Compartilhar via


Operações de segurança para contas de usuários do Microsoft Entra

A identidade do usuário é um dos aspectos mais importantes da proteção da sua organização e dos dados. Este artigo apresenta diretrizes para monitorar a criação, a exclusão e o uso da conta. A primeira parte aborda como monitorar a criação e a exclusão de contas incomuns. A segunda parte aborda como monitorar o uso de contas incomuns.

Se você ainda não leu a Visão geral das operações de segurança do Microsoft Entra, recomendamos que faça isso antes de continuar.

Este artigo aborda as contas de usuário gerais. Para contas com privilégios, confira Operações de segurança – contas com privilégios.

Definir uma linha de base

Para descobrir o comportamento anormal, primeiro você deve definir o comportamento normal e o esperado. Definir qual é o comportamento esperado para sua organização ajuda a determinar quando ocorre um comportamento inesperado. A definição também ajuda a reduzir o nível de ruído de falsos positivos ao monitorar e alertar.

Depois de definir o que você espera, execute o monitoramento de linha de base para validar suas expectativas. Com essas informações, você pode monitorar os logs para qualquer situação que esteja fora das tolerâncias que você definir.

Use os logs de auditoria do Microsoft Entra, os logs de entrada do Microsoft Entra e os atributos de diretório como suas fontes de dados para contas criadas fora dos processos normais. Veja a seguir sugestões para ajudá-lo a pensar e definir o que é normal para sua organização.

  • Criação de contas de usuários – avalie o seguinte:

    • Estratégia e princípios para ferramentas e processos usados para criar e gerenciar contas de usuário. Por exemplo, existem atributos padrão, formatos que são aplicados aos atributos de conta de usuário.

    • Fontes aprovadas para a criação da conta. Por exemplo, originado em sistemas Active Directory Domain Services (AD), Microsoft Entra ID ou sistemas de RH, como Workday.

    • Estratégia de alerta para contas criadas fora de fontes aprovadas. Há uma lista controlada de organizações com as quais sua organização colabora?

    • Provisionamento de contas de convidados e parâmetros de alerta para contas criadas fora do gerenciamento de direitos ou outros processos normais.

    • Parâmetros de estratégia e alerta para contas criadas, modificadas ou desabilitadas por uma conta que não é um administrador de usuário aprovado.

    • Estratégia de monitoramento e alerta para contas com atributos padrão ausentes, como ID de funcionário ou não seguindo convenções de nomenclatura organizacional.

    • Estratégia, princípios e processo para exclusão e retenção de conta.

  • Contas de usuário no local: avalie o seguinte para contas sincronizadas com o Microsoft Entra Connect:

    • As florestas, domínios e UOs (unidades organizacionais) no escopo para sincronização. Quem são os administradores aprovados que podem mudar essas configurações e com que frequência o escopo é verificado?

    • Os tipos de contas que são sincronizadas. Por exemplo, contas de usuário e contas de serviço.

    • O processo para criar contas locais privilegiadas e como a sincronização desse tipo de conta é controlada.

    • O processo para criar contas de usuário locais e como a sincronização desse tipo de conta é gerenciada.

Para obter mais informações sobre como proteger e monitorar contas locais, confira Proteger o Microsoft 365 de ataques locais.

  • Contas de usuário na nuvem – avalie o seguinte:

    • O processo para provisionar e gerenciar contas de nuvem diretamente no Microsoft Entra ID.

    • O processo para determinar os tipos de usuários provisionados como contas de nuvem do Microsoft Entra. Por exemplo, você só permite contas privilegiadas ou também permite contas de usuário?

    • O processo para criar e manter uma lista de indivíduos confiáveis e/ou processos esperados para criar e gerenciar contas de usuário de nuvem.

    • O processo para criar e manter uma estratégia de alerta para contas não aprovadas baseadas em nuvem.

Onde procurar

Os arquivos de log que você usa para investigação e monitoramento são:

No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixá-los como arquivos valores separados por vírgula (CSV) ou JavaScript Object Notation (JSON). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação de monitoramento e de alerta:

  • Microsoft Sentinel – Permite a análise de segurança inteligente no nível empresarial fornecendo recursos de SIEM (gerenciamento de eventos e informações de segurança).

