Operações de segurança do Microsoft Entra para dispositivos
Os dispositivos não são normalmente visados em ataques baseados em identidade, mas podem ser utilizados para satisfazer e enganar controlos de segurança ou para se fazer passar por utilizadores. Os dispositivos podem ter uma das quatro relações com o Microsoft Entra ID:
Os dispositivos registrados e associados recebem um PRT (Primary Refresh Token), que pode ser usado como um artefato de autenticação principal e, em alguns casos, como um artefato de autenticação multifator. Os invasores podem tentar registrar seus próprios dispositivos, usar PRTs em dispositivos legítimos para acessar dados comerciais, roubar tokens baseados em PRT de dispositivos de usuários legítimos ou encontrar configurações incorretas em controles baseados em dispositivos no Microsoft Entra ID. Com os dispositivos híbridos associados ao Microsoft Entra, o processo de associação é iniciado e controlado por administradores, reduzindo os métodos de ataque disponíveis.
Para obter mais informações sobre métodos de integração de dispositivos, consulte Choose your integration methods no artigo Plan your Microsoft Entra device deployment.
Para reduzir o risco de agentes mal-intencionados atacarem sua infraestrutura por meio de dispositivos, monitore
Registo de dispositivos e adesão ao Microsoft Entra
Dispositivos não compatíveis que acessam aplicativos
Recuperação de chave BitLocker
Funções de administrador de dispositivos
Entradas em máquinas virtuais
Onde procurar
Os arquivos de log que você usa para investigação e monitoramento são:
No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixar como arquivos CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação do monitoramento e alerta:
Microsoft Sentinel – permite análises de segurança inteligentes a nível empresarial, fornecendo capacidades de gestão de eventos e informações de segurança (SIEM).
Regras Sigma - Sigma é um padrão aberto em evolução para escrever regras e modelos que as ferramentas de gerenciamento automatizado podem usar para analisar arquivos de log. Onde existem modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são escritos, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.
Azure Monitor – permite o monitoramento automatizado e o alerta de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de diferentes fontes.
Hubs de Eventos do Azure -integrados com um SIEM- Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração dos Hubs de Eventos do Azure.
Microsoft Defender for Cloud Apps – permite-lhe descobrir e gerir aplicações, controlar aplicações e recursos e verificar a conformidade das suas aplicações na nuvem.
Protegendo identidades de carga de trabalho com o Microsoft Entra ID Protection - Usado para detetar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.
Muito do que irá monitorizar e alertar são os efeitos das suas políticas de Acesso Condicional. Você pode usar as informações de Acesso Condicional e a pasta de trabalho de relatórios para examinar os efeitos de uma ou mais políticas de Acesso Condicional em suas entradas e os resultados das políticas, incluindo o estado do dispositivo. Esta pasta de trabalho permite exibir um resumo e identificar os efeitos durante um período de tempo específico. Você também pode usar a pasta de trabalho para investigar as entradas de um usuário específico.
O restante deste artigo descreve o que recomendamos que você monitore e alerte, e é organizado pelo tipo de ameaça. Quando existem soluções específicas pré-construídas, ligamo-nos a elas ou fornecemos amostras seguindo a tabela. Caso contrário, você pode criar alertas usando as ferramentas anteriores.
Registos de dispositivos e aderências fora da política
Os dispositivos registrados do Microsoft Entra e os dispositivos ingressados do Microsoft Entra possuem tokens de atualização primários (PRTs), que são o equivalente a um único fator de autenticação. Esses dispositivos podem, às vezes, conter declarações de autenticação forte. Para obter mais informações sobre quando os PRTs contêm declarações de autenticação forte, consulte Quando um PRT recebe uma declaração de MFA? Para impedir que agentes mal-intencionados se registrem ou associem dispositivos, exija autenticação multifator (MFA) para registrar ou ingressar dispositivos. Em seguida, monitore todos os dispositivos registrados ou ingressados sem MFA. Você também precisará ficar atento às alterações nas configurações e políticas de MFA e nas políticas de conformidade do dispositivo.
