Operações de segurança do Microsoft Entra para contas de usuário
A identidade do usuário é um dos aspetos mais importantes da proteção de sua organização e dados. Este artigo fornece orientações para monitorizar a criação, eliminação e utilização de contas. A primeira parte aborda como monitorar a criação e exclusão de contas incomuns. A segunda parte aborda como monitorar o uso incomum da conta.
Se você ainda não leu a visão geral das operações de segurança do Microsoft Entra, recomendamos que o faça antes de prosseguir.
Este artigo abrange contas de usuário gerais. Para contas privilegiadas, consulte Operações de segurança – contas privilegiadas.
Definir uma linha de base
Para descobrir um comportamento anômalo, primeiro você deve definir o que é comportamento normal e esperado. Definir qual é o comportamento esperado para sua organização ajuda a determinar quando um comportamento inesperado ocorre. A definição também ajuda a reduzir o nível de ruído de falsos positivos ao monitorar e alertar.
Depois de definir o que espera, você executa o monitoramento da linha de base para validar suas expectativas. Com essas informações, você pode monitorar os logs para qualquer coisa que esteja fora das tolerâncias que você definir.
Use os logs de auditoria do Microsoft Entra, os logs de entrada do Microsoft Entra e os atributos de diretório como suas fontes de dados para contas criadas fora dos processos normais. Seguem-se sugestões para o ajudar a pensar e definir o que é normal para a sua organização.
Criação de conta de usuário – avalie o seguinte:
Estratégia e princípios para ferramentas e processos usados para criar e gerenciar contas de usuário. Por exemplo, existem atributos padrão, formatos que são aplicados a atributos de conta de usuário.
Fontes aprovadas para a criação de contas. Por exemplo, originário do Ative Directory (AD), Microsoft Entra ID ou sistemas de RH como o Workday.
Estratégia de alerta para contas criadas fora de fontes aprovadas. Existe uma lista controlada de organizações com as quais a sua organização colabora?
Provisionamento de contas de convidado e parâmetros de alerta para contas criadas fora do gerenciamento de direitos ou outros processos normais.
Parâmetros de estratégia e alerta para contas criadas, modificadas ou desativadas por uma conta que não seja um administrador de usuário aprovado.
Estratégia de monitoramento e alerta para contas sem atributos padrão, como ID de funcionário ou não seguindo convenções de nomenclatura organizacional.
Estratégia, princípios e processo para exclusão e retenção de contas.
Contas de usuário locais – avalie o seguinte para contas sincronizadas com o Microsoft Entra Connect:
As florestas, domínios e unidades organizacionais (OUs) no escopo para sincronização. Quem são os administradores aprovados que podem alterar essas configurações e com que frequência o escopo é verificado?
Os tipos de contas que são sincronizadas. Por exemplo, contas de usuário e/ou contas de serviço.
O processo de criação de contas locais privilegiadas e como a sincronização desse tipo de conta é controlada.
O processo de criação de contas de usuário local e como a sincronização desse tipo de conta é gerenciada.
Para obter mais informações sobre como proteger e monitorar contas locais, consulte Protegendo o Microsoft 365 contra ataques locais.
Contas de utilizador na nuvem – avalie o seguinte:
O processo para provisionar e gerenciar contas de nuvem diretamente no Microsoft Entra ID.
O processo para determinar os tipos de usuários provisionados como contas de nuvem do Microsoft Entra. Por exemplo, você só permite contas privilegiadas ou também permite contas de usuário?
O processo para criar e manter uma lista de indivíduos confiáveis e/ou processos esperados para criar e gerenciar contas de usuário na nuvem.
O processo para criar e manter uma estratégia de alerta para contas baseadas na nuvem não aprovadas.
Onde procurar
Os arquivos de log que você usa para investigação e monitoramento são:
No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixar como CSV (valores separados por vírgula) ou arquivos JSON (JavaScript Object Notation). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação do monitoramento e alerta:
Microsoft Sentinel – permite análises de segurança inteligentes a nível empresarial, fornecendo capacidades de gestão de eventos e informações de segurança (SIEM).
Regras Sigma - Sigma é um padrão aberto em evolução para escrever regras e modelos que as ferramentas de gerenciamento automatizado podem usar para analisar arquivos de log. Onde existem modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são escritos, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.
