradas em branco ou entradas em locais inexistentes impedirão que um usuário encerre uma sessão. Modelo do Microsoft Sentinel Regras Sigma |
Recursos
Kit de ferramentas do Microsoft Entra no GitHub – https://github.com/microsoft/AzureADToolkit
Visão geral de segurança do Azure Key Vault e diretrizes de segurança: Visão geral de segurança do Azure Key Vault
Ferramentas e informações de risco do Solorigate – Pasta de trabalho do Microsoft Entra para ajudar você a avaliar os riscos do Solorigate
Diretrizes de detecção de ataque OAuth: Adição incomum de credenciais para um aplicativo OAuth
Informações de configuração de monitoramento do Microsoft Entra para SIEMs – Ferramentas de parceiros com a integração do Azure Monitor
Próximas etapas
Visão geral de operações de segurança do Microsoft Entra
Operações de segurança para contas de usuário
Operações de segurança para contas do consumidor
Operações de segurança para contas com privilégios
Operações de segurança para o Privileged Identity Management