Partilhar via


Operações de segurança do Microsoft Entra para dispositivos

Os dispositivos não são normalmente visados em ataques baseados em identidade, mas podem ser utilizados para satisfazer e enganar controlos de segurança ou para se fazer passar por utilizadores. Os dispositivos podem ter uma das quatro relações com o Microsoft Entra ID:

Os dispositivos registrados e associados recebem um PRT (Primary Refresh Token), que pode ser usado como um artefato de autenticação principal e, em alguns casos, como um artefato de autenticação multifator. Os invasores podem tentar registrar seus próprios dispositivos, usar PRTs em dispositivos legítimos para acessar dados comerciais, roubar tokens baseados em PRT de dispositivos de usuários legítimos ou encontrar configurações incorretas em controles baseados em dispositivos no Microsoft Entra ID. Com os dispositivos híbridos associados ao Microsoft Entra, o processo de associação é iniciado e controlado por administradores, reduzindo os métodos de ataque disponíveis.

Para obter mais informações sobre métodos de integração de dispositivos, consulte Choose your integration methods no artigo Plan your Microsoft Entra device deployment.

Para reduzir o risco de agentes mal-intencionados atacarem sua infraestrutura por meio de dispositivos, monitore

  • Registo de dispositivos e adesão ao Microsoft Entra

  • Dispositivos não compatíveis que acessam aplicativos

  • Recuperação de chave BitLocker

  • Funções de administrador de dispositivos

  • Entradas em máquinas virtuais

Onde procurar

Os arquivos de log que você usa para investigação e monitoramento são:

No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixar como arquivos CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação do monitoramento e alerta:

  • Microsoft Sentinel – permite análises de segurança inteligentes a nível empresarial, fornecendo capacidades de gestão de eventos e informações de segurança (SIEM).

  • Regras Sigma - Sigma é um padrão aberto em evolução para escrever regras e modelos que as ferramentas de gerenciamento automatizado podem usar para analisar arquivos de log. Onde existem modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são escritos, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.

  • Azure Monitor – permite o monitoramento automatizado e o alerta de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de diferentes fontes.

  • Hubs de Eventos do Azure -integrados com um SIEM- Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração dos Hubs de Eventos do Azure.

  • Microsoft Defender for Cloud Apps – permite-lhe descobrir e gerir aplicações, controlar aplicações e recursos e verificar a conformidade das suas aplicações na nuvem.

  • Protegendo identidades de carga de trabalho com o Microsoft Entra ID Protection - Usado para detetar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.

Muito do que irá monitorizar e alertar são os efeitos das suas políticas de Acesso Condicional. Você pode usar as informações de Acesso Condicional e a pasta de trabalho de relatórios para examinar os efeitos de uma ou mais políticas de Acesso Condicional em suas entradas e os resultados das políticas, incluindo o estado do dispositivo. Esta pasta de trabalho permite exibir um resumo e identificar os efeitos durante um período de tempo específico. Você também pode usar a pasta de trabalho para investigar as entradas de um usuário específico.

O restante deste artigo descreve o que recomendamos que você monitore e alerte, e é organizado pelo tipo de ameaça. Quando existem soluções específicas pré-construídas, ligamo-nos a elas ou fornecemos amostras seguindo a tabela. Caso contrário, você pode criar alertas usando as ferramentas anteriores.

Registos de dispositivos e aderências fora da política

Os dispositivos registrados do Microsoft Entra e os dispositivos ingressados do Microsoft Entra possuem tokens de atualização primários (PRTs), que são o equivalente a um único fator de autenticação. Esses dispositivos podem, às vezes, conter declarações de autenticação forte. Para obter mais informações sobre quando os PRTs contêm declarações de autenticação forte, consulte Quando um PRT recebe uma declaração de MFA? Para impedir que agentes mal-intencionados se registrem ou associem dispositivos, exija autenticação multifator (MFA) para registrar ou ingressar dispositivos. Em seguida, monitore todos os dispositivos registrados ou ingressados sem MFA. Você também precisará ficar atento às alterações nas configurações e políticas de MFA e nas políticas de conformidade do dispositivo.

