Operações de segurança do Microsoft Entra para contas de consumidor
As atividades de identidade do consumidor são uma área importante para sua organização proteger e monitorar. Este artigo destina-se a locatários do Azure Ative Directory B2C (Azure AD B2C) e tem orientações para monitorar as atividades da conta do consumidor. As atividades são:
- Conta de consumidor
- Conta privilegiada
- Aplicação
- Infraestrutura
Antes de começar
Antes de usar as orientações neste artigo, recomendamos que você leia o guia de operações de segurança do Microsoft Entra.
Definir uma linha de base
Para descobrir comportamentos anómalos, defina comportamentos normais e esperados. Definir o comportamento esperado para sua organização ajuda a descobrir um comportamento inesperado. Use a definição para ajudar a reduzir os falsos positivos, durante o monitoramento e alerta.
Com o comportamento esperado definido, realize o monitoramento da linha de base para validar as expectativas. Em seguida, monitore os logs para saber o que está fora da tolerância.
Para contas criadas fora dos processos normais, use os logs de auditoria do Microsoft Entra, os logs de entrada do Microsoft Entra e os atributos de diretório como suas fontes de dados. As sugestões a seguir podem ajudá-lo a definir normal.
Criação de conta de consumidor
Avalie a seguinte lista:
- Estratégia e princípios para ferramentas e processos de criação e gestão de contas de consumidores
- Por exemplo, atributos e formatos padrão aplicados aos atributos da conta do consumidor
- Fontes aprovadas para a criação de contas.
- Por exemplo, políticas personalizadas de integração, provisionamento de clientes ou ferramenta de migração
- Estratégia de alerta para contas criadas fora de fontes aprovadas.
- Crie uma lista controlada de organizações com as quais sua organização colabora
- Parâmetros de estratégia e alerta para contas criadas, modificadas ou desativadas por um administrador de conta de consumidor não aprovado
- Estratégia de monitoramento e alerta para contas de consumidor sem atributos padrão, como número de cliente, ou não seguindo convenções de nomenclatura organizacional
- Estratégia, princípios e processo para exclusão e retenção de contas
Onde procurar
Use arquivos de log para investigar e monitorar. Veja os seguintes artigos para mais informações:
- Logs de auditoria no Microsoft Entra ID
- Logs de entrada na ID do Microsoft Entra (visualização)
- Instruções: Investigar riscos
Logs de auditoria e ferramentas de automação
No portal do Azure, você pode exibir logs de auditoria do Microsoft Entra e baixar como CSV (valores separados por vírgula) ou arquivos JSON (JavaScript Object Notation). Use o portal do Azure para integrar os logs do Microsoft Entra com outras ferramentas para automatizar o monitoramento e os alertas:
- Microsoft Sentinel – análise de segurança com recursos de gerenciamento de eventos e informações de segurança (SIEM)
- Regras Sigma - um padrão aberto para escrever regras e modelos que as ferramentas de gerenciamento automatizado podem usar para analisar arquivos de log. Se houver modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. A Microsoft não escreve, testa ou gerencia modelos Sigma. O repositório e os modelos são criados e coletados pela comunidade de segurança de TI.
- Azure Monitor – monitoramento e alerta automatizados de várias condições. Crie ou use pastas de trabalho para combinar dados de diferentes fontes.
- Hubs de Eventos do Azure integrados com um SIEM - integre logs do Microsoft Entra com SIEMs como Splunk, ArcSight, QRadar e Sumo Logic com Hubs de Eventos do Azure
- Microsoft Defender for Cloud Apps – descubra e gerencie aplicativos, administre aplicativos e recursos e esteja em conformidade com a conformidade de aplicativos na nuvem
- Proteção de ID do Microsoft Entra - deteta o risco em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento
Use o restante do artigo para obter recomendações sobre o que monitorar e alertar. Consulte as tabelas, organizadas por tipo de ameaça. Veja links para soluções pré-criadas ou exemplos seguindo a tabela. Crie alertas usando as ferramentas mencionadas anteriormente.
