Partilhar via


Operações de segurança do Microsoft Entra para contas de usuário

A identidade do usuário é um dos aspetos mais importantes da proteção de sua organização e dados. Este artigo fornece orientações para monitorizar a criação, eliminação e utilização de contas. A primeira parte aborda como monitorar a criação e exclusão de contas incomuns. A segunda parte aborda como monitorar o uso incomum da conta.

Se ainda não leu a visão geral das operações de segurança do Microsoft Entra, recomendamos que o faça antes de prosseguir.

Este artigo abrange contas de usuário gerais. Para contas privilegiadas, consulte Operações de segurança – contas privilegiadas.

Definir uma linha de base

Para descobrir um comportamento anômalo, primeiro você deve definir o que é comportamento normal e esperado. Definir qual é o comportamento esperado para sua organização ajuda a determinar quando um comportamento inesperado ocorre. A definição também ajuda a reduzir o nível de ruído de falsos positivos ao monitorar e alertar.

Depois de definir o que espera, você executa o monitoramento da linha de base para validar suas expectativas. Com essas informações, você pode monitorar os logs para qualquer coisa que esteja fora das tolerâncias que você definir.

Use os logs de auditoria do Microsoft Entra, os logs de entrada do Microsoft Entra e os atributos de diretório como suas fontes de dados para contas criadas fora dos processos normais. Seguem-se sugestões para o ajudar a pensar e definir o que é normal para a sua organização.

  • Criação de conta de usuário – avalie o seguinte:

    • Estratégia e princípios para ferramentas e processos usados para criar e gerenciar contas de usuário. Por exemplo, existem atributos padrão, formatos que são aplicados a atributos de conta de usuário.

    • Fontes aprovadas para a criação de contas. Por exemplo, originário do Ative Directory (AD), Microsoft Entra ID ou sistemas de RH como o Workday.

    • Estratégia de alerta para contas criadas fora de fontes aprovadas. Existe uma lista controlada de organizações com as quais a sua organização colabora?

    • Provisionamento de contas de convidado e parâmetros de alerta para contas criadas fora do gerenciamento de direitos ou outros processos normais.

    • Parâmetros de estratégia e alerta para contas criadas, modificadas ou desativadas por uma conta que não seja um administrador de usuário aprovado.

    • Estratégia de monitoramento e alerta para contas sem atributos padrão, como ID de funcionário ou que não seguem convenções de nomenclatura organizacional.

    • Estratégia, princípios e processo para exclusão e retenção de contas.

  • Contas de usuário locais – avalie o seguinte para contas sincronizadas com o Microsoft Entra Connect:

    • As florestas, domínios e unidades organizacionais (OUs) no escopo para sincronização. Quem são os administradores aprovados que podem alterar essas configurações e com que frequência o escopo é verificado?

    • Os tipos de contas que são sincronizadas. Por exemplo, contas de usuário e/ou contas de serviço.

    • O processo de criação de contas locais privilegiadas e como a sincronização desse tipo de conta é controlada.

    • O processo de criação de contas de usuário local e como a sincronização desse tipo de conta é gerenciada.

Para obter mais informações sobre como proteger e monitorar contas locais, consulte Protegendo o Microsoft 365 contra ataques locais.

  • Contas de utilizador na nuvem – avalie o seguinte:

    • O processo para provisionar e gerenciar contas de nuvem diretamente no Microsoft Entra ID.

    • O processo para determinar os tipos de usuários provisionados como contas de nuvem do Microsoft Entra. Por exemplo, você só permite contas privilegiadas ou também permite contas de usuário?

    • O processo para criar e manter uma lista de indivíduos confiáveis e/ou processos esperados para criar e gerenciar contas de usuário na nuvem.

    • O processo para criar e manter uma estratégia de alerta para contas baseadas na nuvem não aprovadas.

Onde procurar

Os arquivos de log que você usa para investigação e monitoramento são:

No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixar como CSV (valores separados por vírgula) ou arquivos JSON (JavaScript Object Notation). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação do monitoramento e alerta:

  • Microsoft Sentinel – permite análises de segurança inteligentes a nível empresarial, fornecendo capacidades de gestão de eventos e informações de segurança (SIEM).

  • Regras Sigma - Sigma é um padrão aberto em evolução para escrever regras e modelos que as ferramentas de gerenciamento automatizado podem usar para analisar arquivos de log. Onde existem modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são escritos, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.

