Operações de segurança para contas privilegiadas em Microsoft Entra ID
A segurança dos ativos de negócios da organização moderna depende da integridade das contas com privilégios que administram seus sistemas de TI. Os invasores virtuais usam ataques de roubo de credenciais e outros meios para direcionar contas com privilégios e obter acesso a dados confidenciais.
Tradicionalmente, a segurança organizacional concentra-se nos pontos de entrada e saída de uma rede como o perímetro de segurança. No entanto, os aplicativos SaaS (software como serviço) e dispositivos pessoais na Internet tornaram essa abordagem menos eficaz.
Microsoft Entra ID usa o IAM (gerenciamento de identidades e acesso) como o painel de controle. Na camada de identidade da sua organização, os usuários atribuídos a funções administrativas com privilégios estão no controle. As contas usadas para o acesso devem ser protegidas, independentemente de o ambiente ser local, na nuvem ou em um ambiente híbrido.
Você é inteiramente responsável por todas as camadas de segurança de seu ambiente local de TI. Ao usar os serviços do Azure, a prevenção e a resposta são responsabilidades conjuntas da Microsoft, como o provedor de serviços de nuvem, e do cliente.
- Para saber mais sobre o modelo de responsabilidade compartilhada, veja Responsabilidade compartilhada na nuvem.
- Para obter mais informações sobre como proteger o acesso de usuários privilegiados, consulte Protegendo o acesso privilegiado para implantações híbridas e em nuvem no Microsoft Entra ID.
- Para uma ampla variedade de vídeos, guias de instruções e conteúdos dos principais conceitos de identidade com privilégios, consulte a Documentação do Privileged Identity Management.
Arquivos de log a serem monitorados
Os arquivos de log que você usa para investigação e monitoramento são:
No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixá-los como arquivos valores separados por vírgula (CSV) ou JavaScript Object Notation (JSON). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação de monitoramento e de alerta:
Microsoft Sentinel. Permite a análise de segurança inteligente no nível empresarial fornecendo recursos de SIEM (gerenciamento de eventos e informações de segurança).
Regras Sigma – Sigma é um padrão aberto em evolução para gravar regras e modelos que as ferramentas de gerenciamento automatizadas poderão usar para analisar arquivos de log. Sempre que há modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são gravados, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.
Azure Monitor. Permite o monitoramento e o alerta automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de fontes diferentes.
Hubs de Eventos do Azure integrado a um SIEM. Permite que os logs do Microsoft Entra sejam enviados para outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic, por meio da integração dos Hubs de Eventos do Azure. Para obter mais informações, confira Transmitir logs do Microsoft Entra para um hub de eventos do Azure.
Microsoft Defender para aplicativos de nuvem. Permite que você descubra e gerencie aplicativos, administre aplicativos e recursos e verifique a conformidade dos seus aplicativos de nuvem.
Microsoft Graph. Permite exportar dados e usar Microsoft Graph para fazer mais análises. Para obter mais informações, consulte SDK e Microsoft Entra ID Protection do Microsoft Graph PowerShell.
Proteção de identidade. Gera três relatórios importantes que você pode usar para ajudar na investigação:
Usuários suspeitos. Contém informações sobre quais usuários estão em risco, detalhes sobre detecções, histórico de todas as entradas suspeitas e histórico suspeito.
Entradas suspeitas. Contém informações sobre um login que pode indicar circunstâncias suspeitas. Para mais informações sobre a investigação de informações desse relatório, consulte Como investigar riscos.
Detecções de risco. Contém informações sobre outros riscos acionados quando um risco é detectado e outras informações pertinentes, como local de entrada e outros detalhes do Aplicativos do Microsoft Defender para Nuvem.
Proteger identidades de carga de trabalho com a Versão Prévia do Identity Protection. Use para detectar o risco em identidades de carga de trabalho em comportamento de entrada e indicadores offline de comprometimento.