O que monitorizar Nível de Risco Onde Filtro/subfiltro Notas
Registro de dispositivo ou ingresso concluído sem MFA Médio Registos de início de sessão Atividade: autenticação bem-sucedida no Serviço de Registro de Dispositivos.
And
Não é necessário MFA
Alertar quando: Qualquer dispositivo registado ou associado sem MFA
Modelo do Microsoft Sentinel
Regras Sigma
Alterações na alternância MFA de Registro de Dispositivo na ID do Microsoft Entra Alto Registo de auditoria Atividade: Definir políticas de registro de dispositivos Procurar: A alternância está sendo desativada. Não há entrada de log de auditoria. Agende verificações periódicas.
Regras Sigma
Alterações às políticas de Acesso Condicional que exijam um dispositivo associado ao domínio ou compatível. Alto Registo de auditoria Alterações às políticas de Acesso Condicional
Alertar quando: altere qualquer política que exija ingresso ou conformidade com o domínio, alterações em locais confiáveis ou contas ou dispositivos adicionados a exceções de política de MFA.

Você pode criar um alerta que notifica os administradores apropriados quando um dispositivo é registrado ou ingressado sem MFA usando o Microsoft Sentinel.

SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"

Também pode utilizar o Microsoft Intune para definir e monitorizar políticas de conformidade de dispositivos.

Entrada de dispositivo não compatível

Pode não ser possível bloquear o acesso a todas as aplicações na nuvem e de software como serviço com políticas de Acesso Condicional que exijam dispositivos compatíveis.

A gestão de dispositivos móveis (MDM) ajuda-o a manter os dispositivos Windows 10 em conformidade. Com o Windows versão 1809, lançamos uma linha de base de segurança de políticas. O Microsoft Entra ID pode se integrar ao MDM para impor a conformidade do dispositivo com as políticas corporativas e pode relatar o status de conformidade de um dispositivo.

O que monitorizar Nível de Risco Onde Filtro/subfiltro Notas
Entradas por dispositivos não compatíveis Alto Registos de início de sessão DeviceDetail.isCompliant == falso Se necessitar de início de sessão a partir de dispositivos compatíveis, alerte quando: qualquer início de sessão por dispositivos não conformes ou qualquer acesso sem MFA ou uma localização fidedigna.

Se estiver a trabalhar no sentido de exigir dispositivos, monitorize entradas suspeitas.

Regras Sigma

Entradas por dispositivos desconhecidos Baixo Registos de início de sessão DeviceDetail está vazio, autenticação de fator único ou de um local não confiável Procure por: qualquer acesso de dispositivos fora de conformidade, qualquer acesso sem MFA ou local confiável
Modelo do Microsoft Sentinel

Regras Sigma

Usar o LogAnalytics para consultar

Entradas por dispositivos não compatíveis

SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"

Entradas por dispositivos desconhecidos


SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"

Dispositivos obsoletos

Os dispositivos obsoletos incluem dispositivos que não iniciaram sessão durante um período de tempo especificado. Os dispositivos podem ficar obsoletos quando um usuário recebe um novo dispositivo ou perde um dispositivo, ou quando um dispositivo associado ao Microsoft Entra é apagado ou reprovisionado. Os dispositivos também podem permanecer registrados ou ingressados quando o usuário não estiver mais associado ao locatário. Os dispositivos obsoletos devem ser removidos para que os PRTs (tokens de atualização primários) não possam ser usados.

O que monitorizar Nível de Risco Onde Filtro/subfiltro Notas
Data do último início de sessão Baixo Graph API aproximadoLastSignInDateTime Use a API do Graph ou o PowerShell para identificar e remover dispositivos obsoletos.

Recuperação de chave BitLocker

Os invasores que comprometeram o dispositivo de um usuário podem recuperar as chaves do BitLocker no Microsoft Entra ID. É incomum que os usuários recuperem chaves e devem ser monitorados e investigados.