Azure Monitor – permite o monitoramento automatizado e o alerta de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de diferentes fontes.
Hubs de Eventos do Azure integrados com um SIEM - Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração dos Hubs de Eventos do Azure.
Microsoft Defender for Cloud Apps – permite-lhe descobrir e gerir aplicações, controlar aplicações e recursos e verificar a conformidade das suas aplicações na nuvem.
Protegendo identidades de carga de trabalho com o Identity Protection Preview - Usado para detetar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.
Muito do que irá monitorizar e alertar são os efeitos das suas políticas de Acesso Condicional. Você pode usar a pasta de trabalho de relatórios e insights do Acesso Condicional para examinar os efeitos de uma ou mais políticas de Acesso Condicional em suas entradas e os resultados das políticas, incluindo o estado do dispositivo. Esta pasta de trabalho permite exibir um resumo e identificar os efeitos durante um período de tempo específico. Você também pode usar a pasta de trabalho para investigar as entradas de um usuário específico.
O restante deste artigo descreve o que recomendamos que você monitore e alerte, e é organizado pelo tipo de ameaça. Quando existem soluções específicas pré-construídas, ligamo-nos a elas ou fornecemos amostras seguindo a tabela. Caso contrário, você pode criar alertas usando as ferramentas anteriores.
Criação de conta
A criação anômala de contas pode indicar um problema de segurança. Contas de curta duração, contas que não seguem padrões de nomenclatura e contas criadas fora dos processos normais devem ser investigadas.
Contas de curta duração
A criação e exclusão de contas fora dos processos normais de gerenciamento de identidade devem ser monitoradas no Microsoft Entra ID. Contas de curta duração são contas criadas e excluídas em um curto espaço de tempo. Esse tipo de criação de conta e exclusão rápida pode significar que um agente mal-intencionado está tentando evitar a deteção criando contas, usando-as e, em seguida, excluindo a conta.
Padrões de conta de curta duração podem indicar que pessoas ou processos não aprovados podem ter o direito de criar e excluir contas que não se enquadram nos processos e políticas estabelecidos. Esse tipo de comportamento remove marcadores visíveis do diretório.
Se a trilha de dados para criação e exclusão de conta não for descoberta rapidamente, as informações necessárias para investigar um incidente podem não existir mais. Por exemplo, as contas podem ser excluídas e, em seguida, removidas da lixeira. Os logs de auditoria são retidos por 30 dias. No entanto, você pode exportar seus logs para o Azure Monitor ou uma solução de gerenciamento de eventos e informações de segurança (SIEM) para retenção de longo prazo.
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Eventos de criação e exclusão de conta dentro de um período de tempo próximo. | Máximo | Registos de auditoria do Microsoft Entra | Atividade: Adicionar usuário Status = sucesso - e - Atividade: Excluir usuário Status = sucesso |
Pesquise eventos UPN (nome principal do usuário). Procure contas criadas e depois excluídas em menos de 24 horas. Modelo do Microsoft Sentinel |
| Contas criadas e excluídas por usuários ou processos não aprovados. | Meio | Registos de auditoria do Microsoft Entra | Iniciado por (ator) – NOME PRINCIPAL DO UTILIZADOR - e - Atividade: Adicionar usuário Status = sucesso e-ou Atividade: Excluir usuário Status = sucesso |
Se os atores forem usuários não aprovados, configure para enviar um alerta. Modelo do Microsoft Sentinel |
| Contas de fontes não aprovadas. | Meio | Registos de auditoria do Microsoft Entra | Atividade: Adicionar usuário Status = sucesso Destino(s) = NOME PRINCIPAL DO USUÁRIO |
Se a entrada não for de um domínio aprovado ou for um domínio bloqueado conhecido, configure para enviar um alerta. Modelo do Microsoft Sentinel |
| Contas atribuídas a uma função privilegiada. | Máximo | Registos de auditoria do Microsoft Entra | Atividade: Adicionar usuário Status = sucesso - e - Atividade: Excluir usuário Status = sucesso - e - Atividade: Adicionar membro à função Status = sucesso |
Se a conta for atribuída a uma função do Microsoft Entra, função do Azure ou associação a grupo privilegiado, alerte e priorize a investigação. Modelo do Microsoft Sentinel Regras Sigma |
As contas privilegiadas e não privilegiadas devem ser monitorizadas e alertadas. No entanto, como as contas privilegiadas têm permissões administrativas, elas devem ter maior prioridade nos processos de monitoramento, alerta e resposta.
