Compartilhar via


Protegendo o acesso privilegiado para implantações de nuvem e híbridos no Microsoft Entra ID

A segurança dos ativos de negócios da organização moderna depende da integridade das contas com privilégios que administram seus sistemas de TI. Os invasores virtuais usam ataques de roubo de credenciais para direcionar contas de administrador e outro acesso privilegiado para tentar obter acesso a dados confidenciais.

Para serviços de nuvem, prevenção e resposta são as responsabilidades conjuntas do provedor de serviços de nuvem e do cliente. Para obter mais informações sobre as ameaças mais recentes aos pontos de extremidade e à nuvem, veja o Relatório de Inteligência de Segurança da Microsoft. Este artigo pode ajudá-lo a desenvolver um roteiro para fechar as lacunas entre os planos atuais e as diretrizes descritas aqui.

Anotação

A Microsoft está comprometida com os mais altos níveis de confiança, transparência, conformidade com os padrões e conformidade normativa. Saiba mais sobre como a equipe de resposta a incidentes globais da Microsoft atenua os efeitos de ataques contra serviços de nuvem e como a segurança é criada em produtos comerciais da Microsoft e serviços de nuvem no Microsoft Trust Center - Segurançae destinos de conformidade da Microsoft em Microsoft Trust Center - Conformidade.

Tradicionalmente, a segurança organizacional se concentrou nos pontos de entrada e saída de uma rede como o perímetro de segurança. No entanto, os aplicativos SaaS e dispositivos pessoais na Internet tornaram essa abordagem menos eficaz. No Microsoft Entra ID, substituímos o perímetro de segurança de rede pela autenticação na camada de identidade da organização, com usuários atribuídos a funções administrativas privilegiadas no controle. Seu acesso deve ser protegido, independentemente de o ambiente estar no local, na nuvem ou em um híbrido.

Proteger acesso privilegiado requer alterações a:

  • Processos, práticas administrativas e gerenciamento de conhecimento
  • Componentes técnicos, como proteção de host, proteções de conta e gerenciamento de identidade

Proteja seu acesso privilegiado de modo que seja gerenciado e relatado nos serviços da Microsoft que você deseja. Caso tenha contas de administrador locais, confira as diretrizes para acesso privilegiado no local e híbrido no Active Directory em Proteção de acesso privilegiado.

Anotação

As diretrizes deste artigo referem-se principalmente aos recursos do Microsoft Entra ID que estão incluídos no Microsoft Entra ID P1 e P2. O Microsoft Entra ID P2 está incluído no pacote EMS E5 e no pacote Microsoft 365 E5. Estas diretrizes pressupõem que sua organização já tem as licenças do Microsoft Entra ID P2 adquiridas para os usuários. Caso não tenha essas licenças, algumas das orientações podem não se aplicar à sua organização. Além disso, ao longo deste artigo, o termo administrador global significa o mesmo que “administrador da empresa” ou “administrador de locatários”.

Desenvolver um roteiro

A Microsoft recomenda que você crie e execute um roteiro para proteger o acesso privilegiado contra invasores virtuais. Você sempre pode ajustar seu roteiro para acomodar seus recursos existentes e os requisitos específicos dentro da sua organização. Cada estágio de nossos planos deverá aumentar o custo e a dificuldade de adversários de atacar o acesso privilegiado ao seu local, nuvem e ativos híbridos. A Microsoft recomenda os quatro estágios de roteiro a seguir. Agende primeiro as implementações mais eficazes e rápidas. Este artigo pode ser seu guia, com base nas experiências da Microsoft com a implementação de incidente e resposta de ataque cibernético. As linhas do tempo deste roteiro são aproximadas.

Etapas do roteiro com linhas do tempo

  • Estágio 1 (24 a 48 horas): Itens críticos, recomendamos que você faça imediatamente

  • Estágio 2 (2 a 4 semanas): Reduzir as técnicas de ataque usados com mais frequência

  • Etapa 3 (1 a 3 meses): criar visibilidade e controle total da atividade do administrador

  • Estágio 4 (seis meses ou mais): Continuar criando defesas para proteger ainda mais sua plataforma de segurança

Essa estrutura de roteiro foi projetada para maximizar o uso de tecnologias da Microsoft que você já tiver implantado. Considere a vincular qualquer ferramenta de segurança de outros fornecedores que você já tenha implantado ou esteja considerando a implantação.

