Guia de operações de segurança do Microsoft Entra

A Microsoft tem uma abordagem bem-sucedida e comprovada para a segurança Zero Trust usando os princípios do Defense in Depth que usam a identidade como um plano de controle. As organizações continuam a adotar um mundo de carga de trabalho híbrido para escala, economia de custos e segurança. O Microsoft Entra ID desempenha um papel fundamental na sua estratégia de gestão de identidades. Recentemente, as notícias em torno do comprometimento de identidade e segurança têm levado cada vez mais a TI corporativa a considerar sua postura de segurança de identidade como uma medida do sucesso da segurança defensiva.

Cada vez mais, as organizações devem adotar uma mistura de aplicativos locais e na nuvem, que os usuários acessam com contas locais e somente na nuvem. O gerenciamento de usuários, aplicativos e dispositivos no local e na nuvem representa cenários desafiadores.

Identidade híbrida

O Microsoft Entra ID cria uma identidade de usuário comum para autenticação e autorização para todos os recursos, independentemente do local. Chamamos isso de identidade híbrida.

Para obter identidade híbrida com o Microsoft Entra ID, um dos três métodos de autenticação pode ser usado, dependendo dos seus cenários. Os três métodos são:

• Sincronização de hash de senha (PHS)
• Autenticação de passagem (PTA)
• Federação (AD FS)

À medida que você audita suas operações de segurança atuais ou estabelece operações de segurança para seu ambiente do Azure, recomendamos que:

• Leia partes específicas das diretrizes de segurança da Microsoft para estabelecer uma linha de base de conhecimento sobre como proteger seu ambiente do Azure híbrido ou baseado em nuvem.
• Audite a estratégia e os métodos de autenticação da sua conta e palavra-passe para ajudar a dissuadir os vetores de ataque mais comuns.
• Crie uma estratégia para monitoramento e alerta contínuos sobre atividades que possam indicar uma ameaça à segurança.

Audiência

O Guia SecOps do Microsoft Entra destina-se a equipes de operações de segurança e identidade de TI corporativas e provedores de serviços gerenciados que precisam combater ameaças por meio de perfis de melhor configuração e monitoramento de segurança de identidade. Este guia é especialmente relevante para administradores de TI e arquitetos de identidade que aconselham as equipes de testes defensivos e de penetração do Security Operations Center (SOC) a melhorar e manter sua postura de segurança de identidade.

Âmbito

Esta introdução fornece as recomendações de estratégia e auditoria de pré-leitura e senha sugeridas. Este artigo também fornece uma visão geral das ferramentas disponíveis para ambientes híbridos do Azure e ambientes do Azure totalmente baseados em nuvem. Por fim, fornecemos uma lista de fontes de dados que você pode usar para monitorar, alertar e configurar sua estratégia e ambiente de gerenciamento de eventos e informações de segurança (SIEM). As restantes orientações apresentam estratégias de monitorização e alerta nos seguintes domínios:

• Contas de utilizador. Orientação específica para contas de usuário não privilegiadas sem privilégio administrativo, incluindo criação e uso de contas anômalas e entradas incomuns.

• Contas privilegiadas. Orientação específica para contas de usuário privilegiadas que têm permissões elevadas para executar tarefas administrativas. As tarefas incluem atribuições de função do Microsoft Entra, atribuições de função de recurso do Azure e gerenciamento de acesso para recursos e assinaturas do Azure.

• Gestão de Identidade Privilegiada (PIM). Orientação específica para o uso do PIM para gerenciar, controlar e monitorar o acesso a recursos.

• Aplicações. Orientação específica para contas usadas para fornecer autenticação para aplicativos.

• Dispositivos. Orientação específica para monitoramento e alertas de dispositivos registrados ou ingressados fora das políticas, uso não compatível, gerenciamento de funções de administração de dispositivos e entradas em máquinas virtuais.

• Infraestruturas. Orientação específica para monitorar e alertar sobre ameaças a seus ambientes híbridos e puramente baseados em nuvem.

