Guia de operações de segurança do Microsoft Entra para aplicativos
Os aplicativos têm uma superfície de ataque para violações de segurança e devem ser monitorados. Embora não sejam direcionadas com tanta frequência quanto as contas de usuário, as violações podem ocorrer. Como os aplicativos geralmente são executados sem intervenção humana, os ataques podem ser mais difíceis de detetar.
Este artigo fornece orientação para monitorar e alertar sobre eventos do aplicativo. É atualizado regularmente para ajudar a garantir que:
Impedir que aplicações maliciosas obtenham acesso injustificado aos dados
Impedir que os aplicativos sejam comprometidos por agentes mal-intencionados
Reúna informações que permitem criar e configurar novos aplicativos com mais segurança
Se você não estiver familiarizado com como os aplicativos funcionam no Microsoft Entra ID, consulte Aplicativos e entidades de serviço no Microsoft Entra ID.
Nota
Se você ainda não analisou a visão geral das operações de segurança do Microsoft Entra, considere fazê-lo agora.
O que procurar
Ao monitorar os logs do aplicativo em busca de incidentes de segurança, revise a lista a seguir para ajudar a diferenciar a atividade normal da atividade maliciosa. Os eventos a seguir podem indicar problemas de segurança. Cada um deles é abordado no artigo.
Quaisquer alterações que ocorram fora dos processos e cronogramas normais de negócios
Alterações nas credenciais do aplicativo
Permissões de aplicação
Entidade de serviço atribuída a uma ID do Microsoft Entra ou a uma função RBAC (controle de acesso baseado em função) do Azure
Aplicativos que receberam permissões altamente privilegiadas
Alterações no Azure Key Vault
O usuário final concede consentimento aos aplicativos
Consentimento interrompido do utilizador final com base no nível de risco
Alterações na configuração do aplicativo
Identificador de recurso universal (URI) alterado ou fora do padrão
Alterações nos proprietários de aplicativos
URLs de logout modificados
Onde procurar
Os arquivos de log que você usa para investigação e monitoramento são:
No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixar como arquivos CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas, que permitem mais automação de monitoramento e alerta:
Microsoft Sentinel – permite análises de segurança inteligentes a nível empresarial com capacidades de gestão de eventos e informações de segurança (SIEM).
Regras Sigma - Sigma é um padrão aberto em evolução para escrever regras e modelos que as ferramentas de gerenciamento automatizado podem usar para analisar arquivos de log. Onde há modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são escritos, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.
Azure Monitor – monitoramento e alerta automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de diferentes fontes.
Os Hubs de Eventos do Azure integrados com um SIEM- Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração dos Hubs de Eventos do Azure.
Microsoft Defender for Cloud Apps – descubra e gerencie aplicativos, controle entre aplicativos e recursos e verifique a conformidade de seus aplicativos na nuvem.
Protegendo identidades de carga de trabalho com o Microsoft Entra ID Protection - deteta o risco em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.
Muito do que você monitora e alerta são os efeitos de suas políticas de Acesso Condicional. Você pode usar a pasta de trabalho de relatórios e insights do Acesso Condicional para examinar os efeitos de uma ou mais políticas de Acesso Condicional em suas entradas e os resultados das políticas, incluindo o estado do dispositivo. Use a pasta de trabalho para exibir um resumo e identificar os efeitos ao longo de um período de tempo. Você pode usar a pasta de trabalho para investigar as entradas de um usuário específico.
O restante deste artigo é o que recomendamos que você monitore e alerte. É organizado pelo tipo de ameaça. Quando existem soluções pré-construídas, ligamo-nos a elas ou fornecemos amostras após a tabela. Caso contrário, você pode criar alertas usando as ferramentas anteriores.