Etapa 1: Itens críticos para fazer no momento

Etapa 1 Itens críticos para fazer primeiro

A etapa 1 do roteiro do destina-se as tarefas críticas que são rápidas e fáceis de implementar. É recomendável que você faça alguns desses itens imediatamente dentro de 24 a 48 horas primeiro para garantir um nível básico de proteção ao acesso privilegiado. Essa etapa do roteiro de Acesso Privilegiado Seguro inclui as ações a seguir:

Preparação geral

Usar o Microsoft Entra Privileged Identity Management

Recomendamos que você comece a usar o Microsoft Entra Privileged Identity Management (PIM) em seu ambiente de produção do Microsoft Entra. Após começar a usar o PIM, você receberá mensagens de notificação por email para executar alterações de função de acesso privilegiado. Notificações fornecem aviso antecipado quando usuários adicionais são adicionados às funções altamente privilegiadas.

O Microsoft Entra Privileged Identity Management está incluído no Microsoft Entra ID P2 ou no EMS E5. Para ajudá-lo a proteger o acesso a aplicativos e recursos locais e na nuvem, inscreva-se na avaliação gratuita de 90 dias do Enterprise Mobility + Security. O Microsoft Entra Privileged Identity Management e o Microsoft Entra ID Protection monitoram a atividade de segurança usando relatórios, auditoria e alertas do Microsoft Entra ID.

Após começar a usar o Microsoft Entra Privileged Identity Management:

  1. Iniciar sessão no centro de administração do Microsoft Entra como Administrador global.

  2. Para alternar os diretórios em que você gostaria de usar o Privileged Identity Management, selecione seu nome de usuário no canto superior direito do centro de administração do Microsoft Entra.

  3. Navegue até Governança de identidade>Privileged Identity Management.

Garanta que a primeira pessoa a usar o PIM em sua organização seja atribuída com as funções de Administrador de segurança e Administrador de funções com privilégios. Somente os Administradores de Funções com Privilégios podem gerenciar atribuições de funções do diretório Microsoft Entra dos usuários. O assistente de segurança do PIM orienta você durante a experiência inicial de detecção e atribuição. Você pode sair do assistente sem fazer alterações adicionais no momento.

Identificar e categorizar as contas que estão em funções altamente privilegiadas

Depois de começar a usar o Microsoft Entra Privileged Identity Management, exiba os usuários que estão nas seguintes funções do Microsoft Entra:

  • Administrador Global
  • Administrador de Função com Privilégios
  • Administrador do Exchange
  • Administrador do SharePoint

Caso não tenha o Microsoft Entra Privileged Identity Management na organização, pode usar o PowerShell do Microsoft Graph. Comece com a função de administrador global porque um administrador global tem as mesmas permissões em todos os serviços de nuvem ao quais sua organização tenha assinado. Essas permissões são concedidas independentemente de onde foram atribuídas: no centro de administração do Microsoft 365, no centro de administração do Microsoft Entra ou pelo PowerShell do Microsoft Graph.

Remova todas as contas que não são mais necessárias nessas funções. Em seguida, categorize as contas restantes atribuídas às funções Administrador:

  • Atribuídas a usuários administrativos, mas também podem ser usadas para fins não administrativos (por exemplo, email pessoal)
  • Atribuídas a usuários administrativos e usadas apenas para fins administrativos
  • Compartilhada por vários usuários
  • Para cenários de acesso de emergência em situação crítica
  • Para scripts automatizados
  • Para usuários externos

Definir pelo menos duas contas de acesso de emergência

A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem atribuídas permanentemente à função de Administrador Global. Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "acesso de emergência" em que as contas normais não podem ser usadas ou em que todos os outros administradores estão acidentalmente bloqueados. Essas contas devem ser criadas conforme as recomendações para as contas de acesso de emergência.

Ativar a autenticação multifator e registrar todas as outras contas de administrador não federadas de usuário único altamente privilegiadas

Exigir a autenticação multifator do Microsoft Entra no logon para todos os usuários individuais que estejam permanentemente atribuídos a uma ou mais funções Administrador do Microsoft Entra: Administrador Global, Administrador de Função com Privilégios, Administrador do Exchange e Administrador do SharePoint. Use as diretrizes em Impor a autenticação multifator aos administradores e verifique se todos esses usuários se registraram em https://aka.ms/mfasetup. Veja mais informações nas etapas 2 e 3 do guia Proteger o acesso de usuário e de dispositivo no Microsoft 365.