| O que monitorizar | Nível de Risco | Em que | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Registro de dispositivo ou ingresso concluído sem MFA | Média | Registos de início de sessão | Atividade: autenticação bem-sucedida no Serviço de Registro de Dispositivos. e ainda Não é necessário MFA |
Alertar quando: Qualquer dispositivo registado ou associado sem MFA Modelo do Microsoft Sentinel Regras Sigma |
| Alterações na alternância MFA de Registro de Dispositivo na ID do Microsoft Entra | Alto | Registo de auditoria | Atividade: Definir políticas de registro de dispositivos | Procurar: A alternância está sendo desativada. Não há entrada de log de auditoria. Agende verificações periódicas. Regras Sigma |
| Alterações às políticas de Acesso Condicional que exijam um dispositivo associado ao domínio ou compatível. | Alto | Registo de auditoria | Alterações às políticas de Acesso Condicional |
Alertar quando: altere qualquer política que exija ingresso ou conformidade com o domínio, alterações em locais confiáveis ou contas ou dispositivos adicionados a exceções de política de MFA. |
Você pode criar um alerta que notifica os administradores apropriados quando um dispositivo é registrado ou ingressado sem MFA usando o Microsoft Sentinel.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
Também pode utilizar o Microsoft Intune para definir e monitorizar políticas de conformidade de dispositivos.
Entrada de dispositivo não compatível
Pode não ser possível bloquear o acesso a todas as aplicações na nuvem e de software como serviço com políticas de Acesso Condicional que exijam dispositivos compatíveis.
A gestão de dispositivos móveis (MDM) ajuda-o a manter os dispositivos Windows 10 em conformidade. Com o Windows versão 1809, lançamos uma linha de base de segurança de políticas. O Microsoft Entra ID pode se integrar ao MDM para impor a conformidade do dispositivo com as políticas corporativas e pode relatar o status de conformidade de um dispositivo.
| O que monitorizar | Nível de Risco | Em que | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Entradas por dispositivos não compatíveis | Alto | Registos de início de sessão | DeviceDetail.isCompliant == falso | Se necessitar de início de sessão a partir de dispositivos compatíveis, alerte quando: qualquer início de sessão por dispositivos não conformes ou qualquer acesso sem MFA ou uma localização fidedigna. Se estiver a trabalhar no sentido de exigir dispositivos, monitorize entradas suspeitas. |
| Entradas por dispositivos desconhecidos | Baixo | Registos de início de sessão | DeviceDetail está vazio, autenticação de fator único ou de um local não confiável | Procure por: qualquer acesso de dispositivos fora de conformidade, qualquer acesso sem MFA ou local confiável Modelo do Microsoft Sentinel Regras Sigma |
Usar o LogAnalytics para consultar
Entradas por dispositivos não compatíveis
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Entradas por dispositivos desconhecidos
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Dispositivos obsoletos
Os dispositivos obsoletos incluem dispositivos que não iniciaram sessão durante um período de tempo especificado. Os dispositivos podem ficar obsoletos quando um usuário recebe um novo dispositivo ou perde um dispositivo, ou quando um dispositivo associado ao Microsoft Entra é apagado ou reprovisionado. Os dispositivos também podem permanecer registrados ou ingressados quando o usuário não estiver mais associado ao locatário. Os dispositivos obsoletos devem ser removidos para que os PRTs (tokens de atualização primários) não possam ser usados.
| O que monitorizar | Nível de Risco | Em que | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Data do último início de sessão | Baixo | API de gráfico | aproximadoLastSignInDateTime | Use a API do Graph ou o PowerShell para identificar e remover dispositivos obsoletos. |
Recuperação de chave BitLocker
Os invasores que comprometeram o dispositivo de um usuário podem recuperar as chaves do BitLocker no Microsoft Entra ID. É incomum que os usuários recuperem chaves e devem ser monitorados e investigados.
