Operações de segurança para contas privilegiadas em Microsoft Entra ID

A segurança dos ativos de negócios da organização moderna depende da integridade das contas com privilégios que administram seus sistemas de TI. Os invasores virtuais usam ataques de roubo de credenciais e outros meios para direcionar contas com privilégios e obter acesso a dados confidenciais.

Tradicionalmente, a segurança organizacional concentra-se nos pontos de entrada e saída de uma rede como o perímetro de segurança. No entanto, os aplicativos SaaS (software como serviço) e dispositivos pessoais na Internet tornaram essa abordagem menos eficaz.

Microsoft Entra ID usa o IAM (gerenciamento de identidades e acesso) como o painel de controle. Na camada de identidade da sua organização, os usuários atribuídos a funções administrativas com privilégios estão no controle. As contas usadas para o acesso devem ser protegidas, independentemente de o ambiente ser local, na nuvem ou em um ambiente híbrido.

Você é inteiramente responsável por todas as camadas de segurança de seu ambiente local de TI. Ao usar os serviços do Azure, a prevenção e a resposta são responsabilidades conjuntas da Microsoft, como o provedor de serviços de nuvem, e do cliente.

Arquivos de log a serem monitorados

Os arquivos de log que você usa para investigação e monitoramento são:

No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixá-los como arquivos valores separados por vírgula (CSV) ou JavaScript Object Notation (JSON). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação de monitoramento e de alerta:

  • Microsoft Sentinel. Permite a análise de segurança inteligente no nível empresarial fornecendo recursos de SIEM (gerenciamento de eventos e informações de segurança).

  • Regras Sigma – Sigma é um padrão aberto em evolução para gravar regras e modelos que as ferramentas de gerenciamento automatizadas poderão usar para analisar arquivos de log. Sempre que há modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são gravados, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.

  • Azure Monitor. Permite o monitoramento e o alerta automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de fontes diferentes.

  • Hubs de Eventos do Azure integrado a um SIEM. Permite que os logs do Microsoft Entra sejam enviados para outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic, por meio da integração dos Hubs de Eventos do Azure. Para obter mais informações, confira Transmitir logs do Microsoft Entra para um hub de eventos do Azure.

  • Microsoft Defender para aplicativos de nuvem. Permite que você descubra e gerencie aplicativos, administre aplicativos e recursos e verifique a conformidade dos seus aplicativos de nuvem.

  • Microsoft Graph. Permite exportar dados e usar Microsoft Graph para fazer mais análises. Para obter mais informações, consulte SDK e Microsoft Entra ID Protection do Microsoft Graph PowerShell.

  • Proteção de identidade. Gera três relatórios importantes que você pode usar para ajudar na investigação:

    • Usuários suspeitos. Contém informações sobre quais usuários estão em risco, detalhes sobre detecções, histórico de todas as entradas suspeitas e histórico suspeito.

    • Entradas suspeitas. Contém informações sobre um login que pode indicar circunstâncias suspeitas. Para mais informações sobre a investigação de informações desse relatório, consulte Como investigar riscos.

    • Detecções de risco. Contém informações sobre outros riscos acionados quando um risco é detectado e outras informações pertinentes, como local de entrada e outros detalhes do Aplicativos do Microsoft Defender para Nuvem.

  • Proteger identidades de carga de trabalho com a Versão Prévia do Identity Protection. Use para detectar o risco em identidades de carga de trabalho em comportamento de entrada e indicadores offline de comprometimento.

Embora seja desencorajada a prática, as contas com privilégios podem ter direitos de administração permanentes. Caso opte por usar privilégios permanentes e a conta for comprometida, isso poderá ter um efeito fortemente negativo. Recomenda-se que você priorize o monitoramento de contas com privilégios e inclua as contas em sua configuração PIM (Privileged Identity Management). Para obter mais informações sobre o PIM, confira Começar a usar o Privileged Identity Management. Além disso, recomenda-se que você valide que as contas de administrador:

  • Sejam obrigatórias.
  • Tenham o privilégio mínimo para executar as atividades necessárias.
  • São protegidos com a autenticação multifator no mínimo.
  • Sejam executados a partir de dispositivos PAW (estação de trabalho de acesso com privilégios) ou SAW (estação de trabalho de administrador seguro).

