Operações de segurança para infraestruturas
A infraestrutura tem muitos componentes onde vulnerabilidades podem ocorrer se não configuradas corretamente. Como parte de sua estratégia de monitoramento e alerta para infraestrutura, monitore e alerte eventos nas seguintes áreas:
Autenticação e Autorização
Componentes de autenticação híbrida incl. Servidores de Federação
Políticas
Subscrições
Monitorar e alertar os componentes da sua infraestrutura de autenticação é fundamental. Qualquer compromisso pode levar a um compromisso total de todo o ambiente. Muitas empresas que usam o Microsoft Entra ID operam em um ambiente de autenticação híbrida. Os componentes na nuvem e no local devem ser incluídos na sua estratégia de monitoramento e alerta. Ter um ambiente de autenticação híbrida também introduz outro vetor de ataque ao seu ambiente.
Recomendamos que todos os componentes sejam considerados ativos do Plano de Controle / Nível 0 e as contas usadas para gerenciá-los. Consulte Protegendo ativos privilegiados (SPA) para obter orientação sobre como projetar e implementar seu ambiente. Esta orientação inclui recomendações para cada um dos componentes de autenticação híbrida que podem ser usados para um locatário do Microsoft Entra.
Um primeiro passo para ser capaz de detetar eventos inesperados e ataques potenciais é estabelecer uma linha de base. Para todos os componentes locais listados neste artigo, consulte Implantação de acesso privilegiado, que faz parte do guia Protegendo ativos privilegiados (SPA).
Onde procurar
Os arquivos de log que você usa para investigação e monitoramento são:
No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixar como CSV (valores separados por vírgula) ou arquivos JSON (JavaScript Object Notation). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação do monitoramento e alerta:
Microsoft Sentinel – Permite a análise de segurança inteligente no nível corporativo, fornecendo recursos de gerenciamento de eventos e informações de segurança (SIEM).
Regras Sigma - Sigma é um padrão aberto em evolução para escrever regras e modelos que as ferramentas de gerenciamento automatizado podem usar para analisar arquivos de log. Onde existem modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são escritos, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.
Azure Monitor – Permite o monitoramento e o alerta automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de diferentes fontes.
Hubs de Eventos do Azure integrados com um SIEM - Os logs do Microsoft Entra podem ser integrados a outros SIEMs , como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração dos Hubs de Eventos do Azure.
Microsoft Defender for Cloud Apps – Permite-lhe descobrir e gerir aplicações, controlar aplicações e recursos e verificar a conformidade das suas aplicações na nuvem.
Protegendo identidades de carga de trabalho com o Microsoft Entra ID Protection - Usado para detetar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.
O restante deste artigo descreve o que monitorar e alertar. Organiza-se pelo tipo de ameaça. Onde houver soluções pré-criadas, você encontrará links para elas, após a tabela. Caso contrário, você pode criar alertas usando as ferramentas anteriores.
Infraestrutura de autenticação
Em ambientes híbridos que contêm recursos e contas locais e baseados em nuvem, a infraestrutura do Ative Directory é uma parte fundamental da pilha de autenticação. A pilha também é um alvo para ataques, portanto, deve ser configurada para manter um ambiente seguro e deve ser monitorada corretamente. Exemplos de tipos atuais de ataques usados contra sua infraestrutura de autenticação usam as técnicas Password Spray e Solorigate. A seguir estão os links para artigos que recomendamos:
Visão geral da proteção do acesso privilegiado – Este artigo fornece uma visão geral das técnicas atuais que usam técnicas de Zero Trust para criar e manter acesso privilegiado seguro.
Atividades de domínio monitoradas do Microsoft Defender for Identity - Este artigo fornece uma lista abrangente de atividades para monitorar e definir alertas.
Tutorial de alerta de segurança do Microsoft Defender for Identity - Este artigo fornece orientação sobre como criar e implementar uma estratégia de alerta de segurança.
A seguir estão links para artigos específicos que se concentram em monitorar e alertar sua infraestrutura de autenticação:
Compreender e usar Caminhos de Movimento Laterais com o Microsoft Defender for Identity - Técnicas de deteção para ajudar a identificar quando contas não confidenciais são usadas para obter acesso a contas de rede confidenciais.