Conteúdo de referência importante

A Microsoft tem muitos produtos e serviços que permitem que você personalize seu ambiente de TI para atender às suas necessidades. Recomendamos que você revise as seguintes diretrizes para seu ambiente operacional:

• Sistemas operativos Windows

  • Linha de base de segurança (FINAL) para Windows 10 v1909 e Windows Server v1909
  • Linha de base de segurança para Windows 11
  • Linha de base de segurança para o Windows Server 2022

• Ambientes no local

  • Arquitetura do Microsoft Defender for Identity
  • Início rápido de conectar o Microsoft Defender for Identity ao Ative Directory
  • Linha de base de segurança do Azure para o Microsoft Defender for Identity
  • Monitorando o Ative Directory em busca de sinais de comprometimento

• Ambientes do Azure baseados na nuvem

  • Monitorar entradas com o log de entrada do Microsoft Entra
  • Relatórios de atividade de auditoria no portal do Azure
  • Investigue o risco com o Microsoft Entra ID Protection
  • Conectar dados do Microsoft Entra ID Protection ao Microsoft Sentinel

• Serviços de Domínio Ative Directory (AD DS)

  • Recomendações de Política de Auditoria

• Serviços de Federação do Active Directory (AD FS)

  • Solução de problemas do AD FS - Eventos de auditoria e registro em log

Origens de dados

Os arquivos de log que você usa para investigação e monitoramento são:

• Logs de auditoria do Microsoft Entra
• Registos de início de sessão
• Logs de auditoria do Microsoft 365
• Logs do Azure Key Vault

No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra. Faça o download de logs como arquivos CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação do monitoramento e alerta:

• Microsoft Sentinel - Permite análises de segurança inteligentes a nível empresarial, fornecendo informações de segurança e capacidades de gestão de eventos (SIEM).

• Regras Sigma - Sigma é um padrão aberto em evolução para escrever regras e modelos que as ferramentas de gerenciamento automatizado podem usar para analisar arquivos de log. Onde existem modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são escritos, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.

• Azure Monitor - Permite o monitoramento e o alerta automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de diferentes fontes.

• Hubs de Eventos do Azure integrados com um SIEM. Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração dos Hubs de Eventos do Azure. Para obter mais informações, consulte Transmitir logs do Microsoft Entra para um hub de eventos do Azure.

• Microsoft Defender for Cloud Apps - Permite-lhe descobrir e gerir aplicações, controlar aplicações e recursos e verificar a conformidade das suas aplicações na nuvem.

• Protegendo identidades de carga de trabalho com o Identity Protection Preview - Usado para detetar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.

Muito do que irá monitorizar e alertar são os efeitos das suas políticas de Acesso Condicional. Você pode usar a pasta de trabalho de relatórios e insights do Acesso Condicional para examinar os efeitos de uma ou mais políticas de Acesso Condicional em suas entradas e nos resultados das políticas, incluindo o estado do dispositivo. Esta pasta de trabalho permite exibir um resumo de impacto e identificar o impacto durante um período de tempo específico. Você também pode usar a pasta de trabalho para investigar as entradas de um usuário específico. Para obter mais informações, consulte Insights e relatórios do Acesso Condicional.

O restante deste artigo descreve o que monitorar e alertar. Quando existem soluções específicas pré-construídas, ligamo-nos a elas ou fornecemos amostras seguindo a tabela. Caso contrário, você pode criar alertas usando as ferramentas anteriores.

• A Proteção de Identidade gera três relatórios principais que você pode usar para ajudar na investigação:

• Usuários arriscados contém informações sobre quais usuários estão em risco, detalhes sobre deteções, histórico de todas as entradas de risco e histórico de risco.

• Os logins arriscados contêm informações sobre a circunstância de um login que podem indicar circunstâncias suspeitas. Para obter mais informações sobre como investigar informações deste relatório, consulte Como investigar o risco.

• As deteções de risco contêm informações sobre sinais de risco detetados pelo Microsoft Entra ID Protection que informam o risco de entrada e do usuário. Para obter mais informações, consulte o guia de operações de segurança do Microsoft Entra para contas de usuário.

Para obter mais informações, consulte O que é proteção de identidade.

Fontes de dados para monitoramento do controlador de domínio

Para obter os melhores resultados, recomendamos que você monitore seus controladores de domínio usando o Microsoft Defender for Identity. Essa abordagem permite os melhores recursos de deteção e automação. Siga as orientações destes recursos:

• Arquitetura do Microsoft Defender for Identity
• Início rápido de conectar o Microsoft Defender for Identity ao Ative Directory

Se você não planeja usar o Microsoft Defender for Identity, monitore seus controladores de domínio por uma destas abordagens:

• Mensagens de log de eventos. Consulte Monitoramento do Ative Directory para obter sinais de comprometimento.
• Cmdlets do PowerShell. Consulte Solução de problemas de implantação do controlador de domínio.

Componentes da autenticação híbrida

Como parte de um ambiente híbrido do Azure, os seguintes itens devem ser incluídos na sua estratégia de monitoramento e alerta.