O que monitorizar Nível de Risco Onde Filtro/subfiltro Notas
Recuperação de chaves Médio Registos de auditoria OperationName == "Ler chave BitLocker" Procure por: recuperação de chaves, outro comportamento anômalo por usuários recuperando chaves.
Modelo do Microsoft Sentinel

Regras Sigma

No LogAnalytics, crie uma consulta como:

AuditLogs
| where OperationName == "Read BitLocker key" 

Funções de administrador de dispositivos

As funções de Administrador Local de Dispositivo Ingressado no Microsoft Entra e de Administrador Global obtêm automaticamente direitos de administrador local em todos os dispositivos ingressados no Microsoft Entra. É importante monitorar quem tem esses direitos para manter seu ambiente seguro.

O que monitorizar Nível de Risco Onde Filtro/subfiltro Notas
Usuários adicionados a funções de administrador global ou de dispositivo Alto Registos de auditoria Tipo de atividade = Adicionar membro à função. Procure por: novos usuários adicionados a essas funções do Microsoft Entra, comportamento anômalo subsequente por máquinas ou usuários.
Modelo do Microsoft Sentinel

Regras Sigma

Entradas do AD que não são do Azure em máquinas virtuais

As entradas em máquinas virtuais (VMs) Windows ou LINUX devem ser monitoradas para entradas por contas diferentes das contas do Microsoft Entra.

Microsoft Entra sign-in para LINUX

O logon do Microsoft Entra para LINUX permite que as organizações entrem em suas VMs LINUX do Azure usando contas do Microsoft Entra por meio do protocolo de shell seguro (SSH).

O que monitorizar Nível de Risco Onde Filtro/subfiltro Notas
Entrada de conta que não é do Azure AD, especialmente por SSH Alto Logs de autenticação local Ubuntu:
monitor /var/log/auth.log para uso SSH
RedHat:
monitor /var/log/sssd/ para uso SSH
Procure por: entradas em que contas que não sejam do Azure AD estão se conectando com êxito a VMs. Veja o exemplo a seguir.

Exemplo do Ubuntu:

Maio 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Versão: 1.0.015570001; usuário: localusertest01

Maio 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Usuário 'localusertest01' não é um usuário do Microsoft Entra; retornando o resultado vazio.

9 de maio 23:49:43 ubuntu1804 aad_certhandler[3916]: Versão: 1.0.015570001; usuário: localusertest01

Maio 9 23:49:43 ubuntu1804 aad_certhandler[3916]: Usuário 'localusertest01' não é um usuário do Microsoft Entra; retornando o resultado vazio.

Maio 9 23:49:43 ubuntu1804 sshd[3909]: Aceito publicamente para localusertest01 de 192.168.0.15 porta 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

Maio 9 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sessão aberta para o usuário localusertest01 por (uid=0).

Você pode definir a política para entradas de VM LINUX e detetar e sinalizar VMs Linux que tenham contas locais não aprovadas adicionadas. Para saber mais, consulte Usando a Política do Azure para garantir padrões e avaliar a conformidade.

Entradas do Microsoft Entra para Windows Server

O início de sessão do Microsoft Entra para Windows permite que a sua organização inicie sessão nas suas VMs do Azure Windows 2019+ utilizando contas do Microsoft Entra através do protocolo de ambiente de trabalho remoto (RDP).

O que monitorizar Nível de Risco Onde Filtro/subfiltro Notas
Entrada em conta do AD que não é do Azure, especialmente pelo RDP Alto Logs de eventos do Windows Server Login interativo na VM do Windows Evento 528, tipo de logon 10 (RemoteInteractive).
Mostra quando um utilizador inicia sessão através dos Serviços de Terminal ou do Ambiente de Trabalho Remoto.

Próximos passos

Visão geral das operações de segurança do Microsoft Entra

Operações de segurança para contas de utilizador

Operações de segurança para contas de consumidores

Operações de segurança para contas privilegiadas

Operações de segurança para o Privileged Identity Management

Operações de segurança para aplicações

Operações de segurança para infraestruturas