Operações de segurança do Microsoft Entra para contas de consumidor
As atividades de identidade do consumidor são uma importante área para sua organização proteger e monitorar. Este artigo é destinado aos locatários do Azure Active Directory B2C (Azure AD B2C) e tem diretrizes para o monitoramento das atividades da conta do consumidor. As atividades são:
- Conta de consumidor
- Conta privilegiada
- Aplicativo
- Infraestrutura
Antes de começar
Antes de usar as diretrizes deste artigo, é recomendável que você leia o Guia de operações de segurança do Microsoft Entra.
Definir uma linha de base
Para descobrir um comportamento anômalo, defina o comportamento normal e esperado. Definir o comportamento esperado para sua organização ajuda você a descobrir comportamentos inesperados. Use a definição para ajudar a reduzir falsos positivos durante o monitoramento e a emissão de alertas.
Com o comportamento esperado definido, execute o monitoramento de linha de base para validar as expectativas. Em seguida, monitore os registros para o que está fora da tolerância.
Para contas criadas por meio de outros processos, use os logs de auditoria e os logs de entrada do Microsoft Entra, e os atributos de diretório como fontes de dados. As sugestões a seguir podem ajudar você a definir o normal.
Criação da conta de consumidor
Avalie a lista a seguir:
- Estratégia e princípios para ferramentas e processos para criar e gerenciar contas de consumidor
- Por exemplo, atributos e formatos padrão aplicados aos atributos da conta do consumidor
- Fontes aprovadas para a criação da conta.
- Por exemplo, integração de políticas personalizadas, provisionamento de clientes ou ferramenta de migração
- Estratégia de alerta para contas criadas fora de fontes aprovadas.
- Crie uma lista controlada de organizações com as quais sua organização colabora
- Parâmetros de estratégia e alerta para contas criadas, modificadas ou desabilitadas por um administrador de conta de consumidor não aprovado
- Estratégia de monitoramento e alerta para contas de consumidores que não possuem os atributos padrão, tais como número de cliente, ou que não seguem as convenções de nomenclatura da organização
- Estratégia, princípios e processo para exclusão e retenção de contas
Onde procurar
Use arquivos de log para investigar e monitorar. Veja os seguintes artigos para saber mais:
- Logs de auditoria no Microsoft Entra ID
- Logs de entrada no Microsoft Entra ID (versão prévia)
- Como Investigar o risco
Logs de auditoria e ferramentas de automação
No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixá-los como arquivos CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation). Use o portal do Azure para integrar os logs do Microsoft Entra com outras ferramentas para automatizar o monitoramento e a emissão de alertas:
- Microsoft Sentinel: análise de segurança com funcionalidades de gerenciamento de eventos e informações de segurança (SIEM)
- Regras Sigma: um padrão aberto para escrever regras e modelos que as ferramentas automatizadas de gerenciamento podem usar para analisar os arquivos de log. Se houver modelos Sigma para nossos critérios de pesquisa recomendados, adicionaremos um link ao repositório Sigma. A Microsoft não grava, testa ou gerencia modelos Sigma. O repositório e os modelos são criados e coletados pela comunidade de segurança de TI.
- Azure Monitor – Monitoramento e alertas automatizados de várias condições. Criar ou usar pastas de trabalho para combinar dados de diferentes fontes.
- Hubs de Eventos do Azure integrados a um SIEM: integram logs do Microsoft Entra aos SIEMs tais como Splunk, ArcSight, QRadar e Sumo Logic com Hubs de Eventos do Azure
- Microsoft Defender para Aplicativos de Nuvem: descubra e gerencie aplicativos, controle todos os aplicativos e recursos e cumpra a conformidade de aplicativos de nuvem
- Proteção de Identidade: detecta o risco de identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento
Use o restante do artigo para recomendações sobre o que monitorar e alertar. Consulte as tabelas, organizadas por tipo de ameaça. Consulte links para soluções ou amostras pré-construídas seguindo a tabela. Crie alertas usando as ferramentas previamente mencionadas.
