Compartilhar via


Operações de segurança para infraestrutura

A infraestrutura tem vários componentes que poderão apresentar vulnerabilidades se não forem devidamente configurados. Como parte da sua estratégia de monitoramento e alertas de infraestrutura, monitore e crie alertas de eventos nas seguintes áreas:

  • Autenticação e autorização

  • Componentes da autenticação híbrida incluídos Servidores de federação

  • Políticas

  • Assinaturas

É essencial monitorar e alertar sobre componentes da infraestrutura de autenticação. Um comprometimento pode causar o comprometimento de todo o ambiente. Muitas empresas usam o Microsoft Entra ID em um ambiente de autenticação híbrida. Tanto os componentes na nuvem quanto locais devem ser incluídos na sua estratégia de monitoramento e alerta. Ter um ambiente de autenticação híbrido também introduz outro vetor de ataque em seu ambiente.

Recomendamos que todos os componentes sejam considerados ativos do Painel de Controle/Camada 0, assim como as contas usadas para gerenciá-los. Confira SPA (Protegendo ativos com privilégios) para diretrizes sobre como projetar e implementar seu ambiente. Essas diretrizes incluem recomendações para cada componente de autenticação híbrida que poderia ser usado em um locatário do Microsoft Entra.

Uma primeira etapa para poder detectar eventos inesperados e possíveis ataques é estabelecer uma linha de base. Para todos os componentes locais listados neste artigo, confira Implantação de acesso com privilégios, que é parte do guia SPA (Protegendo ativos com privilégios).

Onde procurar

Os arquivos de log que você usa para investigação e monitoramento são:

No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixá-los como arquivos valores separados por vírgula (CSV) ou JavaScript Object Notation (JSON). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação de monitoramento e de alerta:

  • Microsoft Sentinel – Permite a análise de segurança inteligente no nível empresarial fornecendo funcionalidades de SIEM (gerenciamento de eventos e informações de segurança).

  • Regras Sigma – Sigma é um padrão aberto em evolução para gravar regras e modelos que as ferramentas de gerenciamento automatizadas poderão usar para analisar arquivos de log. Onde há modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são gravados, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.

  • Azure Monitor – Permite monitoramento e alerta automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de fontes diferentes.

  • Hubs de Eventos do Azure Integrado com um SIEM – Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração do Hubs de Eventos do Azure.

  • Microsoft Defender para Aplicativos de Nuvem – Permite que você descubra e gerencie aplicativos, administre todos os aplicativos e recursos e verifique a conformidade dos seus aplicativos de nuvem.

  • Proteger identidades de carga de trabalho com o Identity Protection Preview − Usado para detectar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.

O restante deste artigo descreve o que deve ser monitorado e alertado. Ele está organizado pelo tipo de ameaça. Quando houver soluções pré-criadas, você vai encontrar links para elas após a tabela. Caso contrário, você pode criar alertas usando as ferramentas anteriores.

Infraestrutura de autenticação

Em ambientes híbridos que contêm tanto recursos e contas locais quanto baseados em nuvem, a infraestrutura do Active Directory é parte essencial da pilha de autenticação. A pilha também é alvo de ataques, ou seja, ela precisa ser configurada para manter um ambiente seguro e ser monitorada adequadamente. Exemplos de tipos atuais de ataques usados contra sua infraestrutura de autenticação usam técnicas de Pulverização de Senha e Solorigate. Abaixo estão links para artigos recomendados:

A seguir estão links para artigos específicos que se concentram no monitoramento e nos alertas da sua infraestrutura de autenticação:

Procure especificamente por estes itens:

O que monitorar Nível de risco Where Observações
Tendências de bloqueio de extranet Alto Microsoft Entra Connect Health Confira Monitorar o AD FS usando o Microsoft Entra Connect Health para obter ferramentas e técnicas que ajudam a detectar tendências de bloqueio de extranet.
Credenciais com falha Alto Portal do Connect Health Exporte ou baixe o relatório de IPs de Risco e siga as diretrizes em Relatório de IPs de Risco (versão prévia pública) para saber as próximas etapas.
Em conformidade com a privacidade Baixo Microsoft Entra Connect Health Configure o Microsoft Entra Connect Health para desabilitar as coletas de dados e o monitoramento usando o artigo Privacidade do usuário e o Microsoft Entra Connect Health.
Possível ataque de força bruta no LDAP Médio Microsoft Defender para Identidade Use um sensor para ajudar na detecção de possíveis ataques de força bruta contra o LDAP.
Reconhecimento de enumeração de conta Médio Microsoft Defender para Identidade Use um sensor para ajudar na realização de reconhecimento de enumeração de contas.
Correlação geral entre Microsoft Entra ID e Azure AD FS Médio Microsoft Defender para Identidade Use funcionalidades para correlacionar atividades entre seus ambientes do Microsoft Entra ID e dos Serviços de Federação do Active Directory (AD FS).

