Configurar alertas de segurança para funções do Azure no Privileged Identity Management
O Privileged Identity Management (PIM) gera alertas quando há atividades suspeitas ou inseguras em sua organização no Microsoft Entra ID. Quando um alerta é acionado, ele aparece na página Alertas.
Nota
Um evento no Privileged Identity Management pode gerar notificações por e-mail para vários destinatários – cessionários, aprovadores ou administradores. O número máximo de notificações enviadas por um evento é de 1000. Se o número de destinatários exceder 1000 – apenas os primeiros 1000 destinatários receberão uma notificação por e-mail. Isso não impede que outros cessionários, administradores ou aprovadores usem suas permissões no Microsoft Entra ID e no Privileged Identity Management.
Consultar alertas
Selecione um alerta para ver um relatório que liste os usuários ou funções que dispararam o alerta, juntamente com as diretrizes de correção.
Alertas
| Alerta | Gravidade | Acionador | Recomendação |
|---|---|---|---|
| Muitos proprietários atribuídos a um recurso | Médio | Muitos usuários têm a função de proprietário. | Revise os usuários na lista e reatribua alguns a funções menos privilegiadas. |
| Demasiados proprietários permanentes atribuídos a um recurso | Médio | Muitos usuários são atribuídos permanentemente a uma função. | Revise os usuários na lista e reatribua alguns para exigir ativação para uso de função. |
| Função duplicada criada | Médio | Várias funções têm os mesmos critérios. | Use apenas uma dessas funções. |
| As funções estão sendo atribuídas fora do Privileged Identity Management | Alto | Uma função é gerenciada diretamente por meio do recurso do IAM do Azure ou da API do Azure Resource Manager. | Revise os usuários na lista e remova-os de funções privilegiadas atribuídas fora do Privilege Identity Management. |
Nota
Para as funções que estão sendo atribuídas fora dos alertas do Privileged Identity Management , você pode encontrar notificações duplicadas. Essas duplicações podem estar principalmente relacionadas a um possível incidente no site ativo em que as notificações estão sendo enviadas novamente.
Gravidade
- Alto: Requer ação imediata devido a uma violação de política.
- Médio: Não requer ação imediata, mas sinaliza uma potencial violação da política.
- Baixo: Não requer ação imediata, mas sugere uma mudança de política preferida.
Definir configurações de alerta de segurança
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Siga estas etapas para configurar alertas de segurança para funções do Azure no Privileged Identity Management:
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de função privilegiada.
Navegue até Governança de>identidades Gerenciamento privilegiado de identidades>Recursos do Azure Selecione sua configuração de alertas>de assinatura.> Para obter informações sobre como adicionar o bloco Privileged Identity Management ao seu painel, consulte Começar a usar o Privileged Identity Management.
Personalize as configurações nos diferentes alertas para trabalhar com seu ambiente e metas de segurança.
Nota
O alerta "Funções estão sendo atribuídas fora do Gerenciamento de Identidades Privilegiadas" é acionado para atribuições de função criadas para assinaturas do Azure e não é acionado para atribuições de função em Grupos de Gerenciamento, Grupos de Recursos ou escopo de Recursos."