  • Azure Monitor – permite o monitoramento automatizado e o alerta de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de diferentes fontes.

  • Hubs de Eventos do Azure integrados com um SIEM - Os logs do Microsoft Entra podem ser integrados a outros SIEMs , como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração dos Hubs de Eventos do Azure.

  • Microsoft Defender for Cloud Apps – permite-lhe descobrir e gerir aplicações, controlar aplicações e recursos e verificar a conformidade das suas aplicações na nuvem.

  • Protegendo identidades de carga de trabalho com o Microsoft Entra ID Protection - Usado para detetar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.

Muito do que irá monitorizar e alertar são os efeitos das suas políticas de Acesso Condicional. Você pode usar a pasta de trabalho de relatórios e insights do Acesso Condicional para examinar os efeitos de uma ou mais políticas de Acesso Condicional em suas entradas e os resultados das políticas, incluindo o estado do dispositivo. Esta pasta de trabalho permite exibir um resumo e identificar os efeitos durante um período de tempo específico. Você também pode usar a pasta de trabalho para investigar as entradas de um usuário específico.

O restante deste artigo descreve o que recomendamos que você monitore e alerte, e é organizado pelo tipo de ameaça. Quando existem soluções específicas pré-construídas, ligamo-nos a elas ou fornecemos amostras seguindo a tabela. Caso contrário, você pode criar alertas usando as ferramentas anteriores.

Criação de conta

A criação anômala de conta pode indicar um problema de segurança. Contas de curta duração, contas que não seguem padrões de nomenclatura e contas criadas fora dos processos normais devem ser investigadas.

Contas de curta duração

A criação e exclusão de contas fora dos processos normais de gerenciamento de identidade devem ser monitoradas no Microsoft Entra ID. Contas de curta duração são contas criadas e excluídas em um curto espaço de tempo. Esse tipo de criação de conta e exclusão rápida pode significar que um agente mal-intencionado está tentando evitar a deteção criando contas, usando-as e, em seguida, excluindo a conta.

Padrões de conta de curta duração podem indicar que pessoas ou processos não aprovados podem ter o direito de criar e excluir contas que não se enquadram nos processos e políticas estabelecidos. Esse tipo de comportamento remove marcadores visíveis do diretório.

Se a trilha de dados para criação e exclusão de conta não for descoberta rapidamente, as informações necessárias para investigar um incidente podem não existir mais. Por exemplo, as contas podem ser excluídas e, em seguida, removidas da lixeira. Os logs de auditoria são retidos por 30 dias. No entanto, você pode exportar seus logs para o Azure Monitor ou uma solução de gerenciamento de eventos e informações de segurança (SIEM) para retenção de longo prazo.

O que monitorizar Nível de Risco Em que Filtro/subfiltro Observações
Eventos de criação e exclusão de conta dentro de um período de tempo próximo. Alto Logs de auditoria do Microsoft Entra Atividade: Adicionar usuário
Status = sucesso
-e-
Atividade: Excluir usuário
Status = sucesso
Pesquise eventos UPN (nome principal do usuário). Procure contas criadas e depois excluídas em menos de 24 horas.
Modelo do Microsoft Sentinel
Contas criadas e excluídas por usuários ou processos não aprovados. Média Logs de auditoria do Microsoft Entra Iniciado por (ator) – NOME PRINCIPAL DO UTILIZADOR
-e-
Atividade: Adicionar usuário
Status = sucesso
e-ou
Atividade: Excluir usuário
Status = sucesso
Se os atores forem usuários não aprovados, configure para enviar um alerta.
Modelo do Microsoft Sentinel
Contas de fontes não aprovadas. Média Logs de auditoria do Microsoft Entra Atividade: Adicionar usuário
Status = sucesso
Destino(s) = NOME PRINCIPAL DO UTILIZADOR
Se a entrada não for de um domínio aprovado ou for um domínio bloqueado conhecido, configure para enviar um alerta.
Modelo do Microsoft Sentinel
Contas atribuídas a uma função privilegiada. Alto Logs de auditoria do Microsoft Entra Atividade: Adicionar usuário
Status = sucesso
-e-
Atividade: Excluir usuário
Status = sucesso
-e-
Atividade: Adicionar membro à função
Status = sucesso
Se a conta for atribuída a uma função do Microsoft Entra, função do Azure ou associação a grupo privilegiado, alerte e priorize a investigação.
Modelo do Microsoft Sentinel
Regras Sigma

As contas privilegiadas e não privilegiadas devem ser monitorizadas e alertadas. No entanto, como as contas privilegiadas têm permissões administrativas, elas devem ter maior prioridade em seus processos de monitoramento, alerta e resposta.