Trabalhando com alertas de segurança no Microsoft Defender for Identity - Este artigo descreve como revisar e gerenciar alertas depois que eles são registrados.
Seguem-se aspetos específicos a procurar:
O que monitorizar | Nível de risco | Onde | Notas |
---|---|---|---|
Tendências de bloqueio de extranet | Alto | Microsoft Entra Connect Health | Consulte Monitorar o AD FS usando o Microsoft Entra Connect Health para obter ferramentas e técnicas para ajudar a detetar tendências de bloqueio de extranet. |
Entradas com falha | Alto | Conectar Portal de Saúde | Exporte ou baixe o relatório de IP de risco e siga as orientações em Relatório de IP de risco (visualização pública) para as próximas etapas. |
Conformidade com a privacidade | Baixo | Microsoft Entra Connect Health | Configure o Microsoft Entra Connect Health para desativar as coletas de dados e o monitoramento usando o artigo Privacidade do usuário e Microsoft Entra Connect Health . |
Potencial ataque de força bruta ao LDAP | Médio | Microsoft Defender para Identidade | Use o sensor para ajudar a detetar possíveis ataques de força bruta contra LDAP. |
Reconhecimento de enumeração de contas | Médio | Microsoft Defender para Identidade | Use o sensor para ajudar a executar o reconhecimento de enumeração de conta. |
Correlação geral entre o Microsoft Entra ID e o Azure AD FS | Médio | Microsoft Defender para Identidade | Use recursos para correlacionar atividades entre seus ambientes Microsoft Entra ID e Azure AD FS. |
Monitoramento de autenticação de passagem
A autenticação de passagem do Microsoft Entra conecta os usuários validando suas senhas diretamente no Ative Directory local.
Seguem-se aspetos específicos a procurar:
O que monitorizar | Nível de risco | Onde | Filtro/subfiltro | Notas |
---|---|---|---|---|
Erros de autenticação de passagem do Microsoft Entra | Médio | Logs de aplicativos e serviços\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 – Não é possível conectar-se ao Ative Directory | Verifique se os servidores do agente são membros da mesma floresta do AD que os usuários cujas senhas precisam ser validadas e se podem conectar ao Ative Directory. |
Erros de autenticação de passagem do Microsoft Entra | Médio | Logs de aplicativos e serviços\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002 - Ocorreu um tempo limite ao ligar ao Ative Directory | Verifique se o Ative Directory está disponível e que responde aos pedidos dos agentes. |
Erros de autenticação de passagem do Microsoft Entra | Médio | Logs de aplicativos e serviços\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004 - O nome de usuário passado para o agente não era válido | Verifique se o utilizador está a tentar iniciar sessão com o nome de utilizador correto. |
Erros de autenticação de passagem do Microsoft Entra | Médio | Logs de aplicativos e serviços\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 - A validação encontrou WebException imprevisível | Um erro transitório. Repita o pedido. Se continuar a falhar, contacte o suporte da Microsoft. |
Erros de autenticação de passagem do Microsoft Entra | Médio | Logs de aplicativos e serviços\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 - Ocorreu um erro ao comunicar com o Ative Directory | Veja os registos do agente para obter mais informações e verificar se o Active Directory está a funcionar conforme esperado. |
Erros de autenticação de passagem do Microsoft Entra | Alto | API de função Win32 LogonUserA | Eventos de início de sessão 4624(s): Uma conta foi iniciada com êxito - correlacionar com – 4625(F): Falha ao iniciar sessão numa conta |
Use com os nomes de usuário suspeitos no controlador de domínio que está autenticando solicitações. Orientação na função LogonUserA (winbase.h) |
Erros de autenticação de passagem do Microsoft Entra | Médio | Script PowerShell do controlador de domínio | Veja a consulta após a tabela. | Use as informações em Microsoft Entra Connect: Solucionar problemas de autenticaçãode passagem para obter orientação. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Monitoramento para criação de novos locatários do Microsoft Entra
As organizações podem precisar monitorar e alertar sobre a criação de novos locatários do Microsoft Entra quando a ação é iniciada por identidades de seu locatário organizacional. O monitoramento desse cenário fornece visibilidade sobre quantos locatários estão sendo criados e podem ser acessados pelos usuários finais.