Etapa 2: Atenuar ataques usados com frequência

Estágio 2 Atenuar ataques usados com frequência

O estágio 2 do roteiro se concentra na redução das técnicas de ataque e roubo de credenciais usadas com mais frequência e pode ser implementado em aproximadamente 2 a 4 semanas. Essa etapa do roteiro de Acesso Privilegiado Seguro inclui as ações a seguir.

Preparação geral

Realizar um inventário de serviços, proprietários e administradores

O aumento de "bring your own device" e políticas de trabalho de casa e o crescimento da conectividade sem fio torna importante monitorar quem está se conectando à sua rede. Uma auditoria de segurança pode revelar dispositivos, aplicativos e programas em sua rede para os quais sua organização não dá suporte e que representam alto risco. Para obter mais informações, veja visão geral de monitoramento e gerenciamento de segurança do Azure. Inclua todas as tarefas a seguir em seu processo de inventário.

  • Identifique os usuários que têm os serviços e funções administrativas, onde eles podem gerenciar.

  • Use o Microsoft Entra PIM para descobrir quais usuários em sua organização têm acesso de administrador ao Microsoft Entra ID.

  • Além das funções definidas no Microsoft Entra ID, o Microsoft 365 vem com um conjunto de funções Administrador que você pode atribuir aos usuários da organização. Cada função de administrador é mapeada para funções comerciais comuns e concede permissão às pessoas em sua organização para realizar tarefas específicas no Centro de Administração do Microsoft 365. Use o centro de administração do Microsoft 365 para descobrir quais usuários em sua organização têm acesso de administrador ao Microsoft 365, inclusive por meio de funções não gerenciadas no Microsoft Entra ID. Para obter mais informações, confira Sobre funções Administrador do Microsoft 365 e Práticas de segurança para o Office 365.

  • Execute o inventário em serviços de que sua organização depende, como Azure, Intune ou Dynamics 365.

  • Verifique se as contas são usadas para fins de administração:

    • Têm endereços de email de trabalho anexados a elas
    • Registraram-se para a autenticação multifator do Microsoft Entra ou usar a MFA no local
  • Pergunte aos usuários sua justificativa de negócios para acesso administrativo.

  • Remova o acesso de administrador para as pessoas e serviços que não são necessários.

Identifique as contas da Microsoft em funções administrativas que precisam ser alternadas para contas de trabalho ou escolares

Se os Administradores Globais iniciais reutilizarem as credenciais de conta da Microsoft existentes quando começarem a usar o Microsoft Entra ID, substitua as contas da Microsoft por contas individuais baseadas na nuvem ou sincronizadas.

Garantir contas de usuário separadas e emails de encaminhamento para as contas de administrador global

Contas de email pessoais são regularmente capturadas por invasores virtuais, um risco que torna os endereços de email pessoais inaceitáveis para contas do administrador global. Para ajudar a separar os riscos de internet de privilégios administrativos, crie contas dedicadas para cada usuário com privilégios administrativos.

  • Crie contas separadas para os usuários realizarem tarefas de administração globais.
  • Garanta que os administradores globais não abram emails ou executem programas acidentalmente com suas contas de administrador.
  • Garanta de que essas contas tenham seu email encaminhado para uma caixa de correio do trabalho.
  • Contas de administrador global (e outros grupos privilegiados) devem ser contas somente em nuvem sem ligações para o Active Directory local.

Garanta que as senhas de contas administrativas foram alteradas recentemente

Verifique se todos os usuários entraram nas contas administrativas e alteraram as senhas pelo menos uma vez nos últimos 90 dias. Além disso, verifique se todas as contas compartilhadas tiveram as senhas alteradas recentemente.

Ativar a sincronização de hash de senha

O Microsoft Entra Connect sincroniza um hash do hash da senha de um usuário do Active Directory local para uma organização do Microsoft Entra baseada em nuvem. É possível usar a sincronização de hash de senha como um backup quando usa a federação com os Serviços de Federação do Active Directory (AD FS). Esse backup pode ser útil quando seus servidores do Active Directory ou AD FS locais estão temporariamente indisponíveis.

