Outras áreas de Confiança Zero abordadas no memorando 22-09

Os outros artigos nesta orientação abordam o pilar de identidade dos princípios Confiança Zero, conforme descrito no Memorando M 22-09 do Escritório de Gestão e Orçamento dos EUA (OMB) M 22-09 para os Chefes de Departamentos Executivos e Agências. Este artigo aborda áreas do modelo de maturidade Confiança Zero além do pilar de identidade e aborda os seguintes temas:

• Visibilidade
• Análise
• Automação e orquestração
• Governança

Visibilidade

É importante monitorar seu locatário do Microsoft Entra. Você deve adotar uma mentalidade de "pressuposição de violação" e atender aos padrões de conformidade no memorando 22-09 e no memorando 21-31. Três tipos de log primário são usados para análise de segurança e ingestão:

• Os logs de auditoria do Azure são usados para monitorar atividades operacionais do diretório, como a criação, exclusão e atualização de objetos como usuários ou grupos
  • Você também pode usá-los para fazer alterações em configurações do Microsoft Entra, como modificações em uma política de Acesso Condicional
  • Consulte Auditar os logs no Microsoft Entra ID
• Os logs de provisionamento mostram as informações sobre os objetos sincronizados no Microsoft Entra ID com aplicativos, como o Service Now com o Microsoft Identity Manager
  • Consulte Provisionar os logs no Microsoft Entra ID
• Os logs de entrada do Microsoft Entra são usados para monitorar todas as atividades de entrada associadas a usuários, aplicativos e entidades de serviço.
  • Os logs de entrada têm categorias para diferenciação
  • As entradas interativas mostram entradas bem-sucedidas e com falha, políticas aplicadas e outros metadados
  • As entradas de usuário não interativas não mostram nenhuma interação durante a entrada: clientes entrando em nome do usuário, como aplicativos móveis ou clientes de email
  • As entradas da entidade de serviço mostram a entidade de serviço ou a entrada do aplicativo: serviços ou aplicativos que acessam serviços, aplicativos ou o diretório Microsoft Entra por meio da API REST
  • Identidades gerenciadas para entrada no recurso do Azure: recursos ou aplicativos do Azure que acessam outros recursos do Azure, como um serviço de aplicativo Web autenticado em um back-end do SQL do Azure.
  • Consulte Logs de entrada no Microsoft Entra ID (versão prévia)

Em locatários gratuitos do Microsoft Entra ID, as entradas de log são armazenadas por sete dias. Locatários com uma licença P1 ou P2 do Microsoft Entra ID retêm entradas de log por 30 dias.

Verifique se uma ferramenta de gerenciamento de eventos e informações de segurança (SEIM) ingere logs. Use eventos de entrada e auditoria para se correlacionar com logs de aplicativo, infraestrutura, dados, dispositivo e rede.

Recomendamos que você integre os logs do Microsoft Entra ao Microsoft Sentinel. Configurar um conector para ingerir logs de locatário do Microsoft Entra.

Saiba mais:

• O que é o Microsoft Sentinel?
• Conectar o Microsoft Entra ID ao Microsoft Sentinel

Você também pode definir as configurações de diagnóstico no locatário do Microsoft Entra para enviar os dados para uma conta de Armazenamento do Azure, Hubs de Eventos do Azure ou workspace do Log Analytics. Essas opções de armazenamento permitem integrar outras ferramentas de SIEM para coletar os dados.

Saiba mais:

• O que é o monitoramento do Microsoft Entra?
• Dependências de implantação de monitoramento e relatórios do Microsoft Entra

Análise

Você pode usar a análise nas ferramentas a seguir para agregar informações do Microsoft Entra ID e mostrar tendências em sua postura de segurança em comparação com sua linha de base. Você também pode usar a análise para avaliar e procurar padrões ou ameaças no Microsoft Entra ID.

• O Microsoft Entra ID Protection analisa ativamente as entradas e outras fontes de telemetria em busca de comportamentos suspeitos
  • A proteção de identidade atribui uma pontuação de risco a um evento de entrada
  • Você pode impedir as entradas ou forçar uma autenticação de step-up para acessar um recurso ou aplicativo com base na pontuação de risco
  • Consulte:O que é o Azure AD Identity Protection?
• Os relatórios de uso e insights do Microsoft Entra mostram informações semelhantes às pastas de trabalho do Azure Sentinel, incluindo quais aplicativos têm as maiores tendências de uso ou logon em determinado período.
  • Usar relatórios para entender tendências de agregação que podem indicar um ataque ou outros eventos
  • Consulte Uso e insights na ID de Microsoft Entra
• O Microsoft Sentinel analisa informações do Microsoft Entra ID:
  • A Análise de Comportamento de Usuários e Entidades (UEBA) do Microsoft Sentinel fornece inteligência sobre possíveis ameaças de usuário, host, endereço IP e entidades de aplicativo.
  • Você pode usar modelos de regra de análise para buscar ameaças e alertas encontrados nos logs do Microsoft Entra. O analista de segurança ou de operação pode verificar e corrigir ameaças.
  • A pasta de trabalho do Microsoft Sentinel ajuda a visualizar as fontes de dados do Microsoft Entra. Visualize as entradas por país, região ou aplicativos.
  • Consulte: Pastas de trabalho do Microsoft Sentinel usadas com frequência
  • Consulte: Visualizar dados coletados
  • Consulte: Identificar ameaças avançadas com o UEBA no Microsoft Sentinel

Automação e orquestração

A Automação no Confiança Zero ajuda a corrigir alertas devido a ameaças ou alterações de segurança. No Microsoft Entra ID, as integrações de automação ajudam a esclarecer ações para melhorar a sua postura de segurança. A Automação se baseia nas informações recebidas do monitoramento e da análise.

Use as chamadas REST do Microsoft API do Graph para acessar o Microsoft Entra ID programaticamente. Esse acesso requer uma identidade do Microsoft Entra com autorizações e escopo. Integre outras ferramentas com a API do Graph.

Recomendamos que você configure uma função do Azure ou o aplicativo lógico do Azure para usar uma identidade gerenciada atribuída pelo sistema. O aplicativo lógico ou função tem etapas ou códigos para automatizar as ações. Você pode atribuir permissões à identidade gerenciada para conceder à entidade de serviço as permissões de diretório necessárias para executar as ações. Conceda direitos mínimos de identidades gerenciadas.

Saiba mais: O que são identidades gerenciadas para recursos do Azure?

Outro ponto de integração de automação se refere aos módulos do PowerShell do Microsoft Graph. Use o PowerShell para executar tarefas ou configurações comuns em Microsoft Entra ID ou incorporar ao Azure Functions ou aos runbooks da Automação do Azure.

Governança

Documente seus processos para operar o ambiente do Microsoft Entra. Use recursos do Microsoft Entra para funcionalidade de governança aplicada a escopos no Microsoft Entra ID.

Saiba mais:

• Guia de referência de operações do Microsoft Entra ID Governance
• guia de operações de segurança do Microsoft Entra
• O que é o Microsoft Entra ID Governance?
• Atenda aos requisitos de autorização do memorando 22-09.

Próximas etapas

• Atenda aos requisitos de identidade do memorando 22-09 com o Microsoft Entra ID
• Sistema de gerenciamento de identidade para toda a empresa
• Atender aos requisitos de autenticação multifator do memorando 22-09
• Atender aos requisitos de autorização do memorando 22-09
• Proteger a identidade com a Confiança Zero