Protegendo o acesso privilegiado para implantações híbridas e na nuvem no Microsoft Entra ID
A segurança dos ativos de negócios depende da integridade das contas privilegiadas que administram seus sistemas de TI. Os ciberatacantes usam ataques de roubo de credenciais para atingir contas de administrador e outros acessos privilegiados para tentar obter acesso a dados confidenciais.
No caso dos serviços de computação em nuvem, a prevenção e a resposta são da responsabilidade conjunta do prestador de serviços de computação em nuvem e do cliente. Para obter mais informações sobre as ameaças mais recentes aos pontos de extremidade e à nuvem, consulte o Relatório de Inteligência de Segurança da Microsoft. Este artigo pode ajudá-lo a desenvolver um roteiro para fechar as lacunas entre seus planos atuais e as orientações descritas aqui.
Observação
A Microsoft está comprometida com os mais altos níveis de confiança, transparência, conformidade com padrões e conformidade regulamentar. Saiba mais sobre como a equipe global de resposta a incidentes da Microsoft atenua os efeitos de ataques contra serviços de nuvem e como a segurança é incorporada aos produtos de negócios e serviços de nuvem da Microsoft na Central de Confiabilidade da Microsoft - Metas de segurança e conformidade da Microsoft na Central de Confiabilidade da Microsoft - Conformidade.
Tradicionalmente, a segurança organizacional era focada nos pontos de entrada e saída de uma rede como o perímetro de segurança. No entanto, aplicativos SaaS e dispositivos pessoais na Internet tornaram essa abordagem menos eficaz. No Microsoft Entra ID, substituímos o perímetro de segurança de rede por autenticação na camada de identidade da sua organização, com usuários atribuídos a funções administrativas privilegiadas no controle. O seu acesso deve ser protegido, quer o ambiente seja local, na nuvem ou híbrido.
A proteção do acesso privilegiado requer alterações para:
- Processos, práticas administrativas e gestão do conhecimento
- Componentes técnicos, como defesas de host, proteções de conta e gerenciamento de identidade
Proteja o seu acesso privilegiado de uma forma que seja gerida e comunicada nos serviços Microsoft que lhe interessam. Se você tiver contas de administrador locais, consulte as orientações para acesso privilegiado local e híbrido no Ative Directory em Protegendo o acesso privilegiado.
Observação
As orientações neste artigo referem-se principalmente aos recursos do Microsoft Entra ID incluídos no Microsoft Entra ID P1 e P2. O Microsoft Entra ID P2 está incluído no pacote EMS E5 e no pacote Microsoft 365 E5. Esta orientação pressupõe que sua organização já tenha licenças do Microsoft Entra ID P2 compradas para seus usuários. Se você não tiver essas licenças, algumas das orientações podem não se aplicar à sua organização. Além disso, ao longo deste artigo, o termo Administrador Global significa a mesma coisa que "administrador da empresa" ou "administrador do locatário".
Desenvolver um roteiro
A Microsoft recomenda que você desenvolva e siga um roteiro para proteger o acesso privilegiado contra invasores cibernéticos. Você sempre pode ajustar seu roteiro para acomodar seus recursos existentes e requisitos específicos em sua organização. Cada estágio do roteiro deve aumentar o custo e a dificuldade para os adversários atacarem o acesso privilegiado para seus ativos locais, na nuvem e híbridos. A Microsoft recomenda os quatro estágios de roteiro a seguir. Agende primeiro as implementações mais eficazes e rápidas. Este artigo pode ser o seu guia, com base nas experiências da Microsoft com incidentes de ciberataque e implementação de resposta. Os prazos para este roteiro são aproximações.
Etapa 1 (24-48 horas): Itens críticos que recomendamos que você faça imediatamente
Estágio 2 (2-4 semanas): Mitigar as técnicas de ataque usadas com mais frequência
Estágio 3 (1-3 meses): Crie visibilidade e controle total da atividade do administrador
Estágio 4 (seis meses e além): Continue construindo defesas para fortalecer ainda mais sua plataforma de segurança
Esta estrutura de roteiro foi projetada para maximizar o uso de tecnologias da Microsoft que você pode já ter implantado. Considere vincular-se a quaisquer ferramentas de segurança de outros fornecedores que você já implantou ou está pensando em implantar.