Credenciais do aplicativo
Muitos aplicativos usam credenciais para autenticar no Microsoft Entra ID. Quaisquer outras credenciais adicionadas fora dos processos esperados podem ser um ator mal-intencionado usando essas credenciais. Recomendamos o uso de certificados X509 emitidos por autoridades confiáveis ou Identidades Gerenciadas em vez de usar segredos de cliente. No entanto, se precisar de utilizar segredos de clientes, siga boas práticas de higiene para manter as aplicações seguras. Nota, as atualizações da entidade de aplicação e serviço são registadas como duas entradas no registo de auditoria.
Monitore aplicativos para identificar longos tempos de expiração de credenciais.
Substitua credenciais de longa duração por um curto período de vida. Certifique-se de que as credenciais não sejam confirmadas em repositórios de código e sejam armazenadas com segurança.
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Credenciais adicionadas a aplicativos existentes | Alto | Registos de auditoria do Microsoft Entra | Diretório Service-Core, Category-ApplicationManagement Atividade: Atualizar certificados de aplicativos e gerenciamento de segredos - e - Atividade: Entidade de atualização do serviço/Aplicativo de atualização |
Alerte quando as credenciais forem: adicionadas fora do horário comercial normal ou fluxos de trabalho, de tipos não usados em seu ambiente ou adicionadas a um fluxo não SAML que suporte a entidade de serviço. Modelo do Microsoft Sentinel Regras Sigma |
| Credenciais com uma vida útil mais longa do que as suas políticas permitem. | Médio | Microsoft Graph | Estado e data de término das credenciais da Chave de Aplicativo - e - Credenciais de senha do aplicativo |
Você pode usar a API do MS Graph para localizar as datas de início e término das credenciais e avaliar vidas mais longas do que as permitidas. Consulte Script do PowerShell seguindo esta tabela. |
Estão disponíveis os seguintes alertas e monitorização pré-criados:
Microsoft Sentinel – Alerta quando novas credenciais de princípio de aplicativo ou serviço são adicionadas
Azure Monitor – Pasta de trabalho do Microsoft Entra para ajudá-lo a avaliar o risco do Solorigate - Microsoft Tech Community
Defender for Cloud Apps – Guia de investigação de alertas de deteção de anomalias do Defender for Cloud Apps
PowerShell - Exemplo de script do PowerShell para localizar o tempo de vida da credencial.
Permissões de aplicação
Como uma conta de administrador, os aplicativos podem receber funções privilegiadas. Os aplicativos podem ser atribuídos a qualquer função do Microsoft Entra, como Administrador de Usuário, ou funções do RBAC do Azure, como Leitor de Cobrança. Como eles podem ser executados sem um usuário e como um serviço em segundo plano, monitore de perto quando um aplicativo recebe funções ou permissões privilegiadas.
Entidade de serviço atribuída a uma função
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Aplicativo atribuído à função RBAC do Azure ou à função Microsoft Entra | Alto a Médio | Registos de auditoria do Microsoft Entra | Tipo: entidade de serviço Atividade: "Adicionar membro à função" ou "Adicionar membro elegível à função" -or- "Adicionar membro com escopo à função." |
Para funções altamente privilegiadas, o risco é elevado. Para papéis menos privilegiados, o risco é médio. Alerte sempre que um aplicativo for atribuído a uma função do Azure ou do Microsoft Entra fora dos procedimentos normais de gerenciamento ou configuração de alterações. Modelo do Microsoft Sentinel Regras Sigma |
Aplicativo concedido permissões altamente privilegiadas
As candidaturas devem seguir o princípio do menor privilégio. Investigue as permissões do aplicativo para garantir que elas sejam necessárias. Você pode criar um relatório de concessão de consentimento de aplicativo para ajudar a identificar aplicativos e destacar permissões privilegiadas.
