Operações de segurança para contas privilegiadas no Microsoft Entra ID
A segurança dos ativos de negócios depende da integridade das contas privilegiadas que administram seus sistemas de TI. Os atacantes cibernéticos usam ataques de roubo de credenciais e outros meios para atingir contas privilegiadas e obter acesso a dados confidenciais.
Tradicionalmente, a segurança organizacional tem se concentrado nos pontos de entrada e saída de uma rede como o perímetro de segurança. No entanto, as aplicações de software como serviço (SaaS) e os dispositivos pessoais na Internet tornaram esta abordagem menos eficaz.
O Microsoft Entra ID usa o gerenciamento de identidade e acesso (IAM) como o plano de controle. Na camada de identidade da sua organização, os usuários atribuídos a funções administrativas privilegiadas estão no controle. As contas usadas para acesso devem ser protegidas, seja o ambiente local, na nuvem ou híbrido.
Você é totalmente responsável por todas as camadas de segurança do seu ambiente de TI local. Quando você usa os serviços do Azure, a prevenção e a resposta são responsabilidades conjuntas da Microsoft como provedor de serviços de nuvem e você como cliente.
- Para obter mais informações sobre o modelo de responsabilidade compartilhada, consulte Responsabilidade compartilhada na nuvem.
- Para obter mais informações sobre como proteger o acesso para usuários privilegiados, consulte Protegendo o acesso privilegiado para implantações híbridas e na nuvem no Microsoft Entra ID.
- Para obter uma ampla variedade de vídeos, guias de instruções e conteúdo dos principais conceitos de identidade privilegiada, consulte a documentação do Privileged Identity Management.
Ficheiros de registo a monitorizar
Os arquivos de log que você usa para investigação e monitoramento são:
No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixar como arquivos CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação do monitoramento e alerta:
Microsoft Sentinel. Permite análises de segurança inteligentes no nível corporativo, fornecendo recursos de gerenciamento de eventos e informações de segurança (SIEM).
Regras Sigma - Sigma é um padrão aberto em evolução para escrever regras e modelos que as ferramentas de gerenciamento automatizado podem usar para analisar arquivos de log. Onde existem modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são escritos, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.
Azure Monitor. Permite a monitorização e alerta automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de diferentes fontes.
Hubs de Eventos do Azure integrados com um SIEM. Permite que os logs do Microsoft Entra sejam enviados por push para outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração dos Hubs de Eventos do Azure. Para obter mais informações, consulte Transmitir logs do Microsoft Entra para um hub de eventos do Azure.
Microsoft Defender para aplicativos na nuvem. Permite-lhe descobrir e gerir aplicações, controlar aplicações e recursos e verificar a conformidade das suas aplicações na nuvem.
Microsoft Graph. Permite exportar dados e usar o Microsoft Graph para fazer mais análises. Para obter mais informações, consulte SDK do Microsoft Graph PowerShell e Proteção de ID do Microsoft Entra.
Proteção de identidade. Gera três relatórios principais que você pode usar para ajudar na investigação:
Utilizadores arriscados. Contém informações sobre quais usuários estão em risco, detalhes sobre deteções, histórico de todas as entradas de risco e histórico de riscos.
Entradas arriscadas. Contém informações sobre um início de sessão que podem indicar circunstâncias suspeitas. Para obter mais informações sobre como investigar informações deste relatório, consulte Investigar risco.
Deteções de risco. Contém informações sobre outros riscos acionados quando um risco é detetado e outras informações pertinentes, como local de entrada e quaisquer detalhes do Microsoft Defender for Cloud Apps.
Protegendo identidades de carga de trabalho com o Identity Protection Preview. Use para detetar o risco em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.
Embora desencorajemos a prática, contas privilegiadas podem ter direitos de administração permanentes. Se você optar por usar privilégios permanentes e a conta for comprometida, isso pode ter um efeito fortemente negativo. Recomendamos que você priorize o monitoramento de contas privilegiadas e inclua as contas em sua configuração de Gerenciamento de Identidade Privilegiada (PIM). Para obter mais informações sobre o PIM, consulte Começar a usar o Privileged Identity Management. Além disso, recomendamos que você valide essas contas de administrador:
- São obrigatórios.