  • Regras Sigma – Sigma é um padrão aberto em evolução para gravar regras e modelos que as ferramentas de gerenciamento automatizadas poderão usar para analisar arquivos de log. Onde há modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são gravados, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.

  • Azure Monitor : permite o monitoramento e o alerta automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de fontes diferentes.

  • Hubs de Eventos do Azure Integrado com um SIEM – Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração do Hubs de Eventos do Azure.

  • Microsoft Defender for Cloud Apps – permite que você descubra e gerencie aplicativos, administre aplicativos e recursos e verifique a conformidade dos aplicativos em nuvem.

  • Proteger identidades de carga de trabalho com o Identity Protection Preview − Usado para detectar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.

Grande parte do que você monitorará e alertará são os efeitos de suas políticas de acesso condicional. Você pode usar a pasta de trabalho de insights e relatórios de Acesso Condicional para examinar os efeitos de uma ou mais políticas de Acesso Condicional em suas conexões, bem como os resultados das políticas, incluindo o estado do dispositivo. Esta pasta de trabalho permite que você exiba um resumo e identifique os efeitos em um período específico. Você também pode usar a pasta de trabalho para investigar as entradas de um usuário específico.

O restante deste artigo descreve o que é recomendável monitorar e alertar e é organizado pelo tipo de ameaça. Onde há soluções predefinidas específicas, vinculamos a elas ou fornecemos exemplos que seguem a tabela. Caso contrário, você pode criar alertas usando as ferramentas anteriores.

Criação de conta

A criação de conta anômala pode indicar um problema de segurança. Contas de curta duração, contas que não seguem os padrões de nomenclatura e contas criadas fora dos processos normais devem ser investigadas.

Contas de curta duração

A criação e a exclusão de contas fora dos processos normais de gerenciamento de identidade devem ser monitoradas no Microsoft Entra ID. Contas de curta duração são contas criadas e excluídas em um curto período. Esse tipo de criação de conta e exclusão rápida podem significar que um ator inadequado está tentando evitar a detecção criando contas, usando-as e, em seguida, excluindo a conta.

Padrões de conta de curta duração podem indicar que pessoas ou processos não aprovados podem ter o direito de criar e excluir contas que se enquadram fora dos processos e políticas estabelecidos. Esse tipo de comportamento remove os marcadores visíveis do diretório.

Se a trilha de dados para criação e exclusão de conta não for descoberta rapidamente, as informações necessárias para investigar um incidente talvez não existam mais. Por exemplo, as contas podem ser excluídas e, em seguida, limpas da lixeira. Os logs de atividade são retidos por 30 dias. No entanto, você pode exportar seus logs para o Azure Monitor ou para uma solução de SIEM (gerenciamento de informações e eventos de segurança) para retenção de longo prazo.

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Eventos de criação e exclusão de conta em um período de fechamento. Alto Logs de auditoria do Microsoft Entra Atividade: adicionar usuário
Status = êxito
-e-
Atividade: excluir usuário
Status = êxito
Procure eventos de nome UPN. Procure contas criadas e excluídas em menos de 24 horas.
Modelo do Microsoft Sentinel
Contas criadas e excluídas por usuários ou processos não aprovados. Médio Logs de auditoria do Microsoft Entra Iniciado por (ator) – NOME UPN
-e-
Atividade: adicionar usuário
Status = êxito
and-or
Atividade: excluir usuário
Status = êxito
Se os atores forem usuários não aprovados, configure para enviar um alerta.
Modelo do Microsoft Sentinel
Contas de fontes não aprovadas. Médio Logs de auditoria do Microsoft Entra Atividade: adicionar usuário
Status = êxito
Destino(s) = NOME UPN
Se a entrada não for de um domínio aprovado ou for um domínio bloqueado conhecido, configure para enviar um alerta.
Modelo do Microsoft Sentinel
Contas atribuídas a uma função privilegiada. Alto Logs de auditoria do Microsoft Entra Atividade: adicionar usuário
Status = êxito
-e-
Atividade: excluir usuário
Status = êxito
-e-
Atividade = adicionar membro a função
Status = êxito
Se a conta for atribuída a uma função do Microsoft Entra, função do Azure ou associação de grupo com privilégios, alerte e priorize a investigação.
Modelo do Microsoft Sentinel
Regras Sigma

Contas com privilégios e sem privilégios devem ser monitoradas e alertadas. No entanto, como as contas com privilégios têm permissões administrativas, elas devem ter prioridade mais alta nos processos de monitoramento, alerta e resposta.