A sincronização de hash de senha permite que os usuários se conectem ao serviço com a mesma senha usada para iniciar a sessão em sua instância local do Active Directory. A sincronização de hash de senha permite que a Proteção de Identidade detecte credenciais comprometidas comparando hashes de senha com senhas conhecidamente comprometidas. Para obter mais informações, veja Implementar a sincronização de senha com a sincronização do Microsoft Entra Connect.

Exigir autenticação multifator para usuários em funções privilegiadas e usuários expostos

O Microsoft Entra ID recomenda que você exija a autenticação multifator para todos os seus usuários. Considere os usuários que teriam um impacto significativo se sua conta estivesse comprometida (por exemplo, gerentes financeiros). A MFA reduz o risco de um ataque devido a uma senha comprometida.

Ativar:

Se você usa o Windows Hello para Empresas, o requisito de MFA pode ser atendido usando a experiência de entrada do Windows Hello. Para obter mais informações, veja Windows Hello.

Microsoft Entra ID Protection

O Microsoft Entra ID Protection é uma ferramenta de monitoramento e relatórios baseada em algoritmos que detecta possíveis vulnerabilidades que afetam as identidades da organização. Configure as respostas automatizadas a essas atividades suspeitas detectadas e tome as devidas providências para resolvê-las. Para obter mais informações, confira Microsoft Entra ID Protection.

Obter a sua Classificação de segurança da Microsoft 365 (se estiver usando o Microsoft 365)

A Classificação de segurança analisa suas configurações e atividades para os serviços do Microsoft 365 que você está usando e compara com uma linha de base estabelecida pela Microsoft. Você obterá uma pontuação com base em como está alinhado com as práticas de segurança. Qualquer pessoa que tenha permissões de administrador para uma assinatura do Microsoft 365 Business Standard ou Enterprise pode acessar a Classificação de segurança em https://security.microsoft.com/securescore.

Verificar as diretrizes de segurança e conformidade do Microsoft 365 (se estiver usando o Microsoft 365)

O plano de segurança e conformidade descreve a abordagem de um cliente do Office 365 para configurar o Office 365 e habilitar outros recursos do EMS. Em seguida, analise as etapas de 3 a 6 de como Proteger o acesso a dados e serviços no Microsoft 365 e o guia de como monitorar segurança e conformidade no Microsoft 365.

Configurar o Monitoramento de Atividades do Microsoft 365 (se estiver usando o Microsoft 365)

Monitore sua organização para usuários que estão usando o Microsoft 365 para identificar a equipe que tem uma conta de administrador, mas pode não precisar de acesso ao Microsoft 365 porque não entram nesses portais. Para obter mais informações, confira Relatórios de atividade no Centro de administração do Microsoft 365.

Estabelecer os proprietários de plano de resposta de incidente/emergência

O estabelecimento de uma capacidade de resposta a incidentes bem-sucedida requer planejamento considerável e recursos. Você deve monitorar continuamente os ataques cibernéticos e estabelecer prioridades para o tratamento de incidentes. Colete, analise e relate dados de incidentes para criar relações e estabelecer comunicação com outros grupos internos e proprietários do plano. Para obter mais informações, veja Microsoft Security Response Center.

Proteja as contas as contas administrativas locais, se ainda não tiver feito isso

Se a sua organização do Microsoft Entra estiver sincronizada com o Active Directory local, siga as diretrizes em Roteiro de Acesso Privilegiado à Segurança: esta fase inclui:

  • Criar contas de administrador separadas para usuários que precisam realizar tarefas administrativas locais
  • Implantar estações de trabalho com acesso privilegiado para administradores do Active Directory
  • Criar senhas de administrador local exclusivas para estações de trabalho e servidores

Etapas adicionais para as organizações a gerenciar o acesso do Azure

Concluir um inventário de assinaturas

Usar o portal da Enterprise e o portal do Azure para identificar as assinaturas em sua organização que hospedam aplicativos de produção.

Remover as contas da Microsoft de funções Administrador

As contas da Microsoft de outros programas, como Xbox, Live e Outlook não devem ser usadas como contas de administrador para assinaturas da sua organização. Remova o status de administrador de todas as contas Microsoft e substitua por contas corporativas ou de estudante (por exemplo, chris@contoso.com) do Microsoft Entra ID. Para fins de administração, dependa de contas autenticadas no Microsoft Entra ID e não em outros serviços.

