Compartilhar via


Operações de segurança do Microsoft Entra para o Privileged Identity Management

A segurança dos ativos de negócios da organização moderna depende da integridade das contas com privilégios que administram seus sistemas de TI. Os criminosos cibernéticos usam ataques de roubo de credenciais para atingir contas de administrador e outras contas de acesso com privilégios para tentar obter acesso a dados confidenciais.

Para serviços de nuvem, prevenção e resposta são as responsabilidades conjuntas do provedor de serviços de nuvem e do cliente.

Tradicionalmente, a segurança organizacional concentra-se nos pontos de entrada e saída de uma rede como o perímetro de segurança. No entanto, os aplicativos de SaaS e dispositivos pessoais tornaram essa abordagem menos eficaz. No Microsoft Entra ID, substituímos o perímetro de segurança de rede pela autenticação na camada de identidade de sua organização. À medida que os usuários recebem funções administrativas com privilégios, o acesso deles deve ser protegido em ambientes locais, de nuvem e híbridos.

Você é inteiramente responsável por todas as camadas de segurança de seu ambiente local de TI. Ao usar os serviços de nuvem do Azure, a prevenção e a resposta são responsabilidades conjuntas da Microsoft, como o provedor de serviços de nuvem, e do cliente.

O PIM (Privileged Identity Management) é um serviço do Microsoft Entra que permite gerenciar, controlar e monitorar o acesso a importantes recursos na sua organização. Esses recursos incluem os recursos no Microsoft Entra ID, no Azure e em outros Serviços online da Microsoft, como o Microsoft 365 ou o Microsoft Intune. É possível usar o PIM para ajudar a reduzir os seguintes riscos:

  • Identificar e minimizar o número de pessoas com acesso a informações e recursos seguros.

  • Detectar permissões de acesso excessivas, desnecessárias ou de uso incorreto em recursos confidenciais.

  • Reduzir as chances de um agente mal-intencionado obter acesso a informações ou recursos protegidos.

  • Reduzir a possibilidade de um usuário não autorizado impactar inadvertidamente recursos confidenciais.

Use este artigo a fim de fornecer diretrizes para definir linhas de base, entradas de auditoria e uso de contas privilegiadas. Use a origem do log de auditoria para ajudar a manter a integridade da conta privilegiada.

Onde procurar

Os arquivos de log que você usa para investigação e monitoramento são:

Veja no portal do Azure os logs de auditoria do Microsoft Entra e baixe-os como arquivos de valores separados por vírgula (CSV) ou JavaScript Object Notation (JSON). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas para automação do monitoramento e dos alertas:

  • Microsoft Sentinel – Permite a análise de segurança inteligente no nível empresarial fornecendo recursos de SIEM (gerenciamento de eventos e informações de segurança).

  • Regras Sigma – Sigma é um padrão aberto em evolução para gravar regras e modelos que as ferramentas de gerenciamento automatizadas poderão usar para analisar arquivos de log. Onde há modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são gravados, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.

  • Azure Monitor : permite o monitoramento e o alerta automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de fontes diferentes.

  • Hubs de Eventos do Azure integrados a um SIEM- Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic pela integração dos Hubs de Eventos do Azure.

  • Microsoft Defender para Aplicativos em Nuvem – Permite que você descubra e gerencie aplicativos, administre em aplicativos e recursos e verifique a conformidade dos seus aplicativos em nuvem.

  • Proteger identidades de carga de trabalho com o Identity Protection Preview − Usado para detectar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.

O restante deste artigo tem recomendações para definir uma linha de base para monitoramento e alertas, com um modelo de camadas. Os links para soluções predefinidas são exibidos após a tabela. É possível criar alertas usando as ferramentas anteriores. O conteúdo é organizado nas seguintes áreas:

  • Linhas de base

  • Atribuição de função do Microsoft Entra

  • Configurações de alerta de função do Microsoft Entra

  • Atribuição de função de recurso do Azure

  • Gerenciamento de acesso para recursos do Azure

  • Acesso elevado para gerenciar assinaturas do Azure

Linhas de base

Veja a seguir as configurações de linha de base recomendadas:

O que monitorar Nível de risco Recomendação Funções Observações
Atribuição de funções do Microsoft Entra Alto Exigir justificativa para ativação. Exigir aprovação para ativação. Defina o processo do aprovador de dois níveis. Na ativação, exija a autenticação multifator do Microsoft Entra. Defina a duração máxima de elevação para oito horas. Administrador de Segurança, Administrador de Função com Privilégios, Administrador Global Um administrador de função com privilégios pode personalizar o PIM na organização do Microsoft Entra, incluindo a alteração da experiência dos usuários que ativam uma atribuição de função qualificada.
Configuração de função de recurso do Azure Alto Exigir justificativa para ativação. Exigir aprovação para ativação. Defina o processo do aprovador de dois níveis. Na ativação, exija a autenticação multifator do Microsoft Entra. Defina a duração máxima de elevação para oito horas. Proprietário, Administrador de Acesso do Usuário Investigue imediatamente se não for uma alteração planejada. Essa configuração pode permitir que um invasor acesse as assinaturas do Azure em seu ambiente.