Contas de consumidor
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Grande número de criações ou exclusões de contas | Alto | Logs de auditoria do Microsoft Entra | Atividade: adicionar usuário Status = êxito Iniciado por (ator) = Serviço CPIM -e- Atividade: excluir usuário Status = êxito Iniciado por (ator) = Serviço CPIM |
Defina um limite de linha de base e, em seguida, monitore e ajuste para ajustar seus comportamentos organizacionais. Limitar falsos alertas. |
| Contas criadas e excluídas por usuários ou processos não aprovados | Médio | Logs de auditoria do Microsoft Entra | Iniciado por (ator) – NOME UPN -e- Atividade: adicionar usuário Status = êxito Iniciado por (ator) != Serviço CPIM and-or Atividade: excluir usuário Status = êxito Iniciado por (ator) != Serviço CPIM |
Se os atores forem usuários não aprovados, configure para enviar um alerta. |
| Contas atribuídas a uma função com privilégios | Alto | Logs de auditoria do Microsoft Entra | Atividade: adicionar usuário Status = êxito Iniciado por (ator) == Serviço CPIM -e- Atividade = adicionar membro a função Status = êxito |
Se a conta for atribuída a uma função do Microsoft Entra, função do Azure ou associação de grupo com privilégios, alerte e priorize a investigação. |
| Tentativas de entrada malsucedidas | Médio: se incidente isolado Alto: se muitas contas estiverem com o mesmo padrão |
Log de entrada do Microsoft Entra | Status = falha -e- Código de erro de logon 50126: erro ao validar credenciais devido a nome de usuário ou senha inválidos. -e- Application == "CPIM PowerShell Client" -ou- Application == "ProxyIdentityExperienceFramework" |
Defina um limite de linha de base e, em seguida, monitore e ajuste para se ajustar aos seus comportamentos organizacionais e limitar a geração de alertas falsos. |
| Eventos de bloqueio inteligentes | Médio: se incidente isolado Alto: se muitas contas estiverem com o mesmo padrão ou um VIP |
Log de entrada do Microsoft Entra | Status = falha -e- Código de erro de entrada = 50053 – IdsLocked -e- Application == "CPIM PowerShell Client" -ou- Application =="ProxyIdentityExperienceFramework" |
Defina um limite de linha de base e, em seguida, monitore e ajuste para se adequar aos seus comportamentos organizacionais e limitar falsos alertas. |
| Autenticações com falha de países ou regiões dos quais você não opera | Médio | Log de entrada do Microsoft Entra | Status = falha -e- Local = < local não aprovado> -e- Application == "CPIM PowerShell Client" -ou- Application == "ProxyIdentityExperienceFramework" |
Monitore entradas diferentes dos nomes de cidades fornecidas. |
| Aumento de autenticações com falhas de qualquer tipo | Médio | Log de entrada do Microsoft Entra | Status = falha -e- Application == "CPIM PowerShell Client" -ou- Application == "ProxyIdentityExperienceFramework" |
Se você não tiver um limite, monitore e alerte se as falhas aumentarem em 10% ou mais. |
| Conta desabilitada/bloqueada para entradas | Baixo | Log de entrada do Microsoft Entra | Status = falha -e- código de erro = 50057, a conta de usuário está desabilitada. |
Este cenário poderia indicar alguém tentando ter acesso a uma conta depois de ter se desligado de uma organização. A conta está bloqueada, mas é importante registrar e alertar essa atividade. |
| Aumento mensurável de inscrições bem-sucedidas | Baixo | Log de entrada do Microsoft Entra | Status = êxito -e- Application == "CPIM PowerShell Client" -ou- Application == "ProxyIdentityExperienceFramework" |
Se você não tiver um limite, monitore e alerte se as autenticações bem-sucedidas aumentarem em 10% ou mais. |
Contas com privilégios
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Falha na entrada, limite de senha incorreto | Alto | Log de entrada do Microsoft Entra | Status = falha -e- código de erro = 50126 |
Defina um limite de linha de base e monitore e ajuste para se adequar aos seus comportamentos organizacionais. Limitar falsos alertas. |
| Falha devido ao requisito de acesso condicional | Alto | Log de entrada do Microsoft Entra | Status = falha -e- código de erro = 53003 -e- Motivo da falha = bloqueado pelo acesso condicional |
O evento pode indicar que um invasor está tentando entrar na conta. |
| Interrupção | Alto, médio | Log de entrada do Microsoft Entra | Status = falha -e- código de erro = 53003 -e- Motivo da falha = bloqueado pelo acesso condicional |
O evento pode indicar que um invasor tem a senha da conta, mas não pode passar no desafio da MFA. |
| Bloqueio de conta | Alto | Log de entrada do Microsoft Entra | Status = falha -e- código de erro = 50053 |
