Configurar alertas de segurança para funções do Microsoft Entra no Privileged Identity Management

O PIM (Privileged Identity Management) gera alertas quando há atividades suspeitas ou inseguras em sua organização no Microsoft Entra ID. Quando um alerta é disparado, ele aparece no painel Privileged Identity Management. Selecione o alerta para ver um relatório que lista os usuários ou as funções que dispararam o alerta.

Observação

Um evento no Privileged Identity Management pode gerar notificações por email para vários destinatários: destinatários, aprovadores ou administradores. O número máximo de notificações enviadas por evento é 1.000. Se o número de destinatários for superior a 1.000, somente os primeiros 1.000 destinatários receberão uma notificação por email. Isso não impede que outros destinatários, administradores ou aprovadores usem suas permissões no Microsoft Entra ID e no Privileged Identity Management.

Captura de tela que mostra a página de alertas com uma lista de alertas e a gravidade deles.

Requisitos de licença

O uso do Privileged Identity Management requer licenças. Para obter mais informações sobre o licenciamento, confira os Conceitos básicos de licenciamento do Microsoft Entra ID Governance.

Alertas de segurança

Esta seção lista todos os alertas de segurança para as funções do Microsoft Entra, além das correções e prevenções. Severidade tem o seguinte significado:

  • Alta: exige ação imediata devido a uma violação da política.
  • Média: não exige ação imediata, mas sinaliza uma possível violação da política.
  • Baixa: não exige ação imediata, mas sugere uma alteração de política preferencial.

Observação

Somente as seguintes funções podem ler alertas de segurança do PIM para funções do Microsoft Entra: Administrador Global, Administrador de Funções Privilegiadas, Leitor Global, Administrador de Segurança e Leitor de Segurança.

Os administradores não estão usando suas funções privilegiadas

Severidade: baixa

Descrição
Por que recebo este alerta? Os usuários que receberam papéis privilegiados que não precisam aumentam a chance de um ataque. Também é mais fácil para os invasores permanecerem despercebidos nas contas que não estão sendo ativamente usadas.
Como corrigir? Revise os usuários na lista e remova-os das funções privilegiadas de que não precisam.
Prevenção Somente atribua funções privilegiadas a usuários com justificativa comercial.
Agende revisões de acesso regulares para verificar se os usuários ainda precisam de acesso.
Ação de mitigação no portal Remove a conta da sua função privilegiada.
Gatilho Acionado se um usuário passar um certo tempo sem ativar uma função.
Número de dias Essa configuração especifica o número de dias, de 0 a 100, que um usuário pode acessar sem ativar uma função.

As funções não exigem autenticação multifator para ativação

Severidade: baixa

Descrição
Por que recebo este alerta? Sem a autenticação multifator, os usuários comprometidos podem ativar funções privilegiadas.
Como corrigir? Examine a lista de funções e exija autenticação multifator para cada função.
Prevenção Exigir MFA para cada função.
Ação de mitigação no portal Faz com que a autenticação multifator seja necessária para ativação da função com privilégios.

A organização não tem o Microsoft Entra ID P2 ou o Microsoft Entra ID Governance

Severidade: baixa

Descrição
Por que recebo este alerta? A organização atual do Microsoft Entra não tem o Microsoft Entra ID P2 ou o Microsoft Entra ID Governance.
Como corrigir? Examine as informações sobre as edições do Microsoft Entra. Faça upgrade para o Microsoft Entra ID P2 ou Microsoft Entra ID Governance.

Contas obsoletas possíveis em uma função com privilégios

Severidade: média

Descrição
Por que recebo este alerta? Esse alerta não é mais disparado com base na última data de alteração de senha de uma conta. Este alerta se destina a contas com uma função com privilégios que não tenham entrado nos últimos n dias, em que n é o número de dias, configurável entre 1 e 365 dias. Essas contas podem ser de serviço ou compartilhadas, que não estejam passando por manutenção e estejam vulneráveis aos invasores.
Como corrigir? Examine as contas na lista. Se eles não precisarem mais de acesso, remova-os de suas funções privilegiadas.
Prevenção Verifique se as contas compartilhadas estão girando senhas fortes quando há uma alteração nos usuários que conhecem a senha.
Revise regularmente as contas que têm funções com privilégios usando as revisões de acesso e remova as atribuições de funções que não são mais necessárias.
Ação de mitigação no portal Remove a conta da sua função privilegiada.
Práticas recomendadas Contas de acesso compartilhadas, de serviço e de emergência que autenticam usando uma senha e são atribuídas a funções administrativas altamente privilegiadas, como Administrador Global ou Administrador de Segurança, devem ter suas senhas giradas nos seguintes casos:
  • Após um incidente de segurança envolvendo uso indevido ou comprometimento de direitos de acesso administrativo
  • Depois que os privilégios de qualquer usuário são alterados para que eles não são mais administradores (por exemplo, depois que um funcionário que era administrador deixa a TI ou a organização)
  • Em intervalos regulares (por exemplo, trimestral ou anual), mesmo que não haja nenhuma violação ou alteração conhecida na equipe de TI
Como várias pessoas têm acesso às credenciais dessas contas, as credenciais devem ser rotacionadas para garantir que as pessoas que deixaram suas funções não possam mais acessar as contas. Saiba mais sobre como proteger contas