Contas que não seguem políticas de nomenclatura
As contas de usuário que não seguem as políticas de nomenclatura podem ter sido criadas fora das políticas organizacionais.
Uma prática recomendada é ter uma política de nomenclatura para objetos de usuário. Ter uma política de nomenclatura facilita o gerenciamento e ajuda a fornecer consistência. A política também pode ajudar a descobrir quando os usuários foram criados fora dos processos aprovados. Um agente mal-intencionado pode não estar ciente de seus padrões de nomenclatura e pode facilitar a deteção de uma conta provisionada fora de seus processos organizacionais.
As organizações tendem a ter formatos e atributos específicos que são usados para criar contas de usuário e/ou privilegiadas. Por exemplo:
Conta de administrador UPN = ADM_firstname.lastname@tenant.onmicrosoft.com
Conta de utilizador UPN = Firstname.Lastname@contoso.com
Frequentemente, as contas de usuário têm um atributo que identifica um usuário real. Por exemplo, EMPID = XXXNNN. Use as sugestões a seguir para ajudar a definir o normal para sua organização e ao definir uma linha de base para entradas de log quando as contas não seguirem sua convenção de nomenclatura:
Contas que não seguem a convenção de nomenclatura. Por exemplo,
nnnnnnn@contoso.comversusfirstname.lastname@contoso.com.Contas que não têm os atributos padrão preenchidos ou não estão no formato correto. Por exemplo, não ter uma identificação de funcionário válida.
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Contas de usuário que não têm atributos esperados definidos. | Mínimo | Registos de auditoria do Microsoft Entra | Atividade: Adicionar usuário Status = sucesso |
Procure contas com seus atributos padrão nulos ou no formato errado. Por exemplo, EmployeeID Modelo do Microsoft Sentinel |
| Contas de usuário criadas usando um formato de nomenclatura incorreto. | Mínimo | Registos de auditoria do Microsoft Entra | Atividade: Adicionar usuário Status = sucesso |
Procure contas com um UPN que não siga sua política de nomenclatura. Modelo do Microsoft Sentinel |
| Contas privilegiadas que não seguem a política de nomenclatura. | Máximo | Subscrição do Azure | Listar atribuições de função do Azure usando o portal do Azure - Azure RBAC | Liste atribuições de função para assinaturas e alerte onde o nome de entrada não corresponde ao formato da sua organização. Por exemplo, ADM_ como um prefixo. |
| Contas privilegiadas que não seguem a política de nomenclatura. | Máximo | Diretório Microsoft Entra | Listar atribuições de função do Microsoft Entra | Listar atribuições de funções para funções do Microsoft Entra alerta onde o UPN não corresponde ao formato da sua organização. Por exemplo, ADM_ como um prefixo. |
Para obter mais informações sobre análise, consulte:
Logs de auditoria do Microsoft Entra - Analisar dados de texto nos Logs do Azure Monitor
Azure Subscriptions - Listar atribuições de função do Azure usando o Azure PowerShell
ID do Microsoft Entra - Listar atribuições de função do Microsoft Entra
Contas criadas fora dos processos normais
Ter processos padrão para criar usuários e contas privilegiadas é importante para que você possa controlar com segurança o ciclo de vida das identidades. Se os usuários forem provisionados e desprovisionados fora dos processos estabelecidos, isso pode introduzir riscos de segurança. Operar fora dos processos estabelecidos também pode introduzir problemas de gerenciamento de identidade. Os riscos potenciais incluem:
As contas de usuário e privilegiadas podem não ser controladas para aderir às políticas organizacionais. Isso pode levar a uma superfície de ataque mais ampla em contas que não são gerenciadas corretamente.
Torna-se mais difícil detetar quando agentes mal-intencionados criam contas para fins maliciosos. Ao ter contas válidas criadas fora dos procedimentos estabelecidos, torna-se mais difícil detetar quando as contas são criadas ou as permissões modificadas para fins maliciosos.
Recomendamos que as contas de usuário e privilegiadas só sejam criadas seguindo as políticas da sua organização. Por exemplo, uma conta deve ser criada com os padrões de nomenclatura corretos, informações organizacionais e sob o escopo da governança de identidade apropriada. As organizações devem ter controles rigorosos sobre quem tem os direitos de criar, gerenciar e excluir identidades. As funções para criar essas contas devem ser rigorosamente gerenciadas e os direitos só devem estar disponíveis depois de seguir um fluxo de trabalho estabelecido para aprovar e obter essas permissões.
