Operações de segurança para contas privilegiadas no Microsoft Entra ID

A segurança dos ativos de negócios depende da integridade das contas privilegiadas que administram seus sistemas de TI. Os atacantes cibernéticos usam ataques de roubo de credenciais e outros meios para atingir contas privilegiadas e obter acesso a dados confidenciais.

Tradicionalmente, a segurança organizacional tem se concentrado nos pontos de entrada e saída de uma rede como o perímetro de segurança. No entanto, as aplicações de software como serviço (SaaS) e os dispositivos pessoais na Internet tornaram esta abordagem menos eficaz.

O Microsoft Entra ID usa o gerenciamento de identidade e acesso (IAM) como o plano de controle. Na camada de identidade da sua organização, os usuários atribuídos a funções administrativas privilegiadas estão no controle. As contas usadas para acesso devem ser protegidas, seja o ambiente local, na nuvem ou híbrido.

Você é totalmente responsável por todas as camadas de segurança do seu ambiente de TI local. Quando você usa os serviços do Azure, a prevenção e a resposta são responsabilidades conjuntas da Microsoft como provedor de serviços de nuvem e você como cliente.

Ficheiros de registo a monitorizar

Os arquivos de log que você usa para investigação e monitoramento são:

No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixar como arquivos CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação do monitoramento e alerta:

  • Microsoft Sentinel. Permite análises de segurança inteligentes no nível corporativo, fornecendo recursos de gerenciamento de eventos e informações de segurança (SIEM).

  • Regras Sigma - Sigma é um padrão aberto em evolução para escrever regras e modelos que as ferramentas de gerenciamento automatizado podem usar para analisar arquivos de log. Onde existem modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são escritos, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.

  • Azure Monitor. Permite a monitorização e alerta automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de diferentes fontes.

  • Hubs de Eventos do Azure integrados com um SIEM. Permite que os logs do Microsoft Entra sejam enviados por push para outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração dos Hubs de Eventos do Azure. Para obter mais informações, consulte Transmitir logs do Microsoft Entra para um hub de eventos do Azure.

  • Microsoft Defender para aplicativos na nuvem. Permite-lhe descobrir e gerir aplicações, controlar aplicações e recursos e verificar a conformidade das suas aplicações na nuvem.

  • Microsoft Graph. Permite exportar dados e usar o Microsoft Graph para fazer mais análises. Para obter mais informações, consulte SDK do Microsoft Graph PowerShell e Proteção de ID do Microsoft Entra.

  • Proteção de ID do Microsoft Entra. Gera três relatórios principais que você pode usar para ajudar na investigação:

    • Utilizadores arriscados. Contém informações sobre quais usuários estão em risco, detalhes sobre deteções, histórico de todas as entradas de risco e histórico de riscos.

    • Entradas arriscadas. Contém informações sobre um início de sessão que podem indicar circunstâncias suspeitas. Para obter mais informações sobre como investigar informações deste relatório, consulte Investigar risco.

    • Deteções de risco. Contém informações sobre outros riscos acionados quando um risco é detetado e outras informações pertinentes, como local de entrada e quaisquer detalhes do Microsoft Defender for Cloud Apps.

  • Protegendo identidades de carga de trabalho com o Microsoft Entra ID Protection. Use para detetar o risco em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.

Embora desencorajemos a prática, contas privilegiadas podem ter direitos de administração permanentes. Se você optar por usar privilégios permanentes e a conta for comprometida, isso pode ter um efeito fortemente negativo. Recomendamos que você priorize o monitoramento de contas privilegiadas e inclua as contas em sua configuração de Gerenciamento de Identidade Privilegiada (PIM). Para obter mais informações sobre o PIM, consulte Começar a usar o Privileged Identity Management. Além disso, recomendamos que você valide essas contas de administrador:

  • São obrigatórios.
  • Tenha o menor privilégio para executar as atividades necessárias.
  • Estão protegidos com autenticação multifator, no mínimo.
  • São executados a partir de dispositivos de estação de trabalho de acesso privilegiado (PAW) ou estação de trabalho de administração segura (SAW).

