Fase 3: configurar o monitoramento e alertas do Gerenciamento de Permissões do Microsoft Entra
Esta seção do guia de referência de operações de Gerenciamento de Permissões do Microsoft Entra descreve as verificações e ações que você deve executar para implementar uma estratégia eficaz de alertas e relatórios.
Implementar um sistema de relatórios para os principais stakeholders
Proprietário recomendado: arquitetura de segurança da informação
Identificar os principais stakeholders que consomem relatórios
O Gerenciamento de Permissões do Microsoft Entra gera relatórios do sistema para visibilidade e insights sobre ambientes de nuvem. Para ajudar a definir quem consome relatórios em sua organização, observe as seguintes audiências recomendadas:
| Report | Audiência recomendada |
|---|---|
| Direitos e uso da chave de acesso | Operações de segurança da informação, proprietários técnicos do sistema de autorização de destino |
| Direitos e Uso de Usuário | IAM, garantia de segurança e auditoria, proprietários técnicos do sistema de autorização de destino |
| Direitos e Uso de Grupo | IAM, garantia de segurança e auditoria, proprietários técnicos do sistema de autorização de destino |
| Permissões de Identidade | IAM, garantia de segurança e auditoria, proprietários técnicos do sistema de autorização de destino |
| Análise de permissões | IAM, garantia de segurança e auditoria, proprietários técnicos do sistema de autorização de destino |
| Detalhes da Função/Política | IAM, garantia de segurança e auditoria, proprietários técnicos do sistema de autorização de destino |
| Histórico de PCI | Operações de segurança da informação, infraestrutura de nuvem, garantia de segurança e auditoria |
| Todas as Permissões para Identidade | IAM, garantia de segurança e auditoria, resposta a incidentes, proprietários técnicos do sistema de autorização de destino |
Para obter descrições detalhadas, confira Relatórios do sistema no painel de relatórios
Agendar relatórios para os principais stakeholders
Para os principais stakeholders que consomem relatórios, configure uma cadência de entrega regular: por hora, diária, semanal, quinzenal ou mensal. Aprenda a criar, exibir e compartilhar um relatório personalizado.
Definir consultas de auditoria personalizadas para atender aos requisitos organizacionais
Use consultas de auditoria personalizadas para obter informações de log de atividades que o produto ingere, revisar o acesso e realizar revisões de conformidade. Além disso, use-as para perícia. Por exemplo, durante um incidente de segurança, use consultas de auditoria para localizar o ponto de entrada de um invasor e rastrear seu caminho.
Use o Gerenciamento de Permissões para criar e salvar consultas de auditoria personalizadas que outras pessoas exibem em sua organização. Recomendamos que você crie consultas de auditoria que se alinhem com as informações que sua organização examina regularmente. Use os diagramas a seguir para começar.
Observação
Os diagramas a seguir são exemplos de consulta. A estrutura exata depende da consulta. Ao criar consultas de auditoria personalizadas, selecione o tipo do sistema de autorização e os sistemas de autorização e as pastas que você quer consultar.
Examinar o acesso a recursos críticos
Examinar a atividade de administrador e de conta com privilégios
Examinar o uso de permissões de alto risco
Examinar falhas de autorização
Examinar o uso da chave de acesso
Examinar a atividade de correção do Gerenciamento de Permissões
Observação
Para consultar os logs do Gerenciamento de Permissões do Microsoft Entra, para o tipo de sistema de autorização, selecione Plataforma.
Para obter mais informações sobre como criar, exibir, salvar e usar consultas personalizadas:
- Criar uma consulta personalizada
- Filtrar e consultar a atividade do usuário
- Usar consultas para ver como os usuários acessam informações
Configurar alertas para investigações de operações de segurança
Você pode configurar alertas para monitorar continuamente seu ambiente. Obtenha notificações para contas superprivilegiadas, uso de permissões anômalas, ameaças potenciais e interrupções de serviço.
Determine os alertas que atendem ao seu ambiente e quem os recebe. Essa ação fornece melhor visibilidade do seu ambiente e permite uma abordagem mais proativa para gerenciar identidades e seu acesso a recursos.
Para saber mais sobre os tipos de alerta e os cenários de uso, confira o guia de alertas do Gerenciamento de Permissões do Microsoft Entra.
Desenvolver estratégias de resposta de alerta e guias estratégicos
Desenvolva estratégias de resposta manual ou automatizadas e guias estratégicos para seus alertas configurados.
- Determinar quem age no alerta, provavelmente o destinatário do alerta
- Criar e fornecer etapas de correção claras
Por exemplo, examine a estratégia de resposta a seguir e o guia estratégico de um alerta de usuário inativo.
Exemplo de estratégia de resposta manual
Correção: quando um alerta de usuário inativo é disparado, o destinatário do alerta atribui o status somente leitura do usuário e aplica as marcas de ck_exclude_from_reports ao usuário.
Na resposta manual, use as ferramentas de correção do Gerenciamento de Permissões do Microsoft Entra e esclareça que os destinatários dos alertas de usuário inativos executam a correção. Os destinatários usam o Gerenciamento de Permissões para atribuir o status somente leitura ao usuário. Essa ação revoga as permissões do usuário e atribui a eles o status somente leitura com o clique de um botão.
Um destinatário aplica as marcas de ck_exclude_from_reports ao usuário. Essa marca remove o usuário do Relatório de Análise de Permissões, portanto, ele não é chamado como um usuário inativo.
Exemplo de estratégia de resposta automatizada
Correção: quando um alerta de usuário inativo é disparado, o usuário é excluído pelo Microsoft Power Automate, uma ferramenta para criar fluxos para processos de nuvem, área de trabalho e negócios.
Use o Power Automate para respostas automatizadas a alertas de usuário inativo. Por exemplo, crie um fluxo que exclua usuários inativos após um email do Gerenciamento de Permissões indicar inatividade.