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Contas de usuário criadas ou excluídas por usuários ou processos não aprovados. | Meio | Registos de auditoria do Microsoft Entra | Atividade: Adicionar usuário Status = sucesso e-ou- Atividade: Excluir usuário Status = sucesso - e - Iniciado por (ator) = NOME PRINCIPAL DO UTILIZADOR |
Alerta sobre contas criadas por usuários ou processos não aprovados. Priorize contas criadas com privilégios elevados. Modelo do Microsoft Sentinel |
| Contas de usuário criadas ou excluídas de fontes não aprovadas. | Meio | Registos de auditoria do Microsoft Entra | Atividade: Adicionar usuário Status = sucesso -ou- Atividade: Excluir usuário Status = sucesso - e - Destino(s) = NOME PRINCIPAL DO USUÁRIO |
Alerta quando o domínio não é aprovado ou conhecido domínio bloqueado. |
Entradas incomuns
Ver falhas na autenticação do usuário é normal. Mas ver padrões ou blocos de falhas pode ser um indicador de que algo está acontecendo com a Identidade de um usuário. Por exemplo, durante ataques de spray de senha ou força bruta, ou quando uma conta de usuário é comprometida. É fundamental que você monitore e alerte quando padrões surgem. Isso ajuda a garantir que você possa proteger o usuário e os dados da sua organização.
O sucesso parece dizer que está tudo bem. Mas isso pode significar que um ator mal-intencionado acessou com sucesso um serviço. O monitoramento de logins bem-sucedidos ajuda a detetar contas de usuário que estão ganhando acesso, mas não são contas de usuário que deveriam ter acesso. Os êxitos de autenticação do usuário são entradas normais nos logs de entrada do Microsoft Entra. Recomendamos que você monitore e alerte para detetar quando os padrões surgem. Isso ajuda a garantir que você possa proteger as contas de usuário e os dados da sua organização.
Ao projetar e operacionalizar uma estratégia de monitoramento e alerta de log, considere as ferramentas disponíveis para você por meio do portal do Azure. A Proteção de Identidade permite automatizar a deteção, a proteção e a correção de riscos baseados em identidade. A proteção de identidade usa sistemas heurísticos e de aprendizado de máquina alimentados por inteligência para detetar riscos e atribuir uma pontuação de risco para usuários e logins. Os clientes podem configurar políticas com base em um nível de risco para quando permitir ou negar acesso ou permitir que o usuário se auto-corrija com segurança de um risco. As seguintes deteções de risco da Proteção de Identidade informam os níveis de risco atuais:
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Credenciais vazadas Deteção de risco do usuário | Máximo | Logs de deteção de risco do Microsoft Entra | UX: Credenciais vazadas API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
| Deteção de risco do usuário do Microsoft Entra Threat Intelligence | Máximo | Logs de deteção de risco do Microsoft Entra | UX: Inteligência de ameaças do Microsoft Entra API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
| Deteção de risco de início de sessão anónimo no endereço IP | Varia | Logs de deteção de risco do Microsoft Entra | UX: Endereço IP anônimo API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
| Deteção atípica de risco de início de sessão em viagens | Varia | Logs de deteção de risco do Microsoft Entra | UX: Viagens atípicas API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
| Token anômalo | Varia | Logs de deteção de risco do Microsoft Entra | UX: Token anômalo API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
| Deteção de risco de início de sessão no endereço IP ligado a malware | Varia | Logs de deteção de risco do Microsoft Entra | UX: Endereço IP vinculado a malware API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
| Deteção de risco de início de sessão suspeito no navegador | Varia | Logs de deteção de risco do Microsoft Entra | UX: Navegador suspeito API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
| Propriedades de início de sessão desconhecidas deteção de risco de início de sessão | Varia | Logs de deteção de risco do Microsoft Entra | UX: Propriedades de início de sessão desconhecidas API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
| Deteção de risco de início de sessão em endereços IP maliciosos | Varia | Logs de deteção de risco do Microsoft Entra | UX: Endereço IP malicioso API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
| Regras suspeitas de manipulação da caixa de entrada deteção de risco de entrada | Varia | Logs de deteção de risco do Microsoft Entra | UX: Regras suspeitas de manipulação da caixa de entrada API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