O restante deste artigo descreve o que recomendamos que você monitore e alerte. O artigo está organizado pelo tipo de ameaça. Quando existem soluções específicas pré-construídas, ligamo-las a elas seguindo a tabela. Caso contrário, você pode criar alertas usando as ferramentas descritas acima.

Este artigo fornece detalhes sobre como definir linhas de base e auditar a entrada e o uso de contas privilegiadas. Ele também discute ferramentas e recursos que você pode usar para ajudar a manter a integridade de suas contas privilegiadas. O conteúdo está organizado nos seguintes temas:

  • Contas de emergência "quebra-vidro"
  • Início de sessão privilegiado na conta
  • Alterações na conta privilegiada
  • Grupos privilegiados
  • Atribuição e elevação de privilégios

Contas de acesso de emergência

É importante que você evite ser bloqueado acidentalmente do seu locatário do Microsoft Entra.

A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem permanentemente atribuídas à função de Administrador Global . Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "quebra de vidro" em que as contas normais não podem ser usadas ou todos os outros administradores são bloqueados acidentalmente. Essas contas devem ser criadas seguindo as recomendações da conta de acesso de emergência.

Envie um alerta de alta prioridade sempre que uma conta de acesso de emergência for usada.

Descoberta

Como as contas quebra-vidro só são usadas em caso de emergência, seu monitoramento não deve descobrir nenhuma atividade da conta. Envie um alerta de alta prioridade sempre que uma conta de acesso de emergência for usada ou alterada. Qualquer um dos seguintes eventos pode indicar que um agente mal-intencionado está tentando comprometer seus ambientes:

  • Iniciar sessão.
  • Alteração da palavra-passe da conta.
  • Permissão ou funções da conta alteradas.
  • Método de credencial ou autenticação adicionado ou alterado.

Para obter mais informações sobre como gerenciar contas de acesso de emergência, consulte Gerenciar contas de administrador de acesso de emergência no Microsoft Entra ID. Para obter informações detalhadas sobre como criar um alerta para uma conta de emergência, consulte Criar uma regra de alerta.

Início de sessão privilegiado na conta

Monitore toda a atividade de entrada de conta privilegiada usando os logs de entrada do Microsoft Entra como fonte de dados. Além das informações de sucesso e falha de entrada, os logs contêm os seguintes detalhes:

  • Interrupções
  • Dispositivo
  • Localização
  • Risco
  • Aplicação
  • Data e hora
  • A conta está desativada
  • Bloqueio
  • Fraude no AMF
  • Falha de acesso condicional

Aspetos a monitorizar

Você pode monitorar eventos de entrada de conta privilegiada nos logs de entrada do Microsoft Entra. Alerte e investigue os seguintes eventos para contas privilegiadas.

O que monitorizar Nível de risco Em que Filtro/subfiltro Observações
Falha de login, limite de senha incorreta Alto Log de entrada do Microsoft Entra Status = Falha
-e-
código de erro = 50126
Defina um limite de linha de base e, em seguida, monitore e ajuste para se adequar aos seus comportamentos organizacionais e limite a geração de falsos alertas.
Modelo do Microsoft Sentinel

Regras Sigma
Falha devido ao requisito de acesso condicional Alto Log de entrada do Microsoft Entra Status = Falha
-e-
código de erro = 53003
-e-
Motivo da falha = Bloqueado pelo Acesso Condicional
Esse evento pode ser uma indicação de que um invasor está tentando entrar na conta.
Modelo do Microsoft Sentinel

Regras Sigma
Contas privilegiadas que não seguem a política de nomenclatura Subscrição do Azure Listar atribuições de função do Azure usando o portal do Azure Liste atribuições de função para assinaturas e alerte quando o nome de entrada não corresponder ao formato da sua organização. Um exemplo é o uso de ADM_ como prefixo.
Interromper Alto, médio Entradas do Microsoft Entra Status = Interrompido
-e-
código de erro = 50074
-e-
Motivo da falha = Autenticação forte necessária
Status = Interrompido
-e-
Código de erro = 500121
Motivo da falha = Falha na autenticação durante a solicitação de autenticação forte
Esse evento pode ser uma indicação de que um invasor tem a senha da conta, mas não pode passar no desafio de autenticação multifator.
Modelo do Microsoft Sentinel