Monitoramento de autenticação de passagem

A autenticação de passagem do Microsoft Entra permite a entrada de usuários validando suas senhas diretamente no Active Directory local.

Procure especificamente por estes itens:

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Erros da autenticação de passagem do Microsoft Entra Médio Aplicativo e Logs de Serviço\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80001 – Não é possível se conectar ao Active Directory Verifique se os servidores do agente são membros da mesma floresta do AD que os usuários cujas senhas precisam ser validadas e se podem se conectar ao Active Directory.
Erros da autenticação de passagem do Microsoft Entra Médio Aplicativo e Logs de Serviço\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS8002: um tempo limite ocorreu durante a conexão com o Active Directory Verifique se o Active Directory está disponível e respondendo às solicitações dos agentes.
Erros da autenticação de passagem do Microsoft Entra Médio Aplicativo e Logs de Serviço\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80004: o nome de usuário transmitido ao agente não era válido Verifique se o usuário está tentando fazer logon com o nome de usuário correto.
Erros da autenticação de passagem do Microsoft Entra Médio Aplicativo e Logs de Serviço\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80005 – A validação encontrou WebException imprevisível Um erro transitório. Tente novamente a solicitação. Caso a falha persista, contate o Suporte da Microsoft.
Erros da autenticação de passagem do Microsoft Entra Médio Aplicativo e Logs de Serviço\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80007 – Um erro ocorreu na comunicação com o Active Directory Confira os logs do agente para obter mais informações e verifique se o Active Directory está funcionando conforme o esperado.
Erros da autenticação de passagem do Microsoft Entra Alto API de função do LogonUserA Win32 Eventos de logon 4624(s): uma conta teve logon bem-sucedido
- correlacionar com –
4625(F): falha no logon de uma conta
Use com nomes de usuário suspeitos no controlador de domínio que esteja autenticando solicitações. Diretrizes na função LogonUserA (winbase.h)
Erros da autenticação de passagem do Microsoft Entra Médio Script do PowerShell para um controlador de domínio Confira a consulta após a tabela. Use as informações em Microsoft Entra Connect: solucionar problemas de autenticação de passagem para obter diretrizes.

<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>

</Query>

</QueryList>

Monitoramento para criação de novos locatários do Microsoft Entra

Talvez as organizações precisem monitorar e alertar sobre a criação de locatários do Microsoft Entra quando a ação for iniciada por identidades do locatário organizacional delas. O monitoramento desse cenário fornece visibilidade sobre quantos locatários estão sendo criados e podem ser acessados pelos usuários finais.

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Criação de um locatário do Microsoft Entra, usando uma identidade do seu locatário. Médio Logs de auditoria do Microsoft Entra Categoria: gerenciamento de diretórios

Atividade: criar empresa
Os destinos mostram o TenantID criado

Conector de rede privada

O Proxy de Aplicativo do Microsoft Entra ID e do Microsoft Entra oferece aos usuários remotos uma experiência de logon único (SSO). Os usuários se conectam com segurança a aplicativos locais sem uma VPN (rede virtual privada) ou servidores de hospedagem dupla e regras de firewall. Se o servidor do conector de rede privada do Microsoft Entra for comprometido, os invasores poderão alterar a experiência de SSO ou mudar o acesso a aplicativos publicados.