- Tenha o menor privilégio para executar as atividades necessárias.
- Estão protegidos com autenticação multifator, no mínimo.
- São executados a partir de dispositivos de estação de trabalho de acesso privilegiado (PAW) ou estação de trabalho de administração segura (SAW).
O restante deste artigo descreve o que recomendamos que você monitore e alerte. O artigo está organizado pelo tipo de ameaça. Quando existem soluções específicas pré-construídas, ligamo-las a elas seguindo a tabela. Caso contrário, você pode criar alertas usando as ferramentas descritas acima.
Este artigo fornece detalhes sobre como definir linhas de base e auditar a entrada e o uso de contas privilegiadas. Ele também discute ferramentas e recursos que você pode usar para ajudar a manter a integridade de suas contas privilegiadas. O conteúdo está organizado nos seguintes temas:
- Contas de emergência "quebra-vidro"
- Início de sessão privilegiado na conta
- Alterações na conta privilegiada
- Grupos privilegiados
- Atribuição e elevação de privilégios
Contas de acesso de emergência
É importante que você evite ser bloqueado acidentalmente do seu locatário do Microsoft Entra. Você pode atenuar o efeito de um bloqueio acidental criando contas de acesso de emergência em sua organização. As contas de acesso de emergência também são conhecidas como contas de quebra-vidro, como em mensagens de "quebrar vidro em caso de emergência" encontradas em equipamentos de segurança física, como alarmes de incêndio.
As contas de acesso de emergência são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas a cenários de emergência ou de quebra de vidro em que as contas privilegiadas normais não podem ser usadas. Um exemplo é quando uma política de Acesso Condicional é configurada incorretamente e bloqueia todas as contas administrativas normais. Restrinja o uso de emergência da conta apenas aos momentos em que é absolutamente necessário.
Para obter orientação sobre o que fazer em caso de emergência, consulte Práticas de acesso seguro para administradores no Microsoft Entra ID.
Envie um alerta de alta prioridade sempre que uma conta de acesso de emergência for usada.
Deteção
Como as contas quebra-vidro só são usadas em caso de emergência, seu monitoramento não deve descobrir nenhuma atividade da conta. Envie um alerta de alta prioridade sempre que uma conta de acesso de emergência for usada ou alterada. Qualquer um dos seguintes eventos pode indicar que um agente mal-intencionado está tentando comprometer seus ambientes:
- Iniciar sessão.
- Alteração da palavra-passe da conta.
- Permissão ou funções da conta alteradas.
- Método de credencial ou autenticação adicionado ou alterado.
Para obter mais informações sobre como gerenciar contas de acesso de emergência, consulte Gerenciar contas de administrador de acesso de emergência no Microsoft Entra ID. Para obter informações detalhadas sobre como criar um alerta para uma conta de emergência, consulte Criar uma regra de alerta.
Início de sessão privilegiado na conta
Monitore toda a atividade de entrada de conta privilegiada usando os logs de entrada do Microsoft Entra como fonte de dados. Além das informações de sucesso e falha de entrada, os logs contêm os seguintes detalhes:
- Interrupções
- Dispositivo
- Location
- Risco
- Aplicação
- Data e hora
- A conta está desativada
- Bloqueio
- Fraude no AMF
- Falha de acesso condicional
Aspetos a monitorizar
Você pode monitorar eventos de entrada de conta privilegiada nos logs de entrada do Microsoft Entra. Alerte e investigue os seguintes eventos para contas privilegiadas.