Etapa 1: Itens críticos a fazer agora
A fase 1 do roteiro centra-se em tarefas críticas que são rápidas e fáceis de implementar. Recomendamos que você faça esses poucos itens imediatamente nas primeiras 24-48 horas para garantir um nível básico de acesso privilegiado seguro. Esta etapa do roteiro do Acesso Privilegiado Protegido inclui as seguintes ações:
Preparação geral
Usar o Microsoft Entra Privileged Identity Management
Recomendamos que você comece a usar o Microsoft Entra Privileged Identity Management (PIM) em seu ambiente de produção do Microsoft Entra. Depois de começar a usar o PIM, você receberá mensagens de e-mail de notificação para alterações de função de acesso privilegiado. As notificações fornecem um aviso antecipado quando usuários adicionais são adicionados a funções altamente privilegiadas.
O Microsoft Entra Privileged Identity Management está incluído no Microsoft Entra ID P2 ou EMS E5. Para ajudá-lo a proteger o acesso a aplicativos e recursos no local e na nuvem, inscreva-se na avaliação gratuita de 90 dias do Enterprise Mobility + Security. O Microsoft Entra Privileged Identity Management e o Microsoft Entra ID Protection monitoram a atividade de segurança usando relatórios, auditorias e alertas do Microsoft Entra ID.
Depois de começar a usar o Microsoft Entra Privileged Identity Management:
Entre no centro de administração do Microsoft Entra como Administrador Global.
Para alternar diretórios onde você deseja usar o Privileged Identity Management, selecione seu nome de usuário no canto superior direito do centro de administração do Microsoft Entra.
Navegue até Governança de>identidade, Gerenciamento privilegiado de identidades.
Verifique se a primeira pessoa a usar o PIM em sua organização está atribuída às funções de Administrador de Segurança e Administrador de Função Privilegiada. Somente os Administradores de Função Privilegiada podem gerenciar as atribuições de função de diretório do Microsoft Entra dos usuários. O assistente de segurança do PIM orienta você pela experiência inicial de descoberta e atribuição. Você pode sair do assistente sem fazer alterações adicionais no momento.
Identificar e categorizar contas que estão em funções altamente privilegiadas
Depois de começar a usar o Microsoft Entra Privileged Identity Management, exiba os usuários que estão nas seguintes funções do Microsoft Entra:
- Administrador Global
- Administrador de Função Privilegiada
- Administrador do Exchange
- Administrador do SharePoint
Se você não tiver o Microsoft Entra Privileged Identity Management em sua organização, poderá usar o Microsoft Graph PowerShell. Comece com a função de Administrador Global porque um Administrador Global tem as mesmas permissões em todos os serviços de nuvem para os quais sua organização se inscreveu. Essas permissões são concedidas independentemente de onde foram atribuídas: no centro de administração do Microsoft 365, no centro de administração do Microsoft Entra ou usando o Microsoft Graph PowerShell.
Remova todas as contas que não são mais necessárias nessas funções. Em seguida, categorize as contas restantes atribuídas às funções de administrador:
- Atribuído a usuários administrativos, mas também usado para fins não administrativos (por exemplo, e-mail pessoal)
- Atribuído a usuários administrativos e usado apenas para fins administrativos
- Compartilhado entre vários usuários
- Para cenários de acesso de emergência com vidro quebra-vidro
- Para scripts automatizados
- Para utilizadores externos
Definir pelo menos duas contas de acesso de emergência
A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem permanentemente atribuídas à função de Administrador Global . Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "quebra de vidro" em que as contas normais não podem ser usadas ou todos os outros administradores são bloqueados acidentalmente. Essas contas devem ser criadas seguindo as recomendações da conta de acesso de emergência.
Ative a autenticação multifator e registre todas as outras contas de administrador não federado de usuário único altamente privilegiadas
Exigir autenticação multifator do Microsoft Entra ao entrar para todos os usuários individuais atribuídos permanentemente a uma ou mais das funções de administrador do Microsoft Entra: Administrador Global, Administrador de Função Privilegiada, Administrador do Exchange e Administrador do SharePoint. Use as orientações em Impor autenticação multifator aos seus administradores e certifique-se de que todos esses usuários se registraram no https://aka.ms/mfasetup. Mais informações podem ser encontradas nas etapas 2 e 3 do guia Proteger o acesso de usuários e dispositivos no Microsoft 365.