Contas de consumidor
| O que monitorizar | Nível de risco | Onde | Filtro / subfiltro | Notas |
|---|---|---|---|---|
| Grande número de criações ou exclusões de contas | Alto | Registos de auditoria do Microsoft Entra | Atividade: Adicionar usuário Status = sucesso Iniciado por (ator) = Serviço CPIM - e - Atividade: Excluir usuário Status = sucesso Iniciado por (ator) = Serviço CPIM |
Defina um limite de linha de base e, em seguida, monitore e ajuste para se adequar aos seus comportamentos organizacionais. Limite alertas falsos. |
| Contas criadas e excluídas por usuários ou processos não aprovados | Médio | Registos de auditoria do Microsoft Entra | Iniciado por (ator) – NOME PRINCIPAL DO UTILIZADOR - e - Atividade: Adicionar usuário Status = sucesso Iniciado por (ator) != Serviço CPIM e-ou Atividade: Excluir usuário Status = sucesso Iniciado por (ator) != Serviço CPIM |
Se os atores forem usuários não aprovados, configure para enviar um alerta. |
| Contas atribuídas a uma função privilegiada | Alto | Registos de auditoria do Microsoft Entra | Atividade: Adicionar usuário Status = sucesso Iniciado por (ator) == Serviço CPIM - e - Atividade: Adicionar membro à função Status = sucesso |
Se a conta for atribuída a uma função do Microsoft Entra, função do Azure ou associação a grupo privilegiado, alerte e priorize a investigação. |
| Tentativas de início de sessão falhadas | Médio - se incidente isolado Alto - se muitas contas estiverem experimentando o mesmo padrão |
Log de entrada do Microsoft Entra | Status = falha - e - Código de erro de início de sessão 50126 - Erro ao validar credenciais devido a um nome de utilizador ou palavra-passe inválidos. - e - Aplicação == "CPIM PowerShell Client" -or- Aplicação == "ProxyIdentityExperienceFramework" |
Defina um limite de linha de base e, em seguida, monitore e ajuste para se adequar aos seus comportamentos organizacionais e limitar a geração de falsos alertas. |
| Eventos de bloqueio inteligente | Médio - se incidente isolado Alta - se muitas contas estão experimentando o mesmo padrão ou um VIP |
Log de entrada do Microsoft Entra | Status = falha - e - Código de erro de entrada = 50053 – IdsLocked - e - Aplicação == "CPIM PowerShell Client" -or- Aplicação =="ProxyIdentityExperienceFramework" |
Defina um limite de linha de base e, em seguida, monitore e ajuste para se adequar aos seus comportamentos organizacionais e limitar alertas falsos. |
| Autenticações com falha de países ou regiões a partir dos quais não opera | Médio | Log de entrada do Microsoft Entra | Status = falha - e - Localização = <local não aprovado> - e - Aplicação == "CPIM PowerShell Client" -or- Aplicação == "ProxyIdentityExperienceFramework" |
Monitore entradas não iguais aos nomes de cidades fornecidos. |
| Aumento de autenticações com falha de qualquer tipo | Médio | Log de entrada do Microsoft Entra | Status = falha - e - Aplicação == "CPIM PowerShell Client" -or- Aplicação == "ProxyIdentityExperienceFramework" |
Se você não tiver um limite, monitore e alerte se as falhas aumentarem em 10% ou mais. |
| Conta desativada/bloqueada para entradas | Baixo | Log de entrada do Microsoft Entra | Status = Falha - e - código de erro = 50057, A conta de usuário está desativada. |
Esse cenário pode indicar que alguém está tentando obter acesso a uma conta depois de sair de uma organização. A conta está bloqueada, mas é importante registar e alertar esta atividade. |
| Aumento mensurável de entradas bem-sucedidas | Baixo | Log de entrada do Microsoft Entra | Status = Sucesso - e - Aplicação == "CPIM PowerShell Client" -or- Aplicação == "ProxyIdentityExperienceFramework" |
Se você não tiver um limite, monitore e alerte se as autenticações bem-sucedidas aumentarem em 10% ou mais. |
Contas privilegiadas
| O que monitorizar | Nível de risco | Onde | Filtro / subfiltro | Notas |