O restante deste artigo descreve o que é recomendável monitorar e alertar. O artigo está organizado pelo tipo de ameaça. Quando houver soluções predefinidas específicas, elas serão indicadas na sequência da tabela. Caso contrário, você pode criar alertas usando as ferramentas descritas acima.

Este artigo fornece detalhes sobre como configurar as linhas de base e a entrada de auditoria e o uso de contas com privilégios. Ele também aborda ferramentas e recursos que você pode usar para ajudar a manter a integridade de suas contas com privilégios. O conteúdo é organizado nas seguintes assuntos:

  • Contas de "break-glass" de emergência
  • Entrada com conta com privilégios
  • Alterações em conta com privilégios
  • Grupos com privilégios
  • Atribuição de privilégio e elevação

Contas de acesso de emergência

É importante evitar o bloqueio acidental do locatário do Microsoft Entra.

A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem atribuídas permanentemente à função Administrador Global. Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "acesso de emergência" em que as contas normais não podem ser usadas ou em que todos os outros administradores estão acidentalmente bloqueados. Essas contas devem ser criadas de acordo com as recomendações para as contas de acesso de emergência.

Envie um alerta de alta prioridade sempre que uma conta de acesso de emergência for usada.

Descoberta

Como as contas de emergência serão usadas somente se houver uma emergência, o monitoramento não deverá descobrir nenhuma atividade de conta. Envie um alerta de alta prioridade sempre que uma conta de acesso de emergência for usada ou alterada. Qualquer um dos eventos a seguir pode indicar que um ator malicioso está tentando comprometer seus ambientes:

  • Entrar.
  • Alteração da senha da conta.
  • Alteração de permissões/funções da conta.
  • Credencial ou método de autenticação adicionados ou alterados.

Para obter mais informações sobre como gerenciar contas de acesso de emergência, consulte Gerenciar contas de administrador de acesso de emergência no Microsoft Entra ID. Para obter informações detalhadas sobre como criar um alerta para a conta de emergência, confira Criar uma regra de alerta.

Entrada com conta com privilégios

Monitore todas as atividades de login de contas privilegiadas usando os logs de login do Microsoft Entra como fonte de dados. Além de informações de entradas com êxito e falha, os logs contêm os seguintes detalhes:

  • Interrupções
  • Dispositivo
  • Local
  • Risco
  • Aplicativo
  • Data e Hora
  • A conta está desabilitada
  • Bloquear
  • Fraude na MFA
  • Falha de acesso condicional

Coisas a serem monitoradas

Você pode monitorar eventos de login de contas privilegiadas nos logs de login do Microsoft Entra. Crie alertas e investigue os eventos a seguir para contas com privilégios.

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Falha na entrada, limite de senha incorreto Alto Log de entrada do Microsoft Entra Status = falha
-e-
código de erro = 50126
Defina um limite de linha de base e, em seguida, monitore e ajuste para se ajustar aos seus comportamentos organizacionais e limitar a geração de alertas falsos.
Modelo do Microsoft Sentinel

Regras Sigma
Falha devido ao requisito de acesso condicional Alto Log de entrada do Microsoft Entra Status = falha
-e-
código de erro = 53003
-e-
Motivo da falha = bloqueado pelo acesso condicional
Esse evento pode ser uma indicação de que um invasor está tentando entrar na conta.
Modelo do Microsoft Sentinel

