Operações de segurança do Microsoft Entra para o Privileged Identity Management

A segurança dos ativos de negócios depende da integridade das contas privilegiadas que administram seus sistemas de TI. Os ciberatacantes usam ataques de roubo de credenciais para atingir contas de administrador e outras contas de acesso privilegiado para tentar obter acesso a dados confidenciais.

No caso dos serviços de computação em nuvem, a prevenção e a resposta são da responsabilidade conjunta do prestador de serviços de computação em nuvem e do cliente.

Tradicionalmente, a segurança organizacional tem se concentrado nos pontos de entrada e saída de uma rede como o perímetro de segurança. No entanto, aplicativos SaaS e dispositivos pessoais tornaram essa abordagem menos eficaz. No Microsoft Entra ID, substituímos o perímetro de segurança de rede pela autenticação na camada de identidade da sua organização. Como os usuários são atribuídos a funções administrativas privilegiadas, seu acesso deve ser protegido em ambientes locais, na nuvem e híbridos.

Você é totalmente responsável por todas as camadas de segurança do seu ambiente de TI local. Quando você usa os serviços de nuvem do Azure, a prevenção e a resposta são responsabilidades conjuntas da Microsoft como o provedor de serviços de nuvem e você como o cliente.

O Privileged Identity Management (PIM) é um serviço Microsoft Entra que permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização. Esses recursos incluem recursos no Microsoft Entra ID, Azure e outros Microsoft Online Services, como o Microsoft 365 ou o Microsoft Intune. Você pode usar o PIM para ajudar a reduzir os seguintes riscos:

  • Identificar e minimizar o número de pessoas que têm acesso a informações e recursos seguros.

  • Detete permissões de acesso excessivas, desnecessárias ou mal utilizadas em recursos confidenciais.

  • Reduza as chances de um ator mal-intencionado ter acesso a informações ou recursos protegidos.

  • Reduza a possibilidade de um usuário não autorizado afetar inadvertidamente recursos confidenciais.

Use este artigo fornece orientação para definir linhas de base, auditar entradas e usar contas privilegiadas. Use a fonte do log de auditoria de origem para ajudar a manter a integridade privilegiada da conta.

Onde procurar

Os arquivos de log que você usa para investigação e monitoramento são:

No portal do Azure, exiba os logs de auditoria do Microsoft Entra e baixe-os como arquivos CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas para automatizar o monitoramento e o alerta:

  • Microsoft Sentinel – permite análises de segurança inteligentes a nível empresarial, fornecendo capacidades de gestão de eventos e informações de segurança (SIEM).

  • Regras Sigma - Sigma é um padrão aberto em evolução para escrever regras e modelos que as ferramentas de gerenciamento automatizado podem usar para analisar arquivos de log. Onde existem modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são escritos, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.

  • Azure Monitor – permite o monitoramento automatizado e o alerta de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de diferentes fontes.

  • Os Hubs de Eventos do Azure integrados com um SIEM- Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic por meio da integração dos Hubs de Eventos do Azure.

  • Microsoft Defender for Cloud Apps – permite-lhe descobrir e gerir aplicações, controlar aplicações e recursos e verificar a conformidade das suas aplicações na nuvem.

  • Protegendo identidades de carga de trabalho com o Microsoft Entra ID Protection - Usado para detetar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.

O restante deste artigo tem recomendações para definir uma linha de base para monitorar e alertar, com um modelo de camada. Os links para soluções pré-criadas aparecem após a tabela. Você pode criar alertas usando as ferramentas anteriores. O conteúdo está organizado nas seguintes áreas:

  • Bases de referência

  • Atribuição de função do Microsoft Entra

  • Configurações de alerta de função do Microsoft Entra

  • Atribuição de função de recurso do Azure

  • Gerenciamento de acesso para recursos do Azure

  • Acesso elevado para gerenciar assinaturas do Azure

Bases de referência

A seguir estão as configurações de linha de base recomendadas:

O que monitorizar Nível de risco Recomendação Funções Observações
Atribuição de funções do Microsoft Entra Alto Exigir justificação para a ativação. Requer aprovação para ativar. Defina o processo de aprovador de dois níveis. Na ativação, exija a autenticação multifator do Microsoft Entra. Defina a duração máxima da elevação para 8 horas. Administrador de Segurança, Administrador de Função Privilegiada, Administrador Global Um administrador de função privilegiada pode personalizar o PIM em sua organização do Microsoft Entra, incluindo alterar a experiência para usuários que ativam uma atribuição de função qualificada.
Configuração da Função de Recursos do Azure Alto Exigir justificação para a ativação. Requer aprovação para ativar. Defina o processo de aprovador de dois níveis. Na ativação, exija a autenticação multifator do Microsoft Entra. Defina a duração máxima da elevação para 8 horas. Proprietário, Administrador de Acesso de Usuário Investigue imediatamente, se não for uma mudança planejada. Essa configuração pode habilitar o acesso de invasores a assinaturas do Azure em seu ambiente.