Monitorar a atividade do Azure

O Log de Atividades do Azure fornece um histórico de eventos no nível da assinatura no Azure. Oferece informações sobre quem criou, atualizou ou excluiu quais recursos e quando fez isso. Para obter mais informações, veja Auditar e receber notificações sobre ações importantes em sua assinatura do Azure.

Etapas adicionais para organizações que gerenciam o acesso a outros aplicativos de nuvem por meio do Microsoft Entra ID

Configurar as políticas de acesso condicional

Prepare as políticas de acesso condicional para o local e os aplicativos hospedados em nuvem. Caso tenha dispositivos ingressados no local de trabalho dos usuários, obtenha mais informações em Configuração do acesso condicional local usando o registro de dispositivo do Microsoft Entra.

Estágio 3: assumir controle da atividade do administrador

Estágio 3: assumir controle da atividade do administrador

O Estágio 3 amplia as atenuações do Estágio 2 e deve ser implementado em aproximadamente um a três meses. Essa etapa do roteiro de Acesso Privilegiado Seguro inclui os componentes a seguir.

Preparação geral

Concluir uma análise de acesso de usuários em funções de administrador

Mais usuários corporativos estão obtendo acesso privilegiado por meio de serviços de nuvem, o que pode levar a um acesso não gerenciado. Atualmente, os usuários podem se tornar administradores globais do Microsoft 365, administradores da assinatura do Azure ou ter acesso de administrador para VMs ou por aplicativos SaaS.

A organização deve fazer com que todos os funcionários tratem transações de negócios comuns como usuários sem privilégios e conceder direitos de administrador somente quando necessário. Conclua as revisões de acesso para identificar e confirmar os usuários que estão qualificados para ativar os privilégios de administrador.

É recomendável que você:

  1. Determine quais usuários são administradores do Microsoft Entra, habilite o acesso de administrador sob demanda, just-in-time e controles de segurança baseada em funções.
  2. Converta os usuários que não têm justificativa clara para acesso de administrador com privilégios para uma função diferente (se não houver função qualificada, remova-os).

Continue a distribuição de autenticação mais forte para todos os usuários

Exija que os usuários altamente expostos tenham uma autenticação moderna e forte, como a autenticação multifator do Microsoft Entra ou o Windows Hello. Exemplos de usuários altamente expostos incluem:

  • Diretores
  • Gerentes de alto nível
  • Pessoal de TI e segurança crítica

Usar estações de trabalho dedicadas para a administração do Microsoft Entra ID

Os invasores podem direcionar para contas com privilégios para interromper a integridade e autenticidade dos dados. Geralmente, eles usam um código mal-intencionado que altera a lógica do programa ou espiona o administrador inserindo uma credencial. As Estações de Trabalho com Acesso Privilegiado (PAWs) fornecem um sistema operacional dedicado para as tarefas confidenciais protegidas contra ataques da Internet e vetores de ameaça. Separar essas contas e tarefas confidenciais de dispositivos e estações de trabalho de uso diário proporciona forte proteção contra:

  • Ataques de phishing
  • Vulnerabilidades do aplicativo e do sistema operacional
  • Ataques de usurpação de identidade
  • Ataques de roubo de credenciais, como registro de pressionamento de teclas, Pass-the-Hash e Pass-the-Ticket

Com a implantação de estações de trabalho de acesso privilegiado, você pode reduzir o risco de os administradores inserirem credenciais em um ambiente de área de trabalho que não foi protegido. Para saber mais, confira Privileged Identity Management.

Analise as recomendações do Instituto Nacional de padrões e tecnologia para lidar com incidentes

O Instituto Nacional de padrões e tecnologia (NIST) fornece diretrizes para tratamento de incidentes, particularmente para analisar dados relacionados ao incidente e determinar a resposta apropriada a cada incidente. Para obter mais informações, veja (NIST) o Computer Security Incident Handling Guide (SP 61 800, Revisão 2).