Regras Sigma
Contas privilegiadas que não seguem a política de nomenclatura Alto Diretório Microsoft Entra Listar atribuições de função do Microsoft Entra Liste atribuições de função para funções do Microsoft Entra e alerte onde o UPN não corresponde ao formato da sua organização. Um exemplo é o uso de ADM_ como prefixo.
Descubra contas privilegiadas não registradas para autenticação multifator Alto Microsoft Graph API Consulta para IsMFARegistered eq false para contas de administrador. Listar credenciaisUserRegistrationDetails - Microsoft Graph beta Audite e investigue para determinar se o evento é intencional ou um descuido.
Bloqueio de conta Alto Log de entrada do Microsoft Entra Status = Falha
-e-
código de erro = 50053
Defina um limite de linha de base e, em seguida, monitore e ajuste para se adequar aos seus comportamentos organizacionais e limitar a geração de falsos alertas.
Modelo do Microsoft Sentinel

Regras Sigma
Conta desativada ou bloqueada para entradas Baixo Log de entrada do Microsoft Entra Status = Falha
-e-
Destino = UPN do usuário
-e-
código de erro = 50057
Esse evento pode indicar que alguém está tentando obter acesso a uma conta depois de sair da organização. Embora a conta esteja bloqueada, ainda é importante registrar e alertar sobre essa atividade.
Modelo do Microsoft Sentinel

Regras Sigma
Alerta ou bloqueio de fraude de MFA Alto Log de entrada do Microsoft Entra/Azure Log Analytics Logins>Detalhes de autenticação Detalhes do resultado = MFA negada, código de fraude inserido O usuário privilegiado indicou que não instigou o prompt de autenticação multifator, o que pode indicar que um invasor tem a senha da conta.
Modelo do Microsoft Sentinel

Regras Sigma
Alerta ou bloqueio de fraude de MFA Alto Log de log de auditoria do Microsoft Entra/Azure Log Analytics Tipo de atividade = Fraude reportada - O utilizador está bloqueado para MFA ou fraude comunicada - Nenhuma ação tomada (com base nas definições ao nível do inquilino para o relatório de fraude) O usuário privilegiado indicou que não instigou o prompt de autenticação multifator, o que pode indicar que um invasor tem a senha da conta.
Modelo do Microsoft Sentinel

Regras Sigma
Entradas de conta privilegiadas fora dos controles esperados Log de entrada do Microsoft Entra Status = Falha
UserPricipalName = <Conta de administrador>
Localização = <local não aprovado>
Endereço IP = <IP não aprovado>
Informações do dispositivo = <navegador não aprovado, sistema operacional>
Monitore e alerte sobre quaisquer entradas que você definiu como não aprovadas.
Modelo do Microsoft Sentinel

Regras Sigma
Fora dos horários normais de início de sessão Alto Log de entrada do Microsoft Entra Status = Sucesso
-e-
Localização =
-e-
Tempo = Fora do horário de trabalho
Monitore e alerte se os logins ocorrerem fora dos horários esperados. É importante encontrar o padrão de trabalho normal para cada conta privilegiada e alertar se houver mudanças não planejadas fora do horário normal de trabalho. Entradas fora do horário normal de trabalho podem indicar comprometimento ou possíveis ameaças internas.
Modelo do Microsoft Sentinel

Regras Sigma
Risco da Proteção de ID do Microsoft Entra Alto Logs de proteção de ID Estado de risco = Em risco
-e-
Nível de risco = Baixo, médio, alto
-e-
Atividade = Entrada desconhecida/TOR e assim por diante
Esse evento indica que há alguma anormalidade detetada com o login da conta e deve ser alertado.
Alteração de palavra-passe Alto Logs de auditoria do Microsoft Entra Ator de atividade = Admin/self-service
-e-
Alvo = Utilizador
-e-
Status = Sucesso ou fracasso
Alertar quando qualquer senha de conta de administrador for alterada. Escreva uma consulta para contas privilegiadas.
Modelo do Microsoft Sentinel