O que monitorizar | Nível de risco | Onde | Filtro/subfiltro | Notas |
---|---|---|---|---|
Criação de um novo locatário do Microsoft Entra, usando uma identidade do seu locatário. | Médio | Registos de auditoria do Microsoft Entra | Categoria: Gestão de Diretórios Atividade: Criar Empresa |
Destino(s) mostra o TenantID criado |
Conector de rede privada
O Microsoft Entra ID e o proxy de aplicativo Microsoft Entra oferecem aos usuários remotos uma experiência de logon único (SSO). Os usuários se conectam com segurança a aplicativos locais sem uma rede virtual privada (VPN) ou servidores de hospedagem dupla e regras de firewall. Se o servidor conector de rede privada Microsoft Entra estiver comprometido, os invasores poderão alterar a experiência de SSO ou alterar o acesso a aplicativos publicados.
Para configurar o monitoramento do Proxy de Aplicativo, consulte Solucionar problemas de Proxy de Aplicativo e mensagens de erro. O arquivo de dados que registra informações pode ser encontrado em Logs de Aplicativos e Serviços\Microsoft\Microsoft Entra private network\Connector\Admin. Para obter um guia de referência completo para a atividade de auditoria, consulte Referência da atividade de auditoria do Microsoft Entra. Aspetos específicos a monitorizar:
O que monitorizar | Nível de risco | Onde | Filtro/subfiltro | Notas |
---|---|---|---|---|
Erros do Kerberos | Médio | Várias ferramentas | Médio | Orientação de erro de autenticação Kerberos em Erros Kerberos em Solucionar problemas de proxy de aplicativo e mensagens de erro. |
Problemas de segurança do DC | Alto | Logs de auditoria de segurança DC | ID do Evento 4742(S): Uma conta de computador foi alterada - e - Sinalizador – Confiável para delegação -or- Sinalizador – Confiável para autenticação para delegação |
Investigue qualquer alteração de sinalizador. |
Ataques tipo pass-the-ticket | Alto | Siga as orientações em: Reconhecimento da entidade de segurança (LDAP) (ID externo 2038) Tutorial: Alertas de credenciais comprometidas Compreender e usar caminhos de movimento laterais com o Microsoft Defender for Identity Noções básicas sobre perfis de entidade |
Configurações de autenticação herdadas
Para que a autenticação multifactor (MFA) seja eficaz, também é necessário bloquear a autenticação legada. Em seguida, você precisa monitorar seu ambiente e alertar sobre qualquer uso de autenticação herdada. Protocolos de autenticação herdados como POP, SMTP, IMAP e MAPI não podem impor MFA. Isso torna esses protocolos os pontos de entrada preferidos para os invasores. Para obter mais informações sobre ferramentas que você pode usar para bloquear a autenticação herdada, consulte Novas ferramentas para bloquear a autenticação herdada em sua organização.
A autenticação herdada é capturada no log de entrada do Microsoft Entra como parte dos detalhes do evento. Você pode usar a pasta de trabalho do Azure Monitor para ajudar a identificar o uso de autenticação herdada. Para obter mais informações, consulte Entradas usando autenticação herdada, que faz parte de Como usar pastas de trabalho do Azure Monitor para relatórios do Microsoft Entra. Você também pode usar a pasta de trabalho de protocolos inseguros para o Microsoft Sentinel. Para obter mais informações, consulte Guia de implementação da pasta de trabalho de protocolos inseguros do Microsoft Sentinel. As atividades específicas a monitorizar incluem:
O que monitorizar | Nível de risco | Onde | Filtro/subfiltro | Notas |
---|---|---|---|---|
Autenticações herdadas | Alto | Log de entrada do Microsoft Entra | ClientApp : POP ClientApp : IMAP ClientApp : MAPI ClientApp: SMTP ClientApp : ActiveSync ir para EXO Outros clientes = SharePoint e EWS |
Em ambientes de domínio federado, as autenticações com falha não são registradas e não aparecem no log. |
Microsoft Entra Connect
O Microsoft Entra Connect fornece um local centralizado que permite a sincronização de contas e atributos entre seu ambiente Microsoft Entra local e baseado em nuvem. O Microsoft Entra Connect é a ferramenta da Microsoft projetada para atender e atingir suas metas de identidade híbrida. Proporciona as seguintes funcionalidades:
Sincronização de hash de senha - Um método de entrada que sincroniza um hash da senha do AD local de um usuário com a ID do Microsoft Entra.