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| O aplicativo concedeu permissões altamente privilegiadas, como permissões com ". All" (Directory.ReadWrite.All) ou permissões abrangentes (Mail.) | Alto | Registos de auditoria do Microsoft Entra | "Adicionar atribuição de função de aplicativo à entidade de serviço", - em que- O(s) destino(s) identifica(m) uma API com dados confidenciais (como o Microsoft Graph) - e - AppRole.Value identifica uma permissão de aplicativo altamente privilegiada (função de aplicativo). |
Os aplicativos receberam permissões amplas, como ". All" (Directory.ReadWrite.All) ou permissões abrangentes (Mail.) Modelo do Microsoft Sentinel Regras Sigma |
| Administrador concedendo permissões de aplicativo (funções de aplicativo) ou permissões delegadas altamente privilegiadas | Alto | Portal do Microsoft 365 | "Adicionar atribuição de função de aplicativo à entidade de serviço", -em que- O(s) destino(s) identifica(m) uma API com dados confidenciais (como o Microsoft Graph) "Adicionar concessão de permissão delegada", -em que- O(s) destino(s) identifica(m) uma API com dados confidenciais (como o Microsoft Graph) - e - DelegatedPermissionGrant.Scope inclui permissões de alto privilégio. |
Alerta quando um administrador consente com um aplicativo. Procure especialmente o consentimento fora da atividade normal e altere os procedimentos. Modelo do Microsoft Sentinel Modelo do Microsoft Sentinel Modelo do Microsoft Sentinel Regras Sigma |
| O aplicativo recebe permissões para Microsoft Graph, Exchange, SharePoint ou Microsoft Entra ID. | Alto | Registos de auditoria do Microsoft Entra | "Adicionar concessão de permissão delegada" -or- "Adicionar atribuição de função de aplicativo à entidade de serviço", -em que- O(s) destino(s) identifica(m) uma API com dados confidenciais (como Microsoft Graph, Exchange Online e assim por diante) |
Alerta como na linha anterior. Modelo do Microsoft Sentinel Regras Sigma |
| Permissões de aplicativo (funções de aplicativo) para outras APIs são concedidas | Médio | Registos de auditoria do Microsoft Entra | "Adicionar atribuição de função de aplicativo à entidade de serviço", -em que- O(s) destino(s) identifica(m) qualquer outra API. |
Alerta como na linha anterior. Regras Sigma |
| Permissões delegadas altamente privilegiadas são concedidas em nome de todos os usuários | Alto | Registos de auditoria do Microsoft Entra | "Adicionar concessão de permissão delegada", onde Destino(s) identifica uma API com dados confidenciais (como o Microsoft Graph), DelegatedPermissionGrant.Scope inclui permissões de alto privilégio, - e - DelegatedPermissionGrant.ConsentType é "AllPrincipals". |
Alerta como na linha anterior. Modelo do Microsoft Sentinel Modelo do Microsoft Sentinel Modelo do Microsoft Sentinel Regras Sigma |
Para obter mais informações sobre como monitorar permissões de aplicativos, consulte este tutorial: Investigar e corrigir aplicativos OAuth arriscados.
Azure Key Vault
Use o Azure Key Vault para armazenar os segredos do seu locatário. Recomendamos que preste atenção a quaisquer alterações à configuração e às atividades do Cofre de Chaves.
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Como e quando os seus Cofres de Chaves são acedidos e por quem | Médio | Logs do Azure Key Vault | Tipo de recurso: Cofres de chaves | Procure: qualquer acesso ao Key Vault fora dos processos e horas normais, quaisquer alterações na ACL do Key Vault. Modelo do Microsoft Sentinel Regras Sigma |
Depois de configurar o Cofre da Chave do Azure, habilite o registro. Veja como e quando seus Cofres de Chaves são acessados e configure alertas no Cofre de Chaves para notificar usuários atribuídos ou listas de distribuição por e-mail, telefone, texto ou notificação de Grade de Eventos , se a integridade for afetada. Além disso, a configuração do monitoramento com insights do Key Vault oferece um instantâneo das solicitações, desempenho, falhas e latência do Key Vault. O Log Analytics também tem alguns exemplos de consultas para o Cofre de Chaves do Azure que podem ser acessadas depois de selecionar seu Cofre de Chaves e, em seguida, em "Monitoramento", selecionar "Logs".
