Configurar o Microsoft Entra para Confiança Zero: monitorar e detectar ameaças cibernéticas

Ter recursos robustos de monitoramento de integridade e detecção de ameaças é um dos seis pilares da Iniciativa Secure Future. Essas diretrizes são projetadas para ajudá-lo a configurar um sistema de registro em log abrangente para arquivamento e análise. Incluímos recomendações relacionadas à triagem de entradas arriscadas, usuários arriscados e métodos de autenticação.

A primeira etapa para se alinhar a esse pilar é definir as configurações de diagnóstico para todos os logs do Microsoft Entra para que todas as alterações feitas em seu locatário sejam armazenadas e acessíveis para análise. Outras recomendações neste pilar se concentram na triagem oportuna de alertas de risco e recomendações do Microsoft Entra. A principal vantagem é saber quais logs, relatórios e ferramentas de monitoramento de integridade estão disponíveis e monitorá-los regularmente.

Diretrizes de segurança

As configurações de diagnóstico são configuradas para todos os logs do Microsoft Entra

Os logs de atividades e relatórios no Microsoft Entra podem ajudar a detectar tentativas de acesso não autorizadas ou identificar quando a configuração do locatário é alterada. Quando os logs são arquivados ou integrados às ferramentas siem (Gerenciamento de Eventos e Informações de Segurança), as equipes de segurança podem implementar controles avançados de segurança de monitoramento e detecção, busca proativa de ameaças e processos de resposta a incidentes. Os logs e os recursos de monitoramento podem ser usados para avaliar a integridade do locatário e fornecer evidências de conformidade e auditorias.

Se os logs não forem arquivados regularmente ou enviados para uma ferramenta SIEM para consulta, será desafiador investigar problemas de entrada. A ausência de logs históricos significa que as equipes de segurança podem perder padrões de tentativas de entrada com falha, atividade incomum e outros indicadores de comprometimento. Essa falta de visibilidade pode impedir a detecção oportuna de violações, permitindo que os invasores mantenham o acesso não detectado por longos períodos.

Ação de correção

• Definir as configurações de diagnóstico do Microsoft Entra
• Integrar logs do Microsoft Entra aos logs do Azure Monitor
• Transmitir logs do Microsoft Entra para um hub de eventos

Ativações de função com privilégios têm monitoramento e alertas configurados

Organizações sem alertas de ativação adequados para funções altamente privilegiadas não têm visibilidade de quando os usuários acessam essas permissões críticas. Os atores de ameaça podem explorar essa lacuna de monitoramento para executar o escalonamento de privilégios ativando funções altamente privilegiadas sem detecção e, em seguida, estabelecer persistência por meio da criação da conta de administrador ou modificações de política de segurança. A ausência de alertas em tempo real permite que os invasores realizem movimento lateral, modifiquem as configurações de auditoria e desabilitem controles de segurança sem disparar procedimentos de resposta imediata.

Ação de correção

• Defina as configurações de função do Microsoft Entra no Privileged Identity Management

Alerta de ativação para atribuições de função de Administrador Global

Sem alertas de ativação para atribuições de função de Administrador Global, os atores de ameaça podem escalonar privilégios sem serem detectados. Essa falta de visibilidade cria um ponto cego em que os invasores podem ativar a função mais privilegiada e executar ações mal-intencionadas, como criar contas de backdoor, modificar políticas de segurança ou acessar dados confidenciais.

O monitoramento desses alertas de ativação pode ajudar as equipes de segurança a distinguir entre atividades de escalonamento de privilégios autorizados e não autorizados.

Ação de correção

• Configurar notificações para funções privilegiadas

Alerta de ativação para todas as atribuições de função com privilégios

Sem alertas de ativação para atribuições de função com privilégios, os atores de ameaça podem escalonar privilégios sem serem detectados. Essa falta de visibilidade cria um ponto cego em que os invasores podem ativar a função mais privilegiada e executar ações mal-intencionadas, como criar contas de backdoor, modificar políticas de segurança ou acessar dados confidenciais.