|---|---|---|---|---|
| Falha de login, limite de senha incorreta | Alto | Log de entrada do Microsoft Entra | Status = Falha - e - código de erro = 50126 |
Defina um limite de linha de base e monitore e ajuste para se adequar aos seus comportamentos organizacionais. Limite alertas falsos. |
| Falha devido ao requisito de acesso condicional | Alto | Log de entrada do Microsoft Entra | Status = Falha - e - código de erro = 53003 - e - Motivo da falha = Bloqueado pelo Acesso Condicional |
O evento pode indicar que um invasor está tentando entrar na conta. |
| Interromper | Alto, médio | Log de entrada do Microsoft Entra | Status = Falha - e - código de erro = 53003 - e - Motivo da falha = Bloqueado pelo Acesso Condicional |
O evento pode indicar que um invasor tem a senha da conta, mas não pode passar no desafio de MFA. |
| Bloqueio de conta | Alto | Log de entrada do Microsoft Entra | Status = Falha - e - código de erro = 50053 |
Defina um limite de linha de base e, em seguida, monitore e ajuste para se adequar aos seus comportamentos organizacionais. Limite alertas falsos. |
| Conta desativada ou bloqueada para entradas | lowa | Log de entrada do Microsoft Entra | Status = Falha - e - Destino = UPN do usuário - e - código de erro = 50057 |
O evento pode indicar alguém tentando obter acesso à conta depois de sair da organização. Embora a conta esteja bloqueada, registre e alerte essa atividade. |
| Alerta ou bloqueio de fraude de MFA | Alto | Log de entrada do Microsoft Entra/Azure Log Analytics | Detalhes de autenticação de início de sessão> Detalhes do resultado = MFA negado, código de fraude inserido |
O usuário privilegiado indica que não instigou o prompt de MFA, o que pode indicar que um invasor tem a senha da conta. |
| Alerta ou bloqueio de fraude de MFA | Alto | Log de entrada do Microsoft Entra/Azure Log Analytics | Tipo de atividade = Fraude reportada - O utilizador está bloqueado por MFA ou fraude comunicada - Nenhuma ação tomada, com base nas definições ao nível do inquilino do relatório de fraude | O usuário privilegiado não indicou nenhuma instigação do prompt do MFA. O cenário pode indicar que um invasor tem a senha da conta. |
| Entradas de conta privilegiadas fora dos controles esperados | Alto | Log de entrada do Microsoft Entra | Status = Falha UserPricipalName = <Conta de administrador> Localização = <local não aprovado> Endereço IP = <IP não aprovado> Informações do dispositivo = <navegador não aprovado, sistema operacional> |
Monitore e alerte as entradas definidas como não aprovadas. |
| Fora dos horários normais de início de sessão | Alto | Log de entrada do Microsoft Entra | Status = Sucesso - e - Localização = - e - Tempo = Fora do horário de trabalho |
Monitore e alerte se os logins ocorrerem fora dos horários esperados. Encontre o padrão de trabalho normal para cada conta privilegiada e alerte se houver alterações não planejadas fora do horário normal de trabalho. Entradas fora do horário normal de trabalho podem indicar comprometimento ou possível ameaça interna. |
| Alteração da palavra-passe | Alto | Registos de auditoria do Microsoft Entra | Ator de atividade = Admin/self-service - e - Alvo = Utilizador - e - Status = Sucesso ou fracasso |
Alertar quando qualquer senha de conta de administrador for alterada. Escreva uma consulta para contas privilegiadas. |
| Alterações nos métodos de autenticação | Alto | Registos de auditoria do Microsoft Entra | Atividade: Criar provedor de identidade Categoria: Gestão de Recursos Destino: Nome Principal do Usuário |
A alteração pode indicar que um invasor adiciona um método de autenticação à conta para ter acesso contínuo. |
| Provedor de identidade atualizado por atores não aprovados | Alto | Registos de auditoria do Microsoft Entra | Atividade: Atualizar provedor de identidade Categoria: Gestão de Recursos Destino: Nome Principal do Usuário |