Estágio 2: Mitigar ataques usados com frequência
A fase 2 do roteiro concentra-se na mitigação das técnicas de ataque mais frequentemente usadas de roubo e abuso de credenciais e pode ser implementada em aproximadamente 2-4 semanas. Esta etapa do roteiro do Acesso Privilegiado Protegido inclui as seguintes ações.
Preparação geral
Realizar um inventário de serviços, proprietários e administradores
O aumento das políticas de "traga seu próprio dispositivo" e trabalho em casa e o crescimento da conectividade sem fio tornam fundamental monitorar quem está se conectando à sua rede. Uma auditoria de segurança pode revelar dispositivos, aplicações e programas na sua rede que a sua organização não suporta e que representam um risco elevado. Para obter mais informações, consulte Visão geral do gerenciamento e monitoramento de segurança do Azure. Certifique-se de incluir todas as tarefas a seguir em seu processo de inventário.
Identifique os usuários que têm funções administrativas e os serviços onde eles podem gerenciar.
Use o Microsoft Entra PIM para descobrir quais usuários em sua organização têm acesso de administrador ao Microsoft Entra ID.
Além das funções definidas no Microsoft Entra ID, o Microsoft 365 vem com um conjunto de funções de administrador que você pode atribuir aos usuários em sua organização. Cada função de administrador mapeia para funções empresariais comuns e concede às pessoas da sua organização permissões para realizarem tarefas específicas no centro de administração do Microsoft 365. Use o Centro de administração do Microsoft 365 para descobrir quais usuários em sua organização têm acesso de administrador ao Microsoft 365, inclusive por meio de funções não gerenciadas no Microsoft Entra ID. Para obter mais informações, consulte Sobre as funções de administrador do Microsoft 365 e Práticas de segurança para o Office 365.
Faça o inventário em serviços nos quais sua organização depende, como Azure, Intune ou Dynamics 365.
Certifique-se de que suas contas que são usadas para fins administrativos:
- Ter endereços de e-mail de trabalho anexados a eles
- Ter se registrado para autenticação multifator do Microsoft Entra ou usar MFA local
Peça aos usuários a justificativa comercial para acesso administrativo.
Remova o acesso de administrador para os indivíduos e serviços que não precisam dele.
Identificar contas da Microsoft em funções administrativas que precisam ser alternadas para contas corporativas ou de estudante
Se os Administradores Globais iniciais reutilizarem as credenciais da conta Microsoft existentes quando começaram a utilizar o Microsoft Entra ID, substitua as contas Microsoft por contas individuais baseadas na nuvem ou sincronizadas.
Garanta contas de usuário separadas e encaminhamento de e-mails para contas de Administrador Global
Contas de e-mail pessoais são regularmente roubadas por atacantes cibernéticos, um risco que torna os endereços de e-mail pessoais inaceitáveis para contas de Administrador Global. Para ajudar a separar os riscos da Internet dos privilégios administrativos, crie contas dedicadas para cada utilizador com privilégios administrativos.
- Certifique-se de criar contas separadas para que os usuários realizem tarefas de Administrador Global.
- Certifique-se de que seus Administradores Globais não abram acidentalmente e-mails ou executem programas com suas contas de administrador.
- Certifique-se de que essas contas têm seus e-mails encaminhados para uma caixa de correio de trabalho.
- As contas de Administrador Global (e outros grupos privilegiados) devem ser contas somente na nuvem sem vínculos com o Ative Directory local.
Verifique se as senhas das contas administrativas foram alteradas recentemente
Verifique se todos os usuários entraram em suas contas administrativas e alteraram suas senhas pelo menos uma vez nos últimos 90 dias. Além disso, verifique se todas as contas compartilhadas tiveram suas senhas alteradas recentemente.
Ativar a sincronização de hash de senha
O Microsoft Entra Connect sincroniza um hash do hash da senha de um usuário do Ative Directory local para uma organização do Microsoft Entra baseada em nuvem. Você pode usar a sincronização de hash de senha como backup se usar a federação com os Serviços de Federação do Ative Directory (AD FS). Esse backup pode ser útil se os servidores locais do Ative Directory ou AD FS estiverem temporariamente indisponíveis.
