Guia de alertas do Microsoft Entra Permissions Management

Os alertas são essenciais para ajudar a resolver problemas de permissões. Os alertas permitem que sua organização adote uma abordagem proativa para gerenciar identidades e seu acesso aos recursos.

Use o Gerenciamento de Permissões do Microsoft Entra para configurar alertas para monitorar continuamente seu ambiente para cenários como contas com privilégios excessivos e identidades inativas. Ele também pode notificá-lo sobre ameaças potenciais, interrupções de serviço e uso de permissões anômalas.

Os alertas de Gerenciamento de Permissões vão para usuários inscritos por e-mail e têm exibições resumidas: o alerta acionado, o sistema de autorização em questão e o número de identidades, tarefas e recursos envolvidos no alerta. Exiba alertas no Gerenciamento de permissões para obter informações mais detalhadas sobre gatilhos.

Nota

Os alertas de Gerenciamento de permissões não são em tempo real; Eles são baseados nas atualizações do registro de atividades do produto, portanto, pode haver um atraso entre a atividade e o alerta.

Há quatro tipos de alertas para configurar no Gerenciamento de Permissões do Microsoft Entra:

• Anomalia estatística
• Anomalia baseada em regras
• Análise de permissões
• Atividade

Alertas de anomalias estatísticas

Os alertas de anomalias estatísticas usam recursos de inteligência artificial (IA) e aprendizado de máquina (ML) do Microsoft Entra Permissions Management. Com base em informações de log de atividades anteriores, o Gerenciamento de Permissões classifica e determina o comportamento típico de cada identidade. Você seleciona entre alertas pré-configurados para atividades atípicas ou suspeitas em seu ambiente. Por exemplo, você pode ser notificado quando uma identidade executa um grande número de tarefas ou quando uma identidade executa tarefas em um horário incomum do dia.

Os alertas estatísticos de anomalias são úteis para a deteção de ameaças, porque atividades incomuns em seu ambiente podem ser um sinal de uma conta comprometida. Use esses alertas para detetar possíveis interrupções do serviço. Os seis alertas de anomalia estatística pré-configurados são:

• Identidade executada Alto número de tarefas: use este alerta para deteção de ameaças. Identidades que executam um número atipicamente alto de tarefas podem ser uma indicação de comprometimento.
• Identidade executada Baixo número de tarefas: este alerta é útil para detetar possíveis interrupções de serviço, especialmente de contas de máquina. As identidades que executam um número anormalmente baixo de tarefas podem ser uma indicação de interrupções repentinas ou problemas de permissões.
• Tarefas executadas por identidade com vários padrões incomuns: use este alerta para deteção de ameaças. Identidades com vários padrões de tarefas incomuns podem ser uma indicação de uma conta comprometida.
• Tarefas executadas por identidade com resultados incomuns: esse alerta é útil para detetar possíveis interrupções do serviço. Identidades que executam tarefas com resultados incomuns, como tarefas que falham, podem indicar interrupções repentinas ou problemas de permissões.
• Tarefas executadas por identidade com tempo incomum: este alerta é para deteção de ameaças. As identidades que executam tarefas fora de suas horas típicas podem indicar uma conta comprometida ou um usuário acessando recursos de um local atípico.
• Tarefas executadas por identidade com tipos incomuns: este alerta é para deteção de ameaças. Identidades subitamente executando tarefas que geralmente não executam podem indicar uma conta comprometida.

Para obter mais informações sobre esses alertas pré-configurados, consulte Criar e exibir alertas estatísticos de anomalia e gatilhos de alerta.

Responder a alertas de anomalias estatísticas

Um alerta de anomalia estatística pode indicar um potencial incidente de segurança ou interrupção do serviço. Isso não significa necessariamente que um incidente ocorreu. Existem casos de uso válidos que acionam esses alertas. Por exemplo, um funcionário em uma viagem de negócios fora do país, em um novo fuso horário, pode disparar um alerta de Tarefas Executadas por Identidade com Tempo Incomum .

Em geral, recomendamos que você investigue a identidade para determinar se uma ação é necessária. Use a guia Auditoria no Gerenciamento de permissões ou analise informações de log recentes.

Alertas de anomalia baseados em regras

Os alertas de anomalia baseados em regras são pré-configurados. Use-os para notificação da atividade inicial em seu ambiente. Por exemplo, crie alertas para acesso inicial a recursos ou quando os usuários executam tarefas pela primeira vez.

Use alertas de anomalia baseados em regras para sistemas de autorização de produção altamente confidenciais ou identidades que você deseja monitorar de perto.