Embora seja desencorajada a prática, as contas com privilégios podem ter direitos de administração permanentes. Caso opte por usar privilégios permanentes e a conta for comprometida, isso poderá ter um efeito fortemente negativo. Recomenda-se que você priorize o monitoramento de contas com privilégios e inclua as contas em sua configuração PIM (Privileged Identity Management). Para obter mais informações sobre o PIM, confira Começar a usar o Privileged Identity Management. Além disso, recomenda-se que você valide que as contas de administrador:
- Sejam obrigatórias.
- Tenham o privilégio mínimo para executar as atividades necessárias.
- São protegidos com a autenticação multifator no mínimo.
- Sejam executados a partir de dispositivos PAW (estação de trabalho de acesso com privilégios) ou SAW (estação de trabalho de administrador seguro).
O restante deste artigo descreve o que é recomendável monitorar e alertar. O artigo está organizado pelo tipo de ameaça. Quando houver soluções predefinidas específicas, elas serão indicadas na sequência da tabela. Caso contrário, você pode criar alertas usando as ferramentas descritas acima.
Este artigo fornece detalhes sobre como configurar as linhas de base e a entrada de auditoria e o uso de contas com privilégios. Ele também aborda ferramentas e recursos que você pode usar para ajudar a manter a integridade de suas contas com privilégios. O conteúdo é organizado nas seguintes assuntos:
- Contas de "break-glass" de emergência
- Entrada com conta com privilégios
- Alterações em conta com privilégios
- Grupos com privilégios
- Atribuição de privilégio e elevação
Contas de acesso de emergência
É importante evitar o bloqueio acidental do locatário do Microsoft Entra.
A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem atribuídas permanentemente à função Administrador Global. Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "acesso de emergência" em que as contas normais não podem ser usadas ou em que todos os outros administradores estão acidentalmente bloqueados. Essas contas devem ser criadas de acordo com as recomendações para as contas de acesso de emergência.
Envie um alerta de alta prioridade sempre que uma conta de acesso de emergência for usada.
Descoberta
Como as contas de emergência serão usadas somente se houver uma emergência, o monitoramento não deverá descobrir nenhuma atividade de conta. Envie um alerta de alta prioridade sempre que uma conta de acesso de emergência for usada ou alterada. Qualquer um dos eventos a seguir pode indicar que um ator malicioso está tentando comprometer seus ambientes:
- Entrar.
- Alteração da senha da conta.
- Alteração de permissões/funções da conta.
- Credencial ou método de autenticação adicionados ou alterados.
Para obter mais informações sobre como gerenciar contas de acesso de emergência, consulte Gerenciar contas de administrador de acesso de emergência no Microsoft Entra ID. Para obter informações detalhadas sobre como criar um alerta para a conta de emergência, confira Criar uma regra de alerta.
Entrada com conta com privilégios
Monitore todas as atividades de login de contas privilegiadas usando os logs de login do Microsoft Entra como fonte de dados. Além de informações de entradas com êxito e falha, os logs contêm os seguintes detalhes:
- Interrupções
- Dispositivo
- Local
- Risco
- Aplicativo
- Data e Hora
- A conta está desabilitada
- Bloquear
- Fraude na MFA
- Falha de acesso condicional
Coisas a serem monitoradas
Você pode monitorar eventos de login de contas privilegiadas nos logs de login do Microsoft Entra. Crie alertas e investigue os eventos a seguir para contas com privilégios.