Contas que não seguem políticas de nomenclatura

As contas de usuário que não seguem as políticas de nomenclatura podem ter sido criadas fora das políticas organizacionais.

Uma prática recomendada é ter uma política de nomenclatura para objetos de usuário. Ter uma política de nomenclatura facilita o gerenciamento e ajuda a fornecer consistência. A política também pode ajudar a descobrir quando os usuários foram criados fora dos processos aprovados. Um agente mal-intencionado pode não estar ciente de seus padrões de nomenclatura e pode facilitar a deteção de uma conta provisionada fora de seus processos organizacionais.

As organizações tendem a ter formatos e atributos específicos que são usados para criar contas de usuário e/ou privilegiadas. Por exemplo:

  • Conta de administrador UPN = ADM_firstname.lastname@tenant.onmicrosoft.com

  • Conta de utilizador UPN = Firstname.Lastname@contoso.com

Frequentemente, as contas de usuário têm um atributo que identifica um usuário real. Por exemplo, EMPID = XXXNNN. Use as sugestões a seguir para ajudar a definir o normal para sua organização e ao definir uma linha de base para entradas de log quando as contas não seguirem sua convenção de nomenclatura:

  • Contas que não seguem a convenção de nomenclatura. Por exemplo, nnnnnnn@contoso.com versus firstname.lastname@contoso.com.

  • Contas que não têm os atributos padrão preenchidos ou não estão no formato correto. Por exemplo, não ter uma identificação de funcionário válida.

O que monitorizar Nível de Risco Em que Filtro/subfiltro Observações
Contas de usuário que não têm atributos esperados definidos. Baixo Logs de auditoria do Microsoft Entra Atividade: Adicionar usuário
Status = sucesso
Procure contas com seus atributos padrão nulos ou no formato errado. Por exemplo, EmployeeID
Modelo do Microsoft Sentinel
Contas de usuário criadas usando um formato de nomenclatura incorreto. Baixo Logs de auditoria do Microsoft Entra Atividade: Adicionar usuário
Status = sucesso
Procure contas com um UPN que não siga sua política de nomenclatura.
Modelo do Microsoft Sentinel
Contas privilegiadas que não seguem a política de nomenclatura. Alto Subscrição do Azure Listar atribuições de função do Azure usando o portal do Azure - Azure RBAC Liste atribuições de função para assinaturas e alerte onde o nome de entrada não corresponde ao formato da sua organização. Por exemplo, ADM_ como um prefixo.
Contas privilegiadas que não seguem a política de nomenclatura. Alto Diretório Microsoft Entra Listar atribuições de função do Microsoft Entra Listar atribuições de funções para funções do Microsoft Entra alerta onde o UPN não corresponde ao formato da sua organização. Por exemplo, ADM_ como um prefixo.

Para obter mais informações sobre análise, consulte:

Contas criadas fora dos processos normais

Ter processos padrão para criar usuários e contas privilegiadas é importante para que você possa controlar com segurança o ciclo de vida das identidades. Se os usuários forem provisionados e desprovisionados fora dos processos estabelecidos, isso pode introduzir riscos de segurança. Operar fora dos processos estabelecidos também pode introduzir problemas de gerenciamento de identidade. Os riscos potenciais incluem:

  • As contas de usuário e privilegiadas podem não ser controladas para aderir às políticas organizacionais. Isso pode levar a uma superfície de ataque mais ampla em contas que não são gerenciadas corretamente.

  • Torna-se mais difícil detetar quando agentes mal-intencionados criam contas para fins maliciosos. Ao ter contas válidas criadas fora dos procedimentos estabelecidos, torna-se mais difícil detetar quando as contas são criadas ou as permissões modificadas para fins maliciosos.

Recomendamos que as contas de usuário e privilegiadas só sejam criadas seguindo as políticas da sua organização. Por exemplo, uma conta deve ser criada com os padrões de nomenclatura corretos, informações organizacionais e sob o escopo da governança de identidade apropriada. As organizações devem ter controles rigorosos sobre quem tem os direitos de criar, gerenciar e excluir identidades. As funções para criar essas contas devem ser rigorosamente gerenciadas e os direitos só devem estar disponíveis depois de seguir um fluxo de trabalho estabelecido para aprovar e obter essas permissões.