A sincronização de hash de senha permite que os usuários entrem em um serviço usando a mesma senha que usam para entrar em sua instância local do Ative Directory. A sincronização de hash de senha permite que o Microsoft Entra ID Protection detete credenciais comprometidas comparando hashes de senha com senhas conhecidas por estarem comprometidas. Para obter mais informações, consulte Implementar sincronização de hash de senha com o Microsoft Entra Connect Sync.
Exigir autenticação multifator para usuários em funções privilegiadas e usuários expostos
O Microsoft Entra ID recomenda que você exija autenticação multifator para todos os seus usuários. Certifique-se de considerar os usuários que teriam um impacto significativo se sua conta fosse comprometida (por exemplo, diretores financeiros). O MFA reduz o risco de um ataque devido a uma palavra-passe comprometida.
Ligue:
- MFA usando políticas de Acesso Condicional para todos os usuários em sua organização.
Se você usa o Windows Hello for Business, o requisito de MFA pode ser atendido usando a experiência de entrada do Windows Hello. Para obter mais informações, consulte Windows Hello.
Proteção de ID do Microsoft Entra
O Microsoft Entra ID Protection é uma ferramenta de monitoramento e relatório baseada em algoritmo que deteta possíveis vulnerabilidades que afetam as identidades da sua organização. Você pode configurar respostas automatizadas para essas atividades suspeitas detetadas e tomar as medidas apropriadas para resolvê-las. Para obter mais informações, consulte Proteção de ID do Microsoft Entra.
Obter o Microsoft 365 Secure Score (se estiver a utilizar o Microsoft 365)
O Secure Score analisa as suas definições e atividades para os serviços do Microsoft 365 que está a utilizar e compara-as com uma linha de base estabelecida pela Microsoft. Você receberá uma pontuação com base em quão alinhado você está com as práticas de segurança. Qualquer pessoa que tenha as permissões de administrador para uma assinatura do Microsoft 365 Business Standard ou Enterprise pode acessar o Secure Score em https://security.microsoft.com/securescore
.
Revise as diretrizes de segurança e conformidade do Microsoft 365 (se estiver usando o Microsoft 365)
O plano de segurança e conformidade descreve a abordagem para um cliente do Office 365 configurar o Office 365 e habilitar outros recursos do EMS. Em seguida, reveja os passos 3 a 6 de como proteger o acesso a dados e serviços no Microsoft 365 e o guia sobre como monitorizar a segurança e a conformidade no Microsoft 365.
Configurar o Monitoramento de Atividades do Microsoft 365 (se estiver usando o Microsoft 365)
Monitore sua organização em busca de usuários que estão usando o Microsoft 365 para identificar funcionários que têm uma conta de administrador, mas podem não precisar de acesso ao Microsoft 365 porque não entram nesses portais. Para obter mais informações, consulte Relatórios de atividades no Centro de administração do Microsoft 365.
Estabelecer proprietários de planos de resposta a incidentes/emergências
Estabelecer uma capacidade de resposta a incidentes bem-sucedida requer planejamento e recursos consideráveis. Você deve monitorar continuamente ataques cibernéticos e estabelecer prioridades para o tratamento de incidentes. Colete, analise e relate dados de incidentes para construir relacionamentos e estabelecer comunicação com outros grupos internos e proprietários de planos. Para obter mais informações, consulte Microsoft Security Response Center.
Proteger contas administrativas privilegiadas no local, se ainda não tiver sido feito
Se a sua organização do Microsoft Entra estiver sincronizada com o Ative Directory local, siga as orientações em Security Privileged Access Roadmap: Esta etapa inclui:
- Criação de contas de administrador separadas para usuários que precisam realizar tarefas administrativas locais
- Implantando estações de trabalho de acesso privilegiado para administradores do Ative Directory
- Criação de senhas exclusivas de administrador local para estações de trabalho e servidores
Etapas adicionais para organizações que gerenciam o acesso ao Azure
Completar um inventário de subscrições
Use o portal Enterprise e o portal do Azure para identificar as assinaturas em sua organização que hospedam aplicativos de produção.
Remover contas da Microsoft de funções de administrador
As contas Microsoft de outros programas, como Xbox, Live e Outlook, não devem ser utilizadas como contas de administrador para as subscrições da sua organização. Remova o status de administrador de todas as contas da Microsoft e substitua por contas corporativas ou de estudante do Microsoft Entra ID (por exemplo). chris@contoso.com Para fins de administrador, dependa de contas autenticadas no Microsoft Entra ID e não em outros serviços.