| O que monitorizar | Nível de risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Falha de login, limite de senha incorreta | Alto | Log de entrada do Microsoft Entra | Status = Falha - e - código de erro = 50126 |
Defina um limite de linha de base e, em seguida, monitore e ajuste para se adequar aos seus comportamentos organizacionais e limite a geração de falsos alertas. Modelo do Microsoft Sentinel Regras Sigma |
| Falha devido ao requisito de acesso condicional | Alto | Log de entrada do Microsoft Entra | Status = Falha - e - código de erro = 53003 - e - Motivo da falha = Bloqueado pelo Acesso Condicional |
Esse evento pode ser uma indicação de que um invasor está tentando entrar na conta. Modelo do Microsoft Sentinel Regras Sigma |
| Contas privilegiadas que não seguem a política de nomenclatura | Subscrição do Azure | Utilizar o portal do Azure para listar atribuições de funções do Azure | Liste atribuições de função para assinaturas e alerte quando o nome de entrada não corresponder ao formato da sua organização. Um exemplo é o uso de ADM_ como prefixo. | |
| Interromper | Alto, médio | Entradas do Microsoft Entra | Status = Interrompido - e - código de erro = 50074 - e - Motivo da falha = Autenticação forte necessária Status = Interrompido - e - Código de erro = 500121 Motivo da falha = Falha na autenticação durante a solicitação de autenticação forte |
Esse evento pode ser uma indicação de que um invasor tem a senha da conta, mas não pode passar no desafio de autenticação multifator. Modelo do Microsoft Sentinel Regras Sigma |
| Contas privilegiadas que não seguem a política de nomenclatura | Alto | Diretório Microsoft Entra | Listar atribuições de função do Microsoft Entra | Liste atribuições de função para funções do Microsoft Entra e alerte onde o UPN não corresponde ao formato da sua organização. Um exemplo é o uso de ADM_ como prefixo. |
| Descubra contas privilegiadas não registradas para autenticação multifator | Alto | Microsoft Graph API | Consulta para IsMFARegistered eq false para contas de administrador. Listar credenciaisUserRegistrationDetails - Microsoft Graph beta | Audite e investigue para determinar se o evento é intencional ou um descuido. |
| Bloqueio de conta | Alto | Log de entrada do Microsoft Entra | Status = Falha - e - código de erro = 50053 |
Defina um limite de linha de base e, em seguida, monitore e ajuste para se adequar aos seus comportamentos organizacionais e limitar a geração de falsos alertas. Modelo do Microsoft Sentinel Regras Sigma |
| Conta desativada ou bloqueada para entradas | Baixo | Log de entrada do Microsoft Entra | Status = Falha - e - Destino = UPN do usuário - e - código de erro = 50057 |
Esse evento pode indicar que alguém está tentando obter acesso a uma conta depois de sair da organização. Embora a conta esteja bloqueada, ainda é importante registrar e alertar sobre essa atividade. Modelo do Microsoft Sentinel Regras Sigma |
| Alerta ou bloqueio de fraude de MFA | Alto | Log de entrada do Microsoft Entra/Azure Log Analytics | Logins>Detalhes de autenticação Detalhes do resultado = MFA negada, código de fraude inserido | O usuário privilegiado indicou que não instigou o prompt de autenticação multifator, o que pode indicar que um invasor tem a senha da conta. Modelo do Microsoft Sentinel Regras Sigma |
| Alerta ou bloqueio de fraude de MFA | Alto | Log de log de auditoria do Microsoft Entra/Azure Log Analytics | Tipo de atividade = Fraude reportada - O utilizador está bloqueado para MFA ou fraude comunicada - Nenhuma ação tomada (com base nas definições ao nível do inquilino para o relatório de fraude) | O usuário privilegiado indicou que não instigou o prompt de autenticação multifator, o que pode indicar que um invasor tem a senha da conta. Modelo do Microsoft Sentinel Regras Sigma |
| Entradas de conta privilegiadas fora dos controles esperados | Log de entrada do Microsoft Entra | Status = Falha UserPricipalName = <Conta de administrador> Localização = <local não aprovado> Endereço IP = <IP não aprovado> Informações do dispositivo = <navegador não aprovado, sistema operacional> |
Monitore e alerte sobre quaisquer entradas que você definiu como não aprovadas. Modelo do Microsoft Sentinel Regras Sigma |
|