Regras Sigma
Alteração no protocolo de autenticação herdado Alto Log de entrada do Microsoft Entra Aplicativo Cliente = Outro cliente, IMAP, POP3, MAPI, SMTP e assim por diante
-e-
Nome de usuário = UPN
-e-
Aplicação = Exchange (exemplo)
Muitos ataques usam autenticação herdada, portanto, se houver uma mudança no protocolo de autenticação para o usuário, isso pode ser uma indicação de um ataque.
Modelo do Microsoft Sentinel

Regras Sigma
Novo dispositivo ou localização Alto Log de entrada do Microsoft Entra Informações do dispositivo = ID do dispositivo
-e-
Navegador
-e-
SO
-e-
Conforme/Gerenciado
-e-
Alvo = Utilizador
-e-
Localização
A maioria das atividades administrativas deve ser de dispositivos de acesso privilegiado, de um número limitado de locais. Por esse motivo, alerte sobre novos dispositivos ou locais.
Modelo do Microsoft Sentinel

Regras Sigma
A configuração de alerta de auditoria foi alterada Alto Logs de auditoria do Microsoft Entra Serviço = PIM
-e-
Categoria = Gestão de funções
-e-
Atividade = Desativar alerta PIM
-e-
Status = Sucesso
As alterações a um alerta principal devem ser alertadas se inesperadas.
Modelo do Microsoft Sentinel

Regras Sigma
Administradores autenticando em outros locatários do Microsoft Entra Média Log de entrada do Microsoft Entra Status = sucesso

Resource tenantID != ID do locatário doméstico
Quando definido como escopo para Usuários Privilegiados, este monitor deteta quando um administrador se autenticou com êxito em outro locatário do Microsoft Entra com uma identidade no locatário da sua organização.

Alertar se o Resource TenantID não for igual ao Home Tenant ID
Modelo do Microsoft Sentinel

Regras Sigma
Estado do usuário administrador alterado de Convidado para Membro Média Logs de auditoria do Microsoft Entra Atividade: Atualizar usuário

Categoria: UserManagement

UserType alterado de Convidado para Membro
Monitore e alerte sobre a mudança do tipo de usuário de Convidado para Membro.

Essa mudança era esperada?
Modelo do Microsoft Sentinel

Regras Sigma
Usuários convidados para o locatário por convidados não aprovados Média Logs de auditoria do Microsoft Entra Atividade: Convidar usuário externo

Categoria: UserManagement

Iniciado por (ator): Nome Principal do Utilizador
Monitorar e alertar sobre atores não aprovados que convidam usuários externos.
Modelo do Microsoft Sentinel

Regras Sigma

Alterações por contas privilegiadas

Monitore todas as alterações concluídas e tentadas por uma conta privilegiada. Esses dados permitem estabelecer qual é a atividade normal para cada conta privilegiada e alertar sobre a atividade que se desvia do esperado. Os logs de auditoria do Microsoft Entra são usados para registrar esse tipo de evento. Para obter mais informações sobre logs de auditoria do Microsoft Entra, consulte Logs de auditoria no Microsoft Entra ID.