O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
---|---|---|---|---|
Falha na entrada, limite de senha incorreto | Alto | Log de entrada do Microsoft Entra | Status = falha -e- código de erro = 50126 |
Defina um limite de linha de base e, em seguida, monitore e ajuste para se ajustar aos seus comportamentos organizacionais e limitar a geração de alertas falsos. Modelo do Microsoft Sentinel Regras Sigma |
Falha devido ao requisito de acesso condicional | Alto | Log de entrada do Microsoft Entra | Status = falha -e- código de erro = 53003 -e- Motivo da falha = bloqueado pelo acesso condicional |
Esse evento pode ser uma indicação de que um invasor está tentando entrar na conta. Modelo do Microsoft Sentinel Regras Sigma |
Contas com privilégios que não seguem a política de nomenclatura | Assinatura do Azure | Listar atribuições de função do Azure usando o portal do Azure | Liste atribuições de função para assinaturas e alertas em que o nome de login não corresponde ao formato de sua organização. Um exemplo é o uso de ADM_ como um prefixo. | |
Interrupção | Alto, médio | Microsoft Entra entradas | Status = interrompido -e- código de erro = 50074 -e- Motivo da falha = autenticação forte necessária Status = interrompido -e- Código de erro = 500121 Motivo da falha = a autenticação falhou durante uma solicitação de autenticação forte |
Esse evento pode ser uma indicação de que um invasor tem a senha da conta, mas não consegue passar pela autenticação multifator. Modelo do Microsoft Sentinel Regras Sigma |
Contas com privilégios que não seguem a política de nomenclatura | Alto | diretório do Microsoft Entra | Listar atribuições de função do Microsoft Entra | Liste as atribuições de função para as funções do Microsoft Entra e alerte quando o UPN não corresponder ao formato de sua organização. Um exemplo é o uso de ADM_ como um prefixo. |
Descobrir contas com privilégios não registradas para autenticação multifator | Alto | API do Microsoft Graph | Consulta para IsMFARegistered eq false para contas de administrador. Listar credentialUserRegistrationDetails - Microsoft Graph beta | Audite e investigue para determinar se o evento é intencional ou um descuido. |
Bloqueio de conta | Alto | Log de entrada do Microsoft Entra | Status = falha -e- código de erro = 50053 |
Defina um limite de linha de base e, em seguida, monitore e ajuste para se ajustar aos seus comportamentos organizacionais e limitar a geração de alertas falsos. Modelo do Microsoft Sentinel Regras Sigma |
Conta desabilitada ou bloqueada para entradas | Baixo | Log de entrada do Microsoft Entra | Status = falha -e- Destino = UPN do usuário -e- código de erro = 50057 |
Esse evento pode indicar que alguém está tentando obter acesso a uma conta depois de sair da organização. Embora a conta esteja bloqueada, ainda é importante registrar e alertar sobre essa atividade. Modelo do Microsoft Sentinel Regras Sigma |
Alerta ou bloqueio de fraudes da MFA | Alto | Log de entradas do Microsoft Entra/Log Analytics do Azure | Entradas >informações da autenticação informações do resultado = MFA negada, código de fraude inserido | O usuário com privilégios indicou que não instigou o prompt da autenticação multifator, o que pode indicar que um invasor tem a senha da conta. Modelo do Microsoft Sentinel Regras Sigma |
Alerta ou bloqueio de fraudes da MFA | Alto | Microsoft Entra log de auditoria/Log Analytics do Azure | Tipo de atividade = fraude relatada – o usuário está bloqueado na MFA ou fraude relatada – nenhuma ação tomada (com base nas configurações de nível de locatário no relatório de fraude) | O usuário com privilégios indicou que não instigou o prompt da autenticação multifator, o que pode indicar que um invasor tem a senha da conta. Modelo do Microsoft Sentinel Regras Sigma |
Entradas da conta com privilégios fora dos controles esperados | Log de entrada do Microsoft Entra | Status = falha UserPricipalName = < conta do administrador> Local = < local não aprovado> Endereço IP = < IP não aprovado> Device Info= <navegador, sistema operacional não aprovados> |
Monitore e alerte quanto a entradas que você definiu como não aprovadas. Modelo do Microsoft Sentinel Regras Sigma |