| Deteção de risco de início de sessão no Password Spray | Máximo | Logs de deteção de risco do Microsoft Entra | UX: Spray de senha API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
| Deteção de risco de início de sessão impossível em viagens | Varia | Logs de deteção de risco do Microsoft Entra | UX: Viagens impossíveis API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
| Deteção de risco de início de sessão em novo país/região | Varia | Logs de deteção de risco do Microsoft Entra | UX: Novo país/região API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
| Atividade da deteção de risco de início de sessão de endereço IP anónimo | Varia | Logs de deteção de risco do Microsoft Entra | UX: Atividade do endereço IP anônimo API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
| Deteção de risco de início de sessão suspeito na caixa de entrada | Varia | Logs de deteção de risco do Microsoft Entra | UX: Encaminhamento suspeito da caixa de entrada API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
| Deteção de risco de entrada de inteligência de ameaças do Microsoft Entra | Máximo | Logs de deteção de risco do Microsoft Entra | UX: Inteligência de ameaças do Microsoft Entra API: Consulte o tipo de recurso riskDetection - Microsoft Graph |
Veja O que é risco? Proteção de ID do Microsoft Entra Regras Sigma |
Para obter mais informações, visite O que é Proteção de Identidade.
O que procurar
Configure o monitoramento dos dados nos logs de entrada do Microsoft Entra para garantir que o alerta ocorra e siga as políticas de segurança da sua organização. Alguns exemplos disso são:
Autenticações falhadas: Como seres humanos, todos nós erramos nossas senhas de tempos em tempos. No entanto, muitas autenticações com falha podem indicar que um agente mal-intencionado está tentando obter acesso. Os ataques diferem em ferocidade, mas podem variar de algumas tentativas por hora a uma taxa muito maior. Por exemplo, o Password Spray normalmente ataca senhas mais fáceis contra muitas contas, enquanto a Força Bruta tenta muitas senhas contra contas direcionadas.
Autenticações interrompidas: uma interrupção no ID do Microsoft Entra representa uma injeção de um processo para satisfazer a autenticação, como ao impor um controle em uma política de acesso condicional. Este é um evento normal e pode acontecer quando os aplicativos não estão configurados corretamente. Mas quando você vê muitas interrupções para uma conta de usuário, isso pode indicar que algo está acontecendo com essa conta.
- Por exemplo, se você filtrou um usuário em Logs de entrada e vê um grande volume de status de entrada = Interrompido e Acesso Condicional = Falha. Aprofundando-se, pode mostrar nos detalhes de autenticação que a senha está correta, mas que a autenticação forte é necessária. Isso pode significar que o usuário não está concluindo a autenticação multifator (MFA), o que pode indicar que a senha do usuário está comprometida e o agente mal-intencionado não consegue cumprir a MFA.
Bloqueio inteligente: o Microsoft Entra ID fornece um serviço de bloqueio inteligente que introduz o conceito de locais familiares e não familiares ao processo de autenticação. Uma conta de usuário que visita um local familiar pode ser autenticada com êxito, enquanto um ator mal-intencionado não familiarizado com o mesmo local é bloqueado após várias tentativas. Procure contas que foram bloqueadas e investigue mais.
Alterações de IP: É normal ver usuários originários de endereços IP diferentes. No entanto, os estados Zero Trust nunca confiam e sempre verificam. Ver um grande volume de endereços IP e entradas com falha pode ser um indicador de intrusão. Procure um padrão de muitas autenticações com falha que ocorrem a partir de vários endereços IP. Observe que as conexões de rede virtual privada (VPN) podem causar falsos positivos. Independentemente dos desafios, recomendamos que você monitore as alterações de endereço IP e, se possível, use o Microsoft Entra ID Protection para detetar e mitigar automaticamente esses riscos.
Locais: geralmente, você espera que uma conta de usuário esteja na mesma localização geográfica. Você também espera logins de locais onde você tem funcionários ou relações comerciais. Quando a conta de usuário vem de um local internacional diferente em menos tempo do que levaria para viajar para lá, isso pode indicar que a conta de usuário está sendo abusada. Observe que as VPNs podem causar falsos positivos, recomendamos que você monitore as contas de usuário que entram em locais geograficamente distantes e, se possível, use o Microsoft Entra ID Protection para detetar e mitigar automaticamente esses riscos.