Regras Sigma
Contas com privilégios que não seguem a política de nomenclatura Assinatura do Azure Listar atribuições de função do Azure usando o portal do Azure Liste atribuições de função para assinaturas e alertas em que o nome de login não corresponde ao formato de sua organização. Um exemplo é o uso de ADM_ como um prefixo.
Interrupção Alto, médio Microsoft Entra entradas Status = interrompido
-e-
código de erro = 50074
-e-
Motivo da falha = autenticação forte necessária
Status = interrompido
-e-
Código de erro = 500121
Motivo da falha = a autenticação falhou durante uma solicitação de autenticação forte
Esse evento pode ser uma indicação de que um invasor tem a senha da conta, mas não consegue passar pela autenticação multifator.
Modelo do Microsoft Sentinel

Regras Sigma
Contas com privilégios que não seguem a política de nomenclatura Alto diretório do Microsoft Entra Listar atribuições de função do Microsoft Entra Liste as atribuições de função para as funções do Microsoft Entra e alerte quando o UPN não corresponder ao formato de sua organização. Um exemplo é o uso de ADM_ como um prefixo.
Descobrir contas com privilégios não registradas para autenticação multifator Alto API do Microsoft Graph Consulta para IsMFARegistered eq false para contas de administrador. Listar credentialUserRegistrationDetails - Microsoft Graph beta Audite e investigue para determinar se o evento é intencional ou um descuido.
Bloqueio de conta Alto Log de entrada do Microsoft Entra Status = falha
-e-
código de erro = 50053
Defina um limite de linha de base e, em seguida, monitore e ajuste para se ajustar aos seus comportamentos organizacionais e limitar a geração de alertas falsos.
Modelo do Microsoft Sentinel

Regras Sigma
Conta desabilitada ou bloqueada para entradas Baixo Log de entrada do Microsoft Entra Status = falha
-e-
Destino = UPN do usuário
-e-
código de erro = 50057
Esse evento pode indicar que alguém está tentando obter acesso a uma conta depois de sair da organização. Embora a conta esteja bloqueada, ainda é importante registrar e alertar sobre essa atividade.
Modelo do Microsoft Sentinel

Regras Sigma
Alerta ou bloqueio de fraudes da MFA Alto Log de entradas do Microsoft Entra/Log Analytics do Azure Entradas >informações da autenticação informações do resultado = MFA negada, código de fraude inserido O usuário com privilégios indicou que não instigou o prompt da autenticação multifator, o que pode indicar que um invasor tem a senha da conta.
Modelo do Microsoft Sentinel

Regras Sigma
Alerta ou bloqueio de fraudes da MFA Alto Microsoft Entra log de auditoria/Log Analytics do Azure Tipo de atividade = fraude relatada – o usuário está bloqueado na MFA ou fraude relatada – nenhuma ação tomada (com base nas configurações de nível de locatário no relatório de fraude) O usuário com privilégios indicou que não instigou o prompt da autenticação multifator, o que pode indicar que um invasor tem a senha da conta.
Modelo do Microsoft Sentinel

Regras Sigma
Entradas da conta com privilégios fora dos controles esperados Log de entrada do Microsoft Entra Status = falha
UserPricipalName = < conta do administrador>
Local = < local não aprovado>
Endereço IP = < IP não aprovado>
Device Info= <navegador, sistema operacional não aprovados>
Monitore e alerte quanto a entradas que você definiu como não aprovadas.
Modelo do Microsoft Sentinel

Regras Sigma
Fora do horário de entrada normal Alto Log de entrada do Microsoft Entra Status = êxito
-e-
Local =
-e-
Horário = fora do horário de trabalho
Monitore e alerte se entradas ocorrerem fora dos horários esperados. É importante encontrar o padrão de trabalho normal para cada conta com privilégios e alertar se houver alterações não planejadas fora dos horários de trabalho normais. Entradas fora do horário de trabalho normal podem indicar comprometimentos ou possíveis ameaças internas.
Modelo do Microsoft Sentinel