Sincronização - é responsável pela criação de utilizadores, grupos e outros objetos. Além disso, certifique-se de que as informações de identidade de seus usuários e grupos locais correspondam à nuvem. Esta sincronização também inclui hashes de palavra-passe.
Monitoramento de integridade - O Microsoft Entra Connect Health pode fornecer monitoramento robusto e fornecer um local central no portal do Azure para exibir essa atividade.
A sincronização da identidade entre seu ambiente local e seu ambiente de nuvem introduz uma nova superfície de ataque para seu ambiente local e baseado em nuvem. É recomendável:
Você trata seus servidores primários e de preparo do Microsoft Entra Connect como sistemas de Nível 0 em seu plano de controle.
Você segue um conjunto padrão de políticas que regem cada tipo de conta e seu uso em seu ambiente.
Você instala o Microsoft Entra Connect e Connect Health. Estes fornecem principalmente dados operacionais para o ambiente.
O registro em log das operações do Microsoft Entra Connect ocorre de diferentes maneiras:
O assistente do Microsoft Entra Connect registra dados no
\ProgramData\AADConnect
. Cada vez que o assistente é invocado, um arquivo de log de rastreamento com carimbo de data/hora é criado. O log de rastreamento pode ser importado para o Sentinel ou outras ferramentas de gerenciamento de eventos e informações de segurança (SIEM) de terceiros para análise.Algumas operações iniciam um script do PowerShell para capturar informações de log. Para coletar esses dados, você deve certificar-se de que o login de bloco de script está habilitado.
Monitoramento de alterações de configuração
O Microsoft Entra ID usa o Microsoft SQL Server Data Engine ou SQL para armazenar informações de configuração do Microsoft Entra Connect. Portanto, o monitoramento e a auditoria dos arquivos de log associados à configuração devem ser incluídos em sua estratégia de monitoramento e auditoria. Especificamente, inclua as tabelas a seguir em sua estratégia de monitoramento e alerta.
O que monitorizar | Onde | Notas |
---|---|---|
mms_management_agent | Registros de auditoria de serviço SQL | Consulte Registros de auditoria do SQL Server |
mms_partition | Registros de auditoria de serviço SQL | Consulte Registros de auditoria do SQL Server |
mms_run_profile | Registros de auditoria de serviço SQL | Consulte Registros de auditoria do SQL Server |
mms_server_configuration | Registros de auditoria de serviço SQL | Consulte Registros de auditoria do SQL Server |
mms_synchronization_rule | Registros de auditoria de serviço SQL | Consulte Registros de auditoria do SQL Server |
Para obter informações sobre o que e como monitorar as informações de configuração, consulte:
Para o SQL Server, consulte Registros de auditoria do SQL Server.
Para o Microsoft Sentinel, consulte Conectar-se a servidores Windows para coletar eventos de segurança.
Para obter informações sobre como configurar e usar o Microsoft Entra Connect, consulte O que é o Microsoft Entra Connect?
Monitoramento e solução de problemas de sincronização
Uma função do Microsoft Entra Connect é sincronizar a sincronização de hash entre a senha local de um usuário e a ID do Microsoft Entra. Se as senhas não estiverem sincronizando conforme o esperado, a sincronização poderá afetar um subconjunto de usuários ou todos os usuários. Use o seguinte para ajudar a verificar o funcionamento adequado ou solucionar problemas:
Informações para verificar e solucionar problemas de sincronização de hash, consulte Solucionar problemas de sincronização de hash de senha com o Microsoft Entra Connect Sync.