Para essa área de risco, recomendamos que você monitore contas de usuário padrão e contas privilegiadas, mas priorize investigações de contas privilegiadas. As contas privilegiadas são as contas mais importantes em qualquer locatário do Microsoft Entra. Para obter orientações específicas para contas privilegiadas, consulte Operações de segurança – contas privilegiadas.
Como detetar
Você usa a Proteção de ID do Microsoft Entra e os logs de entrada do Microsoft Entra para ajudar a descobrir ameaças indicadas por características de entrada incomuns. Informações sobre a Proteção de Identidade estão disponíveis em O que é Proteção de Identidade. Você também pode replicar os dados para o Azure Monitor ou um SIEM para fins de monitoramento e alerta. Para definir normal para seu ambiente e definir uma linha de base, determine:
os parâmetros que você considera normais para sua base de usuários.
O número médio de tentativas de uma senha ao longo de um tempo antes de o usuário ligar para a central de serviços ou executar uma redefinição de senha de autoatendimento.
quantas tentativas falhadas pretende permitir antes de alertar e se será diferente para contas de utilizador e contas privilegiadas.
quantas tentativas de MFA você deseja permitir antes de alertar e se será diferente para contas de usuário e contas privilegiadas.
se a autenticação herdada estiver habilitada e seu roteiro para descontinuar o uso.
os endereços IP de saída conhecidos são para a sua organização.
os países/regiões a partir dos quais os seus utilizadores operam.
se há grupos de usuários que permanecem estacionários em um local de rede ou país/região.
Identifique quaisquer outros indicadores para entradas incomuns que sejam específicas da sua organização. Por exemplo, dias ou horários da semana ou do ano em que sua organização não opera.
Depois de definir o escopo do que é normal para as contas em seu ambiente, considere a lista a seguir para ajudar a determinar os cenários que você deseja monitorar e alertar e ajustar seus alertas.
Você precisa monitorar e alertar se a Proteção de Identidade estiver configurada?
Existem condições mais rígidas aplicadas a contas privilegiadas que você pode usar para monitorar e alertar? Por exemplo, exigir que contas privilegiadas só sejam usadas a partir de endereços IP confiáveis.
As linhas de base que definiu são demasiado agressivas? Ter muitos alertas pode resultar em alertas ignorados ou perdidos.
Configure a Proteção de Identidade para ajudar a garantir a proteção que suporta suas políticas de linha de base de segurança. Por exemplo, bloquear usuários se risco = alto. Esse nível de risco indica com um alto grau de confiança que uma conta de usuário está comprometida. Para obter mais informações sobre como configurar políticas de risco de entrada e políticas de risco do usuário, visite Políticas de proteção de identidade. Para obter mais informações sobre como configurar o Acesso Condicional, visite Acesso Condicional: Acesso Condicional baseado em risco de entrada.
Os seguintes são listados por ordem de importância com base no efeito e gravidade das entradas.