Alertas de gerenciamento de identidade privilegiado

O Privileged Identity Management (PIM) gera alertas quando há atividades suspeitas ou inseguras em sua organização do Microsoft Entra. Quando um alerta é gerado, ele aparece no painel do Privileged Identity Management. Você também pode configurar uma notificação por e-mail ou enviar para o seu SIEM via GraphAPI. Como esses alertas se concentram especificamente em funções administrativas, você deve monitorar de perto quaisquer alertas.

O que monitorizar Nível de Risco Em que UX de filtro/subfiltro Observações
As funções estão sendo atribuídas fora do Privileged Identity Management Alto Gerenciamento privilegiado de identidades, alertas As funções estão sendo atribuídas fora do Privileged Identity Management Como configurar alertas de segurança
Regras Sigma
Contas potencialmente obsoletas em um papel privilegiado Média Gerenciamento privilegiado de identidades, alertas Contas potencialmente obsoletas em um papel privilegiado Como configurar alertas de segurança
Regras Sigma
Os administradores não estão usando suas funções privilegiadas Baixo Gerenciamento privilegiado de identidades, alertas Os administradores não estão usando suas funções privilegiadas Como configurar alertas de segurança
Regras Sigma
As funções não exigem autenticação multifator para ativação Baixo Gerenciamento privilegiado de identidades, alertas As funções não exigem autenticação multifator para ativação Como configurar alertas de segurança
Regras Sigma
A organização não tem o Microsoft Entra ID P2 ou o Microsoft Entra ID Governance Baixo Gerenciamento privilegiado de identidades, alertas A organização não tem o Microsoft Entra ID P2 ou o Microsoft Entra ID Governance Como configurar alertas de segurança
Regras Sigma
Há demasiados Administradores Globais Baixo Gerenciamento privilegiado de identidades, alertas Há demasiados Administradores Globais Como configurar alertas de segurança
Regras Sigma
As funções estão sendo ativadas com muita frequência Baixo Gerenciamento privilegiado de identidades, alertas As funções estão sendo ativadas com muita frequência Como configurar alertas de segurança
Regras Sigma

Atribuição de funções do Microsoft Entra

Um administrador de função privilegiada pode personalizar o PIM em sua organização do Microsoft Entra, o que inclui alterar a experiência do usuário de ativar uma atribuição de função qualificada:

  • Impeça que o agente mal-intencionado remova os requisitos de autenticação multifator do Microsoft Entra para ativar o acesso privilegiado.

  • Evite que usuários mal-intencionados ignorem a justificação e a aprovação da ativação do acesso privilegiado.

O que monitorizar Nível de risco Em que Filtro/subfiltro Observações
Alerta sobre Adicionar alterações às permissões de conta privilegiada Alto Logs de auditoria do Microsoft Entra Categoria = Gestão de Funções
-e-
Tipo de atividade – Adicionar membro elegível (permanente)
-e-
Tipo de atividade – Adicionar membro elegível (elegível)
-e-
Status = Sucesso/fracasso
-e-
Propriedades modificadas = Role.DisplayName
Monitore e esteja sempre alerta para quaisquer alterações no Privileged Role Administrator e no Global Administrator. Isso pode ser uma indicação de que um invasor está tentando obter privilégios para modificar as configurações de atribuição de função. Se você não tiver um limite definido, alerte em 4 em 60 minutos para usuários e 2 em 60 minutos para contas privilegiadas.

Regras Sigma
Alerta sobre alterações de exclusão em massa para permissões de conta privilegiada Alto Logs de auditoria do Microsoft Entra Categoria = Gestão de Funções
-e-
Tipo de atividade – Remover membro elegível (permanente)
-e-
Tipo de atividade – Remover membro elegível (elegível)
-e-
Status = Sucesso/fracasso
-e-
Propriedades modificadas = Role.DisplayName
Investigue imediatamente, se não for uma mudança planejada. Essa configuração pode habilitar o acesso de um invasor às assinaturas do Azure em seu ambiente.
Modelo do Microsoft Sentinel

Regras Sigma
Alterações nas configurações do PIM Alto Log de auditoria do Microsoft Entra Serviço = PIM
-e-
Categoria = Gestão de Funções
-e-
Tipo de atividade = Configuração de função de atualização no PIM
-e-
Status Reason = MFA na ativação desabilitada (exemplo)
Monitore e esteja sempre alerta para quaisquer alterações no Privileged Role Administrator e no Global Administrator. Isso pode ser uma indicação de que um invasor tem acesso para modificar as configurações de atribuição de função. Uma dessas ações poderia reduzir a segurança da elevação do PIM e facilitar a aquisição de uma conta privilegiada pelos invasores.
Modelo do Microsoft Sentinel

Regras Sigma
Aprovações e recusa de elevação Alto Log de auditoria do Microsoft Entra Serviço = Revisão de acesso
-e-
Categoria = UserManagement
-e-
Tipo de Atividade = Solicitação Aprovada/Negada
-e-
Ator iniciado = UPN
Todas as elevações devem ser monitorizadas. Registre todas as elevações para dar uma indicação clara da linha do tempo para um ataque.
Modelo do Microsoft Sentinel