O monitoramento desses alertas de ativação pode ajudar as equipes de segurança a distinguir entre atividades de escalonamento de privilégios autorizados e não autorizados.

Ação de correção

• Configurar notificações para funções privilegiadas

Usuários privilegiados se inscrevem com métodos resistentes a phishing

Sem métodos de autenticação resistentes a phishing, os usuários privilegiados são mais vulneráveis a ataques de phishing. Esses tipos de ataques enganam os usuários a revelar suas credenciais para conceder acesso não autorizado aos invasores. Se forem usados métodos de autenticação não resistentes a phishing, os invasores poderão interceptar credenciais e tokens, por meio de métodos como ataques adversários no meio, prejudicando a segurança da conta privilegiada.

Depois que uma conta ou sessão com privilégios for comprometida devido a métodos de autenticação fracos, os invasores poderão manipular a conta para manter o acesso a longo prazo, criar outros backdoors ou modificar permissões de usuário. Os invasores também podem usar a conta com privilégios comprometidos para aumentar ainda mais seu acesso, potencialmente ganhando controle sobre sistemas mais confidenciais.

Ação de correção

• Inicie com uma implantação de autenticação resistente a phishing sem senha
• Garanta que as contas privilegiadas registrem e usem métodos resistentes a phishing
• Implantar uma política de Acesso Condicional para direcionar contas com privilégios e exigir credenciais resistentes a phishing
• Monitorar a atividade do método de autenticação

Todos os usuários de alto risco são triados.

Os usuários considerados de alto risco pelo Microsoft Entra ID Protection têm uma alta probabilidade de comprometimento por atores de ameaça. Os atores de ameaça podem obter acesso inicial através de contas válidas comprometidas, onde suas atividades suspeitas continuam mesmo após acionarem indicadores de risco. Essa supervisão pode habilitar a persistência à medida que atores de ameaça executam atividades que normalmente justificam a investigação, como padrões de logon incomuns ou manipulação suspeita de caixa de entrada.

A falta de triagem desses usuários arriscados permite atividades de reconhecimento expandidas e movimento lateral, com padrões de comportamento anômalos continuando a gerar alertas não investigados. Os atores de ameaça ficam encorajados à medida que as equipes de segurança mostram que não estão respondendo ativamente a indicadores de risco.

Ação de correção

• Investigar usuários de alto risco no Microsoft Entra ID Protection
• Corrigir usuários de alto risco e desbloquear no Microsoft Entra ID Protection

Todos os logins de alto risco passam por triagem

Entradas arriscadas sinalizadas pelo Microsoft Entra ID Protection indicam uma alta probabilidade de tentativas de acesso não autorizadas. Os atores de ameaça usam esses logins para obter um ponto de apoio inicial. Se essas entradas permanecerem não investigadas, os adversários poderão estabelecer persistência autenticando-se repetidamente sob o pretexto de usuários legítimos.

A falta de resposta permite que os invasores executem reconhecimento, tentem escalonar seu acesso e integrem-se aos padrões normais. Quando as entradas não testadas continuam gerando alertas e não há intervenção, as lacunas de segurança aumentam, facilitando a movimentação lateral e a evasão de defesa, à medida que os adversários reconhecem a ausência de uma resposta de segurança ativa.

Ação de correção

• Investigar logins arriscados
• Corrigir riscos e desbloquear usuários

Todas as identidades de carga de trabalho arriscadas são avaliadas

Identidades de carga de trabalho comprometidas (entidades de serviço e aplicativos) permitem que atores de ameaças obtenham acesso persistente sem interação do usuário ou autenticação multifator. O Microsoft Entra ID Protection monitora essas identidades para atividades suspeitas, como credenciais vazadas, tráfego de API anômala e aplicativos mal-intencionados. Identidades de carga de trabalho arriscadas não reparadas permitem escalonamento de privilégios, movimentação lateral, exfiltração de dados e backdoors persistentes que ignoram controles de segurança tradicionais. As organizações devem investigar e corrigir sistematicamente esses riscos para impedir o acesso não autorizado.