As funções estão sendo atribuídas fora do Privileged Identity Management

Severidade: alta

Descrição
Por que recebo este alerta? Atribuições de funções privilegiadas feitas fora do Privileged Identity Management não são monitoradas adequadamente e podem indicar um ataque ativo.
Como corrigir? Revise os usuários na lista e remova-os das funções privilegiadas designadas fora do Privileged Identity Management. Você também pode habilitar ou desabilitar o alerta e a notificação por email que o acompanha nas configurações de alerta.
Prevenção Investigue onde os usuários estão sendo atribuídos a funções privilegiadas fora do Privileged Identity Management e proíba atribuições futuras de lá.
Ação de mitigação no portal Remove o usuário da sua função privilegiada.

Observação

O PIM envia notificações por email para o alerta de função atribuída fora do PIM quando o alerta é habilitado a partir das configurações de alerta Para funções do Microsoft Entra no PIM, os emails são enviados para Administradores de função com privilégios, Administradores de segurança e Administradores globais que tenham habilitado o Privileged Identity Management. Para recursos do Azure no PIM, os emails são enviados para Proprietários e Administradores de acesso de usuário.

Há muitos administradores globais

Severidade: baixa

Descrição
Por que recebo este alerta? Administrador Global é o maior papel privilegiado. Se um Administrador Global estiver comprometido, o invasor obterá acesso a todas as suas permissões, o que colocará todo o sistema em risco.
Como corrigir? Revise os usuários na lista e remova qualquer um que não precise da função Administrador global.
Em vez disso, atribua funções com privilégios inferiores a esses usuários.
Prevenção Designe aos usuários a função menos privilegiada de que precisam.
Ação de mitigação no portal Remove a conta da sua função privilegiada.
Gatilho Acionado se dois critérios diferentes forem atendidos e você puder configurar ambos. Primeiro, você precisa atingir um certo limite de atribuições da função de Administrador global. Segundo, uma determinada porcentagem de suas atribuições totais de funções deve ser Administradores Globais. Se você atender apenas a uma dessas medidas, o alerta não será exibido.
Número mínimo de administradores globais Essa configuração especifica o número de atribuições de função Administrador Global, de 2 a 100, que você considera insuficiente para sua organização Microsoft Entra.
Percentual de administradores globais Essa configuração especifica o percentual mínimo de administradores que são Administradores globais, de 0% a 100%, abaixo do qual você não quer que sua organização Microsoft Entra fique.

As funções estão sendo ativadas com muita frequência

Severidade: baixa

Descrição
Por que recebo este alerta? Múltiplas ativações para o mesmo papel privilegiado pelo mesmo usuário é um sinal de um ataque.
Como corrigir? Revise os usuários na lista e assegure-se de que a duração da ativação para sua função privilegiada esteja definida por tempo suficiente para que eles executem suas tarefas.
Prevenção Certifique-se de que a duração da ativação para funções privilegiadas seja definida por tempo suficiente para os usuários executarem suas tarefas.
Exija autenticação multifator para funções com privilégios que tenham contas compartilhadas por vários administradores.
Ação de mitigação no portal N/D
Gatilho Disparado se um usuário ativar a mesma função privilegiada várias vezes dentro de um período especificado. Você pode configurar o período e o número de ativações.
Período de tempo de renovação de ativação Essa configuração especifica em dias, horas, minutos e segundos o período de tempo que você deseja usar para rastrear renovações suspeitas.
Número de renovações de ativação Essa configuração especifica o número de ativações, de 2 a 100, em que você deseja ser notificado, dentro do período de tempo escolhido. Você pode mudar essa configuração movendo o controle deslizante ou digitando um número na caixa de texto.

Definir configurações de alerta de segurança

Siga estas etapas para configurar alertas de segurança para funções do Microsoft Entra no Privileged Identity Management:

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Governança de identidade>Privileged Identity Management>Funções do Microsoft Entra>Alertas>Configuração. Para saber mais sobre como adicionar o bloco Privileged Identity Management ao seu painel, confira Começar a usar o Privileged Identity Management.

    Captura de tela da página de alertas com as configurações realçadas.

  3. Personalize configurações nos diferentes alertas para trabalhar com seu ambiente e as metas de segurança.

    Captura de tela da página de configuração de alerta.

Próximas etapas