Existem três alertas de anomalia baseados em regras pré-configurados:

• Qualquer recurso acessado pela primeira vez: use este gatilho para ser notificado sobre novos recursos ativos em um sistema de autorização. Por exemplo, um usuário cria uma nova instância de Armazenamento de Blob do Microsoft Azure em uma assinatura sem o seu conhecimento. O gatilho alerta quando o novo Armazenamento de Blobs é acessado pela primeira vez.
• A identidade executa uma tarefa específica pela primeira vez: use esse gatilho para detetar o aumento do escopo ou o aumento das permissões de seus usuários. Por exemplo, se um usuário executa tarefas diferentes pela primeira vez, a conta pode ser comprometida ou talvez o usuário tenha tido recentemente uma alteração nas permissões que lhe permite executar novas tarefas.
• A identidade executa uma tarefa pela primeira vez: use este gatilho de alerta para novos usuários ativos em uma assinatura ou para detetar contas inativas comprometidas. Por exemplo, um novo usuário é provisionado em uma assinatura do Azure. Esse gatilho alerta quando o novo usuário executa sua primeira tarefa.

Nota

A identidade executa uma tarefa específica pela primeira vez envia uma notificação quando um usuário executa uma tarefa exclusiva pela primeira vez . A identidade executa uma tarefa pela primeira vez envia uma notificação quando uma identidade executa sua primeira tarefa dentro de um período de tempo especificado.

Para saber mais, consulte Criar e exibir alertas de anomalia baseados em regras e gatilhos de alerta.

Responder a alertas de anomalia baseados em regras

Os alertas de anomalia baseados em regras podem gerar muitos alertas. Portanto, recomendamos que você os use para sistemas de autorização altamente confidenciais.

Quando você receber um alerta de anomalia baseado em regras, investigue a identidade ou o recurso para determinar se uma ação é necessária. Use a guia Auditoria no Gerenciamento de permissões ou analise informações de log recentes.

Alertas de análise de permissões

Os alertas de análise de permissões são pré-configurados; Use-os para as principais descobertas em seu ambiente. Cada alerta está vinculado a uma categoria no Relatório de Análise de Permissões. Por exemplo, você pode ser notificado sobre a inatividade do usuário ou quando um usuário se torna superautorizado.

Use alertas de análise de permissões para saber mais sobre as principais descobertas de forma proativa. Por exemplo, crie um alerta para novos usuários com permissão excessiva em seu ambiente.

Os alertas de análise de permissões desempenham um papel fundamental no fluxo Discover-Remediate-Monitor recomendado. O exemplo a seguir usa o fluxo para limpar usuários inativos em seu ambiente:

1. Descubra: use o Relatório de Análise de Permissões para descobrir usuários inativos em seu ambiente.
2. Corrigir: limpe os usuários inativos manualmente ou com ferramentas de correção no Gerenciamento de Permissões do Microsoft Entra.
3. Monitor: crie um alerta de análise de permissões para novos usuários inativos detetados em seu ambiente, permitindo assim uma abordagem proativa para limpar contas obsoletas.

Saiba mais no artigo, crie e visualize um gatilho de análise de permissão.

A lista a seguir de alertas de análise de permissões recomendadas é para ambientes de nuvem suportados. Adicione mais alertas de análise de permissões conforme necessário. As recomendações para Microsoft Azure, Amazone Web Services (AWS) e Google Cloud Platform (GCP) não refletem um ambiente específico.

Azure: recomendações de alertas de análise de permissões

• Usuários ativos superprovisionados
• Identidades de sistema ativas superprovisionadas
• Funções ativas sem servidor superprovisionadas
• Super Utilizadores
• Identidades do Super Sistema
• Super funções sem servidor
• Usuários inativos
• Grupos Inativos
• Funções inativas sem servidor
• Identidades de sistema inativas

AWS: recomendações de alertas de análise de permissões

• Usuários ativos superprovisionados
• Funções ativas provisionadas em excesso
• Recursos ativos superprovisionados
• Funções ativas sem servidor superprovisionadas
• Usuários com escalonamento de privilégios
• Funções com escalonamento de privilégios
• Contas com escalonamento de privilégios
• Super Utilizadores
• Super Papéis
• Super Recursos
• Super funções sem servidor
• Usuários inativos
• Funções inativas
• Grupos Inativos
• Recursos inativos
• Funções inativas sem servidor
• Usuários sem MFA (opcional dependendo do uso de IDP para MFA)

GCP: Recomendações de alertas de análise de permissões

• Usuários ativos superprovisionados
• Contas de serviço ativas superprovisionadas
• Funções ativas sem servidor superprovisionadas
• Usuários com escalonamento de privilégios
• Contas de serviço com escalonamento de privilégios
• Super Utilizadores
• Contas de Super Serviço
• Super funções sem servidor
• Usuários inativos
• Grupos Inativos
• Funções inativas sem servidor
• Contas sem servidor inativas

Responder a alertas de análise de permissões

A correção varia para cada alerta. Há casos de uso válidos que disparam alertas de análise de permissões. Por exemplo, suas contas de administrador ou contas de acesso de emergência podem disparar alertas para usuários ativos provisionados em excesso. Se nenhuma correção for necessária, você poderá aplicar as tags ck_exclude_from_pci e ck_exclude_from_reports à identidade.