Ação de correção

• Investigar e corrigir identidades de carga de trabalho arriscadas
• Aplicar políticas de acesso condicional para identidades de carga de trabalho

Eventos de criação de locatário são avaliados e priorizados

Os eventos de criação de locatários devem ser monitorados e triados para detectar a criação não autorizada de locatários. Usuários com permissões suficientes podem criar novos locatários, que podem ser usados para estabelecer ambientes de sombra fora do monitoramento de segurança da sua organização. Rotear logs de auditoria para um SIEM e configurar alertas para eventos de criação de locatário permite que as equipes de segurança investiguem e respondam rapidamente a atividades potencialmente mal-intencionadas.

Ação de correção

• Examinar e restringir permissões para criar locatários
• Transmitir logs de auditoria para um hub de eventos para integração do SIEM
• Configurar monitoramento e alertas para eventos de auditoria

Todas as atividades de entrada do usuário usam métodos de autenticação fortes

Os invasores poderão obter acesso se a MFA (autenticação multifator) não for aplicada universalmente ou se houver exceções em vigor. Os invasores podem obter acesso explorando vulnerabilidades de métodos MFA mais fracos, como SMS e chamadas telefônicas por meio de técnicas de engenharia social. Essas técnicas podem incluir a troca de SIM ou phishing para interceptar códigos de autenticação.

Os invasores podem usar essas contas como pontos de entrada no locatário. Usando sessões de usuário interceptadas, os invasores podem disfarçar suas atividades como ações legítimas do usuário, evitar a detecção e continuar seu ataque sem levantar suspeitas. A partir daí, eles podem tentar manipular as configurações de MFA para estabelecer persistência, planejar e executar novos ataques com base nos privilégios das contas comprometidas.

Ação de correção

• Implantar autenticação multifator
• Inicie com uma implantação de autenticação resistente a phishing sem senha
• Implantar uma política de Acesso Condicional para exigir MFA resistente a phishing para todos os usuários
• Revisar atividade dos métodos de autenticação

Recomendações de alta prioridade do Microsoft Entra são tratadas

Deixar recomendações de alta prioridade do Microsoft Entra não abordadas pode criar uma lacuna na postura de segurança de uma organização, oferecendo aos atores de ameaças oportunidades para explorar pontos fracos conhecidos. Não agir nesses itens pode resultar em uma área de superfície de ataque aumentada, operações abaixo do ideal ou uma experiência ruim do usuário.

Ação de correção

• Abordar todas as recomendações de alta prioridade no centro de administração do Microsoft Entra

As notificações da Proteção de ID estão habilitadas

Se você não habilitar notificações de Proteção contra IDs, sua organização perderá alertas críticos em tempo real quando atores de ameaças comprometem contas de usuário ou realizam atividades de reconhecimento. Quando o Microsoft Entra ID Protection detecta contas em risco, ela envia alertas de email com usuários em risco detectados como o assunto e links para os usuários sinalizados para o relatório de risco . Sem essas notificações, as equipes de segurança permanecem sem saber das ameaças ativas, permitindo que os atores de ameaças mantenham a persistência em contas comprometidas sem serem detectadas. Você pode alimentar esses riscos em ferramentas como o Acesso Condicional para tomar decisões de acesso ou enviá-los para uma ferramenta siem (gerenciamento de eventos e informações de segurança) para investigação e correlação. Os atores de ameaça podem usar essa lacuna de detecção para realizar atividades de movimentação lateral, tentativas de escalonamento de privilégios ou operações de exfiltração de dados, enquanto os administradores permanecem sem saber do comprometimento contínuo. A resposta atrasada permite que os atores de ameaças estabeleçam mais mecanismos de persistência, alterem as permissões do usuário ou acessem recursos confidenciais antes que você possa corrigir o problema. Sem notificação proativa de detecções de risco, as organizações devem depender apenas do monitoramento manual de relatórios de risco, o que aumenta significativamente o tempo necessário para detectar e responder a ataques baseados em identidade.