• Agente PTA - O agente de autenticação de passagem é usado para habilitar a autenticação de passagem e é instalado localmente. Consulte Microsoft Entra pass-through authentication agent: Version release history para obter informações sobre como verificar a versão do agente e as próximas etapas.

• AD FS/WAP - Os Serviços de Federação do Ative Directory (Azure AD FS) e o Proxy de Aplicativo Web (WAP) permitem o compartilhamento seguro de identidade digital e direitos entre seus limites de segurança e corporativos. Para obter informações sobre práticas recomendadas de segurança, consulte Práticas recomendadas para proteger os Serviços de Federação do Ative Directory.

• Microsoft Entra Connect Health Agent - O agente usado para fornecer um link de comunicação para o Microsoft Entra Connect Health. Para obter informações sobre como instalar o agente, consulte Instalação do agente Microsoft Entra Connect Health.

• Microsoft Entra Connect Sync Engine - O componente local, também chamado de mecanismo de sincronização. Para obter informações sobre o recurso, consulte Recursos do serviço Microsoft Entra Connect Sync.

• Agente de DC de proteção por senha - O agente de DC de proteção por senha do Azure é usado para ajudar a monitorar e relatar mensagens de log de eventos. Para obter informações, consulte Impor proteção por senha do Microsoft Entra local para Serviços de Domínio Ative Directory.

• DLL do filtro de senha - A DLL do filtro de senha do Agente DC recebe solicitações de validação de senha do usuário do sistema operacional. O filtro os encaminha para o serviço Agente de DC que está sendo executado localmente no DC. Para obter informações sobre como usar a DLL, consulte Impor proteção por senha do Microsoft Entra local para Serviços de Domínio Ative Directory.

• Agente de write-back de senha - O write-back de senha é um recurso habilitado com o Microsoft Entra Connect que permite que as alterações de senha na nuvem sejam gravadas de volta em um diretório local existente em tempo real. Para obter mais informações sobre esse recurso, consulte Como funciona o write-back de redefinição de senha de autoatendimento no Microsoft Entra ID.

• Microsoft Entra private network connector - Agentes leves que ficam no local e facilitam a conexão de saída com o serviço de Proxy de Aplicativo. Para obter mais informações, consulte Compreender os conectores de rede privada do Microsoft Entra.

Componentes da autenticação baseada na nuvem

Como parte de um ambiente baseado em nuvem do Azure, os seguintes itens devem ser incluídos na sua estratégia de monitoramento e alerta.

• Proxy de aplicativo Microsoft Entra - Este serviço de nuvem fornece acesso remoto seguro a aplicativos Web locais. Para obter mais informações, consulte Acesso remoto a aplicativos locais por meio do proxy de aplicativo Microsoft Entra.

• Microsoft Entra Connect - Serviços utilizados para uma solução Microsoft Entra Connect. Para obter mais informações, consulte O que é o Microsoft Entra Connect.

• O Microsoft Entra Connect Health - Service Health fornece um painel personalizável que rastreia a integridade dos seus serviços do Azure nas regiões onde você os usa. Para obter mais informações, consulte Microsoft Entra Connect Health.

• Autenticação multifator do Microsoft Entra - a autenticação multifator exige que o usuário forneça mais de uma forma de prova para autenticação. Essa abordagem pode fornecer um primeiro passo proativo para proteger seu ambiente. Para obter mais informações, consulte Autenticação multifator do Microsoft Entra.

• Grupos dinâmicos - Configuração dinâmica da associação a grupos de segurança para Microsoft Entra Os administradores podem definir regras para preencher grupos criados no Microsoft Entra ID com base nos atributos do usuário. Para obter mais informações, consulte Grupos dinâmicos e colaboração B2B do Microsoft Entra.

• Acesso Condicional - O Acesso Condicional é a ferramenta usada pelo Microsoft Entra ID para reunir sinais, tomar decisões e aplicar políticas organizacionais. O Acesso Condicional está no centro do novo plano de controle orientado por identidade. Para obter mais informações, consulte O que é acesso condicional.

• Proteção de identidade - Uma ferramenta que permite que as organizações automatizem a deteção e a correção de riscos baseados em identidade, investiguem riscos usando dados no portal e exportem dados de deteção de risco para seu SIEM. Para obter mais informações, consulte O que é proteção de identidade.

• Licenciamento baseado em grupo - As licenças podem ser atribuídas a grupos em vez de diretamente aos usuários. O Microsoft Entra ID armazena informações sobre os estados de atribuição de licença para os usuários.