Implementar Privileged Identity Management (PIM) para JIT a funções administrativas adicionais

Para o Microsoft Entra ID, use o recurso Microsoft Entra Privileged Identity Management. Ativação de tempo limitado de funções privilegiadas funciona, permitindo que você:

  • Ative os privilégios de administrador para executar uma tarefa específica

  • Imponha o MFA durante o processo de ativação

  • Usar alertas para informar os administradores sobre alterações fora de banda

  • Permita que os usuários mantenham os privilégios de acesso por um período pré-configurado

  • Permita que o administrador de segurança:

    • Descubra todas as identidades com privilégios
    • Visualize relatórios de auditoria
    • Criar revisões de acesso para identificar todo usuário elegível para ativar privilégios de administrador

Se você já usa o Microsoft Entra Privileged Identity Management, ajuste os prazos para privilégios com limite de tempo conforme necessário (por exemplo, janelas de manutenção).

Determine a exposição a protocolos com senha (se estiver usando o Exchange Online)

Recomendamos a identificação de todos os usuários potenciais que poderão ser catastróficos para a organização se suas credenciais forem comprometidas. Para esses usuários, implemente requisitos de autenticação rígidos e use o Acesso Condicional do Microsoft Entra para impedir que eles entrem no email usando nome de usuário e senha. É possível bloquear a autenticação herdada usando acesso condicional e bloquear a autenticação básica por meio do Exchange Online.

Concluir uma avaliação de análise de funções para as funções do Microsoft 365 (se estiver usando o Microsoft 365)

Avaliar se todos os usuários administradores estão nas funções corretas (excluir e reatribuir conforme essa avaliação).

Examinar a abordagem de gerenciamento de incidentes de segurança usada no Microsoft 365 e compare com sua própria organização

Baixe esse relatório de Gerenciamento de incidentes de segurança no Microsoft 365.

Continuar a proteger as contas administrativas privilegiadas locais

Se o Microsoft Entra ID está conectado ao Active Directory local, siga as diretrizes do Roteiro de Acesso Privilegiado à Segurança: fase 2. Neste estágio, você pode:

  • Implantar estações de trabalho com acesso privilegiado para todos os administradores
  • Exigir o MFA
  • Usar apenas o administrador suficiente para a manutenção do controlador de domínio, reduzindo a superfície de ataque de domínios
  • Implantar a Análise Avançada de Ameaças para detecção de ataque

Etapas adicionais para as organizações a gerenciar o acesso do Azure

Estabelecer monitoramento integrado

O Microsoft Defender para Nuvem:

  • Fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure
  • Ajuda a detectar ameaças que não seriam observadas de outra forma
  • Funciona com uma ampla variedade de soluções de segurança

Faça o inventário de contas privilegiadas em Máquinas Virtuais hospedadas

Você geralmente não precisa fornecer aos usuários permissões irrestritas a todos os recursos ou assinaturas do Azure. Use as funções Administrador do Microsoft Entra para conceder apenas o acesso que os usuários precisam para realizar seus trabalhos. Use as funções Administrador do Microsoft Entra para permitir que um administrador gerencie apenas VMs em uma assinatura, enquanto outro pode gerenciar bancos de dados SQL na mesma assinatura. Para obter mais informações, confira O que é o controle de acesso baseado em função do Azure?.

Implementar o PIM para as funções Administrador do Microsoft Entra

Use o Privileged Identity Management com as funções Administrador do Microsoft Entra para gerenciar, controlar e monitorar o acesso aos recursos do Azure. Use as proteções de PIM reduzindo o tempo de exposição de privilégios e aumentando sua visibilidade sobre o uso por meio de alertas e relatórios. Para obter mais informações, confira O que é o Microsoft Entra Privileged Identity Management.

Usar integrações do log do Azure para enviar logs relevantes do Azure para seus sistemas SIEM

A integração de log do Azure permite que você integre logs brutos de recursos do Azure aos sistemas de gerenciamento de eventos e informações de segurança (SIEM) da sua organização. A integração de logs do Azure coleta eventos do Windows de logs de Visualizador de Eventos do Windows e recursos do Azure de:

  • Logs de atividades do Azure
  • Alertas do Microsoft Defender para Nuvem
  • Logs de recursos do Azure

Etapas adicionais para organizações que gerenciam o acesso a outros aplicativos de nuvem por meio do Microsoft Entra ID

Implementar o provisionamento do usuário para aplicativos conectados

O Microsoft Entra ID permite automatizar a criação e a manutenção de identidades de usuários em aplicativos de nuvem como Dropbox, Salesforce e ServiceNow. Para obter mais informações, confira Automatizar o provisionamento e desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Integrar proteção de informações

O Microsoft Defender para Aplicativos de Nuvem permite investigar arquivos e definir políticas com base Proteção de Informações do Azure rótulos de classificação, permitindo maior visibilidade e controle dos dados de nuvem. Verifique e classifique arquivos na nuvem e aplique rótulos de proteção de informações do Azure. Para obter mais informações, veja integração da Proteção de Informações do Microsoft Azure.