Contas que não seguem as políticas de nomenclatura

As contas de usuário que não seguem as políticas de nomenclatura podem ter sido criadas fora das políticas organizacionais.

Uma melhor prática é ter uma política de nomenclatura entre objetos de usuário. Ter uma política de nomenclatura torna o gerenciamento mais fácil e ajuda a gerar consistência. A política também pode ajudar a descobrir quando os usuários foram criados fora dos processos aprovados. Um ator incorreto pode não estar ciente de seus padrões de nomenclatura e pode facilitar a detecção de uma conta provisionada fora de seus processos organizacionais.

As organizações tendem a ter formatos e atributos específicos que são usados para criar contas de usuário e ou privilegiadas. Por exemplo:

  • UPN da conta de administrador = ADM_firstname.lastname@tenant.onmicrosoft.com

  • UPN da conta de usuário = Firstname.Lastname@contoso.com

Com frequência, as contas de usuário têm um atributo que identifica um usuário real. Por exemplo, EMPID = XXXNNN. Use as seguintes sugestões para ajudar a definir o normal da sua organização e para definir uma linha de base para entradas de log quando as contas não seguirem sua convenção de nomenclatura:

  • Contas que não seguem a convenção de nomenclatura. Por exemplo, nnnnnnn@contoso.com x firstname.lastname@contoso.com.

  • Contas que não têm os atributos padrão preenchidos ou não estão no formato correto. Por exemplo, não ter uma ID de funcionário válida.

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Contas de usuário que não têm atributos esperados definidos. Baixo Logs de auditoria do Microsoft Entra Atividade: adicionar usuário
Status = êxito
Procure contas com seus atributos padrão nulos ou no formato errado. Por exemplo, EmployeeID
Modelo do Microsoft Sentinel
Contas de usuário criadas usando o formato de nomenclatura incorreto. Baixo Logs de auditoria do Microsoft Entra Atividade: adicionar usuário
Status = êxito
Procure contas com um UPN que não siga sua política de nomenclatura.
Modelo do Microsoft Sentinel
Contas com privilégios que não seguem a política de nomenclatura. Alto Assinatura do Azure Listar atribuições de função do Azure usando o portal do Azure - Azure RBAC Liste atribuições de função para assinaturas e alertas em que o nome de logon não corresponde ao formato da sua organização. Por exemplo, ADM_ como um prefixo.
Contas com privilégios que não seguem a política de nomenclatura. Alto diretório do Microsoft Entra Listar atribuições de função do Microsoft Entra Liste atribuições de funções para o alerta de funções do Microsoft Entra em que o UPN não corresponde ao formato de sua organização. Por exemplo, ADM_ como um prefixo.

Para obter mais informações sobre análise, confira:

Contas criadas fora dos processos normais

Ter processos padrão para criar usuários e contas privilegiadas é importante para que você possa controlar com segurança o ciclo de vida das identidades. Se os usuários forem provisionados e desprovisionados fora dos processos estabelecidos, poderão introduzir riscos de segurança. Operar fora dos processos estabelecidos também pode introduzir problemas de gerenciamento de identidade. Os riscos potenciais incluem:

  • Contas privilegiadas e de usuário podem não ser administradas para aderir às políticas organizacionais. Isso pode levar a uma superfície de ataque maior em contas que não são gerenciadas corretamente.

  • Fica mais difícil detectar quando atores mal-intencionados criam contas para fins mal-intencionados. Ao ter contas válidas criadas fora dos procedimentos estabelecidos, fica mais difícil detectar quando as contas são criadas ou as permissões modificadas para fins mal-intencionados.

Recomendamos que contas privilegiadas e de usuário sejam criadas somente seguindo as políticas da sua organização. Por exemplo, uma conta deve ser criada com os padrões de nomenclatura corretos, informações organizacionais e no escopo da governança de identidade apropriada. As organizações devem ter controles rigorosos sobre quem tem os direitos de criar, gerenciar e excluir identidades. As funções para criar essas contas devem ser fortemente gerenciadas, e os direitos disponibilizados somente depois de seguir um fluxo de trabalho estabelecido para aprovar e obter essas permissões.

