Operações de segurança do Microsoft Entra para o Privileged Identity Management

A segurança dos ativos de negócios depende da integridade das contas privilegiadas que administram seus sistemas de TI. Os ciberatacantes usam ataques de roubo de credenciais para atingir contas de administrador e outras contas de acesso privilegiado para tentar obter acesso a dados confidenciais.

No caso dos serviços de computação em nuvem, a prevenção e a resposta são da responsabilidade conjunta do prestador de serviços de computação em nuvem e do cliente.

Tradicionalmente, a segurança organizacional tem se concentrado nos pontos de entrada e saída de uma rede como o perímetro de segurança. No entanto, aplicativos SaaS e dispositivos pessoais tornaram essa abordagem menos eficaz. No Microsoft Entra ID, substituímos o perímetro de segurança de rede pela autenticação na camada de identidade da sua organização. Como os usuários são atribuídos a funções administrativas privilegiadas, seu acesso deve ser protegido em ambientes locais, na nuvem e híbridos.

Você é totalmente responsável por todas as camadas de segurança do seu ambiente de TI local. Quando você usa os serviços de nuvem do Azure, a prevenção e a resposta são responsabilidades conjuntas da Microsoft como o provedor de serviços de nuvem e você como o cliente.

• Para obter mais informações sobre o modelo de responsabilidade compartilhada, consulte Responsabilidade compartilhada na nuvem.

• Para obter mais informações sobre como proteger o acesso para usuários privilegiados, consulte Protegendo o acesso privilegiado para implantações híbridas e em nuvem no Microsoft Entra ID.

• Para obter uma ampla variedade de vídeos, guias de instruções e conteúdo dos principais conceitos de identidade privilegiada, visite a documentação do Privileged Identity Management.

O Privileged Identity Management (PIM) é um serviço Microsoft Entra que permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização. Esses recursos incluem recursos no Microsoft Entra ID, Azure e outros Microsoft Online Services, como o Microsoft 365 ou o Microsoft Intune. Você pode usar o PIM para ajudar a reduzir os seguintes riscos:

• Identificar e minimizar o número de pessoas que têm acesso a informações e recursos seguros.

• Detete permissões de acesso excessivas, desnecessárias ou mal utilizadas em recursos confidenciais.

• Reduza as chances de um ator mal-intencionado ter acesso a informações ou recursos protegidos.

• Reduza a possibilidade de um usuário não autorizado afetar inadvertidamente recursos confidenciais.

Use este artigo fornece orientação para definir linhas de base, auditar entradas e usar contas privilegiadas. Use a fonte do log de auditoria de origem para ajudar a manter a integridade privilegiada da conta.

Onde procurar

Os arquivos de log que você usa para investigação e monitoramento são:

• Logs de auditoria do Microsoft Entra

• Registos de início de sessão

• Logs de auditoria do Microsoft 365

• Logs do Azure Key Vault

No portal do Azure, exiba os logs de auditoria do Microsoft Entra e baixe-os como arquivos CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas para automatizar o monitoramento e o alerta:

• Microsoft Sentinel – permite análises de segurança inteligentes a nível empresarial, fornecendo capacidades de gestão de eventos e informações de segurança (SIEM).

• Regras Sigma - Sigma é um padrão aberto em evolução para escrever regras e modelos que as ferramentas de gerenciamento automatizado podem usar para analisar arquivos de log. Onde existem modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são escritos, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.

• Azure Monitor – permite o monitoramento automatizado e o alerta de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de diferentes fontes.

• Os Hubs deEventos do Azure integrados com um SIEM- Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração dos Hubs de Eventos do Azure.

• Microsoft Defender for Cloud Apps – permite-lhe descobrir e gerir aplicações, controlar aplicações e recursos e verificar a conformidade das suas aplicações na nuvem.

• Protegendo identidades de carga de trabalho com o Identity Protection Preview - Usado para detetar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.