Serviços de Domínio Microsoft Entra

As contas privilegiadas às quais foram atribuídas permissões nos Serviços de Domínio Microsoft Entra podem executar tarefas para os Serviços de Domínio Microsoft Entra que afetam a postura de segurança das máquinas virtuais hospedadas no Azure que usam os Serviços de Domínio Microsoft Entra. Habilite auditorias de segurança em máquinas virtuais e monitore os logs. Para obter mais informações sobre como habilitar auditorias dos Serviços de Domínio Microsoft Entra e para obter uma lista de privilégios confidenciais, consulte os seguintes recursos:

O que monitorizar Nível de risco Em que Filtro/subfiltro Observações
Alterações tentadas e concluídas Alto Logs de auditoria do Microsoft Entra Data e hora
-e-
Serviço
-e-
Categoria e nome da atividade (o quê)
-e-
Status = Sucesso ou fracasso
-e-
Público-alvo
-e-
Iniciador ou ator (quem)
Quaisquer alterações não planeadas devem ser alertadas imediatamente. Esses registros devem ser mantidos para ajudar em qualquer investigação. Quaisquer alterações no nível do inquilino devem ser investigadas imediatamente (link para o Infra doc) que diminuam a postura de segurança do seu inquilino. Um exemplo é a exclusão de contas da autenticação multifator ou do Acesso Condicional. Alertar sobre quaisquer adições ou alterações às aplicações. Consulte o guia de operações de segurança do Microsoft Entra para Aplicativos.
Exemplo
Alteração tentada ou concluída para aplicativos ou serviços de alto valor
Alto Registo de auditoria Serviço
-e-
Categoria e nome da atividade
Data e hora, Serviço, Categoria e nome da atividade, Status = Sucesso ou fracasso, Alvo, Iniciador ou ator (quem)
Alterações privilegiadas nos Serviços de Domínio do Microsoft Entra Alto Serviços de Domínio Microsoft Entra Procure o evento 4673 Habilitar auditorias de segurança para os Serviços de Domínio Microsoft Entra
Para obter uma lista de todos os eventos privilegiados, consulte Uso de privilégios sensíveis à auditoria.

Alterações em contas privilegiadas

Investigue as alterações nas regras e privilégios de autenticação de contas privilegiadas, especialmente se a alteração fornecer maior privilégio ou a capacidade de executar tarefas em seu ambiente Microsoft Entra.

O que monitorizar Nível de risco Em que Filtro/subfiltro Observações
Criação de conta privilegiada Média Logs de auditoria do Microsoft Entra Serviço = Diretório Principal
-e-
Categoria = Gestão de utilizadores
-e-
Tipo de atividade = Adicionar usuário
-correlacionar com-
Tipo de categoria = Gerenciamento de função
-e-
Tipo de atividade = Adicionar membro à função
-e-
Propriedades modificadas = Role.DisplayName
Monitore a criação de contas privilegiadas. Procure uma correlação de curto espaço de tempo entre a criação e a exclusão de contas.
Modelo do Microsoft Sentinel

Regras Sigma
Alterações nos métodos de autenticação Alto Logs de auditoria do Microsoft Entra Serviço = Método de Autenticação
-e-
Tipo de atividade = Informações de segurança registadas pelo utilizador
-e-
Categoria = Gestão de utilizadores
Essa alteração pode ser uma indicação de que um invasor está adicionando um método de autenticação à conta para que eles possam ter acesso contínuo.
Modelo do Microsoft Sentinel

Regras Sigma
Alerta sobre alterações nas permissões de conta privilegiada Alto Logs de auditoria do Microsoft Entra Categoria = Gestão de funções
-e-
Tipo de atividade = Adicionar membro elegível (permanente)
-ou-
Tipo de atividade = Adicionar membro elegível (elegível)
-e-
Status = Sucesso ou fracasso
-e-
Propriedades modificadas = Role.DisplayName
Este alerta destina-se especialmente a contas a quem estão atribuídas funções que não são conhecidas ou que estão fora das suas responsabilidades normais.