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Contas de usuário criadas ou excluídas por usuários ou processos não aprovados. Médio Logs de auditoria do Microsoft Entra Atividade: adicionar usuário
Status = êxito
and-or-
Atividade: excluir usuário
Status = êxito
-e-
Iniciado por (ator) = NOME UPN
Alerta sobre contas criadas por usuários ou processos não aprovados. Priorize as contas criadas com privilégios aumentados.
Modelo do Microsoft Sentinel
Contas de usuário criadas ou excluídas de fontes não aprovadas. Médio Logs de auditoria do Microsoft Entra Atividade: adicionar usuário
Status = êxito
-ou-
Atividade: excluir usuário
Status = êxito
-e-
Destino(s) = NOME UPN
Alertar quando o domínio for não aprovado ou conhecido como domínio bloqueado.

Entradas incomuns

Ver as falhas de autenticação do usuário é normal. No entanto, ver padrões ou blocos de falhas pode ser um indicador de que algo está acontecendo com a identidade de um usuário. Por exemplo, durante ataques de força bruta ou de pulverização de senha, ou quando uma conta de usuário é comprometida. É fundamental você monitorar e alertar sempre que surgirem padrões. Isso ajuda a garantir que você possa proteger o usuário e os dados da sua organização.

O êxito parece indicar que tudo está bem. No entanto, isso pode significar que um ator inadequado acessou um serviço com êxito. O monitoramento de logons bem-sucedidos ajuda a detectar contas de usuário que estão tendo acesso, mas que não são contas de usuário que deveriam ter acesso. Os sucessos de autenticação do usuário são entradas normais nos logs de entrada do Microsoft Entra. Recomendamos que você monitore e alerte para detectar quando os padrões surgem. Isso ajuda a garantir que você possa proteger as contas de usuário e os dados da sua organização.

Ao projetar e operacionalizar uma estratégia de monitoramento e alerta de log, considere as ferramentas disponíveis para você por meio do portal do Azure. O Identity Protection permite automatizar a detecção, a proteção e a correção de riscos baseados em identidade. O Identity Protection usa sistemas de aprendizado de máquina e heurística alimentados por inteligência para detectar riscos e atribuir uma pontuação de risco para usuários e entradas. Os clientes podem configurar políticas com base em um nível de risco para quando permitir ou negar o acesso ou permitir que o usuário faça correção automática de um risco. As seguintes detecções de risco do Identity Protection informam os níveis de risco hoje:

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Detecção de risco do usuário por credenciais vazadas Alto Logs de detecção de risco do Microsoft Entra UX: credenciais vazadas

API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma
Detecção de risco do usuário de Inteligência contra ameaças do Microsoft Entra Alto Logs de detecção de risco do Microsoft Entra UX: inteligência contra ameaças do Microsoft Entra

API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma
Detecção de risco de entrada de endereço IP anônimo Varia Logs de detecção de risco do Microsoft Entra UX: endereço IP anônimo

API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma
Detecção de risco de entrada de viagem atípica Varia Logs de detecção de risco do Microsoft Entra UX: viagem atípica

API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma
Token anormal Varia Logs de detecção de risco do Microsoft Entra UX: token anormal

API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma
Detecção de risco de entrada de endereço IP vinculado a malware Varia Logs de detecção de risco do Microsoft Entra UX: endereço IP vinculado a malware

API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma
Detecção de risco de logon de navegador suspeito Varia Logs de detecção de risco do Microsoft Entra UX: navegador suspeito

API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma
Detecção de risco de entrada de propriedades de entrada desconhecidas Varia Logs de detecção de risco do Microsoft Entra UX: propriedades de entrada desconhecidas

API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma
Detecção de risco de entrada de endereço IP mal-intencionado Varia Logs de detecção de risco do Microsoft Entra UX: endereço IP mal-intencionado

API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma
Detecção de risco de regras de manipulação suspeita da caixa de entrada Varia Logs de detecção de risco do Microsoft Entra UX: regras de manipulação suspeita da caixa de entrada