O restante deste artigo tem recomendações para definir uma linha de base para monitorar e alertar, com um modelo de camada. Os links para soluções pré-criadas aparecem após a tabela. Você pode criar alertas usando as ferramentas anteriores. O conteúdo está organizado nas seguintes áreas:

• Bases de referência

• Atribuição de função do Microsoft Entra

• Configurações de alerta de função do Microsoft Entra

• Atribuição de função de recurso do Azure

• Gestão de acesso dos recursos do Azure

• Acesso elevado para gerenciar assinaturas do Azure

Bases de referência

A seguir estão as configurações de linha de base recomendadas:

O que monitorizar	Nível de risco	Recomendação	Funções	Notas
Atribuição de funções do Microsoft Entra	Alto	Exigir justificação para a ativação. Requer aprovação para ativar. Defina o processo de aprovador de dois níveis. Na ativação, exija a autenticação multifator do Microsoft Entra. Defina a duração máxima da elevação para 8 horas.	Administração de Funções Privilegiadas, Administrador Global	Um administrador de função privilegiada pode personalizar o PIM em sua organização do Microsoft Entra, incluindo alterar a experiência para usuários que ativam uma atribuição de função qualificada.
Configuração da Função de Recursos do Azure	Alto	Exigir justificação para a ativação. Requer aprovação para ativar. Defina o processo de aprovador de dois níveis. Na ativação, exija a autenticação multifator do Microsoft Entra. Defina a duração máxima da elevação para 8 horas.	Proprietário, Administrador de Recursos, Administrador de Acesso de Usuário, Administrador Global, Administrador de Segurança	Investigue imediatamente, se não for uma mudança planejada. Essa configuração pode habilitar o acesso de invasores a assinaturas do Azure em seu ambiente.

Alertas de gerenciamento de identidade privilegiado

O Privileged Identity Management (PIM) gera alertas quando há atividades suspeitas ou inseguras em sua organização do Microsoft Entra. Quando um alerta é gerado, ele aparece no painel do Privileged Identity Management. Você também pode configurar uma notificação por e-mail ou enviar para o seu SIEM via GraphAPI. Como esses alertas se concentram especificamente em funções administrativas, você deve monitorar de perto quaisquer alertas.

O que monitorizar	Nível de Risco	Onde	UX de filtro/subfiltro	Notas
As funções estão sendo atribuídas fora do Privileged Identity Management	Alto	Gerenciamento privilegiado de identidades, alertas	As funções estão sendo atribuídas fora do Privileged Identity Management	Como configurar alertas de segurança Regras Sigma
Contas potencialmente obsoletas em um papel privilegiado	Médio	Gerenciamento privilegiado de identidades, alertas	Contas potencialmente obsoletas em um papel privilegiado	Como configurar alertas de segurança Regras Sigma
Os administradores não estão usando suas funções privilegiadas	Baixo	Gerenciamento privilegiado de identidades, alertas	Os administradores não estão usando suas funções privilegiadas	Como configurar alertas de segurança Regras Sigma
As funções não exigem autenticação multifator para ativação	Baixo	Gerenciamento privilegiado de identidades, alertas	As funções não exigem autenticação multifator para ativação	Como configurar alertas de segurança Regras Sigma
A organização não tem o Microsoft Entra ID P2 ou o Microsoft Entra ID Governance	Baixo	Gerenciamento privilegiado de identidades, alertas	A organização não tem o Microsoft Entra ID P2 ou o Microsoft Entra ID Governance	Como configurar alertas de segurança Regras Sigma
Há demasiados administradores globais	Baixo	Gerenciamento privilegiado de identidades, alertas	Há demasiados administradores globais	Como configurar alertas de segurança Regras Sigma
As funções estão sendo ativadas com muita frequência	Baixo	Gerenciamento privilegiado de identidades, alertas	As funções estão sendo ativadas com muita frequência	Como configurar alertas de segurança Regras Sigma

Atribuição de funções do Microsoft Entra

Um administrador de função privilegiada pode personalizar o PIM em sua organização do Microsoft Entra, o que inclui alterar a experiência do usuário de ativar uma atribuição de função qualificada:

• Impeça que o agente mal-intencionado remova os requisitos de autenticação multifator do Microsoft Entra para ativar o acesso privilegiado.

