Tutorial: Configurar a análise de segurança para dados B2C do Azure Active Directory com o Microsoft Sentinel

  • Artigo

Aumente a segurança do ambiente do Azure Active Directory B2C (Azure AD B2C) ao encaminhar registos e informações de auditoria para o Microsoft Sentinel. O Microsoft Sentinel dimensionável é uma solução de gestão de eventos e informações de segurança (SIEM) nativa da cloud e orquestração de segurança, automatização e resposta (SOAR). Utilize a solução para deteção de alertas, visibilidade de ameaças, investigação proativa e resposta a ameaças para Azure AD B2C.

Saiba mais:

Mais utilizações para o Microsoft Sentinel, com Azure AD B2C, são:

  • Detetar ameaças anteriormente não detetadas e minimizar falsos positivos com funcionalidades de análise e de inteligência sobre ameaças
  • Investigar ameaças com inteligência artificial (IA)
    • Procurar atividades suspeitas em escala e beneficiar da experiência de anos de trabalho de cibersegurança na Microsoft
  • Responder rapidamente a incidentes com orquestração e automatização de tarefas comuns
  • Cumprir os requisitos de segurança e conformidade da sua organização

Neste tutorial, ficará a saber como:

  • Transferir Azure AD registos B2C para uma área de trabalho do Log Analytics
  • Ativar o Microsoft Sentinel numa área de trabalho do Log Analytics
  • Criar uma regra de exemplo no Microsoft Sentinel para acionar um incidente
  • Configurar uma resposta automatizada

Configurar Azure AD B2C com o Log Analytics do Azure Monitor

Para definir para onde são enviados os registos e as métricas de um recurso,

  1. Ative as definições de Diagnóstico no ID do Microsoft Entra, no seu inquilino Azure AD B2C.
  2. Configure Azure AD B2C para enviar registos para o Azure Monitor.

Saiba mais, Monitorizar Azure AD B2C com o Azure Monitor.

Implementar uma instância do Microsoft Sentinel

Depois de configurar o seu Azure AD instância B2C para enviar registos para o Azure Monitor, ative uma instância do Microsoft Sentinel.

Importante

Para ativar o Microsoft Sentinel, obtenha permissões de Contribuidor para a subscrição na qual reside a área de trabalho do Microsoft Sentinel. Para utilizar o Microsoft Sentinel, utilize as permissões contribuidor ou leitor no grupo de recursos ao qual pertence a área de trabalho.

  1. Inicie sessão no portal do Azure.

  2. Selecione a subscrição onde a área de trabalho do Log Analytics é criada.

  3. Procure e selecione Microsoft Sentinel.

    Captura de ecrã a mostrar o Azure Sentinel introduzido no campo de pesquisa e a opção Azure Sentinel apresentada.

  4. Selecione Adicionar.

  5. No campo áreas de trabalho de pesquisa , selecione a nova área de trabalho.

    Captura de ecrã do campo áreas de trabalho de pesquisa em Escolher uma área de trabalho a adicionar ao Azure Sentinel.

  6. Selecione Adicionar Microsoft Sentinel.

    Nota

    É possível executar o Microsoft Sentinel em mais do que uma área de trabalho, no entanto, os dados estão isolados numa única área de trabalho.
    Veja Início Rápido: Integrar o Microsoft Sentinel

Criar uma regra do Microsoft Sentinel

Depois de ativar o Microsoft Sentinel, seja notificado quando ocorrer algo suspeito no seu inquilino Azure AD B2C.

Pode criar regras de análise personalizadas para detetar ameaças e comportamentos anómalos no seu ambiente. Estas regras procuram eventos específicos ou conjuntos de eventos e alertam-no quando os limiares ou condições dos eventos são cumpridos. Em seguida, os incidentes são gerados para investigação.

Veja Criar regras de análise personalizadas para detetar ameaças

Nota

O Microsoft Sentinel tem modelos para criar regras de deteção de ameaças que procuram atividade suspeita nos seus dados. Neste tutorial, vai criar uma regra.

Regra de notificação para acesso forçado sem êxito

Utilize os seguintes passos para receber uma notificação sobre duas ou mais tentativas de acesso forçado sem êxito no seu ambiente. Um exemplo é um ataque de força bruta.