O que monitorizar Nível de Risco Em que Filtro/subfiltro Observações
Contas de usuário criadas ou excluídas por usuários ou processos não aprovados. Média Logs de auditoria do Microsoft Entra Atividade: Adicionar usuário
Status = sucesso
e-ou-
Atividade: Excluir usuário
Status = sucesso
-e-
Iniciado por (ator) = NOME PRINCIPAL DO UTILIZADOR
Alerta sobre contas criadas por usuários ou processos não aprovados. Priorize contas criadas com privilégios elevados.
Modelo do Microsoft Sentinel
Contas de usuário criadas ou excluídas de fontes não aprovadas. Média Logs de auditoria do Microsoft Entra Atividade: Adicionar usuário
Status = sucesso
-ou-
Atividade: Excluir usuário
Status = sucesso
-e-
Destino(s) = NOME PRINCIPAL DO UTILIZADOR
Alerta quando o domínio não é aprovado ou conhecido domínio bloqueado.

Entradas incomuns

Ver falhas na autenticação do usuário é normal. Mas ver padrões ou blocos de falhas pode ser um indicador de que algo está acontecendo com a identidade de um usuário. Por exemplo, durante ataques de spray de senha ou força bruta, ou quando uma conta de usuário é comprometida. É fundamental que você monitore e alerte quando padrões surgem. Isso ajuda a garantir que você possa proteger o usuário e os dados da sua organização.

O sucesso parece dizer que está tudo bem. Mas isso pode significar que um ator mal-intencionado acessou com sucesso um serviço. O monitoramento de logins bem-sucedidos ajuda a detetar contas de usuário que estão ganhando acesso, mas não são contas de usuário que devem ter acesso. Os êxitos de autenticação do usuário são entradas normais nos logs de entrada do Microsoft Entra. Recomendamos que você monitore e alerte para detetar quando os padrões surgem. Isso ajuda a garantir que você possa proteger as contas de usuário e os dados da sua organização.

Ao projetar e operacionalizar uma estratégia de monitoramento e alerta de log, considere as ferramentas disponíveis para você por meio do portal do Azure. O Microsoft Entra ID Protection permite automatizar a deteção, a proteção e a correção de riscos baseados em identidade. O ID Protection usa sistemas heurísticos e de aprendizado de máquina alimentados por inteligência para detetar riscos e atribuir uma pontuação de risco para usuários e logins. Os clientes podem configurar políticas com base em um nível de risco para quando permitir ou negar acesso ou permitir que o usuário se auto-corrija com segurança de um risco. As seguintes deteções de risco de proteção de ID informam os níveis de risco atuais:

O que monitorizar Nível de Risco Em que Filtro/subfiltro Observações
Credenciais vazadas Deteção de risco do usuário Alto Logs de deteção de risco do Microsoft Entra UX: Credenciais vazadas

API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma
Deteção de risco do usuário do Microsoft Entra Threat Intelligence Alto Logs de deteção de risco do Microsoft Entra UX: Inteligência de ameaças do Microsoft Entra

API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma
Deteção de risco de início de sessão de endereço IP anónimo Varia Logs de deteção de risco do Microsoft Entra UX: Endereço IP anônimo

API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma
Deteção atípica de risco de início de sessão em viagens Varia Logs de deteção de risco do Microsoft Entra UX: Viagens atípicas

API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma
Token anômalo Varia Logs de deteção de risco do Microsoft Entra UX: Token anômalo

API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma
Deteção de risco de início de sessão no endereço IP ligado a malware Varia Logs de deteção de risco do Microsoft Entra UX: Endereço IP vinculado a malware

API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma
Deteção de risco de início de sessão suspeito no navegador Varia Logs de deteção de risco do Microsoft Entra UX: Navegador suspeito

API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma
Propriedades de início de sessão desconhecidas deteção de risco de início de sessão Varia Logs de deteção de risco do Microsoft Entra UX: Propriedades de início de sessão desconhecidas

API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma
Deteção de risco de início de sessão em endereços IP maliciosos Varia Logs de deteção de risco do Microsoft Entra UX: Endereço IP malicioso