• Evite que usuários mal-intencionados ignorem a justificação e a aprovação da ativação do acesso privilegiado.

O que monitorizar	Nível de risco	Onde	Filtro/subfiltro	Notas
Alerta sobre Adicionar alterações às permissões de conta privilegiada	Alto	Registos de auditoria do Microsoft Entra	Categoria = Gestão de Funções - e - Tipo de atividade – Adicionar membro elegível (permanente) - e - Tipo de atividade – Adicionar membro elegível (elegível) - e - Status = Sucesso/fracasso - e - Propriedades modificadas = Role.DisplayName	Monitore e esteja sempre alerta para quaisquer alterações na função privilegiada de administrador e administrador global. Isso pode ser uma indicação de que um invasor está tentando obter privilégios para modificar as configurações de atribuição de função. Se você não tiver um limite definido, alerte em 4 em 60 minutos para usuários e 2 em 60 minutos para contas privilegiadas. Regras Sigma
Alerta sobre alterações de exclusão em massa para permissões de conta privilegiada	Alto	Registos de auditoria do Microsoft Entra	Categoria = Gestão de Funções - e - Tipo de atividade – Remover membro elegível (permanente) - e - Tipo de atividade – Remover membro elegível (elegível) - e - Status = Sucesso/fracasso - e - Propriedades modificadas = Role.DisplayName	Investigue imediatamente, se não for uma mudança planejada. Essa configuração pode habilitar o acesso de um invasor às assinaturas do Azure em seu ambiente. Modelo do Microsoft Sentinel Regras Sigma
Alterações nas configurações do PIM	Alto	Log de auditoria do Microsoft Entra	Serviço = PIM - e - Categoria = Gestão de Funções - e - Tipo de atividade = Configuração de função de atualização no PIM - e - Status Reason = MFA na ativação desabilitada (exemplo)	Monitore e esteja sempre alerta para quaisquer alterações no Privileged Role Administrator e no Global Administrator. Isso pode ser uma indicação de que um invasor tem acesso para modificar as configurações de atribuição de função. Uma dessas ações poderia reduzir a segurança da elevação do PIM e facilitar a aquisição de uma conta privilegiada pelos invasores. Modelo do Microsoft Sentinel Regras Sigma
Aprovações e recusa de elevação	Alto	Log de auditoria do Microsoft Entra	Serviço = Revisão de acesso - e - Categoria = UserManagement - e - Tipo de Atividade = Solicitação Aprovada/Negada - e - Ator iniciado = UPN	Todas as elevações devem ser monitorizadas. Registre todas as elevações para dar uma indicação clara da linha do tempo para um ataque. Modelo do Microsoft Sentinel Regras Sigma
A configuração de alerta muda para desativado.	Alto	Registos de auditoria do Microsoft Entra	Serviço =PIM - e - Categoria = Gestão de Funções - e - Tipo de Atividade = Desativar Alerta PIM - e - Status = Sucesso/Fracasso	Sempre alerta. Ajuda a detetar agentes mal-intencionados removendo alertas associados aos requisitos de autenticação multifator do Microsoft Entra para ativar o acesso privilegiado. Ajuda a detetar atividades suspeitas ou inseguras. Modelo do Microsoft Sentinel Regras Sigma

Para obter mais informações sobre como identificar alterações na configuração de função no log de auditoria do Microsoft Entra, consulte Exibir histórico de auditoria para funções do Microsoft Entra no Privileged Identity Management.