Regras Sigma
A configuração de alerta muda para desativado. Alto Logs de auditoria do Microsoft Entra Serviço =PIM
-e-
Categoria = Gestão de Funções
-e-
Tipo de Atividade = Desativar Alerta PIM
-e-
Status = Sucesso/Fracasso
Sempre alerta. Ajuda a detetar agentes mal-intencionados removendo alertas associados aos requisitos de autenticação multifator do Microsoft Entra para ativar o acesso privilegiado. Ajuda a detetar atividades suspeitas ou inseguras.
Modelo do Microsoft Sentinel

Regras Sigma

Para obter mais informações sobre como identificar alterações na configuração de função no log de auditoria do Microsoft Entra, consulte Exibir histórico de auditoria para funções do Microsoft Entra no Privileged Identity Management.

Atribuição de função de recurso do Azure

O monitoramento das atribuições de função de recurso do Azure permite visibilidade da atividade e ativações para funções de recursos. Essas atribuições podem ser usadas indevidamente para criar uma superfície de ataque a um recurso. Ao monitorar esse tipo de atividade, você está tentando detetar:

  • Atribuições de função de consulta em recursos específicos

  • Atribuições de função para todos os recursos filho

  • Todas as alterações de atribuição de função ativas e qualificadas

O que monitorizar Nível de risco Em que Filtro/subfiltro Observações
Log de auditoria de recursos de alerta de auditoria para atividades de conta privilegiada Alto No PIM, em Recursos do Azure, Auditoria de Recursos Ação: Adicionar membro elegível à função no PIM concluído (limite de tempo)
-e-
Alvo primário
-e-
Tipo de Utilizador
-e-
Status = Sucedido
Sempre alerta. Ajuda a detetar agentes mal-intencionados adicionando funções qualificadas para gerenciar todos os recursos no Azure.
Auditoria de Recursos de Alerta de Auditoria para Desativar Alerta Média No PIM, em Recursos do Azure, Auditoria de Recursos Ação: Desativar alerta
-e-
Destino principal: muitos proprietários atribuídos a um recurso
-e-
Status = Sucedido
Ajuda a detetar alertas de desabilitação de agentes mal-intencionados, no painel Alertas, que podem ignorar atividades maliciosas que estão sendo investigadas
Auditoria de Recursos de Alerta de Auditoria para Desativar Alerta Média No PIM, em Recursos do Azure, Auditoria de Recursos Ação: Desativar alerta
-e-
Alvo principal: muitos proprietários permanentes atribuídos a um recurso
-e-
Status = Sucedido
Impedir que um agente mal-intencionado desative alertas no painel Alertas, que podem ignorar atividades maliciosas que estão sendo investigadas
Auditoria de Recursos de Alerta de Auditoria para Desativar Alerta Média No PIM, em Recursos do Azure, Auditoria de Recursos Ação: Desativar alerta
-e-
Função duplicada de destino principal criada
-e-
Status = Sucedido
Impedir que o agente mal-intencionado desative alertas no painel Alertas, que podem ignorar atividades maliciosas que estão sendo investigadas

Para obter mais informações sobre como configurar alertas e auditar funções de recursos do Azure, consulte:

Gerenciamento de acesso para recursos e assinaturas do Azure

Os usuários ou membros do grupo atribuídos às funções de Proprietário ou Administrador de Acesso de Usuário e os Administradores Globais do Microsoft Entra que habilitaram o gerenciamento de assinaturas na ID do Microsoft Entra têm permissões de Administrador de Recursos por padrão. Os administradores atribuem funções, definem definições de função e analisam o acesso utilizando o PIM, Gestão de Identidades Privilegiadas (PIM) para recursos do Azure.

Um usuário que tenha permissões de administrador de recursos pode gerenciar o PIM for Resources. Monitore e atenue esse risco introduzido: o recurso pode ser usado para permitir que agentes mal-intencionados tenham acesso privilegiado aos recursos de assinatura do Azure, como máquinas virtuais (VMs) ou contas de armazenamento.

O que monitorizar Nível de risco Em que Filtro/subfiltro Observações
Elevações Alto ID do Microsoft Entra, em Gerir, Propriedades Revise periodicamente a configuração.
Gerenciamento de acesso para recursos do Azure
Os Administradores Globais podem elevar habilitando o gerenciamento de acesso para recursos do Azure.
Verifique se os agentes mal-intencionados não obtiveram permissões para atribuir funções em todas as assinaturas do Azure e grupos de gerenciamento associados ao Ative Directory.

Para obter mais informações, consulte Atribuir funções de recurso do Azure no Privileged Identity Management

Próximos passos

Visão geral das operações de segurança do Microsoft Entra

Operações de segurança para contas de utilizador

Operações de segurança para contas de consumidores

Operações de segurança para contas privilegiadas

Operações de segurança para aplicações

Operações de segurança para dispositivos

Operações de segurança para infraestruturas