API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma
Regras suspeitas de manipulação da caixa de entrada deteção de risco de entrada Varia Logs de deteção de risco do Microsoft Entra UX: Regras suspeitas de manipulação da caixa de entrada

API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma
Deteção de risco de início de sessão no Password Spray Alto Logs de deteção de risco do Microsoft Entra UX: Spray de senha

API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma
Deteção de risco de início de sessão em viagem impossível Varia Logs de deteção de risco do Microsoft Entra UX: Viagens impossíveis

API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma
Deteção de risco de início de sessão em novo país/região Varia Logs de deteção de risco do Microsoft Entra UX: Novo país/região

API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma
Atividade da deteção de risco de início de sessão de endereço IP anónimo Varia Logs de deteção de risco do Microsoft Entra UX: Atividade do endereço IP anônimo

API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma
Deteção de risco de início de sessão suspeito na caixa de entrada Varia Logs de deteção de risco do Microsoft Entra UX: Encaminhamento suspeito da caixa de entrada

API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma
Deteção de risco de entrada de inteligência de ameaças do Microsoft Entra Alto Logs de deteção de risco do Microsoft Entra UX: Inteligência de ameaças do Microsoft Entra
API: Consulte o tipo de recurso riskDetection - Microsoft Graph
Veja O que é risco? Proteção de ID do Microsoft Entra
Regras Sigma

Para obter mais informações, visite O que é a proteção de ID.

O que procurar

Configure o monitoramento dos dados nos logs de entrada do Microsoft Entra para garantir que o alerta ocorra e siga as políticas de segurança da sua organização. Alguns exemplos disso são:

  • Autenticações falhadas: Como seres humanos, todos nós erramos nossas senhas de tempos em tempos. No entanto, muitas autenticações com falha podem indicar que um agente mal-intencionado está tentando obter acesso. Os ataques diferem em ferocidade, mas podem variar de algumas tentativas por hora a uma taxa muito maior. Por exemplo, o Password Spray normalmente ataca senhas mais fáceis contra muitas contas, enquanto a Força Bruta tenta muitas senhas contra contas direcionadas.

  • Autenticações interrompidas: uma interrupção no ID do Microsoft Entra representa uma injeção de um processo para satisfazer a autenticação, como ao impor um controle em uma política de acesso condicional. Este é um evento normal e pode acontecer quando os aplicativos não estão configurados corretamente. Mas quando você vê muitas interrupções para uma conta de usuário, isso pode indicar que algo está acontecendo com essa conta.

    • Por exemplo, se você filtrou um usuário em Logs de entrada e vê um grande volume de status de entrada = Interrompido e Acesso Condicional = Falha. Aprofundando-se, pode mostrar nos detalhes de autenticação que a senha está correta, mas que a autenticação forte é necessária. Isso pode significar que o usuário não está concluindo a autenticação multifator (MFA), o que pode indicar que a senha do usuário está comprometida e o agente mal-intencionado não consegue cumprir a MFA.
  • Bloqueio inteligente: o Microsoft Entra ID fornece um serviço de bloqueio inteligente que introduz o conceito de locais familiares e não familiares ao processo de autenticação. Uma conta de usuário que visita um local familiar pode ser autenticada com êxito, enquanto um ator mal-intencionado não familiarizado com o mesmo local é bloqueado após várias tentativas. Procure contas que foram bloqueadas e investigue mais.

  • Alterações de IP: É normal ver usuários originários de endereços IP diferentes. No entanto, os estados Zero Trust nunca confiam e sempre verificam. Ver um grande volume de endereços IP e entradas com falha pode ser um indicador de intrusão. Procure um padrão de muitas autenticações com falha que ocorrem a partir de vários endereços IP. Observe que as conexões de rede virtual privada (VPN) podem causar falsos positivos. Independentemente dos desafios, recomendamos que você monitore as alterações de endereço IP e, se possível, use o Microsoft Entra ID Protection para detetar e mitigar automaticamente esses riscos.

  • Locais: geralmente, você espera que uma conta de usuário esteja na mesma localização geográfica. Você também espera logins de locais onde você tem funcionários ou relações comerciais. Quando a conta de usuário vem de um local internacional diferente em menos tempo do que levaria para viajar para lá, isso pode indicar que a conta de usuário está sendo abusada. Observe que as VPNs podem causar falsos positivos, recomendamos que você monitore as contas de usuário que entram em locais geograficamente distantes e, se possível, use o Microsoft Entra ID Protection para detetar e mitigar automaticamente esses riscos.