  1. No Microsoft Sentinel, no menu esquerdo, selecione Análise.

  2. Na barra superior, selecione + Criar>regra de consulta agendada.

    Captura de ecrã a mostrar a opção Criar em Análise.

  3. No assistente regra de análise, aceda a Geral.

  4. Em Nome, introduza um nome para inícios de sessão sem êxito.

  5. Para Descrição, indique que a regra notifica para dois ou mais inícios de sessão sem êxito, num prazo de 60 segundos.

  6. Em Táticas, selecione uma categoria. Por exemplo, selecione Pré-ataque.

  7. Para Gravidade, selecione um nível de gravidade.

  8. O estado está Ativado por predefinição . Para alterar uma regra, aceda ao separador Regras ativas .

    Captura de ecrã a mostrar Criar nova regra com opções e seleções.

  9. Selecione o separador Definir lógica de regra .

  10. Introduza uma consulta no campo Consulta de regra . O exemplo de consulta organiza os inícios de sessão por UserPrincipalName.

    Captura de ecrã a mostrar o texto da consulta no campo Consulta de regra em Definir lógica de regra.

  11. Aceda a Agendamento de consultas.

  12. Para Executar consulta a cada, introduza 5 e Minutos.

  13. Para Dados de pesquisa do último, introduza 5 e Minutos.

  14. Para Gerar alerta quando o número de resultados da consulta for maior do que e 0.

  15. Para Agrupamento de eventos, selecione Agrupar todos os eventos num único alerta.

  16. Para Parar a execução da consulta após a geração do alerta, selecione Desativado.

  17. Selecione Seguinte: Definições de incidentes (Pré-visualização).

Captura de ecrã das opções e seleções de agendamento de consultas.

  1. Aceda ao separador Rever e criar para rever as definições de regras.

  2. Quando a faixa Validação transmitida for apresentada, selecione Criar.

    Captura de ecrã a mostrar as definições selecionadas, a faixa Validação transmitida e a opção Criar.

Veja a regra e os incidentes gerados. Localize a regra personalizada do tipo Agendado na tabela recentemente criada no separador Regras ativas na principal

  1. Aceda ao ecrã Análise .
  2. Selecione o separador Regras ativas .
  3. Na tabela, em Agendado, localize a regra.

Pode editar, ativar, desativar ou eliminar a regra.

Captura de ecrã das regras ativas com as opções Ativar, Desativar, Eliminar e Editar.

Triagem, investigação e remediação de incidentes

Um incidente pode incluir vários alertas e é uma agregação de provas relevantes para uma investigação. Ao nível do incidente, pode definir propriedades como Gravidade e Estado.

Saiba mais: Investigar incidentes com o Microsoft Sentinel.

  1. Aceda à página Incidentes .

  2. Selecione um incidente.

  3. À direita, são apresentadas informações detalhadas sobre incidentes, incluindo gravidade, entidades, eventos e o ID do incidente.

    Captura de ecrã que mostra as informações do incidente.

  4. No painel Incidentes , selecione Ver todos os detalhes.

  5. Reveja os separadores que resumem o incidente.

    Captura de ecrã a mostrar uma lista de incidentes.

  6. SelecioneLigação eventos> de provas>ao Log Analytics.

  7. Nos resultados, veja o valor de identidade UserPrincipalName que está a tentar iniciar sessão.

    Captura de ecrã a mostrar os detalhes do incidente.

Resposta automática

O Microsoft Sentinel tem funções de orquestração, automatização e resposta de segurança (SOAR). Anexe ações automatizadas, ou um manual de procedimentos, às regras de análise.

O que é SOAR?

Email notificação para um incidente

Para esta tarefa, utilize um manual de procedimentos do repositório do GitHub do Microsoft Sentinel.

  1. Aceda a um manual de procedimentos configurado.
  2. Edite a regra.
  3. No separador Resposta automatizada , selecione o manual de procedimentos.

Saiba mais: Incident-Email-Notification

Captura de ecrã a mostrar as opções de resposta automatizadas de uma regra.

Recursos

Para obter mais informações sobre o Microsoft Sentinel e Azure AD B2C, consulte:

Passo seguinte

Lidar com falsos positivos no Microsoft Sentinel