| Fora dos horários normais de início de sessão | Alto | Log de entrada do Microsoft Entra | Status = Sucesso - e - Localização = - e - Tempo = Fora do horário de trabalho |
Monitore e alerte se os logins ocorrerem fora dos horários esperados. É importante encontrar o padrão de trabalho normal para cada conta privilegiada e alertar se houver mudanças não planejadas fora do horário normal de trabalho. Entradas fora do horário normal de trabalho podem indicar comprometimento ou possíveis ameaças internas. Modelo do Microsoft Sentinel Regras Sigma |
| Risco de proteção de identidade | Alto | Logs de proteção de identidade | Estado de risco = Em risco - e - Nível de risco = Baixo, médio, alto - e - Atividade = Entrada desconhecida/TOR e assim por diante |
Esse evento indica que há alguma anormalidade detetada com o login da conta e deve ser alertado. |
| Alteração da palavra-passe | Alto | Registos de auditoria do Microsoft Entra | Ator de atividade = Admin/self-service - e - Alvo = Utilizador - e - Status = Sucesso ou fracasso |
Alerte sobre qualquer alteração de senha de conta de administrador, especialmente para Administradores Globais, Administradores de Usuários e contas de acesso de emergência. Escreva uma consulta direcionada a todas as contas privilegiadas. Modelo do Microsoft Sentinel Regras Sigma |
| Alteração no protocolo de autenticação herdado | Alto | Log de entrada do Microsoft Entra | Aplicativo Cliente = Outro cliente, IMAP, POP3, MAPI, SMTP e assim por diante - e - Nome de usuário = UPN - e - Aplicação = Exchange (exemplo) |
Muitos ataques usam autenticação herdada, portanto, se houver uma mudança no protocolo de autenticação para o usuário, isso pode ser uma indicação de um ataque. Modelo do Microsoft Sentinel Regras Sigma |
| Novo dispositivo ou localização | Alto | Log de entrada do Microsoft Entra | Informações do dispositivo = ID do dispositivo - e - Browser - e - SO - e - Conforme/Gerenciado - e - Alvo = Utilizador - e - Location |
A maioria das atividades administrativas deve ser de dispositivos de acesso privilegiado, de um número limitado de locais. Por esse motivo, alerte sobre novos dispositivos ou locais. Modelo do Microsoft Sentinel Regras Sigma |
| A configuração de alerta de auditoria foi alterada | Alto | Registos de auditoria do Microsoft Entra | Serviço = PIM - e - Categoria = Gestão de funções - e - Atividade = Desativar alerta PIM - e - Status = Sucesso |
As alterações a um alerta principal devem ser alertadas se inesperadas. Modelo do Microsoft Sentinel Regras Sigma |
| Administradores autenticando em outros locatários do Microsoft Entra | Médio | Log de entrada do Microsoft Entra | Status = sucesso Resource tenantID != ID do locatário doméstico |
Quando definido como escopo para Usuários Privilegiados, este monitor deteta quando um administrador se autenticou com êxito em outro locatário do Microsoft Entra com uma identidade no locatário da sua organização. Alertar se o Resource TenantID não for igual ao Home Tenant ID Modelo do Microsoft Sentinel Regras Sigma |
| Estado do usuário administrador alterado de Convidado para Membro | Médio | Registos de auditoria do Microsoft Entra | Atividade: Atualizar usuário Categoria: UserManagement UserType alterado de Convidado para Membro |
Monitore e alerte sobre a mudança do tipo de usuário de Convidado para Membro. Essa mudança era esperada? Modelo do Microsoft Sentinel Regras Sigma |
| Usuários convidados para o locatário por convidados não aprovados | Médio | Registos de auditoria do Microsoft Entra | Atividade: Convidar usuário externo Categoria: UserManagement Iniciado por (ator): Nome Principal do Utilizador |
Monitorar e alertar sobre atores não aprovados que convidam usuários externos. Modelo do Microsoft Sentinel Regras Sigma |
Alterações por contas privilegiadas
Monitore todas as alterações concluídas e tentadas por uma conta privilegiada. Esses dados permitem estabelecer qual é a atividade normal para cada conta privilegiada e alertar sobre a atividade que se desvia do esperado. Os logs de auditoria do Microsoft Entra são usados para registrar esse tipo de evento. Para obter mais informações sobre logs de auditoria do Microsoft Entra, consulte Logs de auditoria no Microsoft Entra ID.