Alertas do Privileged Identity Management

O Gerenciamento de Identidades Privilegiadas (PIM) gera alertas quando há atividades suspeitas ou inseguras em sua organização do Microsoft Entra. Quando um alerta é gerado, ele aparece no painel do Privileged Identity Management. Você também pode configurar uma notificação por email ou enviar para o SIEM por meio do GraphAPI. Como esses alertas se concentram especificamente em funções administrativas, você deve monitorar atentamente quaisquer alertas.

O que monitorar Nível de risco Where Filtro/subfiltro UX Observações
As funções estão sendo atribuídas fora do Privileged Identity Management Alto Privileged Identity Management, Alertas As funções estão sendo atribuídas fora do Privileged Identity Management Como configurar alertas de segurança
Regras Sigma
Contas obsoletas possíveis em uma função com privilégios Médio Privileged Identity Management, Alertas Contas obsoletas possíveis em uma função com privilégios Como configurar alertas de segurança
Regras Sigma
Administrators aren't using their privileged roles (Os administradores não estão utilizando suas funções privilegiadas) Baixo Privileged Identity Management, Alertas Administrators aren't using their privileged roles (Os administradores não estão utilizando suas funções privilegiadas) Como configurar alertas de segurança
Regras Sigma
As funções não exigem autenticação multifator para ativação Baixo Privileged Identity Management, Alertas As funções não exigem autenticação multifator para ativação Como configurar alertas de segurança
Regras Sigma
A organização não tem o Microsoft Entra ID P2 ou o Microsoft Entra ID Governance Baixo Privileged Identity Management, Alertas A organização não tem o Microsoft Entra ID P2 ou o Microsoft Entra ID Governance Como configurar alertas de segurança
Regras Sigma
Há muitos administradores globais Baixo Privileged Identity Management, Alertas Há muitos administradores globais Como configurar alertas de segurança
Regras Sigma
As funções estão sendo ativadas com muita frequência Baixo Privileged Identity Management, Alertas As funções estão sendo ativadas com muita frequência Como configurar alertas de segurança
Regras Sigma

Atribuição de funções do Microsoft Entra

Um administrador de função com privilégios pode personalizar o PIM na organização do Microsoft Entra, que inclui a alteração da experiência do usuário de ativação de uma atribuição de função qualificada:

  • Impedir que o agente mal-intencionado remova os requisitos de autenticação multifator do Microsoft Entra para ativar o acesso com privilégios.

  • Impedir que usuários mal-intencionados contornem a justificativa e a aprovação para ativar o acesso com privilégios.

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Alertar sobre Adicionar alterações às permissões de conta com privilégios Alto Logs de auditoria do Microsoft Entra Categoria = gerenciamento de funções
-e-
Tipo de atividade – adicionar um membro qualificado (permanente)
-e-
Tipo de atividade – adicionar um membro qualificado (qualificado)
-e-
Status = êxito/falha
-e-
Propriedades modificadas = Role.DisplayName
Monitore e sempre alerte o Administrador de Função com Privilégios e o Administrador Global sobre alterações. Isso pode indicar que um invasor está tentando obter privilégios para modificar as configurações de atribuição de função. Se você não tiver um limite definido, faça quatro alertas em 60 minutos para usuários e dois em 60 minutos para contas com privilégios.

Regras Sigma
Alertar sobre alterações de exclusão em massa em permissões de conta com privilégios Alto Logs de auditoria do Microsoft Entra Categoria = gerenciamento de funções
-e-
Tipo de atividade – Remover um membro qualificado (permanente)
-e-
Tipo de atividade – Remover um membro qualificado (qualificado)
-e-
Status = êxito/falha
-e-
Propriedades modificadas = Role.DisplayName
Investigue imediatamente se não for uma alteração planejada. Essa configuração pode permitir que um invasor acesse as assinaturas do Azure em seu ambiente.
Modelo do Microsoft Sentinel

Regras Sigma
Alterações nas configurações do PIM Alto Log de auditoria do Microsoft Entra Serviço = PIM
-e-
Categoria = gerenciamento de funções
-e-
Tipo de atividade = atualizar a configuração de função no PIM
-e-
Motivo do status = MFA desabilitada na ativação (exemplo)
Monitore e sempre alerte o Administrador de Função com Privilégios e o Administrador Global sobre alterações. Isso pode ser uma indicação de que um invasor tem acesso para modificar as configurações de atribuição de função. Uma dessas ações pode reduzir a segurança da elevação do PIM e tornar mais fácil para os invasores adquirirem uma conta com privilégios.
Modelo do Microsoft Sentinel