API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma
Detecção de risco de entrada de pulverização de senha Alto Logs de detecção de risco do Microsoft Entra UX: pulverização de senha

API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma
Detecção de risco de entrada de viagem impossível Varia Logs de detecção de risco do Microsoft Entra UX: viagem impossível

API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma
Detecção de risco de entrada em um novo país/região Varia Logs de detecção de risco do Microsoft Entra UX: novo país/região

API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma
Detecção de risco de entrada de atividade de um endereço IP anônimo Varia Logs de detecção de risco do Microsoft Entra UX: atividade de um endereço IP anônimo

API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma
Detecção de risco de entrada de encaminhamento suspeito da caixa de entrada Varia Logs de detecção de risco do Microsoft Entra UX: encaminhamento suspeito da caixa de entrada

API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma
Detecção de risco de entrada na inteligência contra ameaças do Microsoft Entra Alto Logs de detecção de risco do Microsoft Entra UX: inteligência contra ameaças do Microsoft Entra
API: confira tipo de recurso riskDetection – Microsoft Graph
Confira Qual o risco? Investigar risco no Microsoft Entra ID Protection
Regras Sigma

Para obter mais informações, acesse O que é o Identity Protection.

O que procurar

Configurar o monitoramento dos dados nos logs de entrada do Microsoft Entra para garantir que os alertas ocorram e obedeçam às políticas de segurança da sua organização. Alguns exemplos disso são:

  • Autenticações com falha: como seres humanos, todos nos erramos nossas senhas de tempos em tempos. No entanto, muitas autenticações com falha podem indicar que um ator ruim está tentando obter acesso. Os ataques diferem em força, mas podem variar de algumas tentativas por hora a uma taxa muito maior. Por exemplo, a pulverização de senha normalmente aproveita senhas mais fáceis e as testa com muitas contas, enquanto o ataque de força bruta tenta várias senhas em contas direcionadas.

  • Autenticações interrompidas: Uma interrupção no Microsoft Entra ID representa uma injeção de um processo para atender à autenticação, como ao impor um controle em uma política de Acesso Condicional. Esse é um evento normal e pode acontecer quando os aplicativos não estão configurados corretamente. Mas quando você vê muitas interrupções para uma conta de usuário, isso pode indicar que algo está acontecendo com essa conta.

    • Por exemplo, se você tiver filtrado um usuário nos logs de entrada e vir um grande volume de status de entrada = Interrompido e Acesso Condicional = Falha. Se nos aprofundarmos, talvez os detalhes de autenticação mostrem que a senha está correta, mas que uma autenticação forte é necessária. Isso pode significar que o usuário não está concluindo a MFA (autenticação multifator), o que pode indicar que a senha do usuário está comprometida e o ator mal-intencionado não consegue atender à MFA.
  • Bloqueio inteligente: o Microsoft Entra ID oferece um serviço de bloqueio inteligente que apresenta o conceito de locais familiares e não familiares ao processo de autenticação. Uma conta de usuário que visita um local familiar pode ser autenticada com êxito, enquanto um ator mal-intencionado não familiarizado com o mesmo local é bloqueado após várias tentativas. Procure contas que foram bloqueadas e investigue mais.

  • Alterações de IP: é normal ver usuários provenientes de endereços IP diferentes. No entanto, a Confiança Zero indica nunca confiar e sempre verificar. Ver um grande volume de endereços IP e falhas de entrada pode ser um indicador de intrusão. Procure um padrão de muitas autenticações com falha que ocorrem de vários endereços IP. Observe que as conexões VPN (rede virtual privada) podem causar falsos positivos. Independentemente dos desafios, recomendamos que você monitore as alterações de endereço IP e, se possível, use o Microsoft Entra ID Protection para detectar e atenuar automaticamente esses riscos.

  • Localizações: geralmente, você espera que uma conta de usuário esteja na mesma localização geográfica. Você também espera entradas de locais em que você tenha funcionários ou relações comerciais. Quando a conta de usuário vem de um local internacional diferente em menos tempo do que levaria para viajar até lá, pode indicar que a conta de usuário está sendo usada para fins mal-intencionados. Observe que as VPNs podem causar falsos positivos. Recomendamos que você monitore as contas de usuário que estão se comunicando de locais geograficamente distantes e, se possível, use o Microsoft Entra ID Protection para detectar e atenuar automaticamente esses riscos.

