Partilhar via

Investigação de spray de senha

  • Artigo

Este artigo fornece orientação sobre como identificar e investigar ataques de pulverização de senha em sua organização e tomar as ações de correção necessárias para proteger as informações e minimizar outros riscos.

Este artigo contém as seguintes seções:

  • Pré-requisitos: Abrange os requisitos específicos que você precisa preencher antes de iniciar a investigação. Por exemplo, registro em log que deve ser ativado, funções e permissões necessárias, entre outros.
  • Fluxo de trabalho: mostra o fluxo lógico que você deve seguir para executar esta investigação.
  • Lista de verificação: contém uma lista de tarefas para cada uma das etapas do fluxograma. Esta lista de verificação pode ser útil em ambientes altamente regulamentados para verificar o que você fez ou simplesmente como uma porta de qualidade para si mesmo.
  • Etapas da investigação: Inclui orientações detalhadas passo a passo para esta investigação específica.
  • Recuperação: contém etapas de alto nível sobre como recuperar/mitigar de um ataque de pulverização de senha.
  • Referências: Contém mais materiais de leitura e de referência.

Pré-requisitos

Antes de iniciar a investigação, certifique-se de ter concluído a configuração para logs e alertas e outros requisitos do sistema.

Para monitoramento do Microsoft Entra, siga nossas recomendações e orientações em nosso Guia de SecOps do Microsoft Entra.

Configurar o registo do AD FS

Registo de eventos no ADFS 2016

Por padrão, os Serviços de Federação do Microsoft Ative Directory (ADFS) no Windows Server 2016 têm um nível básico de auditoria habilitado. Com a auditoria básica, os administradores podem ver cinco ou menos eventos para uma única solicitação. Defina o registo para o nível mais elevado e envie os registos do AD FS (segurança Ads) para um SIEM para se correlacionarem com a autenticação do AD e o ID do Microsoft Entra.

Para exibir o nível de auditoria atual, use este comando do PowerShell:

Get-AdfsProperties

Example of the Get-AdfsProperties PowerShell command

Esta tabela lista os níveis de auditoria disponíveis.

Nível de auditoria Sintaxe do PowerShell Description
None Set-AdfsProperties -AuditLevel None A auditoria está desativada e nenhum evento será registrado
Basic (predefinição) Set-AdfsProperties -AuditLevel Basic Não serão registados mais de cinco eventos para um único pedido
Verboso Set-AdfsProperties -AuditLevel Verbose Todos os eventos serão registados. Esse nível registrará uma quantidade significativa de informações por solicitação.

Para aumentar ou diminuir o nível de auditoria, use este comando do PowerShell:

Set-AdfsProperties -AuditLevel <None | Basic | Verbose>

Configurar o log de segurança do ADFS 2012 R2/2016/2019

  1. Clique em Iniciar, navegue até Ferramentas Administrativas de Programas > e clique em Diretiva de Segurança Local.

  2. Navegue até a pasta Configurações de Segurança\Políticas Locais\Gerenciamento de Direitos de Usuário e clique duas vezes em Gerar auditorias de segurança.

  3. Na guia Configuração de Segurança Local, verifique se a conta de serviço do ADFS está listada. Se não estiver presente, clique em Adicionar Utilizador ou Grupo e adicione-o à lista e, em seguida, clique em OK.

  4. Para ativar a auditoria, abra uma linha de comandos com privilégios elevados e execute o comando seguinte:

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

  5. Feche a Política de Segurança Local.

  6. Em seguida, abra o snap-in Gerenciamento do ADFS, clique em Iniciar>, navegue até Ferramentas Administrativas de Programas e clique em Gerenciamento do ADFS.

  7. No painel Ações, clique em Editar Propriedades do Serviço de Federação.

  8. Na caixa de diálogo Propriedades do Serviço de Federação, clique no separador Eventos.

  9. Selecione as caixas de verificação Auditorias de êxito e Auditorias de falha.

  10. Clique em OK para concluir e salvar a configuração.

Instalar o Microsoft Entra Connect Health para ADFS

O agente Microsoft Entra Connect Health for ADFS permite que você tenha maior visibilidade em seu ambiente de federação. Ele fornece vários painéis pré-configurados, como uso, monitoramento de desempenho e relatórios IP arriscados.

Para instalar o ADFS Connect Health, examine os requisitos para usar o Microsoft Entra Connect Health e instale o Azure ADFS Connect Health Agent.