Regras Sigma
Risco à proteção de identidade Alto Logs do Identity Protection Estado de risco = em risco
-e-
Nível de risco = baixo, médio, alto
-e-
Atividade = entrada desconhecida/TOR e assim por diante
Esse evento indica que foi detectada uma anormalidade na entrada da conta que deve ser alertada.
Alteração de senha Alto Logs de auditoria do Microsoft Entra Ator da atividade = administrador/autoatendimento
-e-
Destino = usuário
-e-
Status = êxito ou falha
Alerta quando a senha de qualquer conta de administrador for alterada. Escreva uma consulta para contas com privilégios.
Modelo do Microsoft Sentinel

Regras Sigma
Alteração no protocolo de autenticação herdado Alto Log de entrada do Microsoft Entra Aplicativo cliente = outro cliente, IMAP, POP3, MAPI, SMTP e assim por diante
-e-
Nome de usuário = UPN
-e-
Aplicativo = Exchange (exemplo)
Muitos ataques usam a autenticação herdada, portanto, se houver uma alteração no protocolo de autenticação para o usuário, isso poderá ser uma indicação de um ataque.
Modelo do Microsoft Sentinel

Regras Sigma
Novo dispositivo ou localização Alto Log de entrada do Microsoft Entra Informações do dispositivo = identificador do dispositivo
-e-
Navegador
-e-
SO
-e-
Conformidade/gerenciado
-e-
Destino = usuário
-e-
Local
A maioria das atividades do administrador deve ser de dispositivos de acesso com privilégios, a partir de um número limitado de locais. Por esse motivo, alerte sobre novos dispositivos ou locais.
Modelo do Microsoft Sentinel

Regras Sigma
A configuração de alerta de auditoria foi alterada Alto Logs de auditoria do Microsoft Entra Serviço = PIM
-e-
Categoria = gerenciamento de funções
-e-
Atividade = desabilitar alerta do PIM
-e-
Status = êxito
Caso as alterações em um alerta principal sejam inesperadas, elas devem ser alertadas.
Modelo do Microsoft Sentinel

Regras Sigma
Administradores que se autenticam em outros locatários Microsoft Entra Médio Log de entrada do Microsoft Entra Status = êxito

Recurso tenantID != ID do Locatário da Página Inicial
Quando o escopo é Usuários privilegiados, esse monitor detecta quando um administrador se autenticou com êxito em outro locatário do Microsoft Entra com uma identidade no locatário da sua organização.

Alerta se o Recurso TenantID não for igual à ID do Locatário da Página Inicial
Modelo do Microsoft Sentinel

Regras Sigma
O estado do Usuário Administrador foi alterado de Convidado para Membro Médio Logs de auditoria do Microsoft Entra Atividade: atualizar usuário

Categoria: UserManagement

UserType alterado de Convidado para Membro
Monitora e alerta sobre a alteração do tipo de usuário de Convidado para Membro.

Essa alteração era esperada?
Modelo do Microsoft Sentinel

Regras Sigma
Usuários Convidados que recebem convites para locatário por emissores do convite não aprovados Médio Logs de auditoria do Microsoft Entra Atividade: convidar usuário externo

Categoria: UserManagement

Iniciado por (ator): nome UPN
Monitora e alerta sobre atores não aprovados que convidam usuários externos.
Modelo do Microsoft Sentinel

Regras Sigma

Alterações feitas por contas com privilégios

Monitore todas as tentativas de alterações e alterações efetuadas por uma conta com privilégios. Esses dados permitem que você estabeleça o que é considerado uma atividade normal para cada conta com privilégios e alerte sobre atividades que se desviem do esperado. Os logs de auditoria Microsoft Entra são usados para registrar esse tipo de evento. Para obter mais informações sobre Microsoft Entra logs de auditoria, consulte Logs de auditoria em Microsoft Entra ID.