Monitorar a atividade do Azure
O Log de Atividades do Azure fornece um histórico de eventos no nível de assinatura no Azure. Ele oferece informações sobre quem criou, atualizou e excluiu quais recursos e quando esses eventos ocorreram. Para obter mais informações, consulte Auditar e receber notificações sobre ações importantes em sua assinatura do Azure.
Etapas adicionais para organizações que gerenciam o acesso a outros aplicativos na nuvem por meio do Microsoft Entra ID
Configurar políticas de Acesso Condicional
Prepare políticas de Acesso Condicional para aplicativos locais e hospedados na nuvem. Se você tiver usuários que ingressaram em dispositivos no local de trabalho, obtenha mais informações em Configurando o Acesso Condicional local usando o registro de dispositivo do Microsoft Entra.
Etapa 3: Assuma o controle da atividade do administrador
A fase 3 baseia-se nas atenuações da fase 2 e deve ser implementada em aproximadamente 1-3 meses. Esta etapa do roteiro do Acesso Privilegiado Protegido inclui os seguintes componentes.
Preparação geral
Concluir uma revisão de acesso de usuários em funções de administrador
Mais usuários corporativos estão obtendo acesso privilegiado por meio de serviços em nuvem, o que pode levar a acesso não gerenciado. Atualmente, os usuários podem se tornar Administradores Globais do Microsoft 365, administradores de assinatura do Azure ou ter acesso de administrador a VMs ou por meio de aplicativos SaaS.
Sua organização deve fazer com que todos os funcionários lidem com transações comerciais comuns como usuários sem privilégios e, em seguida, conceda direitos de administrador somente conforme necessário. Conclua as revisões de acesso para identificar e confirmar os usuários qualificados para ativar os privilégios de administrador.
Recomendamos que você:
- Determine quais usuários são administradores do Microsoft Entra, habilite o acesso de administrador sob demanda, just-in-time e controles de segurança baseados em função.
- Converter usuários que não têm uma justificativa clara para o acesso privilegiado de administrador a uma função diferente (se nenhuma função qualificada, remova-os).
Continuar a implementação de autenticação mais forte para todos os usuários
Exija que os usuários altamente expostos tenham autenticação moderna e forte, como a autenticação multifator Microsoft Entra ou o Windows Hello. Exemplos de utilizadores altamente expostos incluem:
- Executivos C-suite
- Gestores de alto nível
- Pessoal crítico de TI e segurança
Usar estações de trabalho dedicadas para administração do Microsoft Entra ID
Os atacantes podem tentar atingir contas privilegiadas para que possam perturbar a integridade e a autenticidade dos dados. Eles geralmente usam código mal-intencionado que altera a lógica do programa ou bisbilhota o administrador inserindo uma credencial. As Estações de Trabalho de Acesso Privilegiado (PAWs) fornecem um sistema operacional dedicado para tarefas confidenciais que é protegido contra ataques da Internet e vetores de ameaças. Separar essas tarefas e contas confidenciais das estações de trabalho e dispositivos de uso diário fornece uma forte proteção contra:
- Ataques de phishing
- Vulnerabilidades de aplicativos e sistemas operacionais
- Ataques de falsificação de identidade
- Ataques de roubo de credenciais, como registro de pressionamento de teclas, Pass-the-Hash e Pass-The-Ticket
Ao implantar estações de trabalho de acesso privilegiado, você pode reduzir o risco de que os administradores insiram suas credenciais em um ambiente de área de trabalho que não tenha sido protegido. Para obter mais informações, consulte Estações de trabalho de acesso privilegiado.
Rever as recomendações do Instituto Nacional de Normas e Tecnologia para lidar com incidentes
O National Institute of Standards and Technology (NIST) fornece diretrizes para o tratamento de incidentes, particularmente para analisar dados relacionados a incidentes e determinar a resposta apropriada a cada incidente. Para obter mais informações, consulte o (NIST) Computer Security Incident Handling Guide (SP 800-61, Revisão 2).
