Partilhar via


Pasta de trabalho de relatório de operações confidenciais

A pasta de trabalho de relatório de operações confidenciais destina-se a ajudar a identificar atividades suspeitas de aplicativos e serviços principais que possam indicar comprometimentos em seu ambiente.

Este artigo fornece uma visão geral da pasta de trabalho Relatório de Operações Confidenciais.

Pré-requisitos

Para usar as Pastas de Trabalho do Azure para o Microsoft Entra ID, você precisa:

  • Um locatário do Microsoft Entra com uma licença Premium P1
  • Um espaço de trabalho do Log Analytics e acesso a esse espaço de trabalho
  • As funções apropriadas para o Azure Monitor e o Microsoft Entra ID

Área de trabalho do Log Analytics

Você deve criar um espaço de trabalho do Log Analytics antes de poder usar as pastas de trabalho do Microsoft Entra. vários fatores determinam o acesso aos espaços de trabalho do Log Analytics. Você precisa das funções certas para o espaço de trabalho e os recursos que enviam os dados.

Para obter mais informações, consulte Gerenciar o acesso a espaços de trabalho do Log Analytics.

Funções do Azure Monitor

O Azure Monitor fornece duas funções internas para exibir dados de monitoramento e editar configurações de monitoramento. O RBAC (controle de acesso baseado em função) do Azure também fornece duas funções internas do Log Analytics que concedem acesso semelhante.

  • Visão:

    • Leitor de Monitorização
    • Leitor do Log Analytics
  • Visualize e modifique as configurações:

    • Contribuidor de Monitorização
    • Contribuidor do Log Analytics

Funções do Microsoft Entra

O acesso somente leitura permite visualizar dados de log do Microsoft Entra ID dentro de uma pasta de trabalho, consultar dados do Log Analytics ou ler logs no centro de administração do Microsoft Entra. O acesso à atualização adiciona a capacidade de criar e editar configurações de diagnóstico para enviar dados do Microsoft Entra para um espaço de trabalho do Log Analytics.

  • Read (Ler):

    • Leitor de Relatórios
    • Leitor de Segurança
    • Leitor Global
  • Atualização:

    • Administrador de Segurança

Para obter mais informações sobre as funções internas do Microsoft Entra, consulte Funções internas do Microsoft Entra.

Para obter mais informações sobre as funções RBAC do Log Analytics, consulte Funções internas do Azure.

Description

Categoria da pasta de trabalho

Esta pasta de trabalho identifica operações confidenciais recentes executadas em seu locatário.

Se sua organização for nova em pastas de trabalho de monitoramento do Azure, você precisará integrar seus logs de entrada e auditoria do Microsoft Entra com o Azure Monitor antes de acessar a pasta de trabalho. Essa integração permite que você armazene, consulte e visualize seus logs usando pastas de trabalho por até dois anos. Somente os eventos de entrada e auditoria criados após a integração do Azure Monitor são armazenados, portanto, a pasta de trabalho não conterá informações antes dessa data. Para obter mais informações, consulte Integrar logs do Microsoft Entra com o Azure Monitor.

Como acessar a pasta de trabalho

  1. Entre no centro de administração do Microsoft Entra usando a combinação apropriada de funções.

  2. Navegue até Monitoramento de Identidade>& Pastas de Trabalho de integridade>.

  3. Selecione a pasta de trabalho Relatório de Operações Confidenciais na seção Solução de problemas .

Secções

Esta pasta de trabalho é dividida em quatro seções:

Captura de ecrã das secções do livro.

  • Credenciais/métodos de autenticação de entidade de serviço e aplicativo modificados - Este relatório sinaliza os atores que alteraram recentemente muitas credenciais de entidade de serviço e quantas de cada tipo de credencial de entidade de serviço foram alteradas.

  • Novas permissões concedidas a entidades de serviço - Esta pasta de trabalho também destaca as permissões OAuth 2.0 concedidas recentemente para entidades de serviço.