Consentimento do utilizador final
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Consentimento do utilizador final para a aplicação | Baixo | Registos de auditoria do Microsoft Entra | Atividade: Consentimento para aplicação / ConsentContext.IsAdminConsent = false | Procure: contas de alto perfil ou altamente privilegiadas, aplicativos solicitam permissões de alto risco, aplicativos com nomes suspeitos, por exemplo, genéricos, com erros ortográficos e assim por diante. Modelo do Microsoft Sentinel Regras Sigma |
O ato de consentir com um pedido não é malicioso. No entanto, investigue novas concessões de consentimento do usuário final à procura de aplicativos suspeitos. Você pode restringir as operações de consentimento do usuário.
Para obter mais informações sobre operações de consentimento, consulte os seguintes recursos:
Detetar e remediar concessões de consentimento ilícitas - Office 365
Manual de resposta a incidentes - Investigação de concessão de consentimento do aplicativo
Usuário final interrompido devido a consentimento baseado em risco
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Consentimento do utilizador final interrompido devido a consentimento baseado no risco | Médio | Registos de auditoria do Microsoft Entra | Core Directory / ApplicationManagement / Consentimento para a aplicação Motivo do status da falha = Microsoft.online.Security.userConsent BloqueadoForRiskyAppsExceptions |
Monitore e analise sempre que o consentimento for interrompido devido ao risco. Procure: contas de alto perfil ou altamente privilegiadas, aplicativos solicitam permissões de alto risco ou aplicativos com nomes suspeitos, por exemplo, genéricos, com erros ortográficos e assim por diante. Modelo do Microsoft Sentinel Regras Sigma |
Fluxos de autenticação de aplicativos
Existem vários fluxos no protocolo OAuth 2.0. O fluxo recomendado para um aplicativo depende do tipo de aplicativo que está sendo criado. Em alguns casos, há uma escolha de fluxos disponíveis para o aplicativo. Nesse caso, alguns fluxos de autenticação são recomendados em detrimento de outros. Especificamente, evite as credenciais de senha do proprietário do recurso (ROPC) porque elas exigem que o usuário exponha suas credenciais de senha atuais para o aplicativo. Em seguida, o aplicativo usa as credenciais para autenticar o usuário no provedor de identidade. A maioria dos aplicativos deve usar o fluxo de código de autenticação ou fluxo de código de autenticação com PKCE (Proof Key for Code Exchange), porque esse fluxo é recomendado.
O único cenário em que o ROPC é sugerido é para testes automatizados de aplicativos. Consulte Executar testes de integração automatizados para obter detalhes.
O fluxo de código de dispositivo é outro fluxo de protocolo OAuth 2.0 para dispositivos com restrição de entrada e não é usado em todos os ambientes. Quando o fluxo de código do dispositivo aparece no ambiente e não é usado em um cenário de dispositivo restrito de entrada. Mais investigação é necessária para um aplicativo mal configurado ou potencialmente algo malicioso. O fluxo de código do dispositivo também pode ser bloqueado ou permitido no Acesso Condicional. Consulte Fluxos de autenticação de Acesso Condicional para obter detalhes.
Monitore a autenticação do aplicativo usando a seguinte formação:
| O que monitorizar | Nível de risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Aplicativos que estão usando o fluxo de autenticação ROPC | Médio | Log de entrada do Microsoft Entra | Status=Sucesso Protocolo de Autenticação-ROPC |
Um alto nível de confiança está sendo colocado neste aplicativo, pois as credenciais podem ser armazenadas em cache ou armazenadas. Mude, se possível, para um fluxo de autenticação mais seguro. Isso só deve ser usado em testes automatizados de aplicativos, se for o caso. Para obter mais informações, consulte Plataforma de identidade da Microsoft e Credenciais de senha do proprietário do recurso OAuth 2.0 Regras Sigma |
| Aplicativos que usam o fluxo de código do dispositivo | Baixo a médio | Log de entrada do Microsoft Entra | Status=Sucesso Protocolo de autenticação-código do dispositivo |
Os fluxos de código de dispositivo são usados para dispositivos restritos de entrada, que podem não estar em todos os ambientes. Se fluxos de código de dispositivo bem-sucedidos aparecerem, sem a necessidade deles, investigue a validade. Para obter mais informações, consulte Plataforma de identidade da Microsoft e o fluxo de concessão de autorização de dispositivo OAuth 2.0 Regras Sigma |
Alterações na configuração do aplicativo
Monitore as alterações na configuração do aplicativo. Especificamente, a configuração muda para o identificador de recurso uniforme (URI), propriedade e URL de logout.