Configurar alertas de IP arriscados usando a pasta de trabalho de relatório IP arriscado do ADFS

Depois que o Microsoft Entra Connect Health for ADFS estiver configurado, você deverá monitorar e configurar alertas usando a pasta de trabalho de relatório IP Arriscado do ADFS e o Azure Monitor. Os benefícios da utilização deste relatório são:

  • Deteção de endereços IP que excedem um limite de logins baseados em senha com falha.
  • Suporta logins falhados devido a senha incorreta ou devido ao estado de bloqueio da extranet.
  • Dá suporte à habilitação de alertas por meio dos Alertas do Azure.
  • Configurações de limite personalizáveis que correspondem à diretiva de segurança de uma organização.
  • Consultas personalizáveis e visualizações expandidas para análise posterior.
  • Funcionalidade expandida do relatório de IP de risco anterior, que foi preterido a partir de 24 de janeiro de 2022.

Configurar alertas da ferramenta SIEM no Microsoft Sentinel

Para configurar alertas da ferramenta SIEM, consulte o tutorial sobre alertas prontos para uso.

Integração SIEM com o Microsoft Defender for Cloud Apps

Conecte a ferramenta de Gerenciamento de Informações de Segurança e Eventos (SIEM) ao Microsoft Defender for Cloud Apps, que atualmente oferece suporte ao Micro Focus ArcSight e ao formato genérico de evento comum (CEF).

Para obter mais informações, consulte Integração SIEM genérica.

Integração SIEM com Graph API

Você pode conectar o SIEM com a API de segurança do Microsoft Graph usando qualquer uma das seguintes opções:

  • Usando diretamente as opções de integração suportadas – Consulte a lista de opções de integração suportadas, como escrever código para conectar diretamente seu aplicativo para obter insights avançados. Use exemplos para começar.
  • Use integrações nativas e conectores criados por parceiros da Microsoft – Consulte as soluções de parceiros da API de segurança do Microsoft Graph para usar essas integrações.
  • Use conectores criados pela Microsoft – Consulte a lista de conectores que você pode usar para se conectar à API por meio de várias soluções para SIEM (Security Incident and Event Management), SOAR (Security Response and Orchestration), ITSM (Incident Tracking and Service Management), relatórios e assim por diante.

Para obter mais informações, consulte Integrações de soluções de segurança usando a API de segurança do Microsoft Graph.

Usando o Splunk

Você também pode usar a plataforma Splunk para configurar alertas.

  • Assista a este vídeo tutorial sobre como criar alertas Splunk.
  • Para obter mais informações, consulte o manual de alertas Splunk.

Fluxo de trabalho

[Password spray investigation workflow]

Também pode:

  • Faça o download do spray de senha e de outros fluxos de trabalho do manual de resposta a incidentes como um PDF.
  • Baixe o spray de senha e outros fluxos de trabalho do playbook de resposta a incidentes como um arquivo do Visio.

Lista de Verificação

Gatilhos da investigação

  • Recebeu um gatilho do SIEM, logs de firewall ou ID do Microsoft Entra
  • Funcionalidade Microsoft Entra ID Protection Password Spray ou IP de risco
  • Grande número de entradas com falha (ID de Evento 411)
  • Pico no Microsoft Entra Connect Health para ADFS
  • Outro incidente de segurança (por exemplo, phishing)
  • Atividade inexplicável, como um início de sessão a partir de uma localização desconhecida ou um utilizador a receber pedidos de MFA inesperados

Investigação

  • O que está sendo alertado?
  • Você pode confirmar que este ataque é um spray de senha?
  • Determine a linha do tempo para o ataque.
  • Determine o(s) endereço(s) IP(s) do ataque.
  • Filtrar entradas bem-sucedidas para este período de tempo e endereço IP, incluindo senha bem-sucedida, mas MFA com falha
  • Verificar relatórios de AMF
  • Existe algo fora do comum na conta, como novo dispositivo, novo sistema operacional, novo endereço IP usado? Use o Defender for Cloud Apps ou a Proteção de Informações do Azure para detetar atividades suspeitas.
  • Informar as autoridades locais/terceiros para obter assistência.
  • Se suspeitar de um comprometimento, verifique se há exfiltração de dados.
  • Verifique se há comportamento suspeito na conta associada e procure correlacionar com outras possíveis contas e serviços, bem como outros endereços IP maliciosos.
  • Verifique as contas de qualquer pessoa que trabalhe no mesmo escritório/acesso delegado - higiene da palavra-passe (certifique-se de que não estão a utilizar a mesma palavra-passe que a conta comprometida)
  • Executar a ajuda do ADFS

Mitigações

Consulte a seção Referências para obter orientação sobre como habilitar os seguintes recursos:

Recuperação

Você também pode baixar o spray de senha e outras listas de verificação de incidentes como um arquivo Excel.