| O que monitorizar | Nível de Risco | Em que | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Recuperação de chaves | Média | Logs de auditoria | OperationName == "Ler chave BitLocker" | Procure por: recuperação de chaves, outro comportamento anômalo por usuários recuperando chaves. Modelo do Microsoft Sentinel Regras Sigma |
No LogAnalytics, crie uma consulta como:
AuditLogs
| where OperationName == "Read BitLocker key"
Funções de administrador de dispositivos
As funções de Administrador Local de Dispositivo Ingressado no Microsoft Entra e de Administrador Global obtêm automaticamente direitos de administrador local em todos os dispositivos ingressados no Microsoft Entra. É importante monitorar quem tem esses direitos para manter seu ambiente seguro.
| O que monitorizar | Nível de Risco | Em que | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Usuários adicionados a funções de administrador global ou de dispositivo | Alto | Logs de auditoria | Tipo de atividade = Adicionar membro à função. | Procure por: novos usuários adicionados a essas funções do Microsoft Entra, comportamento anômalo subsequente por máquinas ou usuários. Modelo do Microsoft Sentinel Regras Sigma |
Entradas do AD que não são do Azure em máquinas virtuais
As entradas em máquinas virtuais (VMs) Windows ou LINUX devem ser monitoradas para entradas por contas diferentes das contas do Microsoft Entra.
Microsoft Entra sign-in para LINUX
O logon do Microsoft Entra para LINUX permite que as organizações entrem em suas VMs LINUX do Azure usando contas do Microsoft Entra por meio do protocolo de shell seguro (SSH).
| O que monitorizar | Nível de Risco | Em que | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Entrada de conta que não é do Azure AD, especialmente por SSH | Alto | Logs de autenticação local | Ubuntu: monitor /var/log/auth.log para uso SSH RedHat: monitor /var/log/sssd/ para uso SSH |
Procure por: entradas em que contas que não sejam do Azure AD estão se conectando com êxito a VMs. Veja o exemplo a seguir. |
Exemplo do Ubuntu:
Maio 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Versão: 1.0.015570001; usuário: localusertest01
Maio 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Usuário 'localusertest01' não é um usuário do Microsoft Entra; retornando o resultado vazio.
9 de maio 23:49:43 ubuntu1804 aad_certhandler[3916]: Versão: 1.0.015570001; usuário: localusertest01
Maio 9 23:49:43 ubuntu1804 aad_certhandler[3916]: Usuário 'localusertest01' não é um usuário do Microsoft Entra; retornando o resultado vazio.
Maio 9 23:49:43 ubuntu1804 sshd[3909]: Aceito publicamente para localusertest01 de 192.168.0.15 porta 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
Maio 9 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sessão aberta para o usuário localusertest01 por (uid=0).
Você pode definir a política para entradas de VM LINUX e detetar e sinalizar VMs Linux que tenham contas locais não aprovadas adicionadas. Para saber mais, consulte Usando a Política do Azure para garantir padrões e avaliar a conformidade.
Entradas do Microsoft Entra para Windows Server
O início de sessão do Microsoft Entra para Windows permite que a sua organização inicie sessão nas suas VMs do Azure Windows 2019+ utilizando contas do Microsoft Entra através do protocolo de ambiente de trabalho remoto (RDP).
| O que monitorizar | Nível de Risco | Em que | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Entrada em conta do AD que não é do Azure, especialmente pelo RDP | Alto | Logs de eventos do Windows Server | Login interativo na VM do Windows | Evento 528, tipo de logon 10 (RemoteInteractive). Mostra quando um utilizador inicia sessão através dos Serviços de Terminal ou do Ambiente de Trabalho Remoto. |
Próximos passos
Visão geral das operações de segurança do Microsoft Entra
Operações de segurança para contas de utilizador
Operações de segurança para contas de consumidores
Operações de segurança para contas privilegiadas
Operações de segurança para o Privileged Identity Management