Microsoft Entra Domain Services
As contas privilegiadas às quais foram atribuídas permissões nos Serviços de Domínio Microsoft Entra podem executar tarefas para os Serviços de Domínio Microsoft Entra que afetam a postura de segurança das máquinas virtuais hospedadas no Azure que usam os Serviços de Domínio Microsoft Entra. Habilite auditorias de segurança em máquinas virtuais e monitore os logs. Para obter mais informações sobre como habilitar auditorias dos Serviços de Domínio Microsoft Entra e para obter uma lista de privilégios confidenciais, consulte os seguintes recursos:
- Habilitar auditorias de segurança para os Serviços de Domínio Microsoft Entra
- Uso de privilégios sensíveis à auditoria
| O que monitorizar | Nível de risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Alterações tentadas e concluídas | Alto | Registos de auditoria do Microsoft Entra | Data e hora - e - Serviço - e - Categoria e nome da atividade (o quê) - e - Status = Sucesso ou fracasso - e - Destino - e - Iniciador ou ator (quem) |
Quaisquer alterações não planeadas devem ser alertadas imediatamente. Esses registros devem ser mantidos para ajudar em qualquer investigação. Quaisquer alterações no nível do inquilino devem ser investigadas imediatamente (link para o Infra doc) que diminuam a postura de segurança do seu inquilino. Um exemplo é a exclusão de contas da autenticação multifator ou do Acesso Condicional. Alertar sobre quaisquer adições ou alterações às aplicações. Consulte o guia de operações de segurança do Microsoft Entra para Aplicativos. |
| Exemplo Alteração tentada ou concluída para aplicativos ou serviços de alto valor |
Alto | Registo de auditoria | Serviço - e - Categoria e nome da atividade |
Data e hora, Serviço, Categoria e nome da atividade, Status = Sucesso ou fracasso, Alvo, Iniciador ou ator (quem) |
| Alterações privilegiadas nos Serviços de Domínio do Microsoft Entra | Alto | Microsoft Entra Domain Services | Procure o evento 4673 | Habilitar auditorias de segurança para os Serviços de Domínio Microsoft Entra Para obter uma lista de todos os eventos privilegiados, consulte Uso de privilégios sensíveis à auditoria. |
Alterações em contas privilegiadas
Investigue as alterações nas regras e privilégios de autenticação de contas privilegiadas, especialmente se a alteração fornecer maior privilégio ou a capacidade de executar tarefas em seu ambiente Microsoft Entra.
| O que monitorizar | Nível de risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Criação de conta privilegiada | Médio | Registos de auditoria do Microsoft Entra | Serviço = Diretório Principal - e - Categoria = Gestão de utilizadores - e - Tipo de atividade = Adicionar usuário -correlacionar com- Tipo de categoria = Gerenciamento de função - e - Tipo de atividade = Adicionar membro à função - e - Propriedades modificadas = Role.DisplayName |
Monitore a criação de contas privilegiadas. Procure uma correlação de curto espaço de tempo entre a criação e a exclusão de contas. Modelo do Microsoft Sentinel Regras Sigma |
| Alterações nos métodos de autenticação | Alto | Registos de auditoria do Microsoft Entra | Serviço = Método de Autenticação - e - Tipo de atividade = Informações de segurança registadas pelo utilizador - e - Categoria = Gestão de utilizadores |
Essa alteração pode ser uma indicação de que um invasor está adicionando um método de autenticação à conta para que eles possam ter acesso contínuo. Modelo do Microsoft Sentinel Regras Sigma |
| Alerta sobre alterações nas permissões de conta privilegiada | Alto | Registos de auditoria do Microsoft Entra | Categoria = Gestão de funções - e - Tipo de atividade = Adicionar membro elegível (permanente) -or- Tipo de atividade = Adicionar membro elegível (elegível) - e - Status = Sucesso ou fracasso - e - Propriedades modificadas = Role.DisplayName |
Este alerta destina-se especialmente a contas a quem estão atribuídas funções que não são conhecidas ou que estão fora das suas responsabilidades normais. Regras Sigma |
| Contas privilegiadas não utilizadas | Médio | Análises de acesso do Microsoft Entra | Execute uma revisão mensal para contas de usuário privilegiado inativas. Regras Sigma |
|
| Contas isentas de acesso condicional | Alto | Registos do Azure Monitor -or- Revisões de Acesso |
Acesso condicional = Insights e relatórios | Qualquer conta isenta de Acesso Condicional provavelmente ignora os controles de segurança e é mais vulnerável a comprometimentos. As contas quebra-vidros estão isentas. Consulte informações sobre como monitorar contas quebra-vidro mais adiante neste artigo. |
| Adição de um Passe de Acesso Temporário a uma conta privilegiada | Alto | Registos de auditoria do Microsoft Entra | Atividade: Informações de segurança registadas pelo administrador Motivo do status: Método de passagem de acesso temporário registrado pelo administrador para o usuário Categoria: UserManagement Iniciado por (ator): Nome Principal do Utilizador Destino: Nome Principal do Usuário |
Monitore e alerte sobre um Passe de Acesso Temporário que está sendo criado para um usuário privilegiado. Modelo do Microsoft Sentinel Regras Sigma |
Para obter mais informações sobre como monitorar exceções às políticas de Acesso Condicional, consulte Insights e relatórios de Acesso Condicional.