|
Fora do horário de entrada normal | Alto | Log de entrada do Microsoft Entra | Status = êxito -e- Local = -e- Horário = fora do horário de trabalho |
Monitore e alerte se entradas ocorrerem fora dos horários esperados. É importante encontrar o padrão de trabalho normal para cada conta com privilégios e alertar se houver alterações não planejadas fora dos horários de trabalho normais. Entradas fora do horário de trabalho normal podem indicar comprometimentos ou possíveis ameaças internas. Modelo do Microsoft Sentinel Regras Sigma |
Risco à proteção de identidade | Alto | Logs do Identity Protection | Estado de risco = em risco -e- Nível de risco = baixo, médio, alto -e- Atividade = entrada desconhecida/TOR e assim por diante |
Esse evento indica que foi detectada uma anormalidade na entrada da conta que deve ser alertada. |
Alteração de senha | Alto | Logs de auditoria do Microsoft Entra | Ator da atividade = administrador/autoatendimento -e- Destino = usuário -e- Status = êxito ou falha |
Alerta quando a senha de qualquer conta de administrador for alterada. Escreva uma consulta para contas com privilégios. Modelo do Microsoft Sentinel Regras Sigma |
Alteração no protocolo de autenticação herdado | Alto | Log de entrada do Microsoft Entra | Aplicativo cliente = outro cliente, IMAP, POP3, MAPI, SMTP e assim por diante -e- Nome de usuário = UPN -e- Aplicativo = Exchange (exemplo) |
Muitos ataques usam a autenticação herdada, portanto, se houver uma alteração no protocolo de autenticação para o usuário, isso poderá ser uma indicação de um ataque. Modelo do Microsoft Sentinel Regras Sigma |
Novo dispositivo ou localização | Alto | Log de entrada do Microsoft Entra | Informações do dispositivo = identificador do dispositivo -e- Navegador -e- SO -e- Conformidade/gerenciado -e- Destino = usuário -e- Local |
A maioria das atividades do administrador deve ser de dispositivos de acesso com privilégios, a partir de um número limitado de locais. Por esse motivo, alerte sobre novos dispositivos ou locais. Modelo do Microsoft Sentinel Regras Sigma |
A configuração de alerta de auditoria foi alterada | Alto | Logs de auditoria do Microsoft Entra | Serviço = PIM -e- Categoria = gerenciamento de funções -e- Atividade = desabilitar alerta do PIM -e- Status = êxito |
Caso as alterações em um alerta principal sejam inesperadas, elas devem ser alertadas. Modelo do Microsoft Sentinel Regras Sigma |
Administradores que se autenticam em outros locatários Microsoft Entra | Médio | Log de entrada do Microsoft Entra | Status = êxito Recurso tenantID != ID do Locatário da Página Inicial |
Quando o escopo é Usuários privilegiados, esse monitor detecta quando um administrador se autenticou com êxito em outro locatário do Microsoft Entra com uma identidade no locatário da sua organização. Alerta se o Recurso TenantID não for igual à ID do Locatário da Página Inicial Modelo do Microsoft Sentinel Regras Sigma |
O estado do Usuário Administrador foi alterado de Convidado para Membro | Médio | Logs de auditoria do Microsoft Entra | Atividade: atualizar usuário Categoria: UserManagement UserType alterado de Convidado para Membro |
Monitora e alerta sobre a alteração do tipo de usuário de Convidado para Membro. Essa alteração era esperada? Modelo do Microsoft Sentinel Regras Sigma |
Usuários Convidados que recebem convites para locatário por emissores do convite não aprovados | Médio | Logs de auditoria do Microsoft Entra | Atividade: convidar usuário externo Categoria: UserManagement Iniciado por (ator): nome UPN |
Monitora e alerta sobre atores não aprovados que convidam usuários externos. Modelo do Microsoft Sentinel Regras Sigma |
Alterações feitas por contas com privilégios
Monitore todas as tentativas de alterações e alterações efetuadas por uma conta com privilégios. Esses dados permitem que você estabeleça o que é considerado uma atividade normal para cada conta com privilégios e alerte sobre atividades que se desviem do esperado. Os logs de auditoria Microsoft Entra são usados para registrar esse tipo de evento. Para obter mais informações sobre Microsoft Entra logs de auditoria, consulte Logs de auditoria em Microsoft Entra ID.