Regras Sigma
Aprovações e elevação de negação Alto Log de auditoria do Microsoft Entra Serviço = revisão de acesso
-e-
Categoria = UserManagement
-e-
Tipo de atividade = solicitação aprovada/negada
-e-
Ator iniciado = UPN
Todas as elevações devem ser monitoradas. Registre todas as elevações para fornecer indicação clara da linha do tempo de um ataque.
Modelo do Microsoft Sentinel

Regras Sigma
A configuração de alerta é alterada para desabilitada. Alto Logs de auditoria do Microsoft Entra Serviço = PIM
-e-
Categoria = gerenciamento de funções
-e-
Tipo de atividade = desabilitar alerta do PIM
-e-
Status = sucesso/falha
Sempre alertar. Ajuda a detectar um agente mal-intencionado removendo alertas associados aos requisitos de autenticação multifator do Microsoft Entra para ativar o acesso com privilégios. Ajuda a detectar atividades suspeitas ou não seguras.
Modelo do Microsoft Sentinel

Regras Sigma

Para saber mais sobre como identificar alterações de configuração de função no log de auditoria do Microsoft Entra, confira Ver histórico de auditoria de funções do Microsoft Entra no Privileged Identity Management.

Atribuição de função de recurso do Azure

Monitorar atribuições de função de recurso do Azure permite visibilidade sobre atividades e ativações de funções de recursos. Essas atribuições podem ser usadas indevidamente para criar uma superfície de ataque para um recurso. Ao monitorar esse tipo de atividade, você está tentando detectar:

  • Atribuições de função de consulta em recursos específicos

  • Atribuições de função para todos os recursos filho

  • Todas as alterações de atribuição de função ativas e elegíveis

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Auditar o log de auditoria de recursos de alerta quanto a atividades de conta com privilégios Alto No PIM, em Recursos do Azure, Auditoria de Recursos Ação: adicionar o membro qualificado à função no PIM concluída (com limite de tempo)
-e-
Destino primário
-e-
Digitar o usuário
-e-
Status = sucesso
Sempre alertar. Ajuda a detectar um agente mal-intencionado adicionando funções qualificadas para gerenciar todos os recursos no Azure.
Auditoria de recurso de alerta para desabilitar alerta Médio No PIM, em Recursos do Azure, Auditoria de Recursos Ação: desabilitar alerta
-e-
Destino primário: excesso de proprietários atribuídos a um recurso
-e-
Status = sucesso
Ajuda a detectar agentes mal-intencionados desabilitando alertas no painel de Alertas, que podem ignorar a atividade maliciosa que está sendo investigada
Auditoria de recurso de alerta para desabilitar alerta Médio No PIM, em Recursos do Azure, Auditoria de Recursos Ação: desabilitar alerta
-e-
Destino primário: excesso de proprietários permanentes atribuídos a um recurso
-e-
Status = sucesso
Impedir que o agente mal-intencionado desative os alertas no painel de Alertas, que pode contornar a atividade maliciosa que está sendo investigada
Auditoria de recurso de alerta para desabilitar alerta Médio No PIM, em Recursos do Azure, Auditoria de Recursos Ação: desabilitar alerta
-e-
Função duplicada de destino primário criada
-e-
Status = sucesso
Impedir que o agente mal-intencionado desative os alertas no painel de Alertas, que pode contornar a atividade maliciosa que está sendo investigada

Para saber como configurar alertas e auditar funções de recursos do Azure, confira:

Gerenciamento de acesso para recursos e assinaturas do Azure

Os usuários ou membros de grupo atribuídos às funções de assinatura de Proprietário ou Administrador de Acesso do Usuário e os administradores globais do Microsoft Entra que habilitaram o gerenciamento de assinaturas no Microsoft Entra ID têm permissões de Administrador de Recursos por padrão. Os administradores atribuem funções, definem configurações de função e revisam o acesso usando o PIM (Privileged Identity Management) para recursos do Azure.

Um usuário com permissões de Administrador de Recursos pode gerenciar o PIM quanto a recursos. Monitora e mitiga esse risco introduzido: a funcionalidade pode ser usada para permitir que atores mal-intencionados tenham acesso com privilégios aos recursos da assinatura do Azure, como VMs (máquinas virtuais) ou contas de armazenamento.

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Elevações Alto Microsoft Entra ID, em Gerenciar, Propriedades Revise periodicamente a configuração.
Gerenciamento de acesso para recursos do Azure
Os administradores globais podem elevar privilégios habilitando o gerenciamento de acesso para os recursos do Azure.
Verifique se os agentes mal-intencionados não ganharam permissões para atribuir funções em todas as assinaturas do Azure e grupos de gerenciamento associados ao Active Directory.

Para saber mais, confira Atribuir funções de recurso do Azure no Privileged Identity Management

Próximas etapas

Visão geral de operações de segurança do Microsoft Entra

Operações de segurança para contas de usuário

Operações de segurança para contas do consumidor

Operações de segurança para contas com privilégios

Operações de segurança para aplicativos

Operações de segurança para dispositivos

Operações de segurança para infraestrutura