Para configurar o monitoramento do Proxy de Aplicativo, confira Solucionar problemas do Proxy de Aplicativo e mensagens de erro. O arquivo de dados que registra informações pode ser encontrado em Logs de Aplicativos e Serviços\Microsoft\Microsoft Entra rede privada\Conector\Admin. Para obter um gu ia de referência completo para a atividade de auditoria, consulte a referência de atividade de auditoria do Microsoft Entra. Itens específicos a monitorar:

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Erros de Kerberos Médio Várias ferramentas Médio Diretrizes sobre erro de autenticação no Kerberos em Erros do Kerberos, em Solucionar problemas do Proxy de Aplicativo e mensagens de erro.
Problemas de segurança do DC Alto Logs de Auditoria de Segurança do DC Event ID 4742(S): uma conta de computador foi alterada
-e-
Sinalizador – Confiável para delegação
-ou-
Sinalizador – Confiável para autenticação de delegação
Investigue as alterações no sinalizador.
Ataques do tipo Pass-the-ticket Alto Siga as diretrizes em:
Reconhecimento de entidade de segurança (LDAP) (ID 2038 externa)
Tutorial: Alertas de credencial comprometida
Entender e usar os caminhos de movimentação lateral com o Microsoft Defender para Identidade
Noções básicas sobre perfis de entidade

Configurações de autenticação herdada

Para que a MFA (autenticação multifator) funcione, você também precisa bloquear a autenticação herdada. Em seguida, precisa monitorar o ambiente e os alertas em relação ao uso de autenticações herdadas. Protocolos de autenticação herdados, como POP, SMTP, IMAP e MAPI, não podem impor MFA. Por conta disso, esses protocolos são os pontos de entrada preferenciais dos invasores. Para obter mais informações sobre ferramentas que você pode usar para bloquear a autenticação herdada, confira Novas ferramentas para bloquear autenticação herdada na sua organização.

A autenticação herdada é capturada no log de credenciais do Microsoft Entra como parte dos detalhes do evento. Você pode usar o workbook do Azure Monitor para identificar o uso de autenticações herdadas. Para obter mais informações, confira Credenciais usando autenticação herdada, que é parte de Como usar Workbooks do Azure Monitor em relatórios do Microsoft Entra. Você também pode usar a pasta de trabalho Protocolos não seguros para o Microsoft Azure Sentinel. Para obter mais informações, consulte Guia de implementação da pasta de trabalho Protocolos não seguros do Microsoft Azure Sentinel. As atividades específicas que devem ser monitoradas incluem:

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Autenticações herdadas Alto Log de entrada do Microsoft Entra ClientApp : POP
ClientApp : IMAP
ClientApp : MAPI
ClientApp: SMTP
ClientApp : ActiveSync vai para EXO
Outros clientes: SharePoint e EWS
Em ambientes de domínio federado, as autenticações com falha não são gravadas e não aparecem no log.

Microsoft Entra Connect

O Microsoft Entra Connect oferece um local centralizado que habilita a sincronização de conta e atributo entre seus ambientes do Microsoft Entra baseados em nuvem e locais. O Microsoft Entra Connect é a ferramenta da Microsoft criada para atender e atingir suas metas de identidade híbrida. Ela fornece os seguintes recursos:

  • Sincronização de hash de senha – um método de entrada que sincroniza o hash da senha do AD local do usuário com o Microsoft Entra ID.

  • Sincronização – responsável pela criação de usuários, grupos e outros objetos. E a garantia de que as informações de identidade dos usuários e grupos locais correspondam às da nuvem. Essa sincronização também inclui os hashes de senha.

  • Monitoramento de Integridade – o Microsoft Entra Connect Health pode fornecer monitoramento robusto e fornecer um local central no portal do Azure para exibir essa atividade.

A sincronização de identidade entre o ambiente local e o ambiente de nuvem introduz uma nova superfície de ataque nos ambientes local e de nuvem. Recomendações:

  • Tratar seus servidores primário e de preparo do Microsoft Entra Connect como Sistemas de Camada 0 no painel de controle.

  • Seguir um conjunto padrão de políticas que regem cada tipo de conta e seu uso no ambiente.

  • Instale o Microsoft Entra Connect e o Connect Health. Eles oferecem principalmente dados operacionais ao ambiente.

O registro em log de operações do Microsoft Entra Connect ocorre de maneiras diferentes:

  • O assistente do Microsoft Entra Connect registra os dados em log para \ProgramData\AADConnect. Cada vez que o assistente é invocado, um arquivo de log de rastreamento com carimbo de data/hora é criado. O log de rastreamento pode ser importado para o Sentinel ou outra ferramenta de SIEM (gerenciamento de eventos e informações de segurança) de terceiros para análise.

  • Algumas operações iniciam um script do PowerShell para capturar informações de registro em log. Para coletar esses dados, você precisa ter certeza de que o registro em log de bloqueio de script está habilitado.