Regras Sigma
Contas privilegiadas não utilizadas Média Análises de acesso do Microsoft Entra Execute uma revisão mensal para contas de usuário privilegiado inativas.
Regras Sigma
Contas isentas de acesso condicional Alto Azure Monitor Logs
-ou-
Avaliações de acesso
Acesso condicional = Insights e relatórios Qualquer conta isenta de Acesso Condicional provavelmente ignora os controles de segurança e é mais vulnerável a comprometimentos. As contas quebra-vidros estão isentas. Consulte informações sobre como monitorar contas quebra-vidro mais adiante neste artigo.
Adição de um Passe de Acesso Temporário a uma conta privilegiada Alto Logs de auditoria do Microsoft Entra Atividade: Informações de segurança registadas pelo administrador

Motivo do status: Método de passagem de acesso temporário registrado pelo administrador para o usuário

Categoria: UserManagement

Iniciado por (ator): Nome Principal do Utilizador

Destino: Nome Principal do Usuário
Monitore e alerte sobre um Passe de Acesso Temporário que está sendo criado para um usuário privilegiado.
Modelo do Microsoft Sentinel

Regras Sigma

Para obter mais informações sobre como monitorar exceções às políticas de Acesso Condicional, consulte Insights e relatórios de Acesso Condicional.

Para obter mais informações sobre como descobrir contas privilegiadas não utilizadas, consulte Criar uma revisão de acesso de funções do Microsoft Entra no Privileged Identity Management.

Atribuição e elevação

Ter contas privilegiadas que são permanentemente provisionadas com habilidades elevadas pode aumentar a superfície de ataque e o risco para o seu limite de segurança. Em vez disso, empregue o acesso just-in-time usando um procedimento de elevação. Esse tipo de sistema permite que você atribua elegibilidade para funções privilegiadas. Os administradores elevam seus privilégios a essas funções somente quando executam tarefas que precisam desses privilégios. O uso de um processo de elevação permite monitorar elevações e o não uso de contas privilegiadas.

Estabelecer uma linha de base

Para monitorar exceções, você deve primeiro criar uma linha de base. Determine as seguintes informações para esses elementos:

  • Contas de administrador

    • A sua estratégia de conta privilegiada
    • Uso de contas locais para administrar recursos locais
    • Utilização de contas baseadas na nuvem para administrar recursos baseados na nuvem
    • Abordagem para separar e monitorar permissões administrativas para recursos locais e baseados em nuvem
  • Proteção de função privilegiada

    • Estratégia de proteção para funções com privilégios administrativos
    • Política organizacional para o uso de contas privilegiadas
    • Estratégia e princípios para manter privilégios permanentes versus fornecer acesso limitado no tempo e aprovado

Os seguintes conceitos e informações ajudam a determinar políticas:

  • Princípios de administração just-in-time. Use os logs do Microsoft Entra para capturar informações para executar tarefas administrativas comuns em seu ambiente. Determine a quantidade típica de tempo necessária para concluir as tarefas.
  • Princípios de administração suficientes. Determine a função menos privilegiada, que pode ser uma função personalizada, necessária para tarefas administrativas. Para obter mais informações, consulte Funções menos privilegiadas por tarefa no Microsoft Entra ID.
  • Estabeleça uma política de elevação. Depois de obter informações sobre o tipo de privilégio elevado necessário e quanto tempo é necessário para cada tarefa, crie políticas que reflitam o uso de privilégios elevados para seu ambiente. Como exemplo, defina uma política para limitar a elevação de função a uma hora.

Depois de estabelecer sua linha de base e definir a política, você pode configurar o monitoramento para detetar e alertar o uso fora da política.

Descoberta

Preste especial atenção e investigue as mudanças na atribuição e elevação de privilégios.

Aspetos a monitorizar

Você pode monitorar alterações de conta privilegiada usando os logs de auditoria do Microsoft Entra e os logs do Azure Monitor. Inclua as seguintes alterações no seu processo de monitorização.

O que monitorizar Nível de risco Em que Filtro/subfiltro Observações
Adicionado à função privilegiada elegível Alto Logs de auditoria do Microsoft Entra Serviço = PIM
-e-
Categoria = Gestão de funções
-e-
Tipo de atividade = Adicionar membro à função concluída (elegível)
-e-
Status = Sucesso ou fracasso
-e-
Propriedades modificadas = Role.DisplayName
Qualquer conta elegível para uma função está agora a receber acesso privilegiado. Se a atribuição for inesperada ou para uma função que não é da responsabilidade do titular da conta, investigue.
Modelo do Microsoft Sentinel