Para obter mais informações sobre como descobrir contas privilegiadas não utilizadas, consulte Criar uma revisão de acesso de funções do Microsoft Entra no Privileged Identity Management.
Atribuição e elevação
Ter contas privilegiadas que são permanentemente provisionadas com habilidades elevadas pode aumentar a superfície de ataque e o risco para o seu limite de segurança. Em vez disso, empregue o acesso just-in-time usando um procedimento de elevação. Esse tipo de sistema permite que você atribua elegibilidade para funções privilegiadas. Os administradores elevam seus privilégios a essas funções somente quando executam tarefas que precisam desses privilégios. O uso de um processo de elevação permite monitorar elevações e o não uso de contas privilegiadas.
Estabelecer uma linha de base
Para monitorar exceções, você deve primeiro criar uma linha de base. Determine as seguintes informações para esses elementos:
Contas de administrador
- A sua estratégia de conta privilegiada
- Uso de contas locais para administrar recursos locais
- Utilização de contas baseadas na nuvem para administrar recursos baseados na nuvem
- Abordagem para separar e monitorar permissões administrativas para recursos locais e baseados em nuvem
Proteção de função privilegiada
- Estratégia de proteção para funções com privilégios administrativos
- Política organizacional para o uso de contas privilegiadas
- Estratégia e princípios para manter privilégios permanentes versus fornecer acesso limitado no tempo e aprovado
Os seguintes conceitos e informações ajudam a determinar políticas:
- Princípios de administração just-in-time. Use os logs do Microsoft Entra para capturar informações para executar tarefas administrativas comuns em seu ambiente. Determine a quantidade típica de tempo necessária para concluir as tarefas.
- Princípios de administração suficientes. Determine a função menos privilegiada, que pode ser uma função personalizada, necessária para tarefas administrativas. Para obter mais informações, consulte Funções menos privilegiadas por tarefa no Microsoft Entra ID.
- Estabeleça uma política de elevação. Depois de obter informações sobre o tipo de privilégio elevado necessário e quanto tempo é necessário para cada tarefa, crie políticas que reflitam o uso de privilégios elevados para seu ambiente. Como exemplo, defina uma política para limitar a elevação de função a uma hora.
Depois de estabelecer sua linha de base e definir a política, você pode configurar o monitoramento para detetar e alertar o uso fora da política.
Deteção
Preste especial atenção e investigue as mudanças na atribuição e elevação de privilégios.