Serviços de Domínio do Microsoft Entra

Contas privilegiadas que receberam permissões no Microsoft Entra Domain Services podem executar tarefas para Microsoft Entra Domain Services que afetam a postura de segurança das máquinas virtuais hospedadas no Azure que usam Microsoft Entra Domain Services. Habilite auditorias de segurança em máquinas virtuais e monitore os logs. Para obter mais informações sobre como ativar as auditorias do Microsoft Entra Domain Services e para obter uma lista de privilégios confidenciais, consulte os seguintes recursos:

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Tentativas de alterações e alterações efetuadas Alto Logs de auditoria do Microsoft Entra Data e hora
-e-
Serviço
-e-
A categoria e o nome da atividade (o que)
-e-
Status = êxito ou falha
-e-
Destino
-e-
Iniciador ou ator (quem)
Todas as alterações não planejadas devem ser alertadas imediatamente. Esses logs devem ser mantidos para ajudar em qualquer investigação. Todas as alterações no nível do locatário devem ser investigadas imediatamente (link externo para o documento de infraestrutura) que reduziriam a postura de segurança do seu locatário. Um exemplo é a exclusão de contas de autenticação multifator ou acesso condicional. Alerte sobre quaisquer adições ou alterações nos aplicativos. Consulte Guia de operações de segurança do Microsoft Entra para aplicativos.
Exemplo
Tentativa ou efetuação de alteração em serviços ou aplicativos de alto valor
Alto Log de auditoria Serviço
-e-
A categoria e o nome da atividade
Data e hora, Serviço, Categoria e nome da atividade, Status = Êxito ou falha, Destino, Iniciador ou ator (quem)
Alterações privilegiadas nos Serviços do domínio do Microsoft Entra Alto Serviços de Domínio do Microsoft Entra Procurar evento 4673 Habilitar auditorias de segurança para Serviços do domínio do Microsoft Entra
Para obter uma lista de todos os eventos privilegiados, consulte Auditoria do uso de privilégios confidenciais.

Alterações feitas por contas com privilégio

Investigue as alterações nas regras de autenticação e nos privilégios das contas com privilégios, especialmente se a alteração fornecer mais privilégios ou a capacidade de executar tarefas em seu ambiente Microsoft Entra.

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Criação de conta com privilégio Médio Logs de auditoria do Microsoft Entra Serviço = diretório principal
-e-
Categoria = gerenciamento de usuários
-e-
Tipo de atividade = adicionar usuário
-correlacionar com-
Tipo de categoria = gerenciamento de função
-e-
Tipo de atividade = Adicionar membro a função
-e-
Propriedades modificadas = Role.DisplayName
Monitore a criação de qualquer conta com privilégios. Procure a correlação de um intervalo de tempo curto entre a criação e a exclusão de contas.
Modelo do Microsoft Sentinel

Regras Sigma
Alterações nos métodos de autenticação Alto Logs de auditoria do Microsoft Entra Serviço = método de autenticação
-e-
Tipo de atividade = informações de segurança registradas pelo usuário
-e-
Categoria = gerenciamento de usuários
Essa mudança pode ser a indicação de que um invasor está adicionando um método de autenticação à conta para que possa ter acesso contínuo.
Modelo do Microsoft Sentinel

Regras Sigma
Alertar sobre alterações às permissões de conta com privilégios Alto Logs de auditoria do Microsoft Entra Categoria = gerenciamento de funções
-e-
Tipo de atividade – adicionar um membro qualificado (permanente)
-ou-
Tipo de atividade – adicionar um membro qualificado (qualificado)
-e-
Status = êxito ou falha
-e-
Propriedades modificadas = Role.DisplayName
Isso alerta ocorre especialmente em contas que recebem funções que não sejam conhecidas ou são que estejam fora de suas responsabilidades normais.