Para essa área de risco, recomendamos que você monitore contas de usuário padrão e contas privilegiadas, mas priorize investigações de contas privilegiadas. As contas privilegiadas são as contas mais importantes em qualquer locatário do Microsoft Entra. Para obter orientações específicas para contas privilegiadas, consulte Operações de segurança – contas privilegiadas.

Como detetar

Você usa a Proteção de ID do Microsoft Entra e os logs de entrada do Microsoft Entra para ajudar a descobrir ameaças indicadas por características de entrada incomuns. Para obter mais informações, consulte o artigo O que é a proteção de ID. Você também pode replicar os dados para o Azure Monitor ou um SIEM para fins de monitoramento e alerta. Para definir normal para seu ambiente e definir uma linha de base, determine:

  • os parâmetros que você considera normais para sua base de usuários.

  • O número médio de tentativas de uma senha ao longo de um tempo antes de o usuário ligar para a central de serviços ou executar uma redefinição de senha de autoatendimento.

  • quantas tentativas falhadas pretende permitir antes de alertar e se será diferente para contas de utilizador e contas privilegiadas.

  • quantas tentativas de MFA você deseja permitir antes de alertar e se será diferente para contas de usuário e contas privilegiadas.

  • se a autenticação herdada estiver habilitada e seu roteiro para descontinuar o uso.

  • os endereços IP de saída conhecidos são para a sua organização.

  • os países/regiões a partir dos quais os seus utilizadores operam.

  • se há grupos de usuários que permanecem estacionários em um local de rede ou país/região.

  • Identifique quaisquer outros indicadores para entradas incomuns que sejam específicas da sua organização. Por exemplo, dias ou horários da semana ou do ano em que sua organização não opera.

Depois de definir o escopo do que é normal para as contas em seu ambiente, considere a lista a seguir para ajudar a determinar os cenários que você deseja monitorar e alertar e ajustar seu alerta.

  • Você precisa monitorar e alertar se o Microsoft Entra ID Protection está configurado?

  • Existem condições mais rígidas aplicadas a contas privilegiadas que você pode usar para monitorar e alertar? Por exemplo, exigir que contas privilegiadas só sejam usadas a partir de endereços IP confiáveis.

  • As linhas de base definidas são demasiado agressivas? Ter muitos alertas pode resultar em alertas ignorados ou perdidos.

Configure a Proteção de ID para ajudar a garantir que existe proteção que suporta as suas políticas de linha de base de segurança. Por exemplo, bloquear usuários se risco = alto. Esse nível de risco indica com um alto grau de confiança que uma conta de usuário está comprometida. Para obter mais informações sobre como configurar políticas de risco de login e políticas de risco do usuário, visite Políticas de proteção de ID.

Os seguintes são listados por ordem de importância com base no efeito e gravidade das entradas.

Monitorando entradas de usuários externos

O que monitorizar Nível de Risco Em que Filtro/subfiltro Observações
Usuários autenticados em outros locatários do Microsoft Entra. Baixo Log de entrada do Microsoft Entra Status = sucesso
Resource tenantID != ID do locatário doméstico
Deteta quando um usuário se autenticou com êxito em outro locatário do Microsoft Entra com uma identidade no locatário da sua organização.
Alertar se o Resource TenantID não for igual ao Home Tenant ID
Modelo do Microsoft Sentinel
Regras Sigma
Estado do usuário alterado de Convidado para Membro Média Logs de auditoria do Microsoft Entra Atividade: Atualizar usuário
Categoria: UserManagement
UserType alterado de Convidado para Membro
Monitore e alerte sobre a mudança do tipo de usuário de Convidado para Membro. Isso era esperado?
Modelo do Microsoft Sentinel
Regras Sigma
Usuários convidados para o locatário por convidados não aprovados Média Logs de auditoria do Microsoft Entra Atividade: Convidar usuário externo
Categoria: UserManagement
Iniciado por (ator): Nome Principal do Utilizador
Monitorar e alertar sobre atores não aprovados que convidam usuários externos.
Modelo do Microsoft Sentinel
Regras Sigma