Para essa área de risco, recomendamos que você monitore contas de usuário padrão e contas privilegiadas, mas priorize as investigações de contas privilegiadas. Contas privilegiadas são as contas mais importantes em qualquer locatário do Microsoft Entra. Para obter diretrizes sobre contas com privilégios, confira Operações de segurança – contas com privilégios.

Como detectar

Você usa o Microsoft Entra ID Protection e os logs de entrada do Microsoft Entra para ajudar a descobrir ameaças indicadas por características incomuns de entrada. Para obter mais informações, veja O que é a proteção de identidade. Você também pode replicar os dados para o Azure Monitor ou um SIEM para fins de monitoramento e alerta. Para definir o normal do seu ambiente e estabelecer uma linha de base, determine:

  • os parâmetros que você considera normais para sua base de usuários.

  • o número médio de tentativas de uma senha ao longo de um tempo antes de o usuário chamar o service desk ou executar uma redefinição de senha self-service.

  • quantas tentativas com falha você deseja permitir antes do alerta e se elas serão diferentes para contas de usuário e contas privilegiadas.

  • quantas tentativas de MFA você deseja permitir antes do alerta e se elas serão diferentes para contas de usuário e contas privilegiadas.

  • se a autenticação herdada estiver habilitada e seu roteiro para descontinuar o uso.

  • os endereços IP de saída conhecidos são para sua organização.

  • os países/regiões de onde seus usuários operam.

  • se existem grupos de usuários que permanecem estacionários dentro de um local de rede ou país/região.

  • Identifique outros indicadores de entradas incomuns específicos da sua organização. Por exemplo, dias ou horas da semana ou do ano em que sua organização não opera.

Depois de definir o escopo do que é normal para as contas do seu ambiente, considere a lista a seguir para ajudar a determinar quais cenários você deseja monitorar e alertar, assim como para ajustar seus alertas.

  • Você precisa monitorar e alertar se o Identity Protection está configurado?

  • Há condições mais rígidas aplicadas a contas privilegiadas que você pode usar para monitorar e alertar? Por exemplo, exigir que contas privilegiadas sejam usadas somente de endereços IP confiáveis.

  • As linhas de base que você definiu são muito agressivas? Ter muitos alertas pode fazer com que os alertas sejam ignorados ou ignorados.

Configure o Identity Protection para ajudar a garantir que a proteção esteja em vigor conforme as políticas de linha de base de segurança. Por exemplo, bloquear usuários se risco = alto. Esse nível de risco indica com um alto grau de confiança que uma conta de usuário está comprometida. Para obter mais informações sobre como configurar políticas de risco de login e políticas de risco do usuário, acesse Políticas do Identity Protection.

Os seguintes são listados em ordem de importância, com base no efeito e na gravidade das entradas.

Monitoramento de entradas de usuários externos

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Os usuários que se autenticam em outros locatários Microsoft Entra. Baixo Log de entrada do Microsoft Entra Status = êxito
Recurso tenantID != ID do Locatário da Página Inicial
Detecta quando um usuário foi autenticado com êxito em outro locatário do Microsoft Entra com uma identidade no locatário da sua organização.
Alerta se o Recurso TenantID não for igual à ID do Locatário da Página Inicial
Modelo do Microsoft Sentinel
Regras Sigma
O estado do usuário alterado de Convidado para Membro Médio Logs de auditoria do Microsoft Entra Atividade: atualizar usuário
Categoria: UserManagement
UserType alterado de Convidado para Membro
Monitora e alerta sobre a alteração do tipo de usuário de Convidado para Membro. Isso era esperado?
Modelo do Microsoft Sentinel
Regras Sigma
Usuários Convidados que recebem convites para locatário por emissores do convite não aprovados Médio Logs de auditoria do Microsoft Entra Atividade: convidar usuário externo
Categoria: UserManagement
Iniciado por (ator): nome UPN
Monitora e alerta sobre atores não aprovados que convidam usuários externos.
Modelo do Microsoft Sentinel
Regras Sigma