Regras Sigma
Contas com privilégios não usadas Médio Revisões de acesso do Microsoft Entra Execute uma revisão mensal de contas de usuário com privilégios inativas.
Regras Sigma
Contas isentas do acesso condicional Alto Logs do Azure Monitor
-ou-
Revisões de acesso
Acesso condicional = insights e relatórios Qualquer isenção de conta da acesso condicional tem maior probabilidade a ignorar os controles de segurança, ficando mais vulnerável a comprometimentos. As contas de emergência são isentas. Veja informações mais adiante neste artigo sobre como monitorar contas de emergência.
Adicionar uma Senha de Acesso Temporária a uma conta com privilégios Alto Logs de auditoria do Microsoft Entra Atividade: informações de segurança registradas pelo Administrador

Razão do status: método de senha de acesso temporária registrado pelo administrador para o usuário

Categoria: UserManagement

Iniciado por (ator): nome UPN

Destino: nome UPN
Monitore e alerte sobre a criação de uma Senha de Acesso Temporária para um usuário com privilégios.
Modelo do Microsoft Sentinel

Regras Sigma

Para obter mais informações sobre como monitorar exceções às políticas de Acesso condicional, confira Informações e relatórios de Acesso condicional.

Para obter mais informações sobre como descobrir contas com privilégios não utilizadas, confira Criar uma revisão de acesso das funções do Microsoft Entra no Privileged Identity Management.

Atribuição e elevação

Ter contas com privilégios que são provisionadas permanentemente com capacidades elevadas pode aumentar a superfície de ataque e o risco do limite de segurança. Em vez disso, implemente o acesso just-in-time usando um procedimento de elevação. Esse tipo de sistema permite que você atribua a qualificação para funções privilegiadas. Os administradores elevam seus privilégios para essas funções somente quando executam tarefas que precisam desses privilégios. O uso de um processo de elevação permite monitorar elevações e o não uso de contas com privilégios.

Estabelecer uma linha de base

Para monitorar as exceções, primeiro você deve criar uma linha de base. Determinar as seguintes informações para esses elementos

  • Contas de administrador

    • Sua estratégia de conta com privilégios
    • O uso de contas locais para administrar recursos locais
    • O uso de contas baseadas em nuvem para administrar recursos baseados em nuvem
    • A abordagem para separar e monitorar permissões administrativas para recursos locais e baseados em nuvem
  • Proteção de função com privilégios

    • Estratégia de proteção para funções com privilégios administrativos
    • Política organizacional para usar contas com privilégios
    • Estratégia e princípios para manter o privilégio permanente em comparação a fornecer limite de tempo e acesso aprovado

Os conceitos e as informações a seguir ajudam a determinar as políticas:

  • Princípios de administrador just-in-time. Use os logs do Microsoft Entra para capturar informações para executar tarefas administrativas comuns em seu ambiente. Determine a quantidade de tempo típica necessária para concluir as tarefas.
  • Princípios de administrador suficientes. Determine a função com menos privilégios, o que pode ser uma função personalizada, que é necessária para tarefas administrativas. Para obter mais informações, consulte Funções com privilégios mínimos por tarefa em Microsoft Entra ID.
  • Estabeleça uma política de elevação. Depois de obter informações sobre o tipo de necessidade do privilégio elevado e por quanto tempo ele é necessário para cada tarefa, crie políticas que reflitam o uso privilegiado elevado para seu ambiente. Como exemplo, defina uma política para limitar a elevação de função para uma hora.

Depois de estabelecer sua linha de base e definir a política, você pode configurar o monitoramento para detectar e alertar o uso fora da política.

Descoberta

Dê atenção especial e investigue as alterações na atribuição e elevação de privilégio.

Coisas a serem monitoradas

Você pode monitorar as alterações de contas privilegiadas usando os logs de auditoria do Microsoft Entra e os logs do Azure Monitor. Inclua as seguintes alterações no processo de monitoramento.

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Adicionado à função com privilégios qualificada Alto Logs de auditoria do Microsoft Entra Serviço = PIM
-e-
Categoria = gerenciamento de funções
-e-
Tipo de atividade = adição de membro à função concluída (qualificado)
-e-
Status = êxito ou falha
-e-
Propriedades modificadas = Role.DisplayName
Agora, qualquer conta qualificada para uma função está com acesso privilegiado. Caso a atribuição seja inesperada ou esteja em uma função que não é responsabilidade do titular da conta, investigue.
Modelo do Microsoft Sentinel

