Operações de segurança do Microsoft Entra para o Privileged Identity Management
A segurança dos ativos de negócios depende da integridade das contas privilegiadas que administram seus sistemas de TI. Os ciberatacantes usam ataques de roubo de credenciais para atingir contas de administrador e outras contas de acesso privilegiado para tentar obter acesso a dados confidenciais.
No caso dos serviços de computação em nuvem, a prevenção e a resposta são da responsabilidade conjunta do prestador de serviços de computação em nuvem e do cliente.
Tradicionalmente, a segurança organizacional tem se concentrado nos pontos de entrada e saída de uma rede como o perímetro de segurança. No entanto, aplicativos SaaS e dispositivos pessoais tornaram essa abordagem menos eficaz. No Microsoft Entra ID, substituímos o perímetro de segurança de rede pela autenticação na camada de identidade da sua organização. Como os usuários são atribuídos a funções administrativas privilegiadas, seu acesso deve ser protegido em ambientes locais, na nuvem e híbridos.
Você é totalmente responsável por todas as camadas de segurança do seu ambiente de TI local. Quando você usa os serviços de nuvem do Azure, a prevenção e a resposta são responsabilidades conjuntas da Microsoft como o provedor de serviços de nuvem e você como o cliente.
Para obter mais informações sobre o modelo de responsabilidade compartilhada, consulte Responsabilidade compartilhada na nuvem.
Para obter mais informações sobre como proteger o acesso para usuários privilegiados, consulte Protegendo o acesso privilegiado para implantações híbridas e em nuvem no Microsoft Entra ID.
Para obter uma ampla variedade de vídeos, guias de instruções e conteúdo dos principais conceitos de identidade privilegiada, visite a documentação do Privileged Identity Management.
O Privileged Identity Management (PIM) é um serviço Microsoft Entra que permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização. Esses recursos incluem recursos no Microsoft Entra ID, Azure e outros Microsoft Online Services, como o Microsoft 365 ou o Microsoft Intune. Você pode usar o PIM para ajudar a reduzir os seguintes riscos:
Identificar e minimizar o número de pessoas que têm acesso a informações e recursos seguros.
Detete permissões de acesso excessivas, desnecessárias ou mal utilizadas em recursos confidenciais.
Reduza as chances de um ator mal-intencionado ter acesso a informações ou recursos protegidos.
Reduza a possibilidade de um usuário não autorizado afetar inadvertidamente recursos confidenciais.
Use este artigo fornece orientação para definir linhas de base, auditar entradas e usar contas privilegiadas. Use a fonte do log de auditoria de origem para ajudar a manter a integridade privilegiada da conta.
Onde procurar
Os arquivos de log que você usa para investigação e monitoramento são:
No portal do Azure, exiba os logs de auditoria do Microsoft Entra e baixe-os como arquivos CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas para automatizar o monitoramento e o alerta:
Microsoft Sentinel – permite análises de segurança inteligentes a nível empresarial, fornecendo capacidades de gestão de eventos e informações de segurança (SIEM).
Regras Sigma - Sigma é um padrão aberto em evolução para escrever regras e modelos que as ferramentas de gerenciamento automatizado podem usar para analisar arquivos de log. Onde existem modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são escritos, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.
Azure Monitor – permite o monitoramento automatizado e o alerta de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de diferentes fontes.
Os Hubs de Eventos do Azure integrados com um SIEM- Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração dos Hubs de Eventos do Azure.
Microsoft Defender for Cloud Apps – permite-lhe descobrir e gerir aplicações, controlar aplicações e recursos e verificar a conformidade das suas aplicações na nuvem.
Protegendo identidades de carga de trabalho com o Microsoft Entra ID Protection - Usado para detetar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.