Monitoramento de falhas de login incomuns

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Tentativas de login com falha. Médio – se incidente isolado
Alto – se muitas contas estiverem com o mesmo padrão ou um VIP.
Log de entrada do Microsoft Entra Status = falha
-e-
Código de erro de entrada 50126 –
Erro ao validar credenciais devido a um nome de usuário ou senha inválido.
Defina um limite de linha de base e, em seguida, monitore e ajuste para se ajustar aos seus comportamentos organizacionais e limitar a geração de alertas falsos.
Modelo do Microsoft Sentinel
Regras Sigma
Eventos de bloqueio inteligente. Médio – se incidente isolado
Alto – se muitas contas estiverem com o mesmo padrão ou um VIP.
Log de entrada do Microsoft Entra Status = falha
-e-
Código de erro de entrada = 50053 – IdsLocked
Defina um limite de linha de base e, em seguida, monitore e ajuste para se ajustar aos seus comportamentos organizacionais e limitar a geração de alertas falsos.
Modelo do Microsoft Sentinel
Regras Sigma
Interrupções Médio – se incidente isolado
Alto – se muitas contas estiverem com o mesmo padrão ou um VIP.
Log de entrada do Microsoft Entra 500121, a autenticação falhou durante uma solicitação de autenticação forte.
-ou-
50097, a autenticação do dispositivo é necessária ou 50074, é necessária uma autenticação forte.
-ou-
50155, DeviceAuthenticationFailed
-ou-
50158, ExternalSecurityChallenge – O desafio de segurança externa não foi satisfeito
-ou-
Motivo da falha e 53003 = bloqueado pelo Acesso Condicional
Monitore e alerte sobre interrupções.
Defina um limite de linha de base e, em seguida, monitore e ajuste para se ajustar aos seus comportamentos organizacionais e limitar a geração de alertas falsos.
Modelo do Microsoft Sentinel
Regras Sigma

Os itens a seguir são listados em ordem de importância, com base no efeito e na gravidade das entradas.

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Alertas de fraude da MFA (autenticação multifator). Alto Log de entrada do Microsoft Entra Status = falha
-e-
Detalhes = MFA negada
Monitore e alerte sobre entradas.
Modelo do Microsoft Sentinel
Regras Sigma
Autenticações com falha de países/regiões nos quais você não opera. Médio Log de entrada do Microsoft Entra Local = < local não aprovado> Monitore e alerte sobre entradas.
Modelo do Microsoft Sentinel
Regras Sigma
Autenticações com falha para protocolos herdados ou protocolos que não são usados. Médio Log de entrada do Microsoft Entra Status = falha
-e-
Aplicativo cliente = outros clientes, POP, IMAP, MAPI, SMTP, ActiveSync
Monitore e alerte sobre entradas.
Modelo do Microsoft Sentinel
Regras Sigma
Falhas bloqueadas pelo Acesso Condicional. Médio Log de entrada do Microsoft Entra Código de erro = 53003
-e-
Motivo da falha = bloqueado pelo Acesso Condicional
Monitore e alerte sobre entradas.
Modelo do Microsoft Sentinel
Regras Sigma
Aumento de autenticações com falha de qualquer tipo. Médio Log de entrada do Microsoft Entra A captura aumenta em caso de falhas em geral. Ou seja, o total de falhas para hoje é >10% no mesmo dia da semana anterior. Se você não tiver um limite definido, monitore e alerte se as falhas aumentarem em 10% ou mais.
Modelo do Microsoft Sentinel
Autenticação que ocorre em horários e dias da semana em que os países/regiões não realizam operações comerciais normais. Baixo Log de entrada do Microsoft Entra Capturar a autenticação interativa que ocorre fora dos dias/horários de operação normal.
Status = êxito
-e-
Location = <local>
-e-
Day\Time = < não há horário de trabalho normal>
Monitore e alerte sobre entradas.
Modelo do Microsoft Sentinel
Conta desabilitada/bloqueada para entradas Baixo Log de entrada do Microsoft Entra Status = falha
-e-
código de erro = 50057, a conta de usuário está desabilitada.
Isso pode indicar que alguém está tentando obter acesso a uma conta depois de ter deixado uma organização. Embora a conta esteja bloqueada, é importante registrar e alertar sobre essa atividade.
Modelo do Microsoft Sentinel
Regras Sigma