Configurar acesso condicional

Configure o Acesso Condicional com base em um grupo, local e confidencialidade do aplicativo para aplicativos SaaS e aplicativos conectados ao Microsoft Entra.

Monitorar a atividade de aplicativos de nuvem conectados

Recomendamos o uso do Microsoft Defender para Aplicativos de Nuvem para garantir que o acesso do usuário também esteja protegido em aplicativos conectados. Esse recurso protege o acesso corporativo a aplicativos de nuvem, além de proteger suas contas de administrador, permitindo:

  • Aumentar a visibilidade e controle para aplicativos em nuvem
  • Criar políticas de acesso, atividades e compartilhamento de dados
  • Identificar automaticamente as atividades arriscadas, comportamentos anormais e ameaças
  • Impedir o vazamento de dados
  • Minimizar o risco e prevenção de ameaças automatizado e aplicação de políticas

O agente SIEM do Defender para Aplicativos de Nuvem integra o Defender para Aplicativos de Nuvem ao servidor SIEM para habilitar o monitoramento centralizado Microsoft 365 alertas e atividades. Ele é executado em seu servidor e recebe alertas e atividades do Defender para Aplicativos de Nuvem e os transmite para o servidor SIEM. Para obter mais informações, veja Integração SIEM.

Fase 4: Continuar criando defesas

Estágio 4: adotar uma postura de segurança ativa

O estágio 4 do roteiro deve ser implementado em cerca de seis meses. Conclua seu roteiro para reforçar as proteções de acesso privilegiado de possíveis ataques que são conhecidos hoje. Para as ameaças de segurança do amanhã, é recomendável ver a segurança como um processo contínuo para aumentar os custos e reduzir a taxa de sucesso dos adversários que estão direcionando para o seu ambiente.

Proteger o acesso privilegiado é importante para estabelecer garantias de segurança para seus ativos de negócios. No entanto, ele deve fazer parte de um programa de segurança completo que fornece garantias de segurança contínuas. Este programa deve incluir elementos como:

  • Policy
  • Operações
  • Segurança das informações
  • Servidores
  • Aplicativos
  • Computadores
  • Dispositivos
  • Malha da nuvem

Recomendamos as seguintes práticas para gerenciar contas de acesso privilegiado:

  • Garanta que os administradores estão fazendo seus negócios diários como usuários sem privilégios
  • Conceda acesso privilegiado apenas quando necessário e remova-o posteriormente (just-in-time)
  • Mantenha registros de atividades de auditoria relacionadas a contas privilegiadas

Para obter mais informações sobre a criação de um roteiro de segurança completa, veja recursos de arquitetura de TI de nuvem da Microsoft. Para que os serviços da Microsoft ajudem você a implementar qualquer parte do seu roteiro, entre em contato com seu representante da Microsoft ou confira Construir defesas cibernéticas essenciais para proteger a sua empresa.

Essa etapa final do roteiro Secured Privileged Access inclui os seguintes componentes.

Preparação geral

Examinar as funções Administrador no Microsoft Entra ID

Determine se as atuais funções Administrador internas do Microsoft Entra ainda estão atualizadas e garanta que os usuários tenham apenas as funções necessárias. Com o Microsoft Entra ID, você pode atribuir administradores separados para atender a diferentes funções. Para obter mais informações, confira Funções internas do Microsoft Entra.

Examinar os usuários que têm administração de dispositivos ingressados no Microsoft Entra

Para obter mais informações, confira Como configurar dispositivos ingressados híbridos do Microsoft Entra.

Rever os membros de funções internas do administrador do Microsoft 365

Ignore esta etapa se você não está usando o Microsoft 365.