  • Atualizações de função de diretório e associação de grupo para entidades de serviço

  • Configurações de federação modificadas - Este relatório destaca quando um usuário ou aplicativo modifica as configurações de federação em um domínio. Por exemplo, ele relata quando um novo objeto TrustedRealm do Ative Directory Federated Service (ADFS), como um certificado de assinatura, é adicionado ao domínio. A modificação das configurações de federação de domínio deve ser rara.

Credenciais/métodos de autenticação de entidade de serviço e aplicativo modificados

Uma das maneiras mais comuns de os invasores obterem acesso no ambiente é adicionando novas credenciais a aplicativos e entidades de serviço existentes. As credenciais permitem que o invasor se autentique como o aplicativo de destino ou entidade de serviço, concedendo-lhes acesso a todos os recursos para os quais ele tem permissões.

Esta seção inclui os seguintes dados para ajudá-lo a detetar:

  • Todas as novas credenciais adicionadas a aplicativos e entidades de serviço, incluindo o tipo de credencial

  • Principais atores e o número de modificações de credenciais que realizaram

  • Uma linha do tempo para todas as alterações de credenciais

Novas permissões concedidas a entidades de serviço

Os invasores geralmente tentam adicionar permissões a outra entidade de serviço ou aplicativo se não conseguirem encontrar uma entidade de serviço ou aplicativo com um conjunto de permissões de alto privilégio através do qual obter acesso.

Esta seção inclui um detalhamento das concessões de permissões AppOnly para entidades de serviço existentes. Os administradores devem investigar quaisquer instâncias de permissões altas excessivas que estejam sendo concedidas, incluindo, mas não limitado a, Exchange Online e Microsoft Graph.

Atualizações de função de diretório e associação de grupo para entidades de serviço

Seguindo a lógica do invasor adicionar novas permissões a entidades de serviço e aplicativos existentes, outra abordagem é adicioná-las a funções ou grupos de diretório existentes.

Esta seção inclui uma visão geral de todas as alterações feitas nas associações de entidade de serviço e deve ser revisada para quaisquer adições a funções e grupos de alto privilégio.

Configurações de federação modificadas

Outra abordagem comum para ganhar uma posição de longo prazo no ambiente é:

  • Modifique as confianças de domínio federado do locatário.
  • Adicione outro IDP SAML que o invasor controla como uma fonte de autenticação confiável.

Esta secção inclui os seguintes dados:

  • Alterações executadas em confianças de federação de domínio existentes

  • Adição de novos domínios e relações de confiança

Filtros

Este parágrafo lista os filtros suportados para cada seção.

Credenciais/métodos de autenticação de entidade de serviço e aplicativo e serviço modificados

  • Intervalo de tempo
  • Nome da operação
  • Credencial
  • Ator
  • Excluir ator

Novas permissões concedidas a entidades de serviço

  • Intervalo de tempo
  • Aplicação cliente
  • Recurso

Atualizações de função de diretório e associação de grupo para entidades de serviço

  • Intervalo de tempo
  • Operação
  • Iniciando usuário ou aplicativo

Configurações de federação modificadas

  • Intervalo de tempo
  • Operação
  • Iniciando usuário ou aplicativo

Melhores práticas

  • Use credenciais modificadas de aplicativo e entidade de serviço para procurar credenciais que estão sendo adicionadas a entidades de serviço que não são usadas com frequência em sua organização. Use os filtros presentes nesta seção para investigar melhor qualquer um dos atores suspeitos ou entidades de serviço que foram modificados.

  • Use novas permissões concedidas a entidades de serviço para procurar permissões amplas ou excessivas sendo adicionadas às entidades de serviço por atores que possam ser comprometidos.

  • Use a seção de configurações de federação modificadas para confirmar se o domínio/URL de destino adicionado ou modificado é um comportamento legítimo de administrador. Ações que modificam ou adicionam confianças de federação de domínio são raras e devem ser tratadas como alta fidelidade para serem investigadas o mais rápido possível.