Serviços de Domínio do Microsoft Entra
Contas privilegiadas que receberam permissões no Microsoft Entra Domain Services podem executar tarefas para Microsoft Entra Domain Services que afetam a postura de segurança das máquinas virtuais hospedadas no Azure que usam Microsoft Entra Domain Services. Habilite auditorias de segurança em máquinas virtuais e monitore os logs. Para obter mais informações sobre como ativar as auditorias do Microsoft Entra Domain Services e para obter uma lista de privilégios confidenciais, consulte os seguintes recursos:
- Habilitar auditorias de segurança para Microsoft Entra Domain Services
- Auditoria do uso de privilégios confidenciais
O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
---|---|---|---|---|
Tentativas de alterações e alterações efetuadas | Alto | Logs de auditoria do Microsoft Entra | Data e hora -e- Serviço -e- A categoria e o nome da atividade (o que) -e- Status = êxito ou falha -e- Destino -e- Iniciador ou ator (quem) |
Todas as alterações não planejadas devem ser alertadas imediatamente. Esses logs devem ser mantidos para ajudar em qualquer investigação. Todas as alterações no nível do locatário devem ser investigadas imediatamente (link externo para o documento de infraestrutura) que reduziriam a postura de segurança do seu locatário. Um exemplo é a exclusão de contas de autenticação multifator ou acesso condicional. Alerte sobre quaisquer adições ou alterações nos aplicativos. Consulte Guia de operações de segurança do Microsoft Entra para aplicativos. |
Exemplo Tentativa ou efetuação de alteração em serviços ou aplicativos de alto valor |
Alto | Log de auditoria | Serviço -e- A categoria e o nome da atividade |
Data e hora, Serviço, Categoria e nome da atividade, Status = Êxito ou falha, Destino, Iniciador ou ator (quem) |
Alterações privilegiadas nos Serviços do domínio do Microsoft Entra | Alto | Serviços de Domínio do Microsoft Entra | Procurar evento 4673 | Habilitar auditorias de segurança para Serviços do domínio do Microsoft Entra Para obter uma lista de todos os eventos privilegiados, consulte Auditoria do uso de privilégios confidenciais. |
Alterações feitas por contas com privilégio
Investigue as alterações nas regras de autenticação e nos privilégios das contas com privilégios, especialmente se a alteração fornecer mais privilégios ou a capacidade de executar tarefas em seu ambiente Microsoft Entra.
O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
---|---|---|---|---|
Criação de conta com privilégio | Médio | Logs de auditoria do Microsoft Entra | Serviço = diretório principal -e- Categoria = gerenciamento de usuários -e- Tipo de atividade = adicionar usuário -correlacionar com- Tipo de categoria = gerenciamento de função -e- Tipo de atividade = Adicionar membro a função -e- Propriedades modificadas = Role.DisplayName |
Monitore a criação de qualquer conta com privilégios. Procure a correlação de um intervalo de tempo curto entre a criação e a exclusão de contas. Modelo do Microsoft Sentinel Regras Sigma |
Alterações nos métodos de autenticação | Alto | Logs de auditoria do Microsoft Entra | Serviço = método de autenticação -e- Tipo de atividade = informações de segurança registradas pelo usuário -e- Categoria = gerenciamento de usuários |
Essa mudança pode ser a indicação de que um invasor está adicionando um método de autenticação à conta para que possa ter acesso contínuo. Modelo do Microsoft Sentinel Regras Sigma |
Alertar sobre alterações às permissões de conta com privilégios | Alto | Logs de auditoria do Microsoft Entra | Categoria = gerenciamento de funções -e- Tipo de atividade – adicionar um membro qualificado (permanente) -ou- Tipo de atividade – adicionar um membro qualificado (qualificado) -e- Status = êxito ou falha -e- Propriedades modificadas = Role.DisplayName |
Isso alerta ocorre especialmente em contas que recebem funções que não sejam conhecidas ou são que estejam fora de suas responsabilidades normais. Regras Sigma |
Contas com privilégios não usadas | Médio | Revisões de acesso do Microsoft Entra | Execute uma revisão mensal de contas de usuário com privilégios inativas. Regras Sigma |
|
Contas isentas do acesso condicional | Alto | Logs do Azure Monitor -ou- Revisões de acesso |
Acesso condicional = insights e relatórios | Qualquer isenção de conta da acesso condicional tem maior probabilidade a ignorar os controles de segurança, ficando mais vulnerável a comprometimentos. As contas de emergência são isentas. Veja informações mais adiante neste artigo sobre como monitorar contas de emergência. |
Adicionar uma Senha de Acesso Temporária a uma conta com privilégios | Alto | Logs de auditoria do Microsoft Entra | Atividade: informações de segurança registradas pelo Administrador Razão do status: método de senha de acesso temporária registrado pelo administrador para o usuário Categoria: UserManagement Iniciado por (ator): nome UPN Destino: nome UPN |
Monitore e alerte sobre a criação de uma Senha de Acesso Temporária para um usuário com privilégios. Modelo do Microsoft Sentinel Regras Sigma |
Para obter mais informações sobre como monitorar exceções às políticas de Acesso condicional, confira Informações e relatórios de Acesso condicional.