Ação de correção

• Configurar alertas de usuários em risco detectados

Nenhuma atividade de entrada de autenticação herdada

Protocolos de autenticação herdados, como autenticação básica para SMTP e IMAP, não dão suporte a recursos de segurança modernos, como a MFA (autenticação multifator), que é crucial para proteger contra acesso não autorizado. Essa falta de proteção torna as contas que usam esses protocolos vulneráveis a ataques baseados em senha e fornece aos invasores um meio de obter acesso inicial usando credenciais roubadas ou adivinhadas.

Quando um invasor obtém com êxito o acesso não autorizado às credenciais, ele pode usá-las para acessar serviços vinculados, usando o método de autenticação fraca como um ponto de entrada. Os invasores que obtêm acesso por meio da autenticação herdada podem fazer alterações no Microsoft Exchange, como configurar regras de encaminhamento de email ou alterar outras configurações, permitindo que eles mantenham o acesso contínuo a comunicações confidenciais.

A autenticação herdada também fornece aos invasores um método consistente para reentrada em um sistema usando credenciais comprometidas sem disparar alertas de segurança ou exigir autenticação.

A partir daí, os invasores podem usar protocolos herdados para acessar outros sistemas acessíveis por meio da conta comprometida, facilitando a movimentação lateral. Os invasores que usam protocolos herdados podem se misturar com atividades legítimas do usuário, dificultando a distinção entre o uso normal e o comportamento mal-intencionado.

Ação de correção

• protocolos do Exchange podem ser desativados no Exchange
• protocolos de autenticação herdados podem ser bloqueados com o Acesso Condicional
• entradas usando a pasta de trabalho de autenticação herdada para ajudar a determinar se é seguro desativar a autenticação herdada

Todas as recomendações do Microsoft Entra foram abordadas

As recomendações do Microsoft Entra oferecem às organizações oportunidades de implementar práticas recomendadas e otimizar sua postura de segurança. Não agir nesses itens pode resultar em uma área de superfície de ataque aumentada, operações abaixo do ideal ou uma experiência ruim do usuário.

Ação de correção

• Trate todas as recomendações ativas ou adiadas no centro de administração do Microsoft Entra

A atividade de acesso à rede é visível para operações de segurança para detecção e resposta de ameaças

Sem registros de logs de Acesso Seguro Global integrados a uma área de trabalho do Microsoft Sentinel, as equipes de operações de segurança carecem de visibilidade centralizada sobre padrões de tráfego de rede, tentativas de conexão e anomalias de acesso ao usar o Acesso Privado, o Acesso à Internet e o encaminhamento de tráfego do Microsoft 365. Os atores de ameaça que comprometem as credenciais do usuário ou os dispositivos podem usar esses caminhos de acesso à rede para executar o reconhecimento, mover-se lateralmente ou exfiltrar dados sem detecção.

Sem essa integração:

• As equipes de segurança não conseguem correlacionar atividades na camada de rede com sinais baseados em identidade no Microsoft Entra ID ou detecções de endpoint.
• Os sistemas siem (gerenciamento de eventos e informações de segurança) não podem aplicar análise comportamental, correlação de inteligência contra ameaças ou guias estratégicos de resposta automatizados ao tráfego de Acesso Seguro Global.
• As equipes de segurança não podem investigar padrões históricos de acesso à rede ou procurar ameaças entre sinais de rede e identidade.