O restante deste artigo tem recomendações para definir uma linha de base para monitorar e alertar, com um modelo de camada. Os links para soluções pré-criadas aparecem após a tabela. Você pode criar alertas usando as ferramentas anteriores. O conteúdo está organizado nas seguintes áreas:
Bases de referência
Atribuição de função do Microsoft Entra
Configurações de alerta de função do Microsoft Entra
Atribuição de função de recurso do Azure
Gestão de acesso dos recursos do Azure
Acesso elevado para gerenciar assinaturas do Azure
Bases de referência
A seguir estão as configurações de linha de base recomendadas:
O que monitorizar | Nível de risco | Recomendação | Funções | Notas |
---|---|---|---|---|
Atribuição de funções do Microsoft Entra | Alto | Exigir justificação para a ativação. Requer aprovação para ativar. Defina o processo de aprovador de dois níveis. Na ativação, exija a autenticação multifator do Microsoft Entra. Defina a duração máxima da elevação para 8 horas. | Administrador de Segurança, Administrador de Função Privilegiada, Administrador Global | Um administrador de função privilegiada pode personalizar o PIM em sua organização do Microsoft Entra, incluindo alterar a experiência para usuários que ativam uma atribuição de função qualificada. |
Configuração da Função de Recursos do Azure | Alto | Exigir justificação para a ativação. Requer aprovação para ativar. Defina o processo de aprovador de dois níveis. Na ativação, exija a autenticação multifator do Microsoft Entra. Defina a duração máxima da elevação para 8 horas. | Proprietário, Administrador de Acesso de Usuário | Investigue imediatamente, se não for uma mudança planejada. Essa configuração pode habilitar o acesso de invasores a assinaturas do Azure em seu ambiente. |
Alertas de gerenciamento de identidade privilegiado
O Privileged Identity Management (PIM) gera alertas quando há atividades suspeitas ou inseguras em sua organização do Microsoft Entra. Quando um alerta é gerado, ele aparece no painel do Privileged Identity Management. Você também pode configurar uma notificação por e-mail ou enviar para o seu SIEM via GraphAPI. Como esses alertas se concentram especificamente em funções administrativas, você deve monitorar de perto quaisquer alertas.
Atribuição de funções do Microsoft Entra
Um administrador de função privilegiada pode personalizar o PIM em sua organização do Microsoft Entra, o que inclui alterar a experiência do usuário de ativar uma atribuição de função qualificada:
Impeça que o agente mal-intencionado remova os requisitos de autenticação multifator do Microsoft Entra para ativar o acesso privilegiado.
Evite que usuários mal-intencionados ignorem a justificação e a aprovação da ativação do acesso privilegiado.
O que monitorizar | Nível de risco | Onde | Filtro/subfiltro | Notas |
---|---|---|---|---|
Alerta sobre Adicionar alterações às permissões de conta privilegiada | Alto | Registos de auditoria do Microsoft Entra | Categoria = Gestão de Funções - e - Tipo de atividade – Adicionar membro elegível (permanente) - e - Tipo de atividade – Adicionar membro elegível (elegível) - e - Status = Sucesso/fracasso - e - Propriedades modificadas = Role.DisplayName |
Monitore e esteja sempre alerta para quaisquer alterações no Privileged Role Administrator e no Global Administrator. Isso pode ser uma indicação de que um invasor está tentando obter privilégios para modificar as configurações de atribuição de função. Se você não tiver um limite definido, alerte em 4 em 60 minutos para usuários e 2 em 60 minutos para contas privilegiadas. Regras Sigma |
Alerta sobre alterações de exclusão em massa para permissões de conta privilegiada | Alto | Registos de auditoria do Microsoft Entra | Categoria = Gestão de Funções - e - Tipo de atividade – Remover membro elegível (permanente) - e - Tipo de atividade – Remover membro elegível (elegível) - e - Status = Sucesso/fracasso - e - Propriedades modificadas = Role.DisplayName |
Investigue imediatamente, se não for uma mudança planejada. Essa configuração pode habilitar o acesso de um invasor às assinaturas do Azure em seu ambiente. Modelo do Microsoft Sentinel Regras Sigma |
Alterações nas configurações do PIM | Alto | Log de auditoria do Microsoft Entra | Serviço = PIM - e - Categoria = Gestão de Funções - e - Tipo de atividade = Configuração de função de atualização no PIM - e - Status Reason = MFA na ativação desabilitada (exemplo) |
Monitore e esteja sempre alerta para quaisquer alterações no Privileged Role Administrator e no Global Administrator. Isso pode ser uma indicação de que um invasor tem acesso para modificar as configurações de atribuição de função. Uma dessas ações poderia reduzir a segurança da elevação do PIM e facilitar a aquisição de uma conta privilegiada pelos invasores. Modelo do Microsoft Sentinel Regras Sigma |
Aprovações e recusa de elevação | Alto | Log de auditoria do Microsoft Entra | Serviço = Revisão de acesso - e - Categoria = UserManagement - e - Tipo de Atividade = Solicitação Aprovada/Negada - e - Ator iniciado = UPN |
Todas as elevações devem ser monitorizadas. Registre todas as elevações para dar uma indicação clara da linha do tempo para um ataque. Modelo do Microsoft Sentinel Regras Sigma |
A configuração de alerta muda para desativado. | Alto | Registos de auditoria do Microsoft Entra | Serviço =PIM - e - Categoria = Gestão de Funções - e - Tipo de Atividade = Desativar Alerta PIM - e - Status = Sucesso/Fracasso |
Sempre alerta. Ajuda a detetar agentes mal-intencionados removendo alertas associados aos requisitos de autenticação multifator do Microsoft Entra para ativar o acesso privilegiado. Ajuda a detetar atividades suspeitas ou inseguras. Modelo do Microsoft Sentinel Regras Sigma |
Para obter mais informações sobre como identificar alterações na configuração de função no log de auditoria do Microsoft Entra, consulte Exibir histórico de auditoria para funções do Microsoft Entra no Privileged Identity Management.