Passos de investigação

Resposta a incidentes de pulverização de senha

Vamos entender algumas técnicas de ataque de spray de senha antes de prosseguir com a investigação.

Comprometimento da senha: um invasor adivinhou a senha do usuário, mas não conseguiu acessar a conta devido a outros controles, como a autenticação multifator (MFA).

Comprometimento da conta: um invasor adivinhou a senha do usuário e obteve acesso à conta.

Deteção de ambiente

Identificar o tipo de autenticação

Como primeiro passo, você precisa verificar qual tipo de autenticação é usado para um domínio inquilino/verificado que você está investigando.

Para obter o status de autenticação de um nome de domínio específico, use o comando Get-MgDomain PowerShell. Eis um exemplo:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -DomainId "contoso.com"

A autenticação é federada ou gerenciada?

Se a autenticação for federada, as entradas bem-sucedidas serão armazenadas no Microsoft Entra ID. As entradas com falha estão em seu provedor de identidade (IDP). Para obter mais informações, consulte Solução de problemas e log de eventos do AD FS.

Se o tipo de autenticação for gerenciado – somente nuvem, PHS (sincronização de hash de senha) ou autenticação de passagem (PTA) –, os logins bem-sucedidos e com falha serão armazenados nos logs de entrada do Microsoft Entra.

Nota

O recurso Distribuição em etapas permite que o nome de domínio do locatário seja federado, mas usuários específicos sejam gerenciados. Determine se algum usuário é membro desse grupo.

O Microsoft Entra Connect Health está habilitado para ADFS?

O registro em log avançado está habilitado no ADFS?

Os logs são armazenados no SIEM?

Para verificar se você está armazenando e correlacionando logs em um SIEM (Gerenciamento de Informações e Eventos de Segurança) ou em qualquer outro sistema:

  • Análise de log - consultas pré-criadas
  • Consultas pré-construídas do Sentinel
  • Splunk – consultas pré-construídas
  • Registos da firewall
  • UAL se > 30 dias

Noções básicas sobre relatórios de ID e MFA do Microsoft Entra

É importante que você entenda os logs que está vendo para poder determinar o comprometimento. Aqui estão guias rápidos para entender os relatórios de entradas e MFA do Microsoft Entra:

Gatilhos de incidentes

Um gatilho de incidente é um evento ou uma série de eventos que faz com que o alerta predefinido seja acionado. Um exemplo é o número de tentativas de senha incorreta que ultrapassou o limite predefinido. Aqui estão outros exemplos de gatilhos que podem ser alertados em ataques de pulverização de senha e onde esses alertas são exibidos. Os gatilhos de incidentes incluem:

  • Utilizadores

  • IP

  • Cadeias de caracteres do agente do usuário

  • Data/hora

  • Anomalias

  • Tentativas de senha incorreta

    pwdattemptsGráfico que representa o número de tentativas de senha incorreta

Picos incomuns na atividade são indicadores-chave através do Microsoft Entra Health Connect (supondo que este componente esteja instalado). Outros indicadores são:

  • O alerta por meio do SIEM mostra um pico quando você agrupa os logs.
  • Tamanho de log maior do que o normal para entradas com falha no ADFS, o que pode ser um alerta na ferramenta SIEM).
  • Quantidades aumentadas de IDs de eventos 342/411 – o nome de utilizador ou a palavra-passe estão incorretos. Ou 516 para bloqueio de extranet.
  • Atingir o limite de solicitação de autenticação com falha – IP arriscado no Microsoft Entra ID ou alerta da ferramenta SIEM/erros 342 e 411 (Para poder visualizar essas informações, o log avançado deve ser ativado.)

IP de risco no portal Microsoft Entra Health Connect

Alertas de IP de risco ocorrem quando o limite personalizado foi atingido para senhas incorretas em uma hora e contagem de senhas incorretas em um dia e bloqueios de extranet.