A alteração pode indicar que um invasor adiciona um método de autenticação à conta para ter acesso contínuo. |
| Provedor de identidade excluído por atores não aprovados | Alto | Análises de acesso do Microsoft Entra | Atividade: Excluir provedor de identidade Categoria: Gestão de Recursos Destino: Nome Principal do Usuário |
A alteração pode indicar que um invasor adiciona um método de autenticação à conta para ter acesso contínuo. |
Aplicações
| O que monitorizar | Nível de risco | Onde | Filtro / subfiltro | Notas |
|---|---|---|---|---|
| Credenciais adicionadas aos aplicativos | Alto | Registos de auditoria do Microsoft Entra | Diretório Service-Core, Category-ApplicationManagement Atividade: Atualizar certificados de aplicativos e gerenciamento de segredos - e - Atividade: Entidade de atualização do serviço/Aplicativo de atualização |
Alerte quando as credenciais forem: adicionadas fora do horário comercial normal ou fluxos de trabalho, tipos não usados em seu ambiente ou adicionados a um fluxo não SAML que suporte a entidade de serviço. |
| Aplicativo atribuído a uma função RBAC (controle de acesso baseado em função) do Azure ou função Microsoft Entra | Alto a médio | Registos de auditoria do Microsoft Entra | Tipo: entidade de serviço Atividade: "Adicionar membro à função" ou "Adicionar membro elegível à função" -or- "Adicionar membro com escopo à função." |
N/A |
| O aplicativo concedeu permissões altamente privilegiadas, como permissões com ". All" (Directory.ReadWrite.All) ou permissões abrangentes (Mail.) | Alto | Registos de auditoria do Microsoft Entra | N/A | Os aplicativos concederam permissões amplas, como ". All" (Directory.ReadWrite.All) ou permissões abrangentes (Mail.) |
| Administrador concedendo permissões de aplicativo (funções de aplicativo) ou permissões delegadas altamente privilegiadas | Alto | Portal do Microsoft 365 | "Adicionar atribuição de função de aplicativo à entidade de serviço" -em que- O(s) destino(s) identifica(m) uma API com dados confidenciais (como o Microsoft Graph) "Adicionar concessão de permissão delegada" -em que- O(s) destino(s) identifica(m) uma API com dados confidenciais (como o Microsoft Graph) - e - DelegatedPermissionGrant.Scope inclui permissões de alto privilégio. |
Alerte quando um administrador global, de aplicativo ou de aplicativo na nuvem consentir com um aplicativo. Procure especialmente o consentimento fora da atividade normal e altere os procedimentos. |
| O aplicativo recebe permissões para Microsoft Graph, Exchange, SharePoint ou Microsoft Entra ID. | Alto | Registos de auditoria do Microsoft Entra | "Adicionar concessão de permissão delegada" -or- "Adicionar atribuição de função de aplicativo à entidade de serviço" -em que- O(s) destino(s) identifica(m) uma API com dados confidenciais (como Microsoft Graph, Exchange Online e assim por diante) |
Use o alerta na linha anterior. |
| Permissões delegadas altamente privilegiadas concedidas em nome de todos os usuários | Alto | Registos de auditoria do Microsoft Entra | "Adicionar concessão de permissão delegada" em que O(s) destino(s) identifica(m) uma API com dados confidenciais (como o Microsoft Graph) DelegatedPermissionGrant.Scope inclui permissões de alto privilégio - e - DelegatedPermissionGrant.ConsentType é "AllPrincipals". |
Use o alerta na linha anterior. |
| Aplicativos que estão usando o fluxo de autenticação ROPC | Médio | Log de entrada do Microsoft Entra | Status=Sucesso Protocolo de Autenticação-ROPC |
Alto nível de confiança é colocado neste aplicativo porque as credenciais podem ser armazenadas em cache ou armazenadas. Se possível, mude para um fluxo de autenticação mais seguro. Use o processo apenas em testes automatizados de aplicativos, se for o caso. |