Modificações nos espaços do conector, consulte Solucionar problemas de objetos e atributos do Microsoft Entra Connect.
Recursos importantes em matéria de monitorização
O que monitorizar | Recursos |
---|---|
Validação de sincronização de hash | Consulte Solucionar problemas de sincronização de hash de senha com o Microsoft Entra Connect Sync |
Modificações nos espaços do conector | consulte Solucionar problemas de objetos e atributos do Microsoft Entra Connect |
Modificações nas regras configuradas | Monitorar alterações em: filtragem, domínio e UO, atributo e alterações baseadas em grupo |
Alterações SQL e MSDE | Alterações nos parâmetros de log e adição de funções personalizadas |
Monitore o seguinte:
O que monitorizar | Nível de risco | Onde | Filtro/subfiltro | Notas |
---|---|---|---|---|
Alterações no agendador | Alto | PowerShell | Set-ADSyncScheduler | Procure modificações na programação |
Alterações nas tarefas agendadas | Alto | Registos de auditoria do Microsoft Entra | Atividade = 4699(S): Uma tarefa agendada foi excluída -or- Atividade = 4701(s): Uma tarefa agendada foi desativada -or- Atividade = 4702(s): Uma tarefa agendada foi atualizada |
Monitorizar tudo |
Para obter mais informações sobre como registrar operações de script do PowerShell, consulte Habilitando o log de bloco de script, que faz parte da documentação de referência do PowerShell.
Para obter mais informações sobre como configurar o log do PowerShell para análise pelo Splunk, consulte Obter dados no Splunk User Behavior Analytics.
Monitorando o logon único contínuo
O Microsoft Entra no logon único contínuo (SSO contínuo) entra automaticamente nos usuários quando eles estão em seus desktops corporativos conectados à sua rede corporativa. O SSO contínuo fornece aos seus usuários acesso fácil aos seus aplicativos baseados em nuvem sem outros componentes locais. O SSO usa os recursos de autenticação de passagem e sincronização de hash de senha fornecidos pelo Microsoft Entra Connect.
O monitoramento do logon único e da atividade Kerberos pode ajudá-lo a detetar padrões gerais de ataque de roubo de credenciais. Monitore usando as seguintes informações:
O que monitorizar | Nível de risco | Onde | Filtro/subfiltro | Notas |
---|---|---|---|---|
Erros associados a falhas de validação de SSO e Kerberos | Médio | Log de entrada do Microsoft Entra | Lista de códigos de erro de logon único em Logon único. | |
Consulta para solução de erros | Médio | PowerShell | Consulte a tabela a seguir à consulta. check-in de cada floresta com SSO habilitado. | Faça check-in em cada floresta com o SSO habilitado. |
Eventos relacionados a Kerberos | Alto | Monitoramento do Microsoft Defender for Identity | Revise as diretrizes disponíveis no Microsoft Defender para Caminhos de Movimento Lateral de Identidade (LMPs) |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Políticas de proteção por senha
Se você implantar a Proteção por Senha do Microsoft Entra, o monitoramento e a geração de relatórios serão tarefas essenciais. Os links a seguir fornecem detalhes para ajudá-lo a entender várias técnicas de monitoramento, incluindo onde cada serviço registra informações e como relatar o uso da Proteção por Senha do Microsoft Entra.
O agente do controlador de domínio (DC) e os serviços de proxy registram mensagens de log de eventos. Todos os cmdlets do PowerShell descritos abaixo estão disponíveis apenas no servidor proxy (consulte o módulo AzureADPasswordProtection PowerShell). O software do agente DC não instala um módulo do PowerShell.