Example of risky IP report data

Dados de relatório IP arriscado

Os detalhes das tentativas falhadas estão disponíveis nos separadores Endereço IP e bloqueios de extranet.

ipaddresstable

Bloqueios de endereço IP e extranet no relatório de IP de risco

Detetar spray de senha no Azure Identity Protection

O Azure Identity Protection é um recurso do Microsoft Entra ID P2 que tem um alerta de risco de deteção de spray de senha e um recurso de pesquisa que fornece mais informações ou correção automática.

Example of password spray attack

Detalhes de um ataque de spray de senha

Indicadores de ataque baixo e lento

Indicadores de ataque baixos e lentos são quando os limites para bloqueio de conta ou senhas incorretas não estão sendo atingidos. Pode detetar estes indicadores através de:

  • Falhas na ordem GAL
  • Falhas com atributos repetitivos (UA, AppID de destino, bloco/local IP)
  • Tempo – pulverizações automatizadas tendem a ter um intervalo de tempo mais regular entre as tentativas.

Investigação e mitigação

Nota

Você pode realizar investigação e mitigação simultaneamente durante ataques sustentados/contínuos.

  1. Ative o log avançado no ADFS se ele ainda não estiver ativado.

  2. Determine a data e a hora do início do ataque.

  3. Determine o endereço IP do invasor (pode ser várias fontes e vários endereços IP) a partir do firewall, ADFS, SIEM ou ID do Microsoft Entra.

  4. Uma vez confirmado o spray de senha, você pode ter que informar as agências locais (polícia, terceiros, entre outros).

  5. Agrupar e monitorar as seguintes IDs de evento para ADFS:

    ADFS 2012 R2

    • Evento de auditoria 403 – agente do usuário fazendo a solicitação
    • Evento de auditoria 411 – solicitações de autenticação com falha
    • Evento de auditoria 516 – bloqueio da extranet
    • Evento de auditoria 342 – solicitações de autenticação com falha
    • Evento de auditoria 412 - Login bem-sucedido

  6. Para coletar o evento de auditoria 411 - solicitações de autenticação com falha, use o seguinte script:

    PARAM ($PastDays = 1, $PastHours)
#************************************************
#ADFSBadCredsSearch.ps1
#Version 1.0
#Date: 6-20-2016
#Author: Tim Springston [MSFT]
#Description: This script will parse the ADFS server's (not proxy) security ADFS
#for events which indicate an incorrectly entered username or password. The script can specify a
#past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for
#review of UPN, IP address of submitter, and timestamp.
#************************************************
cls
if ($PastHours -gt 0)
{$PastPeriod = (Get-Date).AddHours(-($PastHours))}
else
{$PastPeriod = (Get-Date).AddDays(-($PastDays))}
$Outputfile = $Pwd.path + "\BadCredAttempts.csv"
$CS = get-wmiobject -class win32_computersystem
$Hostname = $CS.Name + '.' + $CS.Domain
$Instances = @{}
$OSVersion = gwmi win32_operatingsystem
[int]$BN = $OSVersion.Buildnumber
if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"}
else {$ADFSLogName = "AD FS/Admin"}
$Users = @()
$IPAddresses = @()
$Times = @()
$AllInstances = @()
Write-Host "Searching event log for bad credential events..."
if ($BN -ge 9200) {Get-Winevent -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} | % {
$Instance = New-Object PSObject
$UPN = $_.Properties[2].Value
$UPN = $UPN.Split("-")[0]
$IPAddress = $_.Properties[4].Value
$Users += $UPN
$IPAddresses += $IPAddress
$Times += $_.TimeCreated
add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN
add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress
add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString()
$AllInstances += $Instance
$Instance = $null
}
}
$AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation
Write-Host "Data collection finished. The output file can be found at >$outputfile`."
$AllInstances = $null

ADFS 2016/2019

Juntamente com as IDs de evento acima, agrupe o Evento de auditoria 1203 – Erro de validação de credenciais novas.

  1. Agrupe todas as entradas bem-sucedidas para este tempo no ADFS (se federado). Um rápido login e logout (no mesmo segundo) pode ser um indicador de que uma senha está sendo adivinhada com sucesso e sendo tentada pelo invasor.
  2. Agrupe todos os eventos bem-sucedidos ou interrompidos do Microsoft Entra para esse período de tempo para cenários federados e gerenciados.

Monitorar e agrupar IDs de eventos da ID do Microsoft Entra

Veja como encontrar o significado dos logs de erro.