Monitorando entradas de usuários externos
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Usuários autenticados em outros locatários do Microsoft Entra. | Mínimo | Log de entrada do Microsoft Entra | Status = sucesso Resource tenantID != ID do locatário doméstico |
Deteta quando um usuário se autenticou com êxito em outro locatário do Microsoft Entra com uma identidade no locatário da sua organização. Alertar se o Resource TenantID não for igual ao Home Tenant ID Modelo do Microsoft Sentinel Regras Sigma |
| Estado do usuário alterado de Convidado para Membro | Meio | Registos de auditoria do Microsoft Entra | Atividade: Atualizar usuário Categoria: UserManagement UserType alterado de Convidado para Membro |
Monitore e alerte sobre a mudança do tipo de usuário de Convidado para Membro. Isso era esperado? Modelo do Microsoft Sentinel Regras Sigma |
| Usuários convidados para o locatário por convidados não aprovados | Meio | Registos de auditoria do Microsoft Entra | Atividade: Convidar usuário externo Categoria: UserManagement Iniciado por (ator): Nome Principal do Utilizador |
Monitorizar e alertar sobre intervenientes não aprovados que convidam utilizadores externos. Modelo do Microsoft Sentinel Regras Sigma |
Monitoramento de entradas incomuns com falha
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Tentativas de início de sessão falhadas. | Médio - se incidente isolado Alta - se muitas contas estão experimentando o mesmo padrão ou um VIP. |
Log de entrada do Microsoft Entra | Status = falha - e - Código de erro de início de sessão 50126 - Erro ao validar credenciais devido a nome de usuário ou senha inválidos. |
Defina um limite de linha de base e, em seguida, monitore e ajuste para ajustar seus comportamentos organizacionais e limitar a geração de falsos alertas. Modelo do Microsoft Sentinel Regras Sigma |
| Eventos de bloqueio inteligente. | Médio - se incidente isolado Alta - se muitas contas estão experimentando o mesmo padrão ou um VIP. |
Log de entrada do Microsoft Entra | Status = falha - e - Código de erro de entrada = 50053 – IdsLocked |
Defina um limite de linha de base e, em seguida, monitore e ajuste para ajustar seus comportamentos organizacionais e limitar a geração de falsos alertas. Modelo do Microsoft Sentinel Regras Sigma |
| Interrupções | Médio - se incidente isolado Alta - se muitas contas estão experimentando o mesmo padrão ou um VIP. |
Log de entrada do Microsoft Entra | 500121, a autenticação falhou durante a solicitação de autenticação forte. -ou- 50097, Autenticação de dispositivo é necessária ou 50074, Autenticação forte é necessária. -ou- 50155, DeviceAuthenticationFailed -ou- 50158, ExternalSecurityChallenge - O desafio de segurança externa não foi satisfeito -ou- 53003 e motivo da falha = bloqueado pelo acesso condicional |
Monitore e alerte sobre interrupções. Defina um limite de linha de base e, em seguida, monitore e ajuste para ajustar seus comportamentos organizacionais e limitar a geração de falsos alertas. Modelo do Microsoft Sentinel Regras Sigma |
Os seguintes são listados por ordem de importância com base no efeito e gravidade das entradas.
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Alertas de fraude de autenticação multifator (MFA). | Máximo | Log de entrada do Microsoft Entra | Status = falha - e - Detalhes = MFA negada |
Monitore e alerte sobre qualquer entrada. Modelo do Microsoft Sentinel Regras Sigma |
| Autenticações com falha de países/regiões dos quais você não opera. | Meio | Log de entrada do Microsoft Entra | Localização = <local não aprovado> | Monitore e alerte sobre quaisquer entradas. Modelo do Microsoft Sentinel Regras Sigma |
| Autenticações com falha para protocolos herdados ou protocolos que não são usados. | Meio | Log de entrada do Microsoft Entra | Estado = falha - e - Aplicativo cliente = Outros clientes, POP, IMAP, MAPI, SMTP, ActiveSync |
Monitore e alerte sobre quaisquer entradas. Modelo do Microsoft Sentinel Regras Sigma |
| Falhas bloqueadas pelo Acesso Condicional. | Meio | Log de entrada do Microsoft Entra | Código de erro = 53003 - e - Motivo da falha = bloqueado pelo Acesso Condicional |
Monitore e alerte sobre quaisquer entradas. Modelo do Microsoft Sentinel Regras Sigma |
| Aumento de autenticações com falha de qualquer tipo. | Meio | Log de entrada do Microsoft Entra | Captura de aumentos em falhas em todos os setores. Ou seja, o total de falhas para hoje é >de 10% no mesmo dia, na semana anterior. | Se você não tiver um limite definido, monitore e alerte se as falhas aumentarem em 10% ou mais. Modelo do Microsoft Sentinel |
| Autenticação que ocorre em horários e dias da semana em que países/regiões não realizam operações comerciais normais. | Mínimo | Log de entrada do Microsoft Entra | Capture a autenticação interativa que ocorre fora dos dias\hora normais de operação. Status = sucesso - e - Localização = <localização> - e - Dia\Hora = <horas de trabalho não normais> |