| Dangling URI | Alto | Logs do Microsoft Entra e Registro de Aplicativos | Diretório Service-Core Category-ApplicationManagement Atividade: Atualizar aplicativo Sucesso – Nome da propriedade AppAddress |
Por exemplo, procure URIs pendentes apontando para um nome de domínio que desapareceu ou um que você não possui. |
| Redirecionar alterações de configuração de URI | Alto | Registos do Microsoft Entra | Diretório Service-Core Category-ApplicationManagement Atividade: Atualizar aplicativo Sucesso – Nome da propriedade AppAddress |
Procure URIs que não usam HTTPS*, URIs com curingas no final ou o domínio da URL, URIs que não são exclusivos do aplicativo, URIs que apontam para um domínio que você não controla. |
| Alterações no URI do AppID | Alto | Registos do Microsoft Entra | Diretório Service-Core Category-ApplicationManagement Atividade: Atualizar aplicativo Atividade: Atualizar entidade de serviço |
Procure modificações de URI do AppID, como adicionar, modificar ou remover o URI. |
| Alterações na propriedade do aplicativo | Médio | Registos do Microsoft Entra | Diretório Service-Core Category-ApplicationManagement Atividade: Adicionar proprietário ao aplicativo |
Procure instâncias de usuários adicionados como proprietários de aplicativos fora das atividades normais de gerenciamento de alterações. |
| Alterações no URL de saída | Baixo | Registos do Microsoft Entra | Diretório Service-Core Category-ApplicationManagement Atividade: Atualizar aplicativo - e - Atividade: Atualizar princípio de serviço |
Procure modificações em um URL de saída. Entradas em branco ou entradas em locais inexistentes impediriam um usuário de encerrar uma sessão. |
Infraestrutura
| O que monitorizar | Nível de Risco | Onde | Filtro / subfiltro | Notas |
|---|---|---|---|---|
| Nova Política de Acesso Condicional criada por atores não aprovados | Alto | Registos de auditoria do Microsoft Entra | Atividade: Adicionar política de Acesso Condicional Categoria: Política Iniciado por (ator): Nome Principal do Utilizador |
Monitore e alerte as alterações do Acesso Condicional. Iniciado por (ator): aprovado para fazer alterações no Acesso Condicional? |
| Política de Acesso Condicional removida por atores não aprovados | Médio | Registos de auditoria do Microsoft Entra | Atividade: Excluir política de Acesso Condicional Categoria: Política Iniciado por (ator): Nome Principal do Utilizador |
Monitore e alerte as alterações do Acesso Condicional. Iniciado por (ator): aprovado para fazer alterações no Acesso Condicional? |
| Política de Acesso Condicional atualizada por atores não aprovados | Alto | Registos de auditoria do Microsoft Entra | Atividade: Atualizar a política de Acesso Condicional Categoria: Política Iniciado por (ator): Nome Principal do Utilizador |
Monitore e alerte as alterações do Acesso Condicional. Iniciado por (ator): aprovado para fazer alterações no Acesso Condicional? Revise as propriedades modificadas e compare o valor antigo com o novo |
| Política personalizada B2C criada por atores não aprovados | Alto | Registos de auditoria do Microsoft Entra | Atividade: Criar política personalizada Categoria: Gestão de Recursos Destino: Nome Principal do Usuário |
Monitore e alerte alterações de políticas personalizadas. Iniciado por (ator): aprovado para fazer alterações nas políticas personalizadas? |
| Política personalizada B2C atualizada por atores não aprovados | Alto | Registos de auditoria do Microsoft Entra | Atividade: Obtenha políticas personalizadas Categoria: Gestão de Recursos Destino: Nome Principal do Usuário |
Monitore e alerte alterações de políticas personalizadas. Iniciado por (ator): aprovado para fazer alterações nas políticas personalizadas? |
| Política personalizada B2C excluída por atores não aprovados | Médio | Registos de auditoria do Microsoft Entra | Atividade: Excluir política personalizada Categoria: Gestão de Recursos Destino: Nome Principal do Usuário |