Para obter mais informações sobre como descobrir contas com privilégios não utilizadas, confira Criar uma revisão de acesso das funções do Microsoft Entra no Privileged Identity Management.
Atribuição e elevação
Ter contas com privilégios que são provisionadas permanentemente com capacidades elevadas pode aumentar a superfície de ataque e o risco do limite de segurança. Em vez disso, implemente o acesso just-in-time usando um procedimento de elevação. Esse tipo de sistema permite que você atribua a qualificação para funções privilegiadas. Os administradores elevam seus privilégios para essas funções somente quando executam tarefas que precisam desses privilégios. O uso de um processo de elevação permite monitorar elevações e o não uso de contas com privilégios.
Estabelecer uma linha de base
Para monitorar as exceções, primeiro você deve criar uma linha de base. Determinar as seguintes informações para esses elementos
Contas de administrador
- Sua estratégia de conta com privilégios
- O uso de contas locais para administrar recursos locais
- O uso de contas baseadas em nuvem para administrar recursos baseados em nuvem
- A abordagem para separar e monitorar permissões administrativas para recursos locais e baseados em nuvem
Proteção de função com privilégios
- Estratégia de proteção para funções com privilégios administrativos
- Política organizacional para usar contas com privilégios
- Estratégia e princípios para manter o privilégio permanente em comparação a fornecer limite de tempo e acesso aprovado
Os conceitos e as informações a seguir ajudam a determinar as políticas:
- Princípios de administrador just-in-time. Use os logs do Microsoft Entra para capturar informações para executar tarefas administrativas comuns em seu ambiente. Determine a quantidade de tempo típica necessária para concluir as tarefas.
- Princípios de administrador suficientes. Determine a função com menos privilégios, o que pode ser uma função personalizada, que é necessária para tarefas administrativas. Para obter mais informações, consulte Funções com privilégios mínimos por tarefa em Microsoft Entra ID.
- Estabeleça uma política de elevação. Depois de obter informações sobre o tipo de necessidade do privilégio elevado e por quanto tempo ele é necessário para cada tarefa, crie políticas que reflitam o uso privilegiado elevado para seu ambiente. Como exemplo, defina uma política para limitar a elevação de função para uma hora.
Depois de estabelecer sua linha de base e definir a política, você pode configurar o monitoramento para detectar e alertar o uso fora da política.
Descoberta
Dê atenção especial e investigue as alterações na atribuição e elevação de privilégio.
Coisas a serem monitoradas
Você pode monitorar as alterações de contas privilegiadas usando os logs de auditoria do Microsoft Entra e os logs do Azure Monitor. Inclua as seguintes alterações no processo de monitoramento.