Defina um limite de linha de base e, em seguida, monitore e ajuste para se adequar aos seus comportamentos organizacionais. Limitar falsos alertas. |
| Conta desabilitada ou bloqueada para entradas | low | Log de entrada do Microsoft Entra | Status = falha -e- Destino = UPN do usuário -e- código de erro = 50057 |
O evento poderia indicar alguém tentando acessar uma conta depois de ter se desligado da organização. Embora a conta esteja bloqueada, registre e alerte essa atividade. |
| Alerta ou bloqueio de fraudes da MFA | Alto | Log de entradas do Microsoft Entra/Log Analytics do Azure | Entradas>Detalhes de autenticação Detalhes do resultado = MFA negado, código de fraude inserido |
O usuário com privilégios indica que não instigou a solicitação da MFA, o que pode indicar que um invasor tem a senha da conta. |
| Alerta ou bloqueio de fraudes da MFA | Alto | Log de entradas do Microsoft Entra/Log Analytics do Azure | Tipo de atividade = Fraude relatada - O usuário está bloqueado por MFA ou fraude relatada - Nenhuma ação executada, com base nas configurações do nível do locatário do relatório de fraude | O usuário privilegiado não indicou investigações do prompt de MFA. O cenário pode indicar que um invasor tem a senha da conta. |
| Entradas da conta com privilégios fora dos controles esperados | Alto | Log de entrada do Microsoft Entra | Status = falha UserPricipalName = < conta do administrador> Local = < local não aprovado> Endereço IP = < IP não aprovado> Device Info= <navegador, sistema operacional não aprovados> |
Monitore e alerte as entradas que você definiu como não aprovadas. |
| Fora do horário de entrada normal | Alto | Log de entrada do Microsoft Entra | Status = êxito -e- Local = -e- Horário = fora do horário de trabalho |
Monitore e alerte se as inscrições ocorrerem fora dos horários esperados. Encontre o padrão de trabalho normal de cada conta com privilégios e alerte se houver alterações não planejadas fora do horário normal de trabalho. Entradas fora do horário de trabalho normal podem indicar comprometimento ou possível ameaça interna. |
| Alteração de senha | Alto | Logs de auditoria do Microsoft Entra | Ator da atividade = administrador/autoatendimento -e- Destino = usuário -e- Status = êxito ou falha |
Alerta quando a senha de qualquer conta de administrador for alterada. Escreva uma consulta para contas com privilégios. |
| Alterações nos métodos de autenticação | Alto | Logs de auditoria do Microsoft Entra | Atividade: criar provedor de identidade Categoria: ResourceManagement Destino: nome UPN |
A alteração pode indicar que um invasor adicionou um método de autenticação à conta para ter acesso contínuo. |
| Provedor de Identidade atualizado por atores não aprovados | Alto | Logs de auditoria do Microsoft Entra | Atividade: atualizar o provedor de identidade Categoria: ResourceManagement Destino: nome UPN |
A alteração pode indicar que um invasor adicionou um método de autenticação à conta para ter acesso contínuo. |
| Provedor de Identidade excluído por atores não aprovados | Alto | Revisões de acesso do Microsoft Entra | Atividade: excluir provedor de identidade Categoria: ResourceManagement Destino: nome UPN |
A alteração pode indicar que um invasor adicionou um método de autenticação à conta para ter acesso contínuo. |
Aplicativos
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Credenciais adicionadas aos aplicativos | Alto | Logs de auditoria do Microsoft Entra | Diretório Service-Core, Category-ApplicationManagement Atividade: atualização de certificados de aplicativo e gerenciamento de segredos -e- Atividade: atualização da entidade de serviço/atualização do aplicativo |
Alerte quando as credenciais são: adicionadas fora do horário comercial normal ou dos fluxos de trabalho, tipos não utilizados no seu ambiente ou adicionados a uma entidade de serviço de suporte a fluxo não SAML. |
| Aplicativo atribuído a uma função RBAC (controle de acesso baseado em função) do Azure ou a uma função de Microsoft Entra | Alto a médio | Logs de auditoria do Microsoft Entra | Tipo: entidade de serviço Atividade = "adicionar membro à função" ou "Adicionar membro qualificado à função" -ou- "Adicionar membro no escopo à função." |
N/D |
| O aplicativo concedeu permissões altamente privilegiadas, como permissões com “.All” (Directory.ReadWrite.All) ou permissões abrangentes (Mail.) | Alto | Logs de auditoria do Microsoft Entra | N/D | Os aplicativos concederam permissões amplas, como “.All” (Directory.ReadWrite.All) ou permissões abrangentes (Mail.) |
