Outras áreas da Zero Trust abordadas no memorando 22-09

Os outros artigos das presentes orientações abordam o pilar da identidade dos princípios do Zero Trust, tal como descrito no Memorando M 22-09 do Gabinete de Gestão e Orçamento dos EUA (OMB) para os Chefes dos Departamentos e Agências Executivos. Este artigo abrange áreas do modelo de maturidade Zero Trust além do pilar de identidade e aborda os seguintes temas:

• Visibility
• Análise
• Automação e orquestração
• Governação

Visibility

É importante monitorar seu locatário do Microsoft Entra. Assuma uma mentalidade de violação e cumpra os padrões de conformidade no memorando 22-09 e no memorando 21-31. Três tipos de log principais são usados para análise de segurança e ingestão:

• Logs de auditoria do Azure para monitorar atividades operacionais do diretório, como criar, excluir e atualizar objetos como usuários ou grupos
  • Use também para fazer alterações nas configurações do Microsoft Entra, como modificações em uma política de Acesso Condicional
  • Consulte Logs de auditoria no ID do Microsoft Entra
• Os logs de provisionamento têm informações sobre objetos sincronizados do Microsoft Entra ID para aplicativos como o Service Now com o Microsoft Identity Manager
  • Consulte Provisionamento de logs no Microsoft Entra ID
• Logs de entrada do Microsoft Entra para monitorar as atividades de entrada associadas a usuários, aplicativos e entidades de serviço.
  • Os logs de entrada têm categorias para diferenciação
  • As entradas interativas mostram entradas bem-sucedidas e com falha, políticas aplicadas e outros metadados
  • Os logins de usuário não interativos não mostram nenhuma interação durante o login: clientes que entram em nome do usuário, como aplicativos móveis ou clientes de e-mail
  • As entradas da entidade de serviço mostram a entidade de serviço ou a entrada na aplicação: serviços ou aplicações que acedem a serviços, aplicações ou ao diretório Microsoft Entra através da API REST
  • Identidades gerenciadas para entrada de recursos do Azure: recursos ou aplicativos do Azure que acessam recursos do Azure, como um serviço de aplicativo Web autenticado em um back-end SQL do Azure.
  • Consulte Logs de entrada na ID do Microsoft Entra (visualização)

Nos locatários do Microsoft Entra ID Free, as entradas de log são armazenadas por sete dias. Os locatários com uma licença do Microsoft Entra ID P1 ou P2 retêm entradas de log por 30 dias.

Garanta que uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM) ingera logs. Use eventos de entrada e auditoria para correlacionar com logs de aplicativos, infraestrutura, dados, dispositivos e rede.

Recomendamos que você integre os logs do Microsoft Entra com o Microsoft Sentinel. Configure um conector para ingerir logs de locatário do Microsoft Entra.

Saiba mais:

• O que é o Microsoft Sentinel?
• Conectar o Microsoft Entra ID ao Microsoft Sentinel

Para o locatário do Microsoft Entra, você pode definir as configurações de diagnóstico para enviar os dados para uma conta de Armazenamento do Azure, Hubs de Eventos do Azure ou um espaço de trabalho do Log Analytics. Use essas opções de armazenamento para integrar outras ferramentas SIEM para coletar dados.

Saiba mais:

• O que é o monitoramento do Microsoft Entra?
• Relatórios do Microsoft Entra e monitoramento de dependências de implantação

Análise

Você pode usar a análise nas seguintes ferramentas para agregar informações do Microsoft Entra ID e mostrar tendências em sua postura de segurança em comparação com sua linha de base. Você também pode usar análises para avaliar e procurar padrões ou ameaças no Microsoft Entra ID.

• O Microsoft Entra ID Protection analisa entradas e outras fontes de telemetria em busca de comportamentos de risco
  • A Proteção de ID atribui uma pontuação de risco a eventos de início de sessão
  • Impedir entradas ou forçar uma autenticação incremental para acessar um recurso ou aplicativo com base na pontuação de risco
  • Consulte O que é a Proteção de ID?
• Os relatórios de uso e insights do Microsoft Entra têm informações semelhantes às pastas de trabalho do Azure Sentinel, incluindo aplicativos com tendências de uso ou entrada mais altas.
  • Use relatórios para entender tendências agregadas que podem indicar um ataque ou outros eventos
  • Veja, Uso e informações no Microsoft Entra ID
• O Microsoft Sentinel analisa informações do Microsoft Entra ID:
  • O Microsoft Sentinel User and Entity Behavior Analytics (UEBA) fornece informações sobre ameaças potenciais de entidades de usuários, hosts, endereços IP e aplicativos.
  • Use modelos de regras de análise para procurar ameaças e alertas em seus logs do Microsoft Entra. Seu analista de segurança ou operação pode triar e remediar ameaças.
  • As pastas de trabalho do Microsoft Sentinel ajudam a visualizar as fontes de dados do Microsoft Entra. Consulte os inícios de sessão por país/região ou aplicações.
  • Consulte Pastas de trabalho do Microsoft Sentinel comumente usadas
  • Veja, Visualize os dados coletados
  • Consulte Identificar ameaças avançadas com o UEBA no Microsoft Sentinel

Automação e orquestração

A automação no Zero Trust ajuda a corrigir alertas devido a ameaças ou alterações de segurança. No Microsoft Entra ID, as integrações de automação ajudam a esclarecer ações para melhorar sua postura de segurança. A automação é baseada em informações recebidas de monitoramento e análise.

Use chamadas REST da API do Microsoft Graph para acessar o Microsoft Entra ID programaticamente. Esse acesso requer uma identidade Microsoft Entra com autorizações e escopo. Com a API do Graph, integre outras ferramentas.

Recomendamos que você configure uma função do Azure ou um aplicativo lógico do Azure para usar uma identidade gerenciada atribuída ao sistema. O aplicativo ou função lógica tem etapas ou código para automatizar ações. Atribua permissões à identidade gerenciada para conceder ao diretório principal do serviço permissões para executar ações. Conceda direitos mínimos a identidades gerenciadas.

Saiba mais: O que são identidades gerenciadas para recursos do Azure?

Outro ponto de integração de automação são os módulos do Microsoft Graph PowerShell. Use o Microsoft Graph PowerShell para executar tarefas ou configurações comuns no Microsoft Entra ID ou incorporar funções do Azure ou runbooks de Automação do Azure.

Governação

Documente seus processos para operar o ambiente Microsoft Entra. Use os recursos do Microsoft Entra para a funcionalidade de governança aplicada aos escopos na ID do Microsoft Entra.

Saiba mais:

• Guia de referência de operações de governança do Microsoft Entra ID
• Guia de operações de segurança do Microsoft Entra
• O que é o Microsoft Entra ID Governance?
• Cumprir os requisitos de autorização do memorando 22-09.

Próximos passos

• Atenda aos requisitos de identidade do memorando 22-09 com o Microsoft Entra ID
• Sistema de gerenciamento de identidade em toda a empresa
• Atender aos requisitos de autenticação multifator do memorando 22-09
• Cumprir os requisitos de autorização do memorando 22-09
• Protegendo a identidade com Zero Trust