As seguintes IDs de evento do Microsoft Entra ID são relevantes:

  • 50057 - A conta de utilizador foi desativada
  • 50055 - A palavra-passe expirou
  • 50072 - Usuário solicitado a fornecer MFA
  • 50074 - AMF necessária
  • 50079 - O usuário precisa registrar informações de segurança
  • 53003 - Usuário bloqueado por acesso condicional
  • 53004 - Não é possível configurar MFA devido a atividade suspeita
  • 530032 - Bloqueado pelo Acesso Condicional na Política de Segurança
  • Estado de início de sessão Êxito, Falha, Interrupção

Agrupar IDs de eventos do manual do Sentinel

Você pode obter todos os IDs de evento do Sentinel Playbook que está disponível no GitHub.

Isolar e confirmar o ataque

Isole os eventos de entrada bem-sucedidos e interrompidos do ADFS e do Microsoft Entra. Estas são as suas contas de interesse.

Bloqueie o endereço IP ADFS 2012R2 e superior para autenticação federada. Eis um exemplo:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

Coletar logs do ADFS

Colete várias IDs de evento dentro de um período de tempo. Eis um exemplo:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

Agrupar logs do ADFS no Microsoft Entra ID

Os relatórios de entrada do Microsoft Entra incluem a atividade de entrada do ADFS quando você usa o Microsoft Entra Connect Health. Filtre os logs de entrada por tipo de emissor de token "federado".

Aqui está um exemplo de comando do PowerShell para recuperar logs de entrada para um endereço IP específico:

Get-AzureADIRSignInDetail -TenantId b446a536-cb76-4360-a8bb-6593cf4d9c7f -IpAddress 131.107.128.76

Além disso, pesquise no portal do Azure por período de tempo, endereço IP e entrada bem-sucedida e interrompida, conforme mostrado nestas imagens.

timeframe

Procurar entradas dentro de um período de tempo específico

ipaddress

Procurar entradas num endereço IP específico

status

Procurar entradas com base no estado

Em seguida, você pode baixar esses dados como um arquivo .csv para análise. Para obter mais informações, consulte Relatórios de atividade de entrada no centro de administração do Microsoft Entra.

Priorizar resultados

É importante ser capaz de reagir à ameaça mais crítica. Essa ameaça pode indicar que o invasor obteve acesso a uma conta com sucesso e, portanto, pode acessar/exfiltrar dados; O invasor tem a senha, mas pode não conseguir acessar a conta. Por exemplo, eles têm a senha, mas não estão passando no desafio MFA. Além disso, o invasor não poderia estar adivinhando senhas corretamente, mas continuando a tentar. Durante a análise, priorize estes resultados:

  • Entradas bem-sucedidas por endereço IP de invasor conhecido
  • Início de sessão interrompido por um endereço IP conhecido de um intruso
  • Entradas malsucedidas por endereço IP de invasor conhecido
  • Outros logins bem-sucedidos de endereços IP desconhecidos

Verificar autenticação herdada

A maioria dos ataques usa autenticação herdada. Há muitas maneiras de determinar o protocolo do ataque.

  1. No Microsoft Entra ID, navegue até Entradas e filtre no Aplicativo Cliente.

  2. Selecione todos os protocolos de autenticação herdados listados.

    authenticationcheck

    Lista de protocolos herdados

  3. Ou, se você tiver um espaço de trabalho do Azure, poderá usar a pasta de trabalho de autenticação herdada pré-criada localizada no centro de administração do Microsoft Entra em Monitoramento e Pastas de Trabalho.

    workbook

    Pasta de trabalho de autenticação herdada

Bloquear endereço IP Microsoft Entra ID para cenário gerenciado (PHS incluindo preparação)

  1. Navegue até Novos locais nomeados.

    Example of a new named location

  2. Crie uma política de autoridade de certificação para direcionar todos os aplicativos e bloquear apenas para esse local nomeado.

O usuário já usou este sistema operacional, IP, ISP, dispositivo ou navegador antes?

Se não o tiverem e esta atividade for incomum, sinalize o utilizador e investigue todas as suas atividades.

O IP está marcado como "arriscado"?

Certifique-se de registrar senhas bem-sucedidas, mas respostas de MFA com falha, pois essa atividade indica que o invasor está recebendo a senha, mas não passando a MFA.