Valiar o plano de resposta a incidentes

Para melhorar o seu plano, a Microsoft recomenda que você valide regularmente seu que está funcionando conforme o esperado:

  • Passe pelo seu roteiro existente para ver o que foi perdido
  • Com base na análise post mortem, revise práticas existentes ou defina novas práticas
  • Garanta que seu plano de resposta a incidentes esteja atualizado e que as práticas são distribuídas por toda a organização

Etapas adicionais para as organizações a gerenciar o acesso do Azure

Determine se você precisa transferir a propriedade de uma assinatura do Azure para outra conta.

"Vigilância": o que fazer em caso de emergência

Contas para acesso à interrupção de emergência

  1. Notifique os principais gerentes e executivos de segurança com informações sobre o incidente.

  2. Analise o guia estratégico de ataque.

  3. Acesse a combinação de nome de usuário e senha da sua conta "break glass" para entrar no Microsoft Entra ID.

  4. Obtenha ajuda da Microsoft ao abrir uma solicitação de suporte do Azure.

  5. Veja os relatórios de entrada do Microsoft Entra. Pode haver um espaço de tempo entre a ocorrência do evento e a inclusão no relatório.

  6. Para ambientes híbridos, quando a infraestrutura local federada e o seu servidor AD FS não estão disponíveis, você pode alternar temporariamente da autenticação federada para o uso da sincronização de hash de senha. Essa mudança reverterá a federação de domínio para a autenticação gerenciada até que o servidor do AD FS se torne disponível.

  7. Monitorar o email quanto a contas com privilégios.

  8. Salve os backups de logs relevantes para investigação forense e investigação jurídica.

Para obter mais informações sobre como o Microsoft Office 365 trata os incidentes de segurança, veja gerenciamento de incidentes de segurança no Microsoft Office 365.

Perguntas frequentes: Respostas para proteger o acesso privilegiado

P: O que fazer se eu ainda não implementei os componentes de acesso seguro?

Resposta: Defina no mínimo duas contas de vigilância, atribua o MFA a suas contas de administrador privilegiado e separe as contas de usuário das contas de administrador global.

P: Após uma violação, qual é o problema superior que precisa ser abordado primeiro?

Resposta: Verifique se você está exigindo a autenticação mais forte para indivíduos altamente expostos.

P: O que acontece se nosso administradores com privilégios forem desativados?

Resposta: Crie uma conta de administrador global que está sempre atualizada.

P: O que acontecerá se houver apenas um administrador global e ele não puder ser contatado?

Resposta: Use uma de suas contas de vigilância para obter acesso privilegiado imediato.

P: Como posso proteger administradores dentro da minha organização?

Resposta: Dê acesso aos administradores para seus negócios diários como usuários “não privilegiados” padrão.

P: Quais são as melhores práticas para a criação de contas de administrador no Microsoft Entra ID?

Resposta: Reservar o acesso privilegiado para as tarefas de administrador específicas.

P: Quais ferramentas existem para reduzir o acesso de administrador persistente?

Resposta: Funções Administrador do Privileged Identity Management (PIM) e do Microsoft Entra.

P: Qual é a posição da Microsoft sobre a sincronização de contas de administrador com o Microsoft Entra ID?

Resposta: As contas de administrador do Nível 0 são usadas somente para contas do AD local. Normalmente, essas contas não são sincronizadas com o Microsoft Entra ID na nuvem. As contas de administrador do Nível 0 incluem contas, grupos e outros ativos que têm controle administrativo direto ou indireto de floresta, domínios, controladores de domínio e ativos do Active Directory local.

P: Como podemos impedir que os administradores atribuam acesso de administrador aleatório no portal?

Resposta: Use contas sem privilégios para todos os usuários e a maioria dos administradores. Primeiro, desenvolva um volume da organização para determinar quais contas de administrador devem ser privilegiadas. E monitore usuários administrativos recém-criados.

Próximas etapas

Outros Microsoft Online Services

  • Microsoft Intune Security - O Microsoft Intune oferece recursos de gerenciamento de dispositivo móvel, gerenciamento de aplicativo móvel e gerenciamento de PC na nuvem.

  • Microsoft Dynamics 365 security – O Dynamics 365 é a solução baseada em nuvem da Microsoft que unifica o gerenciamento de relacionamento com clientes (CRM) e recursos de planejamento de recursos empresariais (ERP).