Pasta de trabalho de relatório de operações confidenciais
A pasta de trabalho do relatório de operações confidenciais tem o objetivo de ajudar a identificar atividades suspeitas de aplicativos e entidades de serviço que possam indicar comprometimentos em seu ambiente.
Este artigo fornece uma visão geral da pasta de trabalho Relatório de operações confidenciais.
Pré-requisitos
Para usar as Pastas de Trabalho do Azure para o Microsoft Entra ID, você precisa:
- Um locatário do Microsoft Entra com uma licença Premium P1
- Um espaço de trabalho do Log Analytics e acesso a esse espaço de trabalho
- As funções apropriadas para o Azure Monitor e o Microsoft Entra ID
Espaço de Trabalho do Log Analytics
Você deve criar um workspace do Log Analytics antes de poder usar as Pastas de Trabalho do Microsoft Entra. Vários fatores determinam o acesso aos workspaces do Log Analytics. Você precisa das funções corretas para o espaço de trabalho e os recursos que enviam os dados.
Para obter mais informações, consulte Gerenciar o acesso a workspaces do Log Analytics.
Funções do Azure Monitor
O Azure Monitor fornece duas funções internas para exibir os dados de monitoramento e editar as configurações de monitoramento. O controle de acesso baseado em função (RBAC) do Azure também fornece duas funções internas do Log Analytics que concedem acesso semelhante.
Exibir:
- Leitor de monitoramento
- Leitor do Log Analytics
Exibir e modificar as configurações:
- Colaborador de monitoramento
- Colaborador do Log Analytics
Funções do Microsoft Entra
O acesso somente leitura permite exibir os dados de log do Microsoft Entra ID dentro de uma pasta de trabalho, consultar os dados do Log Analytics ou ler os logs no centro de administração do Microsoft Entra. A atualização de acesso adiciona a capacidade de criar e editar configurações de diagnóstico para enviar dados do Microsoft Entra para um workspace do Log Analytics.
Leitura:
- Leitor de Relatórios
- Leitor de segurança
- Leitor global
Atualização:
- Administrador de Segurança
Para obter mais informações sobre as funções internas do Microsoft Entra, consulte Funções internas do Microsoft Entra.
Para obter mais informações sobre as funções RBAC do Log Analytics, confira Funções internas do Azure.
Descrição
Essa pasta de trabalho identifica as operações confidenciais recentes executadas em seu locatário.
Se sua organização for nova nas pastas de trabalho do Azure Monitor, você precisará integrar os logs de logon e de auditoria do Microsoft Entra no Azure Monitor antes de acessar a pasta de trabalho. Essa integração permite que você armazene, consulte e visualize seus registros usando pastas de trabalho por até dois anos. Somente os eventos de entrada e auditoria criados após a integração do Azure Monitor são armazenados, portanto, a pasta de trabalho não conterá insights anteriores a essa data. Para obter mais informações, confira Integrar logs do Microsoft Entra ao Azure Monitor.
Como acessar a pasta de trabalho
Entre no centro de administração do Microsoft Entra usando a combinação apropriada de funções.
Navegue até Identidade>Monitoramento e integridade>Pastas de trabalho.
Selecione a pasta de trabalho Relatório de operações confidenciais na seção Solucionar problemas.
Seções
Essa pasta de trabalho é dividida em quatro seções:
Credenciais/métodos de autenticação modificados do aplicativo e da entidade de serviço: esse relatório sinaliza os agentes que alteraram recentemente muitas credenciais da entidade de serviço e quantos de cada tipo de credencial da entidade de serviço foram alterados.
Novas permissões concedidas às entidades de serviço – esta pasta de trabalho também realça as permissões de OAuth 2.0 concedidas recentemente às entidades de serviço.
Atualizações de função do diretório e de associação de grupo para entidades de serviço
Configurações de federação modificadas – esse relatório realça quando um usuário ou aplicativo modifica as configurações de federação em um domínio. Por exemplo, relata quando um objeto TrustedRealm do ADFS (Serviço Federado do Active Directory), como um certificado de autenticação, é adicionado ao domínio. A modificação nas configurações de federação de domínio deve ser rara.
Aplicativo e métodos de autenticação/credenciais da entidade de serviço modificados
Uma das maneiras mais comuns de os invasores obterem acesso ao ambiente é adicionando novas credenciais aos aplicativos e entidades de serviço existentes. As credenciais permitem que o invasor se autentique como o aplicativo ou a entidade de serviço de destino, concedendo a ele acesso a todos os recursos aos quais ele tem permissões.
Esta seção inclui os seguintes dados para ajudá-lo a detectar:
Todas as credenciais adicionadas a aplicativos e entidades de serviço, incluindo o tipo de credencial
Principais atores e a quantidade de credenciais de modificações que eles executaram
Uma linha do tempo para todas as alterações de credenciais
Novas permissões concedidas às entidades de serviço
Os invasores geralmente tentam adicionar permissões a outra entidade de serviço ou aplicativo se não conseguirem encontrar uma entidade de serviço ou aplicativo com um conjunto de permissões de privilégios alto por meio do qual possam obter acesso.
Esta seção inclui um detalhamento das concessões de permissões AppOnly para entidades de serviço. Os administradores devem investigar todas as instâncias de permissões altas excessivas sendo concedidas, incluindo, dentre outras, o Exchange Online e o Microsoft Graph.
Atualizações de função do diretório e de associação de grupo para entidades de serviço
Seguindo a lógica de o invasor adicionar permissões a entidades de serviço e aplicativos, outra abordagem é adicioná-las a grupos ou funções de diretório.
Esta seção inclui uma visão geral de todas as alterações feitas às associações de entidade de serviço e deve ser examinada em busca de qualquer adição a grupos e funções de alto privilégio.
Configurações de federação modificadas
Outra abordagem comum para obter um controle de longo prazo no ambiente é:
- Modificar as relações de confiança de domínio federado do locatário.
- Adicione outro IDP SAML que o invasor controle como uma fonte de autenticação confiável.
Esta seção inclui os seguintes dados:
Alterações realizadas em relações de confiança de federação de domínio existentes
Adição de domínios e relações de confiança
Filtros
Este parágrafo lista os filtros com suporte para cada seção.
Aplicativo e métodos de autenticação/credenciais da entidade de serviço modificados
- Intervalo de horas
- Nome da operação
- Credencial
- Ator
- Excluir ator
Novas permissões concedidas às entidades de serviço
- Intervalo de horas
- Aplicativo cliente
- Recurso
Atualizações de função do diretório e de associação de grupo para entidades de serviço
- Intervalo de horas
- Operação
- Iniciando usuário ou aplicativo
Configurações de federação modificadas
- Intervalo de horas
- Operação
- Iniciando usuário ou aplicativo
Práticas recomendadas
Use credenciais modificadas de aplicativos e de entidades de serviço para verificar se há credenciais sendo adicionadas a entidades de serviço que não são usadas com frequência em sua organização. Use os filtros presentes nesta seção para investigar ainda mais qualquer um dos atores ou entidades de serviço suspeitos que foram modificados.
Use as novas permissões concedidas às entidades de serviço para verificar se há permissões amplas ou excessivas sendo adicionadas às entidades de serviço por atores que possam estar comprometidos.
Use a seção de configurações de federação modificadas para confirmar se o domínio/URL de destino adicionado ou modificado é um comportamento de administrador legítimo. Ações que modificam ou adicionam relações de confiança de federação de domínio são raras e devem ser tratadas como alta fidelidade para serem investigadas assim que possível.