Monitoramento de entradas incomuns com falha

O que monitorizar Nível de Risco Em que Filtro/subfiltro Observações
Tentativas de início de sessão falhadas. Médio - se incidente isolado
Alta - se muitas contas estão experimentando o mesmo padrão ou um VIP.
Log de entrada do Microsoft Entra Status = falha
-e-
Código de erro de início de sessão 50126 -
Erro ao validar credenciais devido a nome de usuário ou senha inválidos.
Defina um limite de linha de base e, em seguida, monitore e ajuste para se adequar aos seus comportamentos organizacionais e limitar a geração de falsos alertas.
Modelo do Microsoft Sentinel
Regras Sigma
Eventos de bloqueio inteligente. Médio - se incidente isolado
Alta - se muitas contas estão experimentando o mesmo padrão ou um VIP.
Log de entrada do Microsoft Entra Status = falha
-e-
Código de erro de entrada = 50053 – IdsLocked
Defina um limite de linha de base e, em seguida, monitore e ajuste para se adequar aos seus comportamentos organizacionais e limitar a geração de falsos alertas.
Modelo do Microsoft Sentinel
Regras Sigma
Interrupções Médio - se incidente isolado
Alta - se muitas contas estão experimentando o mesmo padrão ou um VIP.
Log de entrada do Microsoft Entra 500121, a autenticação falhou durante a solicitação de autenticação forte.
-ou-
50097, Autenticação de dispositivo é necessária ou 50074, Autenticação forte é necessária.
-ou-
50155, DeviceAuthenticationFailed
-ou-
50158, ExternalSecurityChallenge - O desafio de segurança externa não foi satisfeito
-ou-
53003 e motivo da falha = bloqueado pelo acesso condicional
Monitore e alerte sobre interrupções.
Defina um limite de linha de base e, em seguida, monitore e ajuste para se adequar aos seus comportamentos organizacionais e limitar a geração de falsos alertas.
Modelo do Microsoft Sentinel
Regras Sigma

Os seguintes são listados por ordem de importância com base no efeito e gravidade das entradas.

O que monitorizar Nível de Risco Em que Filtro/subfiltro Observações
Alertas de fraude de autenticação multifator (MFA). Alto Log de entrada do Microsoft Entra Status = falha
-e-
Detalhes = MFA negada
Monitore e alerte em qualquer entrada.
Modelo do Microsoft Sentinel
Regras Sigma
Autenticações com falha de países/regiões dos quais você não opera. Média Log de entrada do Microsoft Entra Localização = <local não aprovado> Monitore e alerte sobre quaisquer entradas.
Modelo do Microsoft Sentinel
Regras Sigma
Autenticações com falha para protocolos herdados ou protocolos que não são usados. Média Log de entrada do Microsoft Entra Estado = falha
-e-
Aplicativo cliente = Outros Clientes, POP, IMAP, MAPI, SMTP, ActiveSync
Monitore e alerte sobre quaisquer entradas.
Modelo do Microsoft Sentinel
Regras Sigma
Falhas bloqueadas pelo Acesso Condicional. Média Log de entrada do Microsoft Entra Código de erro = 53003
-e-
Motivo da falha = bloqueado pelo Acesso Condicional
Monitore e alerte sobre quaisquer entradas.
Modelo do Microsoft Sentinel
Regras Sigma
Aumento de autenticações com falha de qualquer tipo. Média Log de entrada do Microsoft Entra Captura de aumentos em falhas em todos os setores. Ou seja, o total de falhas para hoje é >de 10% no mesmo dia, na semana anterior. Se você não tiver um limite definido, monitore e alerte se as falhas aumentarem em 10% ou mais.
Modelo do Microsoft Sentinel
Autenticação que ocorre em horários e dias da semana em que países/regiões não realizam operações comerciais normais. Baixo Log de entrada do Microsoft Entra Capture a autenticação interativa que ocorre fora dos dias\hora normais de operação.
Status = sucesso
-e-
Localização = <localização>
-e-
Dia\Hora = <horas de trabalho não normais>
Monitore e alerte sobre quaisquer entradas.
Modelo do Microsoft Sentinel
Conta desativada/bloqueada para entradas Baixo Log de entrada do Microsoft Entra Status = Falha
-e-
código de erro = 50057, A conta de usuário está desativada.
Isso pode indicar que alguém está tentando obter acesso a uma conta depois de sair de uma organização. Embora a conta esteja bloqueada, é importante registrar e alertar sobre essa atividade.
Modelo do Microsoft Sentinel
Regras Sigma