Monitore e alerte sobre quaisquer entradas. Modelo do Microsoft Sentinel |
| Conta desativada/bloqueada para entradas | Mínimo | Log de entrada do Microsoft Entra | Status = Falha - e - código de erro = 50057, A conta de usuário está desativada. |
Isso pode indicar que alguém está tentando obter acesso a uma conta depois de sair de uma organização. Embora a conta esteja bloqueada, é importante registrar e alertar sobre essa atividade. Modelo do Microsoft Sentinel Regras Sigma |
Monitoramento de entradas incomuns bem-sucedidas
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Autenticações de contas privilegiadas fora dos controles esperados. | Máximo | Log de entrada do Microsoft Entra | Status = sucesso - e - UserPricipalName = <Conta de administrador> - e - Localização = <local não aprovado> - e - Endereço IP = <IP não aprovado> Informações do dispositivo = <navegador não aprovado, sistema operacional> |
Monitore e alerte sobre a autenticação bem-sucedida de contas privilegiadas fora dos controles esperados. São enumerados três controlos comuns. Modelo do Microsoft Sentinel Regras Sigma |
| Quando apenas a autenticação de fator único é necessária. | Mínimo | Log de entrada do Microsoft Entra | Status = sucesso Requisito de autenticação = Autenticação de fator único |
Monitore periodicamente e garanta o comportamento esperado. Regras Sigma |
| Descubra contas privilegiadas não registadas para MFA. | Máximo | Azure Graph API | Consulta para IsMFARegistered eq false para contas de administrador. Listar credenciaisUserRegistrationDetails - Microsoft Graph beta |
Auditar e investigar para determinar se foi intencional ou um descuido. |
| Autenticações bem-sucedidas de países/regiões dos quais sua organização não opera. | Meio | Log de entrada do Microsoft Entra | Status = sucesso Localização = <país/região não aprovado> |
Monitore e alerte sobre quaisquer entradas que não sejam iguais aos nomes de cidades que você fornecer. Regras Sigma |
| Autenticação bem-sucedida, sessão bloqueada pelo Acesso Condicional. | Meio | Log de entrada do Microsoft Entra | Status = sucesso - e - código de erro = 53003 – Motivo da falha, bloqueado pelo Acesso Condicional |
Monitore e investigue quando a autenticação é bem-sucedida, mas a sessão é bloqueada pelo Acesso Condicional. Modelo do Microsoft Sentinel Regras Sigma |
| Autenticação bem-sucedida depois de desabilitar a autenticação herdada. | Meio | Log de entrada do Microsoft Entra | status = sucesso - e - Aplicativo cliente = Outros clientes, POP, IMAP, MAPI, SMTP, ActiveSync |
Se sua organização tiver desabilitado a autenticação herdada, monitore e alerte quando a autenticação herdada bem-sucedida tiver ocorrido. Modelo do Microsoft Sentinel Regras Sigma |
Recomendamos que você revise periodicamente as autenticações para aplicativos de médio impacto nos negócios (MBI) e alto impacto nos negócios (HBI), nos quais apenas a autenticação de fator único é necessária. Para cada um, você deseja determinar se a autenticação de fator único era esperada ou não. Além disso, verifique se a autenticação bem-sucedida aumenta ou em momentos inesperados, com base no local.
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Autenticações para aplicativos MBI e HBI usando autenticação de fator único. | Mínimo | Log de entrada do Microsoft Entra | status = sucesso - e - ID do aplicativo = <aplicativo HBI> - e - Requisito de autenticação = autenticação de fator único. |
Revisar e validar essa configuração é intencional. Regras Sigma |
| Autenticações em dias e horários da semana ou do ano em que países/regiões não realizam operações comerciais normais. | Mínimo | Log de entrada do Microsoft Entra | Capture a autenticação interativa que ocorre fora dos dias\hora normais de operação. Status = sucesso Localização = <localização> Data\Hora = <horas de trabalho não normais> |
Monitore e alerte em autenticações dias e horários da semana ou do ano que países/regiões não realizam operações comerciais normais. Regras Sigma |
| Aumento mensurável de entradas bem-sucedidas. | Mínimo | Log de entrada do Microsoft Entra | A captura aumenta na autenticação bem-sucedida em todos os setores. Ou seja, os totais de sucesso para hoje são >de 10% no mesmo dia, na semana anterior. | Se você não tiver um limite definido, monitore e alerte se as autenticações bem-sucedidas aumentarem em 10% ou mais. Modelo do Microsoft Sentinel Regras Sigma |
Próximos passos
Consulte estes artigos do guia de operações de segurança:
Visão geral das operações de segurança do Microsoft Entra
Operações de segurança para contas de consumidores
Operações de segurança para contas privilegiadas
Operações de segurança para o Privileged Identity Management
Operações de segurança para aplicações