| Administrador concedendo permissões de aplicativo (funções do aplicativo) ou permissões delegadas altamente privilegiadas | Alto | Portal do Microsoft 365 | "Adicionar atribuição de função de aplicativo à entidade de serviço" -em que- Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph) "Adicionar concessão de permissão delegada" -em que- Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph) -e- DelegatedPermissionGrant.Scope inclui permissões de alto privilégio. |
Alerta quando um administrador global, de aplicativos ou de aplicativos em nuvem dá seu consentimento a um aplicativo. Procure especialmente por consentimentos fora da atividade normal e de procedimentos de alteração. |
| O aplicativo recebe permissões para o Microsoft Graph, o Exchange, o SharePoint ou o Microsoft Entra ID. | Alto | Logs de auditoria do Microsoft Entra | "Adicionar concessão de permissão delegada" -ou- "Adicionar atribuição de função de aplicativo à entidade de serviço" -em que- Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph, o Exchange Online etc.) |
Usar o alerta na linha anterior. |
| Permissões delegadas altamente privilegiadas concedidas em nome de todos os usuários | Alto | Logs de auditoria do Microsoft Entra | "Adicionar concessão de permissão delegada" onde Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph) DelegatedPermissionGrant.Scope inclui permissões de privilégio elevado. -e- DelegatedPermissionGrant.ConsentType é "AllPrincipals". |
Usar o alerta na linha anterior. |
| Aplicativos que estão usando o fluxo de autenticação ROPC | Médio | Log de entrada do Microsoft Entra | Status=Success Autenticação Protocol-ROPC |
Um alto nível de confiança é colocado nesta aplicação porque as credenciais podem ser armazenadas em cache ou armazenadas. Se possível, mova para um fluxo de autenticação mais seguro. Use o processo apenas em testes automatizados de aplicativos, se ainda não o fez. |
| URI pendente | Alto | Logs e registros de aplicativo do Microsoft Entra | Diretório de Núcleo para Serviço Category-ApplicationManagement Atividade: atualizar aplicativo Sucesso – nome da propriedade AppAddress |
Por exemplo, procure por URIs pendentes apontando para um nome de domínio que tenha desaparecido, ou um que não seja seu. |
| Alterações na configuração do URI de redirecionamento | Alto | Logs do Microsoft Entra | Diretório de Núcleo para Serviço Category-ApplicationManagement Atividade: atualizar aplicativo Sucesso – nome da propriedade AppAddress |
Pesquise URIs que não usam HTTPS*, URIs com caracteres curingas no final ou o domínio da URL, URIs que não são exclusivos do aplicativo, URIs que apontam para um domínio que você não controla. |
| Alterações no URI de AppID | Alto | Logs do Microsoft Entra | Diretório de Núcleo para Serviço Category-ApplicationManagement Atividade: atualizar aplicativo Atividade: atualizar entidade de serviço |
Procure modificações no URI do AppID, como adicionar, modificar ou remover o URI. |
| Alterações na propriedade do aplicativo | Médio | Logs do Microsoft Entra | Diretório de Núcleo para Serviço Category-ApplicationManagement Atividade: adicionar proprietário ao aplicativo |
Procure por instâncias de usuários adicionados como proprietários de aplicativos fora das atividades normais de gerenciamento de alterações. |
| Alterações na URL de saída | Baixo | Logs do Microsoft Entra | Diretório de Núcleo para Serviço Category-ApplicationManagement Atividade: atualizar aplicativo -e- Atividade: atualizar entidade de serviço |
Procure por modificações em uma URL de saída. Entradas em branco ou entradas em locais inexistentes impedirão que um usuário encerre uma sessão. |
Infraestrutura
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Nova Política de Acesso Condicional criada por atores não aprovados | Alto | Logs de auditoria do Microsoft Entra | Atividade: adicionar política de acesso condicional Categoria: política Iniciado por (ator): nome UPN |
Monitorar e alertar as alterações de Acesso Condicional. Iniciado por (ator): aprovado para fazer alterações no Acesso Condicional? |
| Política de Acesso Condicional removida por atores não aprovados | Médio | Logs de auditoria do Microsoft Entra | Atividade: excluir política de acesso condicional Categoria: política Iniciado por (ator): nome UPN |
Monitorar e alertar as alterações de Acesso Condicional. Iniciado por (ator): aprovado para fazer alterações no Acesso Condicional? |
| Política de Acesso Condicional atualizada por atores não aprovados | Alto | Logs de auditoria do Microsoft Entra | Atividade: atualizar política de acesso condicional Categoria: política Iniciado por (ator): nome UPN |