Alterações de URI de Dangling e URI de redirecionamento
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Dangling URI | Alto | Logs do Microsoft Entra e Registro de Aplicativos | Diretório Service-Core, Category-ApplicationManagement Atividade: Atualizar aplicativo Sucesso – Nome da propriedade AppAddress |
Por exemplo, procure URIs pendentes que apontem para um nome de domínio que não existe mais ou que você não possui explicitamente. Modelo do Microsoft Sentinel Regras Sigma |
| Redirecionar alterações de configuração de URI | Alto | Registos do Microsoft Entra | Diretório Service-Core, Category-ApplicationManagement Atividade: Atualizar aplicativo Sucesso – Nome da propriedade AppAddress |
Procure URIs que não usam HTTPS*, URIs com curingas no final ou no domínio da URL, URIs que NÃO são exclusivos do aplicativo, URIs que apontam para um domínio que você não controla. Modelo do Microsoft Sentinel Regras Sigma |
Alerte quando essas alterações forem detetadas.
URI do AppID adicionado, modificado ou removido
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Alterações no URI do AppID | Alto | Registos do Microsoft Entra | Diretório Service-Core, Category-ApplicationManagement Atividade: Atualização Aplicação Atividade: Atualizar entidade de serviço |
Procure quaisquer modificações de URI do AppID, como adicionar, modificar ou remover o URI. Modelo do Microsoft Sentinel Regras Sigma |
Alerte quando essas alterações forem detetadas fora dos procedimentos aprovados de gerenciamento de alterações.
Novo proprietário
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Alterações na propriedade do aplicativo | Médio | Registos do Microsoft Entra | Diretório Service-Core, Category-ApplicationManagement Atividade: Adicionar proprietário ao aplicativo |
Procure qualquer instância de um usuário sendo adicionado como proprietário de um aplicativo fora das atividades normais de gerenciamento de alterações. Modelo do Microsoft Sentinel Regras Sigma |
URL de logout modificado ou removido
| O que monitorizar | Nível de Risco | Onde | Filtro/subfiltro | Notas |
|---|---|---|---|---|
| Alterações ao URL de encerramento de sessão | Baixo | Registos do Microsoft Entra | Diretório Service-Core, Category-ApplicationManagement Atividade: Atualizar aplicativo - e - Atividade: Atualizar princípio de serviço |
Procure quaisquer modificações em um URL de saída. Entradas em branco ou entradas em locais inexistentes impediriam um usuário de encerrar uma sessão. Modelo do Microsoft Sentinel Regras Sigma |
Recursos
Kit de ferramentas do GitHub Microsoft Entra - https://github.com/microsoft/AzureADToolkit
Visão geral e orientação de segurança do Azure Key Vault - Visão geral da segurança do Azure Key Vault
Informações e ferramentas de risco do Solorigate - Pasta de trabalho do Microsoft Entra para ajudá-lo a acessar o risco do Solorigate
Orientação de deteção de ataques OAuth - Adição incomum de credenciais a um aplicativo OAuth
Informações de configuração de monitoramento do Microsoft Entra para SIEMs - Ferramentas de parceiros com integração do Azure Monitor
Próximos passos
Visão geral das operações de segurança do Microsoft Entra
Operações de segurança para contas de utilizador
Operações de segurança para contas de consumidores
Operações de segurança para contas privilegiadas
Operações de segurança para o Privileged Identity Management