Informações detalhadas para planejar e implementar a proteção por senha local estão disponíveis em Planejar e implantar a Proteção por Senha do Microsoft Entra local. Para obter detalhes de monitoramento, consulte Monitorar a proteção por senha do Microsoft Entra local. Em cada controlador de domínio, o software de serviço do agente de DC grava os resultados de cada operação de validação de senha individual (e outro status) no seguinte log de eventos local:
\Logs de aplicativos e serviços\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Logs de aplicativos e serviços\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Logs de aplicativos e serviços\Microsoft\AzureADPasswordProtection\DCAgent\Trace
O log Admin do agente DC é a principal fonte de informações sobre como o software está se comportando. Por padrão, o log de rastreamento está desativado e deve ser habilitado antes que os dados sejam registrados. Para solucionar problemas de proxy de aplicativo e mensagens de erro, informações detalhadas estão disponíveis em Solucionar problemas de proxy de aplicativo do Microsoft Entra. As informações para estes eventos estão registadas:
Logs de Aplicativos e Serviços\Microsoft\Microsoft Entra private network\Connector\Admin
Log de auditoria do Microsoft Entra, Categoria Proxy de aplicativo
A referência completa para as atividades de auditoria do Microsoft Entra está disponível em Referência da atividade de auditoria do Microsoft Entra.
Acesso Condicional
No Microsoft Entra ID, você pode proteger o acesso aos seus recursos configurando políticas de Acesso Condicional. Como administrador de TI, você deseja garantir que suas políticas de Acesso Condicional funcionem conforme o esperado para garantir que seus recursos estejam protegidos. O monitoramento e o alerta sobre alterações no serviço de Acesso Condicional garantem que as políticas definidas pela sua organização para o acesso aos dados sejam aplicadas. O Microsoft Entra registra quando são feitas alterações no Acesso Condicional e também fornece pastas de trabalho para garantir que suas políticas estejam fornecendo a cobertura esperada.
Links da pasta de trabalho
Monitore as alterações nas políticas de Acesso Condicional usando as seguintes informações:
O que monitorizar | Nível de risco | Onde | Filtro/subfiltro | Notas |
---|---|---|---|---|
Nova Política de Acesso Condicional criada por atores não aprovados | Médio | Registos de auditoria do Microsoft Entra | Atividade: Adicionar política de Acesso Condicional Categoria: Política Iniciado por (ator): Nome Principal do Utilizador |
Monitore e alerte sobre alterações de Acesso Condicional. É iniciado por (ator): aprovado para fazer alterações no Acesso Condicional? Modelo do Microsoft Sentinel Regras Sigma |
Política de Acesso Condicional removida por atores não aprovados | Médio | Registos de auditoria do Microsoft Entra | Atividade: Excluir política de Acesso Condicional Categoria: Política Iniciado por (ator): Nome Principal do Utilizador |
Monitore e alerte sobre alterações de Acesso Condicional. É iniciado por (ator): aprovado para fazer alterações no Acesso Condicional? Modelo do Microsoft Sentinel Regras Sigma |
Política de Acesso Condicional atualizada por atores não aprovados | Médio | Registos de auditoria do Microsoft Entra | Atividade: Atualizar a política de Acesso Condicional Categoria: Política Iniciado por (ator): Nome Principal do Utilizador |
Monitore e alerte sobre alterações de Acesso Condicional. É iniciado por (ator): aprovado para fazer alterações no Acesso Condicional? Revise as propriedades modificadas e compare o valor "antigo" versus o valor "novo" Modelo do Microsoft Sentinel Regras Sigma |
Remoção de um usuário de um grupo usado para definir o escopo de políticas críticas de Acesso Condicional | Médio | Registos de auditoria do Microsoft Entra | Atividade: Remover membro do grupo Categoria: GroupManagement Destino: Nome Principal do Usuário |
Montior e Alert para grupos usados para definir o escopo de Políticas de Acesso Condicional críticas. "Alvo" é o usuário que foi removido. Regras Sigma |
Adição de um usuário a um grupo usado para definir o escopo de políticas críticas de Acesso Condicional | Baixo | Registos de auditoria do Microsoft Entra | Atividade: Adicionar membro ao grupo Categoria: GroupManagement Destino: Nome Principal do Usuário |
Montior e Alert para grupos usados para definir o escopo de Políticas de Acesso Condicional críticas. "Target" é o usuário que foi adicionado. Regras Sigma |
Próximos passos
Visão geral das operações de segurança do Microsoft Entra
Operações de segurança para contas de utilizador
Operações de segurança para contas de consumidores
Operações de segurança para contas privilegiadas
Operações de segurança para o Privileged Identity Management