Monitore e alerte alterações de políticas personalizadas. Iniciado por (ator): aprovado para fazer alterações nas políticas personalizadas? |
| Fluxo de usuários criado por atores não aprovados | Alto | Registos de auditoria do Microsoft Entra | Atividade: Criar fluxo de usuário Categoria: Gestão de Recursos Destino: Nome Principal do Usuário |
Monitore e alerte sobre alterações no fluxo de usuários. Iniciado por (ator): aprovado para fazer alterações nos fluxos de usuários? |
| Fluxo de usuários atualizado por atores não aprovados | Alto | Registos de auditoria do Microsoft Entra | Atividade: Atualizar o fluxo de usuários Categoria: Gestão de Recursos Destino: Nome Principal do Usuário |
Monitore e alerte sobre alterações no fluxo de usuários. Iniciado por (ator): aprovado para fazer alterações nos fluxos de usuários? |
| Fluxo de usuários excluído por atores não aprovados | Médio | Registos de auditoria do Microsoft Entra | Atividade: Excluir fluxo de usuário Categoria: Gestão de Recursos Destino: Nome Principal do Usuário |
Monitore e alerte sobre alterações no fluxo de usuários. Iniciado por (ator): aprovado para fazer alterações nos fluxos de usuários? |
| Conectores de API criados por atores não aprovados | Médio | Registos de auditoria do Microsoft Entra | Atividade: Criar conector de API Categoria: Gestão de Recursos Destino: Nome Principal do Usuário |
Monitore e alerte as alterações do conector da API. Iniciado por (ator): aprovado para fazer alterações nos conectores de API? |
| Conectores de API atualizados por atores não aprovados | Médio | Registos de auditoria do Microsoft Entra | Atividade: Atualizar conector da API Categoria: Gestão de Recursos Destino: Nome Principal do Usuário: ResourceManagement |
Monitore e alerte as alterações do conector da API. Iniciado por (ator): aprovado para fazer alterações nos conectores de API? |
| Conectores de API excluídos por atores não aprovados | Médio | Registos de auditoria do Microsoft Entra | Atividade: Atualizar conector da API Categoria: Gestão de Recursos Destino: Nome Principal do Usuário: ResourceManagment |
Monitore e alerte as alterações do conector da API. Iniciado por (ator): aprovado para fazer alterações nos conectores de API? |
| Provedor de identidade (IdP) criado por atores não aprovados | Alto | Registos de auditoria do Microsoft Entra | Atividade: Criar provedor de identidade Categoria: Gestão de Recursos Destino: Nome Principal do Usuário |
Monitore e alerte as alterações do IdP. Iniciado por (ator): aprovado para fazer alterações na configuração do IdP? |
| IdP atualizado por atores não aprovados | Alto | Registos de auditoria do Microsoft Entra | Atividade: Atualizar provedor de identidade Categoria: Gestão de Recursos Destino: Nome Principal do Usuário |
Monitore e alerte as alterações do IdP. Iniciado por (ator): aprovado para fazer alterações na configuração do IdP? |
| IdP excluído por atores não aprovados | Médio | Registos de auditoria do Microsoft Entra | Atividade: Excluir provedor de identidade Categoria: Gestão de Recursos Destino: Nome Principal do Usuário |
Monitore e alerte as alterações do IdP. Iniciado por (ator): aprovado para fazer alterações na configuração do IdP? |
Próximos passos
Para saber mais, consulte os seguintes artigos sobre operações de segurança:
- Guia de operações de segurança do Microsoft Entra
- Operações de segurança do Microsoft Entra para contas de usuário
- Operações de segurança para contas privilegiadas no Microsoft Entra ID
- Operações de segurança do Microsoft Entra para o Privileged Identity Management
- Guia de operações de segurança do Microsoft Entra para aplicativos
- Operações de segurança do Microsoft Entra para dispositivos
- Operações de segurança para infraestruturas