Monitorar e alertar as alterações de Acesso Condicional. Iniciado por (ator): aprovado para fazer alterações no Acesso Condicional? Examine as Propriedades Modificadas e compare os valores antigos vs. novos |
| Política personalizada do B2C criada por atores não aprovados | Alto | Logs de auditoria do Microsoft Entra | Atividade: criar política personalizada Categoria: ResourceManagement Destino: nome UPN |
Monitorar e alertar as alterações na política personalizada. Iniciado por (ator): aprovado para fazer alterações nas políticas personalizadas? |
| Política personalizada do B2C atualizada por atores não aprovados | Alto | Logs de auditoria do Microsoft Entra | Atividade: obter políticas personalizadas Categoria: ResourceManagement Destino: nome UPN |
Monitorar e alertar as alterações na política personalizada. Iniciado por (ator): aprovado para fazer alterações nas políticas personalizadas? |
| Política personalizada do B2C excluída por atores não aprovados | Médio | Logs de auditoria do Microsoft Entra | Atividade: excluir política personalizada Categoria: ResourceManagement Destino: nome UPN |
Monitorar e alertar as alterações na política personalizada. Iniciado por (ator): aprovado para fazer alterações nas políticas personalizadas? |
| Fluxo de usuário criado por atores não aprovados | Alto | Logs de auditoria do Microsoft Entra | Atividade: criar fluxo de usuário Categoria: ResourceManagement Destino: nome UPN |
Monitorar e alertar sobre mudanças no fluxo do usuários. Iniciado por (ator): aprovado para fazer alterações nos fluxos de usuários? |
| Fluxo de usuário atualizado por atores não aprovados | Alto | Logs de auditoria do Microsoft Entra | Atividade: atualizar o fluxo de usuário Categoria: ResourceManagement Destino: nome UPN |
Monitorar e alertar sobre mudanças no fluxo do usuários. Iniciado por (ator): aprovado para fazer alterações nos fluxos de usuários? |
| Fluxo de usuário excluído por atores não aprovados | Médio | Logs de auditoria do Microsoft Entra | Atividade: excluir fluxo de usuário Categoria: ResourceManagement Destino: nome UPN |
Monitorar e alertar sobre mudanças no fluxo do usuários. Iniciado por (ator): aprovado para fazer alterações nos fluxos de usuários? |
| Conectores de API criados por atores não aprovados | Médio | Logs de auditoria do Microsoft Entra | Atividade: criar conector de API Categoria: ResourceManagement Destino: nome UPN |
Monitorar e alertar as alterações no conector de API. Iniciado por (ator): aprovado para fazer alterações nos conectores de API? |
| Conectores de API atualizados por atores não aprovados | Médio | Logs de auditoria do Microsoft Entra | Atividade: atualizar conector de API Categoria: ResourceManagement Destino: nome UPN: ResourceManagement |
Monitorar e alertar as alterações no conector de API. Iniciado por (ator): aprovado para fazer alterações nos conectores de API? |
| Conectores de API excluídos por atores não aprovados | Médio | Logs de auditoria do Microsoft Entra | Atividade: atualizar conector de API Categoria: ResourceManagment Destino: nome UPN: ResourceManagment |
Monitorar e alertar as alterações no conector de API. Iniciado por (ator): aprovado para fazer alterações nos conectores de API? |
| Provedor de identidade (IdP) criado por atores não aprovados | Alto | Logs de auditoria do Microsoft Entra | Atividade: criar provedor de identidade Categoria: ResourceManagement Destino: nome UPN |
Monitorar e alertar as alterações do IdP. Iniciado por (ator): aprovado para fazer alterações na configuração do IdP? |
| IdP atualizado por atores não aprovados | Alto | Logs de auditoria do Microsoft Entra | Atividade: atualizar o provedor de identidade Categoria: ResourceManagement Destino: nome UPN |
Monitorar e alertar as alterações do IdP. Iniciado por (ator): aprovado para fazer alterações na configuração do IdP? |
| IdP excluído por atores não aprovados | Médio | Logs de auditoria do Microsoft Entra | Atividade: excluir provedor de identidade Categoria: ResourceManagement Destino: nome UPN |
Monitorar e alertar as alterações do IdP. Iniciado por (ator): aprovado para fazer alterações na configuração do IdP? |
Próximas etapas
Para saber mais, consulte os seguintes artigos sobre operações de segurança:
- Guia de operações de segurança do Microsoft Entra
- Operações de segurança para contas de usuários do Microsoft Entra
- Operações de segurança para contas com privilégios no Microsoft Entra ID
- Operações de segurança para o Privileged Identity Management no Microsoft Entra
- Guia de operações de segurança para aplicativos no Microsoft Entra
- Operações de segurança para dispositivos do Microsoft Entra
- Operações de segurança para infraestrutura