Monitorando alterações na configuração

O Microsoft Entra ID usa o Microsoft SQL Server Data Engine ou o SQL para armazenar informações de configuração do Microsoft Entra Connect. Assim, o monitoramento e a auditoria dos arquivos de log associados à configuração devem ser incluídos na estratégia de monitoramento e auditoria. Mais especificamente, inclua as tabelas a seguir na estratégia de monitoramento e alertas.

O que monitorar Where Observações
mms_management_agent Registros de auditoria de serviço do SQL Confira Registros de Auditoria do SQL Server
mms_partition Registros de auditoria de serviço do SQL Confira Registros de Auditoria do SQL Server
mms_run_profile Registros de auditoria de serviço do SQL Confira Registros de Auditoria do SQL Server
mms_server_configuration Registros de auditoria de serviço do SQL Confira Registros de Auditoria do SQL Server
mms_synchronization_rule Registros de auditoria de serviço do SQL Confira Registros de Auditoria do SQL Server

Para obter mais informações sobre o que e como monitorar informações de configuração, confira:

Monitoramento e solução de problemas de sincronização

Uma função do Microsoft Entra Connect é sincronizar a sincronização de hash entre a senha local de um usuário e o Microsoft Entra ID. Se as senhas não estão sincronizando da maneira esperada, a sincronização poderá afetar um subconjunto de usuários ou todos eles. Use as ideias abaixo para verificar a devida operação ou solucionar problemas:

Recursos importantes de monitoramento

O que monitorar Recursos
Validação da sincronização de hash Confira Solucionar problemas de sincronização de hash de senha com o Microsoft Entra Connect Sync
Modificações nos espaços de conector confira Solução de problemas de objetos e atributos do Microsoft Entra Connect
Modificações nas regras configuradas Monitorar alterações em: filtragem, domínio e UO, atributo e alterações baseadas no grupo
Alterações em SQL e MSDE Alterações em parâmetros de registro em log e adição de funções personalizadas

Monitore o seguinte:

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Alterações no Agendador Alto PowerShell Set-ADSyncScheduler Procurar modificações a serem agendadas
Alterações em tarefas agendadas Alto Logs de auditoria do Microsoft Entra Atividade = 4699(S): uma tarefa agendada foi excluída
-ou-
Atividade = 4701(s): uma tarefa agendada foi desabilitada
-ou-
Atividade = 4702(s): uma tarefa agendada foi atualizada
Monitorar tudo

Monitorando logon único contínuo

O logon único contínuo (SSO contínuo) do Microsoft Entra conecta os usuários automaticamente quando estão nos respectivos desktops corporativos conectados à rede corporativa. O SSO contínuo fornece aos usuários acesso fácil aos seus aplicativos baseados em nuvem, sem outros componentes locais adicionais. O SSO usa as funcionalidades de autenticação de passagem e sincronização de hash de senha fornecidas pelo Microsoft Entra Connect.

O monitoramento de atividade de logon único e do Kerberos pode ajudar a detectar padrões gerais de ataque de roubo de credenciais. Monitore usando as seguintes informações:

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Erros associados a falhas de SSO e validação do Kerberos Médio Log de entrada do Microsoft Entra Lista de códigos de erro de logon único em Logon único.
Consulta para solução de problemas com erros Médio PowerShell Veja a consulta na tabela a seguir. Verifique cada floresta com SSO habilitado. Verifique cada floresta com SSO habilitado.
Eventos relacionados a Kerberos Alto Monitoramento do Microsoft Defender para Identidade Reveja as diretrizes disponíveis em LMPs (Caminhos de Movimentação Lateral) do Microsoft Defender para Identidade
<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>

</Query>

</QueryList>

Políticas de proteção de senha

Se você implantar a Proteção de Senha do Microsoft Entra, o monitoramento e os relatórios são tarefas essenciais. Os links a seguir fornecem detalhes para entender várias técnicas de monitoramento, incluindo o local em que cada serviço registra informações e como relatar o uso da Proteção de Senha do Microsoft Entra.

O agente de DC (controlador de domínio) e os serviços de proxy registram em log mensagens de log de evento. Todos os cmdlets do PowerShell descritos abaixo só estão disponíveis no servidor proxy (veja o módulo do PowerShell AzureADPasswordProtection). O software do agente DC não instala um módulo do PowerShell.