Monitoramento de entradas incomuns bem-sucedidas

O que monitorizar Nível de Risco Em que Filtro/subfiltro Observações
Autenticações de contas privilegiadas fora dos controles esperados. Alto Log de entrada do Microsoft Entra Status = sucesso
-e-
UserPricipalName = <Conta de administrador>
-e-
Localização = <local não aprovado>
-e-
Endereço IP = <IP não aprovado>
Informações do dispositivo = <navegador não aprovado, sistema operacional>
Monitore e alerte sobre a autenticação bem-sucedida de contas privilegiadas fora dos controles esperados. São enumerados três controlos comuns.
Modelo do Microsoft Sentinel
Regras Sigma
Quando apenas a autenticação de fator único é necessária. Baixo Log de entrada do Microsoft Entra Status = sucesso
Requisito de autenticação = Autenticação de fator único
Monitore periodicamente e garanta o comportamento esperado.
Regras Sigma
Descubra contas privilegiadas não registadas para MFA. Alto Azure Graph API Consulta para IsMFARegistered eq false para contas de administrador.
Listar credenciaisUserRegistrationDetails - Microsoft Graph beta
Auditar e investigar para determinar se foi intencional ou um descuido.
Autenticações bem-sucedidas de países/regiões dos quais sua organização não opera. Média Log de entrada do Microsoft Entra Status = sucesso
Localização = <país/região não aprovado>
Monitore e alerte sobre quaisquer entradas que não sejam iguais aos nomes de cidades que você fornecer.
Regras Sigma
Autenticação bem-sucedida, sessão bloqueada pelo Acesso Condicional. Média Log de entrada do Microsoft Entra Status = sucesso
-e-
código de erro = 53003 – Motivo da falha, bloqueado pelo Acesso Condicional
Monitore e investigue quando a autenticação é bem-sucedida, mas a sessão é bloqueada pelo Acesso Condicional.
Modelo do Microsoft Sentinel
Regras Sigma
Autenticação bem-sucedida depois de desabilitar a autenticação herdada. Média Log de entrada do Microsoft Entra status = sucesso
-e-
Aplicativo cliente = Outros Clientes, POP, IMAP, MAPI, SMTP, ActiveSync
Se sua organização tiver desabilitado a autenticação herdada, monitore e alerte quando a autenticação herdada bem-sucedida tiver ocorrido.
Modelo do Microsoft Sentinel
Regras Sigma

Recomendamos que você revise periodicamente as autenticações para aplicativos de médio impacto nos negócios (MBI) e alto impacto nos negócios (HBI), nos quais apenas a autenticação de fator único é necessária. Para cada um, você deseja determinar se a autenticação de fator único era esperada ou não. Além disso, verifique se a autenticação bem-sucedida aumenta ou em momentos inesperados, com base no local.

O que monitorizar Nível de Risco Em que Filtro/subfiltro Observações
Autenticações para aplicativos MBI e HBI usando autenticação de fator único. Baixo Log de entrada do Microsoft Entra status = sucesso
-e-
ID do aplicativo = <aplicativo HBI>
-e-
Requisito de autenticação = autenticação de fator único.
Revisar e validar essa configuração é intencional.
Regras Sigma
Autenticações em dias e horários da semana ou do ano em que países/regiões não realizam operações comerciais normais. Baixo Log de entrada do Microsoft Entra Capture a autenticação interativa que ocorre fora dos dias\hora normais de operação.
Status = sucesso
Localização = <localização>
Data\Hora = <horas de trabalho não normais>
Monitore e alerte em autenticações dias e horários da semana ou do ano que países/regiões não realizam operações comerciais normais.
Regras Sigma
Aumento mensurável de entradas bem-sucedidas. Baixo Log de entrada do Microsoft Entra A captura aumenta na autenticação bem-sucedida em todos os setores. Ou seja, os totais de sucesso para hoje são >de 10% no mesmo dia, na semana anterior. Se você não tiver um limite definido, monitore e alerte se as autenticações bem-sucedidas aumentarem em 10% ou mais.
Modelo do Microsoft Sentinel
Regras Sigma

Próximos passos

Consulte estes artigos do guia de operações de segurança:

Visão geral das operações de segurança do Microsoft Entra

Operações de segurança para contas de consumidores

Operações de segurança para contas privilegiadas

Operações de segurança para o Privileged Identity Management

Operações de segurança para aplicações

Operações de segurança para dispositivos

Operações de segurança para infraestruturas