Regras Sigma
Funções atribuídas fora do PIM Alto Logs de auditoria do Microsoft Entra Serviço = PIM
-e-
Categoria = gerenciamento de funções
-e-
Tipo de atividade = Adicionar membro a função (permanente)
-e-
Status = êxito ou falha
-e-
Propriedades modificadas = Role.DisplayName
Essas funções devem ser bastante monitoradas e alertadas. Sempre que possível, os usuários não devem receber funções fora do PIM.
Modelo do Microsoft Sentinel

Regras Sigma
Elevações Médio Logs de auditoria do Microsoft Entra Serviço = PIM
-e-
Categoria = gerenciamento de funções
-e-
Tipo de atividade = adição de membro à função concluída (ativação do PIM)
-e-
Status = êxito ou falha
-e-
Propriedades modificadas = Role.DisplayName
Depois de uma conta com privilégios é elevada, ela poderá fazer alterações que possam afetar a segurança do seu locatário. Todas as elevações devem ser registradas e, se estiverem acontecendo fora do padrão em relação a esse usuário, devem ser alertadas e investigadas se não estiverem planejadas.
Aprovações e elevação de negação Baixo Logs de auditoria do Microsoft Entra Serviço = revisão de acesso
-e-
Categoria = UserManagement
-e-
Tipo de atividade = solicitação aprovada/negada
-e-
Ator iniciado = UPN
Monitorar todas as elevações, pois isso poderia fornecer indicação clara da linha do tempo de um ataque.
Modelo do Microsoft Sentinel

Regras Sigma
Alterações nas configurações do PIM Alto Logs de auditoria do Microsoft Entra Serviço = PIM
-e-
Categoria = gerenciamento de funções
-e-
Tipo de atividade = atualizar a configuração de função no PIM
-e-
Motivo do status = MFA desabilitada na ativação (exemplo)
Uma dessas ações pode reduzir a segurança da elevação do PIM e tornar mais fácil para os invasores adquirirem uma conta com privilégios.
Modelo do Microsoft Sentinel

Regras Sigma
Elevação não ocorrendo em SAW/PAW Alto Logs de entrada do Microsoft Entra Id do Dispositivo
-e-
Navegador
-e-
SO
-e-
Conformidade/gerenciado
Correlacionar com:
Serviço = PIM
-e-
Categoria = gerenciamento de funções
-e-
Tipo de atividade = adição de membro à função concluída (ativação do PIM)
-e-
Status = êxito ou falha
-e-
Propriedades modificadas = Role.DisplayName
Caso essa alteração esteja configurado, qualquer tentativa de elevação em um dispositivo não PAW/SAW deverá ser investigada imediatamente, pois poderia indicar que um invasor está tentando usar a conta.
Regras Sigma
Elevação para gerenciar todas as assinaturas do Azure Alto Azure Monitor Guia Log de atividades
Guia Atividade do diretório
Nome das operações = atribui o chamador à função de administrador de acesso do usuário
-e-
Categoria de eventos = administrativa
-e-
Status = êxito, início, falha
-e-
Evento iniciado por
Essa alteração deve ser investigada imediatamente se não estiver planejada. Essa configuração poderia permitir que um invasor acesse as assinaturas do Azure em seu ambiente.

Para obter mais informações sobre a elevação de gerenciamento, confira Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure. Para obter informações sobre como monitorar as elevações usando as informações disponíveis nos registros do Microsoft Entra, consulte Log de atividades do Azure, que faz parte da documentação do Azure Monitor.

Para obter informações sobre como configurar alertas para a função do Azure, confira Configurar alertas de segurança para funções de recurso do Azure no Privileged Identity Management.

Próximas etapas

Confira estes artigos do guia de operações de segurança:

Visão geral de operações de segurança do Microsoft Entra

Operações de segurança para contas de usuário

Operações de segurança para contas do consumidor

Operações de segurança para o Privileged Identity Management

Operações de segurança para aplicativos

Operações de segurança para dispositivos

Operações de segurança para infraestrutura