Atribuição de função de recurso do Azure
O monitoramento das atribuições de função de recurso do Azure permite visibilidade da atividade e ativações para funções de recursos. Essas atribuições podem ser usadas indevidamente para criar uma superfície de ataque a um recurso. Ao monitorar esse tipo de atividade, você está tentando detetar:
Atribuições de função de consulta em recursos específicos
Atribuições de função para todos os recursos filho
Todas as alterações de atribuição de função ativas e qualificadas
O que monitorizar | Nível de risco | Onde | Filtro/subfiltro | Notas |
---|---|---|---|---|
Log de auditoria de recursos de alerta de auditoria para atividades de conta privilegiada | Alto | No PIM, em Recursos do Azure, Auditoria de Recursos | Ação: Adicionar membro elegível à função no PIM concluído (limite de tempo) - e - Alvo primário - e - Tipo de Utilizador - e - Status = Sucedido |
Sempre alerta. Ajuda a detetar agentes mal-intencionados adicionando funções qualificadas para gerenciar todos os recursos no Azure. |
Auditoria de Recursos de Alerta de Auditoria para Desativar Alerta | Médio | No PIM, em Recursos do Azure, Auditoria de Recursos | Ação: Desativar alerta - e - Destino principal: muitos proprietários atribuídos a um recurso - e - Status = Sucedido |
Ajuda a detetar alertas de desabilitação de agentes mal-intencionados, no painel Alertas, que podem ignorar atividades maliciosas que estão sendo investigadas |
Auditoria de Recursos de Alerta de Auditoria para Desativar Alerta | Médio | No PIM, em Recursos do Azure, Auditoria de Recursos | Ação: Desativar alerta - e - Alvo principal: muitos proprietários permanentes atribuídos a um recurso - e - Status = Sucedido |
Impedir que um agente mal-intencionado desative alertas no painel Alertas, que podem ignorar atividades maliciosas que estão sendo investigadas |
Auditoria de Recursos de Alerta de Auditoria para Desativar Alerta | Médio | No PIM, em Recursos do Azure, Auditoria de Recursos | Ação: Desativar alerta - e - Função duplicada de destino principal criada - e - Status = Sucedido |
Impedir que o agente mal-intencionado desative alertas no painel Alertas, que podem ignorar atividades maliciosas que estão sendo investigadas |
Para obter mais informações sobre como configurar alertas e auditar funções de recursos do Azure, consulte:
Gerenciamento de acesso para recursos e assinaturas do Azure
Os usuários ou membros do grupo atribuídos às funções de Proprietário ou Administrador de Acesso de Usuário e os Administradores Globais do Microsoft Entra que habilitaram o gerenciamento de assinaturas na ID do Microsoft Entra têm permissões de Administrador de Recursos por padrão. Os administradores atribuem funções, definem definições de função e analisam o acesso utilizando o PIM, Gestão de Identidades Privilegiadas (PIM) para recursos do Azure.
Um usuário que tenha permissões de administrador de recursos pode gerenciar o PIM for Resources. Monitore e atenue esse risco introduzido: o recurso pode ser usado para permitir que agentes mal-intencionados tenham acesso privilegiado aos recursos de assinatura do Azure, como máquinas virtuais (VMs) ou contas de armazenamento.
O que monitorizar | Nível de risco | Onde | Filtro/subfiltro | Notas |
---|---|---|---|---|
Elevações | Alto | ID do Microsoft Entra, em Gerir, Propriedades | Revise periodicamente a configuração. Gestão de acesso dos recursos do Azure |
Os Administradores Globais podem elevar habilitando o gerenciamento de acesso para recursos do Azure. Verifique se os agentes mal-intencionados não obtiveram permissões para atribuir funções em todas as assinaturas do Azure e grupos de gerenciamento associados ao Ative Directory. |
Para obter mais informações, consulte Atribuir funções de recurso do Azure no Privileged Identity Management
Próximos passos
Visão geral das operações de segurança do Microsoft Entra
Operações de segurança para contas de utilizador
Operações de segurança para contas de consumidores
Operações de segurança para contas privilegiadas
Operações de segurança para aplicações