Aspetos a monitorizar
Você pode monitorar alterações de conta privilegiada usando os logs de auditoria do Microsoft Entra e os logs do Azure Monitor. Inclua as seguintes alterações no seu processo de monitorização.
| O que monitorizar | Nível de risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Adicionado à função privilegiada elegível | Alto | Registos de auditoria do Microsoft Entra | Serviço = PIM - e - Categoria = Gestão de funções - e - Tipo de atividade = Adicionar membro à função concluída (elegível) - e - Status = Sucesso ou fracasso - e - Propriedades modificadas = Role.DisplayName |
Qualquer conta elegível para uma função está agora a receber acesso privilegiado. Se a atribuição for inesperada ou para uma função que não é da responsabilidade do titular da conta, investigue. Modelo do Microsoft Sentinel Regras Sigma |
| Funções atribuídas fora do PIM | Alto | Registos de auditoria do Microsoft Entra | Serviço = PIM - e - Categoria = Gestão de funções - e - Tipo de atividade = Adicionar membro à função (permanente) - e - Status = Sucesso ou fracasso - e - Propriedades modificadas = Role.DisplayName |
Estas funções devem ser monitorizadas e alertadas de perto. Os usuários não devem receber funções fora do PIM sempre que possível. Modelo do Microsoft Sentinel Regras Sigma |
| Elevações | Médio | Registos de auditoria do Microsoft Entra | Serviço = PIM - e - Categoria = Gestão de funções - e - Tipo de atividade = Adicionar membro à função concluída (ativação PIM) - e - Status = Sucesso ou fracasso - e - Propriedades modificadas = Role.DisplayName |
Depois que uma conta privilegiada é elevada, ela pode fazer alterações que podem afetar a segurança do seu locatário. Todas as elevações devem ser registradas e, se acontecerem fora do padrão padrão para esse usuário, devem ser alertadas e investigadas se não forem planejadas. |
| Aprovações e recusa de elevação | Baixo | Registos de auditoria do Microsoft Entra | Serviço = Revisão de acesso - e - Categoria = UserManagement - e - Tipo de atividade = Solicitação aprovada ou negada - e - Ator iniciado = UPN |
Monitore todas as elevações porque isso pode dar uma indicação clara da linha do tempo para um ataque. Modelo do Microsoft Sentinel Regras Sigma |
| Alterações nas configurações do PIM | Alto | Registos de auditoria do Microsoft Entra | Serviço = PIM - e - Categoria = Gestão de funções - e - Tipo de atividade = Configuração de função de atualização no PIM - e - Motivo do status = MFA na ativação desabilitada (exemplo) |
Uma dessas ações poderia reduzir a segurança da elevação do PIM e facilitar a aquisição de uma conta privilegiada pelos invasores. Modelo do Microsoft Sentinel Regras Sigma |
| Elevação não ocorrida com SAW/PAW | Alto | Registos de início de sessão do Microsoft Entra | ID do dispositivo - e - Browser - e - SO - e - Conforme/Gerenciado Correlacione com: Serviço = PIM - e - Categoria = Gestão de funções - e - Tipo de atividade = Adicionar membro à função concluída (ativação PIM) - e - Status = Sucesso ou fracasso - e - Propriedades modificadas = Role.DisplayName |
Se essa alteração estiver configurada, qualquer tentativa de elevação em um dispositivo não-PAW/SAW deve ser investigada imediatamente, pois pode indicar que um invasor está tentando usar a conta. Regras Sigma |
| Elevação para gerenciar todas as assinaturas do Azure | Alto | Azure Monitor | Guia Registro de atividades Guia Atividade do Diretório Nome das Operações = Atribui o chamador ao administrador de acesso do usuário -e- Categoria do evento = Administrativo - e - Status = Sucedido, iniciar, falhar - e - Evento iniciado por |
Esta alteração deve ser investigada imediatamente se não for planeada. Essa configuração pode permitir que um invasor acesse assinaturas do Azure em seu ambiente. |
Para obter mais informações sobre como gerenciar elevação, consulte Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure. Para obter informações sobre como monitorar elevações usando informações disponíveis nos logs do Microsoft Entra, consulte Log de atividades do Azure, que faz parte da documentação do Azure Monitor.
Para obter informações sobre como configurar alertas para funções do Azure, consulte Configurar alertas de segurança para funções de recursos do Azure no Privileged Identity Management.
Próximos passos
Consulte estes artigos do guia de operações de segurança:
Visão geral das operações de segurança do Microsoft Entra
Operações de segurança para contas de utilizador
Operações de segurança para contas de consumidores
Operações de segurança para o Privileged Identity Management
Operações de segurança para aplicações