Separe qualquer conta que pareça ser um login normal, por exemplo, MFA passado, localização e IP não fora do comum.

Relatórios de AMF

É importante também verificar os logs de MFA para determinar se um invasor adivinhou com êxito uma senha, mas está falhando no prompt de MFA. Os logs de autenticação multifator do Microsoft Entra mostram detalhes de autenticação para eventos quando um usuário é solicitado para autenticação multifator. Verifique e certifique-se de que não existem grandes registos MFA suspeitos no Microsoft Entra ID. Para obter mais informações, consulte como usar o relatório de entradas para revisar eventos de autenticação multifator do Microsoft Entra.

Controlos adicionais

No Defender for Cloud Apps, investigue as atividades e o acesso a arquivos da conta comprometida. Para obter mais informações, consulte:

Verifique se o usuário tem acesso a mais recursos, como máquinas virtuais (VMs), permissões de conta de domínio, armazenamento, entre outros. Se houver uma violação de dados, deve informar mais agências, como a polícia.

Medidas corretivas imediatas

  1. Altere a palavra-passe de qualquer conta que suspeite ter sido violada ou a palavra-passe da conta descoberta. Além disso, bloqueie o usuário. Certifique-se de seguir as diretrizes para revogar o acesso de emergência.
  2. Marque qualquer conta comprometida como "comprometida" na Proteção de Identidade do Azure Entra ID.
  3. Bloqueie o endereço IP do atacante. Seja cauteloso ao executar essa ação, pois os invasores podem usar VPNs legítimas e podem criar mais risco ao alterar endereços IP também. Se você estiver usando a Autenticação na Nuvem, bloqueie o endereço IP no Defender for Cloud Apps ou no Microsoft Entra ID. Se federado, você precisa bloquear o endereço IP no nível de firewall na frente do serviço ADFS.
  4. Bloqueie a autenticação herdada se ela estiver sendo usada (essa ação, no entanto, pode afetar os negócios).
  5. Habilite o MFA se ainda não tiver sido feito.
  6. Habilite a Proteção de Identidade para o risco do usuário e o risco de entrada
  7. Verifique os dados comprometidos (e-mails, SharePoint, OneDrive, aplicativos). Veja como usar o filtro de atividade no Defender for Cloud Apps.
  8. Mantenha a higiene da senha. Para obter mais informações, consulte Proteção por senha do Microsoft Entra.
  9. Você também pode consultar a Ajuda do ADFS.

Recuperação

Proteção por palavra-passe

Implemente a proteção por senha no Microsoft Entra ID e no local habilitando as listas de senhas proibidas personalizadas. Essa configuração impede que os usuários definam senhas fracas ou senhas associadas à sua organização:

pwdprotection

Ativando a proteção por senha

Para obter mais informações, consulte como se defender contra ataques de pulverização de senha.

Marcação de endereço IP

Marque os endereços IP no Defender for Cloud Apps para receber alertas relacionados ao uso futuro:

Example of tagging an IP address

Marcação de endereços IP

No Defender for Cloud Apps, "marque" o endereço IP para o escopo IP e configure um alerta para esse intervalo de IP para referência futura e resposta acelerada.

Example of setting up an IP address alert

Definir alertas para um endereço IP específico

Configurar alertas

Dependendo das necessidades da sua organização, você pode configurar alertas.

Configure alertas em sua ferramenta SIEM e veja como melhorar as lacunas de registro. Integre o registo do ADFS, Microsoft Entra ID, Office 365 e Defender for Cloud Apps.

Configure o limite e os alertas no ADFS Health Connect e no portal IP de risco.

Example of configuring threshold settings

Definir configurações de limite

Example of configuring notifications

Configurar notificações

Veja como configurar alertas no portal de Proteção de Identidade.

Configurar políticas de risco de início de sessão com Acesso Condicional ou Proteção de Identidade

  • Educar os usuários finais, as principais partes interessadas, as operações da linha de frente, as equipes técnicas, as equipes de segurança cibernética e de comunicações
  • Revise o controle de segurança e faça as alterações necessárias para melhorar ou fortalecer o controle de segurança em sua organização
  • Sugerir avaliação de configuração do Microsoft Entra
  • Execute exercícios regulares de simulador de ataque

Referências

Pré-requisitos

Mitigações

Recuperação

Manuais adicionais de resposta a incidentes

Examine as orientações para identificar e investigar esses tipos adicionais de ataques:

Recursos de resposta a incidentes