Atribuição de função de recurso do Azure

O monitoramento das atribuições de função de recurso do Azure permite visibilidade da atividade e ativações para funções de recursos. Essas atribuições podem ser usadas indevidamente para criar uma superfície de ataque a um recurso. Ao monitorar esse tipo de atividade, você está tentando detetar:

• Atribuições de função de consulta em recursos específicos

• Atribuições de função para todos os recursos filho

• Todas as alterações de atribuição de função ativas e qualificadas

O que monitorizar	Nível de risco	Onde	Filtro/subfiltro	Notas
Log de auditoria de recursos de alerta de auditoria para atividades de conta privilegiada	Alto	No PIM, em Recursos do Azure, Auditoria de Recursos	Ação: Adicionar membro elegível à função no PIM concluído (limite de tempo) - e - Alvo primário - e - Tipo de Utilizador - e - Status = Sucedido	Sempre alerta. Ajuda a detetar agentes mal-intencionados adicionando funções qualificadas para gerenciar todos os recursos no Azure.
Auditoria de Recursos de Alerta de Auditoria para Desativar Alerta	Médio	No PIM, em Recursos do Azure, Auditoria de Recursos	Ação: Desativar alerta - e - Destino principal: muitos proprietários atribuídos a um recurso - e - Status = Sucedido	Ajuda a detetar alertas de desabilitação de agentes mal-intencionados, no painel Alertas, que podem ignorar atividades maliciosas que estão sendo investigadas
Auditoria de Recursos de Alerta de Auditoria para Desativar Alerta	Médio	No PIM, em Recursos do Azure, Auditoria de Recursos	Ação: Desativar alerta - e - Alvo principal: muitos proprietários permanentes atribuídos a um recurso - e - Status = Sucedido	Impedir que um agente mal-intencionado desative alertas no painel Alertas, que podem ignorar atividades maliciosas que estão sendo investigadas
Auditoria de Recursos de Alerta de Auditoria para Desativar Alerta	Médio	No PIM, em Recursos do Azure, Auditoria de Recursos	Ação: Desativar alerta - e - Função duplicada de destino principal criada - e - Status = Sucedido	Impedir que o agente mal-intencionado desative alertas no painel Alertas, que podem ignorar atividades maliciosas que estão sendo investigadas

Para obter mais informações sobre como configurar alertas e auditar funções de recursos do Azure, consulte:

• Configurar alertas de segurança para funções de recursos do Azure no Privileged Identity Management

• Exibir relatório de auditoria para funções de recurso do Azure no Privileged Identity Management (PIM)

Gerenciamento de acesso para recursos e assinaturas do Azure

Os usuários ou membros do grupo atribuídos às funções de Proprietário ou Administrador de Acesso de Usuário e os Administradores Globais do Microsoft Entra que habilitaram o gerenciamento de assinaturas na ID do Microsoft Entra têm permissões de Administrador de Recursos por padrão. Os administradores atribuem funções, definem definições de função e analisam o acesso utilizando o PIM, Gestão de Identidades Privilegiadas (PIM) para recursos do Azure.

Um usuário que tenha permissões de administrador de recursos pode gerenciar o PIM for Resources. Monitore e atenue esse risco introduzido: o recurso pode ser usado para permitir que agentes mal-intencionados tenham acesso privilegiado aos recursos de assinatura do Azure, como máquinas virtuais (VMs) ou contas de armazenamento.

O que monitorizar	Nível de risco	Onde	Filtro/subfiltro	Notas
Elevações	Alto	ID do Microsoft Entra, em Gerir, Propriedades	Revise periodicamente a configuração. Gestão de acesso dos recursos do Azure	Os administradores globais podem elevar habilitando o gerenciamento de acesso para recursos do Azure. Verifique se os agentes mal-intencionados não obtiveram permissões para atribuir funções em todas as assinaturas do Azure e grupos de gerenciamento associados ao Ative Directory.

Para obter mais informações, consulte Atribuir funções de recurso do Azure no Privileged Identity Management

Próximos passos

Visão geral das operações de segurança do Microsoft Entra

Operações de segurança para contas de utilizador

Operações de segurança para contas de consumidores

Operações de segurança para contas privilegiadas

Operações de segurança para aplicações

Operações de segurança para dispositivos

Operações de segurança para infraestruturas