O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
---|---|---|---|---|
Adicionado à função com privilégios qualificada | Alto | Logs de auditoria do Microsoft Entra | Serviço = PIM -e- Categoria = gerenciamento de funções -e- Tipo de atividade = adição de membro à função concluída (qualificado) -e- Status = êxito ou falha -e- Propriedades modificadas = Role.DisplayName |
Agora, qualquer conta qualificada para uma função está com acesso privilegiado. Caso a atribuição seja inesperada ou esteja em uma função que não é responsabilidade do titular da conta, investigue. Modelo do Microsoft Sentinel Regras Sigma |
Funções atribuídas fora do PIM | Alto | Logs de auditoria do Microsoft Entra | Serviço = PIM -e- Categoria = gerenciamento de funções -e- Tipo de atividade = Adicionar membro a função (permanente) -e- Status = êxito ou falha -e- Propriedades modificadas = Role.DisplayName |
Essas funções devem ser bastante monitoradas e alertadas. Sempre que possível, os usuários não devem receber funções fora do PIM. Modelo do Microsoft Sentinel Regras Sigma |
Elevações | Médio | Logs de auditoria do Microsoft Entra | Serviço = PIM -e- Categoria = gerenciamento de funções -e- Tipo de atividade = adição de membro à função concluída (ativação do PIM) -e- Status = êxito ou falha -e- Propriedades modificadas = Role.DisplayName |
Depois de uma conta com privilégios é elevada, ela poderá fazer alterações que possam afetar a segurança do seu locatário. Todas as elevações devem ser registradas e, se estiverem acontecendo fora do padrão em relação a esse usuário, devem ser alertadas e investigadas se não estiverem planejadas. |
Aprovações e elevação de negação | Baixo | Logs de auditoria do Microsoft Entra | Serviço = revisão de acesso -e- Categoria = UserManagement -e- Tipo de atividade = solicitação aprovada/negada -e- Ator iniciado = UPN |
Monitorar todas as elevações, pois isso poderia fornecer indicação clara da linha do tempo de um ataque. Modelo do Microsoft Sentinel Regras Sigma |
Alterações nas configurações do PIM | Alto | Logs de auditoria do Microsoft Entra | Serviço = PIM -e- Categoria = gerenciamento de funções -e- Tipo de atividade = atualizar a configuração de função no PIM -e- Motivo do status = MFA desabilitada na ativação (exemplo) |
Uma dessas ações pode reduzir a segurança da elevação do PIM e tornar mais fácil para os invasores adquirirem uma conta com privilégios. Modelo do Microsoft Sentinel Regras Sigma |
Elevação não ocorrendo em SAW/PAW | Alto | Logs de entrada do Microsoft Entra | Id do Dispositivo -e- Navegador -e- SO -e- Conformidade/gerenciado Correlacionar com: Serviço = PIM -e- Categoria = gerenciamento de funções -e- Tipo de atividade = adição de membro à função concluída (ativação do PIM) -e- Status = êxito ou falha -e- Propriedades modificadas = Role.DisplayName |
Caso essa alteração esteja configurado, qualquer tentativa de elevação em um dispositivo não PAW/SAW deverá ser investigada imediatamente, pois poderia indicar que um invasor está tentando usar a conta. Regras Sigma |
Elevação para gerenciar todas as assinaturas do Azure | Alto | Azure Monitor | Guia Log de atividades Guia Atividade do diretório Nome das operações = atribui o chamador à função de administrador de acesso do usuário -e- Categoria de eventos = administrativa -e- Status = êxito, início, falha -e- Evento iniciado por |
Essa alteração deve ser investigada imediatamente se não estiver planejada. Essa configuração poderia permitir que um invasor acesse as assinaturas do Azure em seu ambiente. |
Para obter mais informações sobre a elevação de gerenciamento, confira Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure. Para obter informações sobre como monitorar as elevações usando as informações disponíveis nos registros do Microsoft Entra, consulte Log de atividades do Azure, que faz parte da documentação do Azure Monitor.
Para obter informações sobre como configurar alertas para a função do Azure, confira Configurar alertas de segurança para funções de recurso do Azure no Privileged Identity Management.
Próximas etapas
Confira estes artigos do guia de operações de segurança:
Visão geral de operações de segurança do Microsoft Entra
Operações de segurança para contas de usuário
Operações de segurança para contas do consumidor
Operações de segurança para o Privileged Identity Management
Operações de segurança para aplicativos