• ck_exclude_from_pci remove a identidade da pontuação PCI do sistema de autorização
• ck_exclude_from_reports remove a identidade das descobertas do Relatório de Análise de Permissões

Alertas de atividade

Os alertas de atividade monitoram continuamente identidades e recursos críticos para ajudá-lo a ficar ciente das atividades de alto risco em seu ambiente. Por exemplo, esses alertas podem notificá-lo sobre recursos acessados em seu ambiente ou tarefas executadas. Os alertas de atividade são personalizáveis. Você pode criar critérios de alerta com a interface fácil de usar, sem código. Saiba como criar e visualizar alertas de atividade e gatilhos de alerta.

As seções a seguir têm exemplos de alertas de atividade que você pode criar. Eles são organizados por ideias gerais e, em seguida, cenários para Azure, AWS e GCP.

Ideias de alerta de atividade geral

Aplique os seguintes alertas de atividade em ambientes de nuvem suportados: Azure, AWS e GCP.

Gatilho de alerta para monitorar a atividade da conta de acesso de emergência

As contas de acesso de emergência destinam-se a cenários em que as contas administrativas normais não podem ser utilizadas. Crie um alerta para monitorar a atividade dessas contas para detetar comprometimento e potencial uso indevido.

Gatilho de alerta para monitorar a atividade realizada em recursos críticos

Para recursos críticos em seu ambiente que você deseja monitorar, crie um alerta para notificá-lo sobre a atividade em um recurso específico, especialmente para deteção de ameaças.

Ideias de alerta de atividade do Azure

Gatilho de alerta para monitorar a atribuição direta de funções

Se sua organização usa um modelo de acesso just-in-time (JIT), crie um gatilho de alerta para notificá-lo da atribuição direta de função em uma assinatura do Azure.

Gatilho de alerta para monitorar o desligamento e a reinicialização da máquina virtual

Use alertas de atividade para monitorar tipos de recursos e detetar possíveis interrupções do serviço. O exemplo a seguir é um alerta de atividade para desativar e reiniciar a máquina virtual (VM) em uma assinatura do Azure.

Gatilho de alerta para monitorar identidades gerenciadas

Para monitorar determinados tipos de identidade ou recurso, crie um alerta para a atividade executada por uma identidade ou tipo de recurso específico. O exemplo a seguir é um alerta para monitorar a atividade de identidades gerenciadas em uma assinatura do Azure.

Ideias de alertas de atividade da AWS

Gatilho de alerta para monitorar a atividade por usuário root

Se houver contas altamente privilegiadas que você deseja monitorar, crie alertas para as atividades que essas contas executam. O exemplo a seguir é um alerta de atividade para monitorar a atividade do usuário raiz.

Gatilho de alerta para monitorar usuários criados por alguém que não está na função ITAdmins

Para tarefas que determinadas pessoas ou funções executam em seu ambiente, crie alertas para tarefas executadas por outras pessoas, potencialmente sinalizando um ator mal-intencionado. O exemplo a seguir é um alerta de atividade para usuários criado por alguém que não está na função ITAdmins.

Gatilho de alerta para monitorar tentativas de downloads de objetos não autorizados de um bucket do S3

É útil criar alertas para atividades com falha, para deteção de ameaças e deteção de interrupção de serviço. O alerta de atividade de exemplo a seguir é para uma falha de download de objeto bucket do Amazon Simple Storage Service (S3), o que pode indicar uma conta comprometida tentando acessar recursos não autorizados.

Gatilho de alerta para monitorar a atividade de falha de autorização para uma chave de acesso

Para monitorar chaves de acesso específicas, crie alertas de atividade para falhas de autorização.

Ideias de alerta de atividade do GCP

Gatilho de alerta para monitorar a criação de bancos de dados SQL na nuvem

Para monitorar novos recursos criados em seu ambiente, estabeleça alertas para a criação de tipos de recursos específicos. O exemplo a seguir é um alerta para a criação do Cloud SQL Database.

Gatilho de alerta para monitorar falhas de autorização para chaves de conta de serviço

Para monitorar suas chaves de serviço em busca de possíveis interrupções, crie um alerta de atividade para falhas de autorização, para uma chave de conta de serviço, em um projeto GCP.

Responder a alertas de atividade

Em geral, quando você recebe um alerta de atividade, recomendamos que você investigue a atividade para determinar se uma ação é necessária. Use a guia Auditoria no Gerenciamento de permissões ou analise informações de log recentes.

Nota

Como os alertas de atividade são personalizáveis, as respostas variam com base nos tipos de alerta de atividade implementados.

Próximos passos

A configuração de alertas é um componente operacional importante do Microsoft Entra Permissions Management. Esses alertas permitem que você monitore continuamente seu ambiente em busca de cenários como contas com privilégios excessivos e identidades inativas, além de notificá-lo sobre ameaças potenciais, interrupções de serviço e uso de permissões anômalas. Para obter orientações adicionais sobre as operações do Microsoft Entra Permissions Management, consulte os seguintes recursos:

• Fase 1: Implementar a estrutura para gerenciar em escala
• Fase 2: Permissões de tamanho certo e automatização do princípio de menor privilégio
• Fase 3: Configurar o monitoramento e o alerta do Gerenciamento de Permissões do Microsoft Entra