Monitoramento de entradas incomuns com êxito

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Autenticações de contas com privilégios fora dos controles esperados. Alto Log de entrada do Microsoft Entra Status = êxito
-e-
UserPricipalName = < conta do administrador>
-e-
Local = < local não aprovado>
-e-
Endereço IP = < IP não aprovado>
Device Info= <navegador, sistema operacional não aprovados>
Monitore e alerte sobre a autenticação bem-sucedida para contas privilegiadas fora dos controles esperados. Três controles comuns são listados.
Modelo do Microsoft Sentinel
Regras Sigma
Quando apenas a autenticação de fator único é necessária. Baixo Log de entrada do Microsoft Entra Status = êxito
Requisito de autenticação = autenticação de fator único
Monitore periodicamente e assegure um comportamento esperado.
Regras Sigma
Descubra contas privilegiadas não registradas para MFA. Alto API do Azure Graph Consulta para IsMFARegistered eq false para contas de administrador.
Listar credentialUserRegistrationDetails - Microsoft Graph beta
Audite e investigue para determinar se é intencional ou um descuido.
Autenticações bem-sucedidas de países/regiões nos quais sua organização não opera. Médio Log de entrada do Microsoft Entra Status = êxito
Localização = <país/região não aprovado>
Monitore e alerte sobre as entradas que não são iguais aos nomes de cidade que você forneceu.
Regras Sigma
Autenticação bem-sucedida, sessão bloqueada pelo Acesso Condicional. Médio Log de entrada do Microsoft Entra Status = êxito
-e-
código de erro = 53003 - Motivo da falha, bloqueado pelo Acesso Condicional
Monitore e investigue quando a autenticação é bem-sucedida, mas a sessão é bloqueada pelo Acesso Condicional.
Modelo do Microsoft Sentinel
Regras Sigma
Autenticação bem-sucedida depois que você desabilitou a autenticação herdada. Médio Log de entrada do Microsoft Entra Status = êxito
-e-
Aplicativo cliente = outros clientes, POP, IMAP, MAPI, SMTP, ActiveSync
Se sua organização tiver desabilitado a autenticação herdada, monitore e alerte quando a autenticação herdada bem-sucedida tiver sido realizada.
Modelo do Microsoft Sentinel
Regras Sigma

Recomendamos que você revise periodicamente as autenticações para aplicativos de MBI (impacto médio nos negócios) e HBI (alto impacto nos negócios) que exijam apenas a autenticação de fator único. Para cada um, determine se a autenticação de fator único era esperada ou não. Além disso, verifique se há aumentos de autenticações bem-sucedidas ou em horários inesperados com base no local.

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Autenticações para aplicativos MBI e HBI usando a autenticação de fator único. Baixo Log de entrada do Microsoft Entra Status = êxito
-e-
ID do aplicativo = < aplicativo HBI>
-e-
Requisito de autenticação = autenticação de fator único.
Revise e valide se essa configuração é intencional.
Regras Sigma
Autenticações em dias e horários da semana ou do ano em que os países/regiões não realizam operações comerciais normais. Baixo Log de entrada do Microsoft Entra Capturar a autenticação interativa que ocorre fora dos dias/horários de operação normal.
Status = êxito
Location = <local>
Date\Time = < não há horário de trabalho normal>
Monitorar e alertar sobre as autenticações em dias e horários da semana ou do ano em que os países/regiões não realizam operações comerciais normais.
Regras Sigma
Aumento mensurável de logins bem-sucedidos. Baixo Log de entrada do Microsoft Entra Capture aumenta na autenticação bem-sucedida no geral. Ou seja, os totais de êxitos de hoje são >10% o valor do mesmo dia na semana anterior. Se você não tiver um limite definido, monitore e alerte se as autenticações bem-sucedidas aumentarem em 10% ou mais.
Modelo do Microsoft Sentinel
Regras Sigma

Próximas etapas

Confira estes artigos do guia de operações de segurança:

Visão geral de operações de segurança do Microsoft Entra

Operações de segurança para contas do consumidor

Operações de segurança para contas com privilégios

Operações de segurança para o Privileged Identity Management

Operações de segurança para aplicativos

Operações de segurança para dispositivos

Operações de segurança para infraestrutura