Regras Sigma
Funções atribuídas fora do PIM Alto Logs de auditoria do Microsoft Entra Serviço = PIM
-e-
Categoria = Gestão de funções
-e-
Tipo de atividade = Adicionar membro à função (permanente)
-e-
Status = Sucesso ou fracasso
-e-
Propriedades modificadas = Role.DisplayName
Estas funções devem ser monitorizadas e alertadas de perto. Os usuários não devem receber funções fora do PIM sempre que possível.
Modelo do Microsoft Sentinel

Regras Sigma
Elevações Média Logs de auditoria do Microsoft Entra Serviço = PIM
-e-
Categoria = Gestão de funções
-e-
Tipo de atividade = Adicionar membro à função concluída (ativação PIM)
-e-
Status = Sucesso ou fracasso
-e-
Propriedades modificadas = Role.DisplayName
Depois que uma conta privilegiada é elevada, ela pode fazer alterações que podem afetar a segurança do seu locatário. Todas as elevações devem ser registradas e, se acontecerem fora do padrão padrão para esse usuário, devem ser alertadas e investigadas se não forem planejadas.
Aprovações e recusa de elevação Baixo Logs de auditoria do Microsoft Entra Serviço = Revisão de acesso
-e-
Categoria = UserManagement
-e-
Tipo de atividade = Solicitação aprovada ou negada
-e-
Ator iniciado = UPN
Monitore todas as elevações porque isso pode dar uma indicação clara da linha do tempo para um ataque.
Modelo do Microsoft Sentinel

Regras Sigma
Alterações nas configurações do PIM Alto Logs de auditoria do Microsoft Entra Serviço = PIM
-e-
Categoria = Gestão de funções
-e-
Tipo de atividade = Configuração de função de atualização no PIM
-e-
Motivo do status = MFA na ativação desabilitada (exemplo)
Uma dessas ações poderia reduzir a segurança da elevação do PIM e facilitar a aquisição de uma conta privilegiada pelos invasores.
Modelo do Microsoft Sentinel

Regras Sigma
Elevação não ocorrida com SAW/PAW Alto Logs de entrada do Microsoft Entra ID do dispositivo
-e-
Navegador
-e-
SO
-e-
Conforme/Gerenciado
Correlacione com:
Serviço = PIM
-e-
Categoria = Gestão de funções
-e-
Tipo de atividade = Adicionar membro à função concluída (ativação PIM)
-e-
Status = Sucesso ou fracasso
-e-
Propriedades modificadas = Role.DisplayName
Se essa alteração estiver configurada, qualquer tentativa de elevação em um dispositivo não-PAW/SAW deve ser investigada imediatamente, pois pode indicar que um invasor está tentando usar a conta.
Regras Sigma
Elevação para gerenciar todas as assinaturas do Azure Alto Azure Monitor Guia Registro de atividades
Guia Atividade do Diretório
Nome das Operações = Atribui o chamador ao administrador de acesso do usuário
-e-
Categoria do evento = Administrativo
-e-
Status = Sucedido, iniciar, falhar
-e-
Evento iniciado por
Esta alteração deve ser investigada imediatamente se não for planeada. Essa configuração pode permitir que um invasor acesse assinaturas do Azure em seu ambiente.

Para obter mais informações sobre como gerenciar elevação, consulte Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure. Para obter informações sobre como monitorar elevações usando informações disponíveis nos logs do Microsoft Entra, consulte Log de atividades do Azure, que faz parte da documentação do Azure Monitor.

Para obter informações sobre como configurar alertas para funções do Azure, consulte Configurar alertas de segurança para funções de recursos do Azure no Privileged Identity Management.

Próximos passos

Consulte estes artigos do guia de operações de segurança:

Visão geral das operações de segurança do Microsoft Entra

Operações de segurança para contas de utilizador

Operações de segurança para contas de consumidores

Operações de segurança para o Privileged Identity Management

Operações de segurança para aplicações

Operações de segurança para dispositivos

Operações de segurança para infraestruturas