• Serviço de provisionamento - O provisionamento refere-se à criação de identidades e funções de usuário nos aplicativos de nuvem aos quais os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam. Para obter mais informações, consulte Como o provisionamento de aplicativos funciona no Microsoft Entra ID.

• Graph API - A API do Microsoft Graph é uma API da Web RESTful que permite acessar recursos do serviço Microsoft Cloud. Depois de registrar seu aplicativo e obter tokens de autenticação para um usuário ou serviço, você pode fazer solicitações para a API do Microsoft Graph. Para obter mais informações, consulte Visão geral do Microsoft Graph.

• Serviço de Domínio - Os Serviços de Domínio Microsoft Entra (AD DS) fornecem serviços de domínio gerenciados, como ingresso no domínio, política de grupo. Para obter mais informações, consulte O que é o Microsoft Entra Domain Services.

• Azure Resource Manager - O Azure Resource Manager é o serviço de implantação e gerenciamento do Azure. Fornece uma camada de gestão que lhe permite criar, atualizar e eliminar recursos na sua conta do Azure. Para obter mais informações, consulte O que é o Azure Resource Manager.

• Identidade gerenciada - As identidades gerenciadas eliminam a necessidade de os desenvolvedores gerenciarem credenciais. As identidades gerenciadas fornecem uma identidade para os aplicativos usarem ao se conectarem a recursos que oferecem suporte à autenticação do Microsoft Entra. Para obter mais informações, consulte O que são identidades gerenciadas para recursos do Azure.

• Privileged Identity Management - PIM é um serviço no Microsoft Entra ID que permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização. Para obter mais informações, consulte O que é o Microsoft Entra Privileged Identity Management.

• Revisões de acesso - As revisões de acesso do Microsoft Entra permitem que as organizações gerenciem com eficiência associações de grupo, acesso a aplicativos corporativos e atribuições de função. O acesso do usuário pode ser revisado regularmente para garantir que apenas as pessoas certas tenham acesso contínuo. Para obter mais informações, consulte O que são revisões de acesso do Microsoft Entra.

• Gerenciamento de direitos - O gerenciamento de direitos do Microsoft Entra é um recurso de governança de identidade. As organizações podem gerenciar o ciclo de vida de identidade e acesso em escala, automatizando fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração. Para obter mais informações, consulte O que é o gerenciamento de direitos do Microsoft Entra.

• Logs de atividades - O log de atividades é um log da plataforma Azure que fornece informações sobre eventos no nível de assinatura. Esse log inclui informações como quando um recurso é modificado ou quando uma máquina virtual é iniciada. Para obter mais informações, consulte Log de atividades do Azure.

• Serviço de redefinição de senha de autoatendimento - A redefinição de senha de autoatendimento (SSPR) do Microsoft Entra oferece aos usuários a capacidade de alterar ou redefinir sua senha. O administrador ou o suporte técnico não são necessários. Para obter mais informações, consulte Como funciona: redefinição de senha de autoatendimento do Microsoft Entra.

• Serviços de dispositivo - O gerenciamento de identidade de dispositivo é a base para o Acesso Condicional baseado em dispositivo. Com políticas de Acesso Condicional baseadas em dispositivo, você pode garantir que o acesso aos recursos em seu ambiente só seja possível com dispositivos gerenciados. Para obter mais informações, consulte O que é uma identidade de dispositivo.

• Gerenciamento de grupo de autoatendimento - Você pode permitir que os usuários criem e gerenciem seus próprios grupos de segurança ou grupos do Microsoft 365 no Microsoft Entra ID. O proprietário do grupo pode aprovar ou negar solicitações de associação e pode delegar o controle da associação ao grupo. Os recursos de gerenciamento de grupo de autoatendimento não estão disponíveis para grupos de segurança habilitados para email ou listas de distribuição. Para obter mais informações, consulte Configurar o gerenciamento de grupo de autoatendimento na ID do Microsoft Entra.

• Deteções de risco - Contém informações sobre outros riscos acionados quando um risco é detetado e outras informações pertinentes, como local de entrada e quaisquer detalhes do Microsoft Defender for Cloud Apps.

Próximos passos

Consulte estes artigos do guia de operações de segurança:

Operações de segurança para contas de utilizador

Operações de segurança para contas de consumidores

Operações de segurança para contas privilegiadas

Operações de segurança para o Privileged Identity Management

Operações de segurança para aplicações

Operações de segurança para dispositivos

Operações de segurança para infraestruturas