Encontre informações detalhadas para planejar e implementar proteção de senha local em Planejar e implantar Proteção de Senha do Microsoft Entra local. Para ver os detalhes de monitoramento, confira Monitorar a proteção de senha do Microsoft Entra local. Em cada controlador de domínio, o software de serviço do agente do DC grava os resultados de cada operação de validação de senha individual (e outro status) no seguinte log de eventos local:

  • \Logs de Aplicativos e Serviços\Microsoft\AzureADPasswordProtection\DCAgent\Admin

  • \Logs de Aplicativos e Serviços\Microsoft\AzureADPasswordProtection\DCAgent\Operational

  • \Logs de Aplicativos e Serviços\Microsoft\AzureADPasswordProtection\DCAgent\Trace

O log de administração do agente do DC é a principal fonte de informações de como o software está se comportando. Por padrão, o log Rastreamento está desativado e precisa ser habilitado antes de os dados serem registrados. Para solucionar problemas de Proxy de Aplicativo e mensagens de erro, encontre informações detalhadas em Solucionar problemas de Proxy de Aplicativo do Microsoft Entra. As informações para esses eventos estão registradas em:

  • Logs de Aplicativos e Serviços\Microsoft\Microsoft Entra private network\Connector\Admin

  • Log de auditoria do Microsoft Entra, Proxy de Aplicativo de Categoria

A referência completa para atividades de auditoria do Microsoft Entra está disponível em Referência de atividade de auditoria do Microsoft Entra.

Acesso Condicional

Na ID do Microsoft Entra, você pode proteger o acesso aos seus recursos configurando políticas de acesso condicional. Como administrador de TI, você quer garantir que as políticas de Acesso Condicional funcionem conforme o esperado para assegurar que os recursos sejam protegidos. Monitorar e alertar sobre as alterações no serviço de Acesso Condicional garante que as políticas definidas pela organização relacionadas ao acesso a dados sejam impostas. O Microsoft Entra registra quando alterações são feitas no Acesso Condicional e também fornece pastas de trabalho para garantir que as políticas estejam fornecendo a cobertura esperada.

Links para Pastas de Trabalho

Monitore as alterações nas políticas de Acesso Condicional usando as seguintes informações:

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Nova Política de Acesso Condicional criada por atores não aprovados Médio Logs de auditoria do Microsoft Entra Atividade: adicionar política de acesso condicional

Categoria: política

Iniciado por (ator): nome UPN
Monitore e alerte sobre as alterações no Acesso Condicional. É iniciado por (ator): aprovado para fazer alterações no Acesso Condicional?
Modelo do Microsoft Sentinel

Regras Sigma
Política de Acesso Condicional removida por atores não aprovados Médio Logs de auditoria do Microsoft Entra Atividade: excluir política de acesso condicional

Categoria: política

Iniciado por (ator): nome UPN
Monitore e alerte sobre as alterações no Acesso Condicional. É iniciado por (ator): aprovado para fazer alterações no Acesso Condicional?
Modelo do Microsoft Sentinel

Regras Sigma
Política de Acesso Condicional atualizada por atores não aprovados Médio Logs de auditoria do Microsoft Entra Atividade: atualizar política de acesso condicional

Categoria: política

Iniciado por (ator): nome UPN
Monitore e alerte sobre as alterações no Acesso Condicional. É iniciado por (ator): aprovado para fazer alterações no Acesso Condicional?

Examinar as Propriedades Modificadas e comparar os valores "antigo" versus "novo"
Modelo do Microsoft Sentinel

Regras Sigma
Remover um usuário de um grupo utilizado para definir o escopo de políticas críticas de Acesso Condicional Médio Logs de auditoria do Microsoft Entra Atividade: remover membro do grupo

Categoria: GroupManagement

Destino: nome UPN
Monitore e alerte sobre os grupos utilizados para definir o escopo de Políticas críticas de Acesso Condicional.

"Target" é o usuário que foi removido.

Regras Sigma
Adicionar um usuário a um grupo utilizado para definir o escopo de políticas críticas de Acesso Condicional Baixo Logs de auditoria do Microsoft Entra Atividade: adicionar membro ao grupo

Categoria: GroupManagement

Destino: nome UPN
Monitore e alerte sobre os grupos utilizados para definir o escopo de Políticas críticas de Acesso Condicional.

"Target" é o usuário que foi adicionado.

Regras Sigma

Próximas etapas

Visão geral de operações de segurança do Microsoft Entra

Operações de segurança para contas de usuário

Operações de segurança para contas do consumidor

Operações de segurança para contas com privilégios

Operações de segurança para o Privileged Identity Management

Operações de segurança para aplicativos

Operações de segurança para dispositivos