Ação de correção

• Configure as configurações de diagnóstico do Microsoft Entra para enviar logs de Acesso Seguro Global para um workspace do Log Analytics para a integração com o Microsoft Sentinel.
• Habilite todas as categorias de log de identidade do Acesso Seguro Global necessárias, incluindo NetworkAccessTrafficLogs, EnrichedOffice365AuditLogs, RemoteNetworkHealthLogs, , NetworkAccessAlerts, NetworkAccessConnectionEventse NetworkAccessGenerativeAIInsights em configurações de diagnóstico.
• Integre os logs de atividades do Microsoft Entra ao Azure Monitor para a coleção de logs centralizada.
• Configure um workspace do Microsoft Sentinel e instale a solução de Acesso Seguro Global no hub de conteúdo.

Os logs de acesso à rede são mantidos para os requisitos de conformidade e análise de segurança

Sem retenção estendida para os logs de auditoria e de tráfego do Acesso Seguro Global, os agentes de ameaças podem operar além da janela de retenção padrão de 30 dias, sabendo que suas atividades são excluídas automaticamente antes que a detecção ocorra. As investigações de segurança geralmente exigem análises históricas que abrangem semanas ou meses para identificar vetores de comprometimento, padrões de movimentação lateral e canais de exfiltração de dados.

Sem retenção de log adequada:

• As equipes de segurança não podem estabelecer padrões de comportamento de linha de base, executar a busca retrospectiva de ameaças ou correlacionar eventos de acesso à rede em intervalos de tempo estendidos.
• As organizações sujeitas a estruturas regulatórias como GDPR, HIPAA, PCI DSS e SOX enfrentam violações de conformidade quando não conseguem produzir trilhas de auditoria para períodos de retenção obrigatórios.
• A análise da causa raiz durante a resposta a incidentes é limitada, potencialmente permitindo que os atores de ameaça mantenham a persistência enquanto as organizações se concentram em sintomas visíveis.

Ação de correção

• Defina as configurações de diagnóstico com um workspace do Log Analytics para uma retenção estendida de 90 a 730 dias, com recursos de consulta.
• Configurar a retenção do Log Analytics workspace para atender aos requisitos de segurança e conformidade organizacional (mínimo recomendado de 90 dias).
• Habilite a retenção no nível da tabela para tabelas específicas de Acesso Seguro Global para se estender além dos padrões de workspace.

Os logs de implantação do Acesso Seguro Global são preenchidos e revisados

Os logs de implantação do Acesso Seguro Global acompanham o status e o progresso das alterações de configuração em toda a rede global. Essas alterações incluem redistribuições de perfil de encaminhamento, atualizações de rede remota, alterações de perfil de filtragem e alterações nas configurações de Acesso Condicional. Se os logs de implantação mostrarem implantações com falha, os atores de ameaça poderão explorar configurações de segurança inconsistentes em que alguns locais de borda têm políticas desatualizadas ou configuradas incorretamente.

Se você não monitorar os logs de implantação:

• Implantações com falha podem deixar lacunas de segurança, como perfis de encaminhamento desatualizados que não roteiam o tráfego por meio de inspeção de segurança ou filtragem de perfis que não bloqueiam destinos mal-intencionados.
• Os administradores podem não saber das configurações desatualizadas, acreditando que as alterações são aplicadas uniformemente.
• Falhas de implantação que criam lacunas exploráveis podem não ser detectadas.

Ação de correção

• Siga as etapas em Como usar os logs de implantação do Acesso Seguro Global para:
  • Acesse e examine os logs de implantação no Centro de administração do Microsoft Entra para identificar implantações com falha.
  • Para implantações com falha, examine a mensagem de erro no status.message campo e repita a alteração de configuração que disparou a falha.
  • Monitore as notificações de implantação que aparecem no centro de administração ao fazer alterações de configuração para detectar falhas em tempo real.
• Se as implantações falharem consistentemente para redes remotas, examine a configuração de rede remota subjacente para identificar erros.
• Para falhas de implantação de perfil no encaminhamento, verifique a configuração de encaminhamento de tráfego.