Implementar o PIM, Gerenciamento Privilegiado de Identidades (PIM) para JIT em funções administrativas adicionais
Para Microsoft Entra ID, use o recurso Microsoft Entra Privileged Identity Management . A ativação por tempo limitado de funções privilegiadas funciona permitindo que você:
Ativar privilégios de administrador para executar uma tarefa específica
Impor MFA durante o processo de ativação
Use alertas para informar os administradores sobre alterações fora de banda
Permitir que os usuários mantenham seu acesso privilegiado por um período de tempo pré-configurado
Permitir que os administradores de segurança:
- Descubra todas as identidades privilegiadas
- Ver relatórios de auditoria
- Crie revisões de acesso para identificar todos os usuários qualificados para ativar privilégios de administrador
Se você já estiver usando o Microsoft Entra Privileged Identity Management, ajuste os prazos para privilégios com limite de tempo conforme necessário (por exemplo, janelas de manutenção).
Determinar a exposição a protocolos de entrada baseados em senha (se estiver usando o Exchange Online)
Recomendamos que você identifique todos os usuários em potencial que poderiam ser catastróficos para a organização se suas credenciais fossem comprometidas. Para esses usuários, coloque em prática requisitos de autenticação forte e use o Acesso Condicional do Microsoft Entra para impedi-los de entrar em seus emails usando nome de usuário e senha. Você pode bloquear a autenticação herdada usando o Acesso Condicional e pode bloquear a autenticação básica por meio do Exchange online.
Conclua uma avaliação de revisão de funções para funções do Microsoft 365 (se estiver usando o Microsoft 365)
Avalie se todos os usuários administradores estão nas funções corretas (excluir e reatribuir de acordo com essa avaliação).
Analise a abordagem de gerenciamento de incidentes de segurança usada no Microsoft 365 e compare com sua própria organização
Pode transferir este relatório a partir da Gestão de Incidentes de Segurança no Microsoft 365.
Continuar a proteger contas administrativas privilegiadas no local
Se o seu ID do Microsoft Entra estiver conectado ao Ative Directory local, siga as orientações no Roteiro de Acesso Privilegiado de Segurança: Estágio 2. Nesta etapa, você:
- Implantar estações de trabalho de acesso privilegiado para todos os administradores
- Exigir MFA
- Use Just Enough Admin para manutenção do controlador de domínio, reduzindo a superfície de ataque dos domínios
- Implante a Análise Avançada de Ameaças para deteção de ataques
Etapas adicionais para organizações que gerenciam o acesso ao Azure
Estabelecer uma monitorização integrada
O Microsoft Defender for Cloud:
- Fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure
- Ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas
- Funciona com uma ampla gama de soluções de segurança
Inventarie suas contas privilegiadas em máquinas virtuais hospedadas
Normalmente, não é necessário conceder aos utilizadores permissões irrestritas para todas as suas subscrições ou recursos do Azure. Use as funções de administrador do Microsoft Entra para conceder apenas o acesso que seus usuários precisam fazer seus trabalhos. Você pode usar as funções de administrador do Microsoft Entra para permitir que um administrador gerencie apenas VMs em uma assinatura, enquanto outro pode gerenciar bancos de dados SQL dentro da mesma assinatura. Para obter mais informações, consulte O que é o controle de acesso baseado em função do Azure.
Implementar o PIM para funções de administrador do Microsoft Entra
Use o Gerenciamento privilegiado de identidades com funções de administrador do Microsoft Entra para gerenciar, controlar e monitorar o acesso aos recursos do Azure. O uso do PIM protege reduzindo o tempo de exposição de privilégios e aumentando sua visibilidade sobre seu uso por meio de relatórios e alertas. Para obter mais informações, consulte O que é o Microsoft Entra Privileged Identity Management.
Usar integrações de log do Azure para enviar logs relevantes do Azure para seus sistemas SIEM
A integração de logs do Azure permite integrar logs brutos de seus recursos do Azure aos sistemas SIEM (Security Information and Event Management) existentes da sua organização. A integração de log do Azure coleta eventos do Windows de logs do Visualizador de Eventos do Windows e recursos do Azure de:
- Logs de atividade do Azure
- Alertas do Microsoft Defender for Cloud
- Logs de recursos do Azure
Etapas adicionais para organizações que gerenciam o acesso a outros aplicativos na nuvem por meio do Microsoft Entra ID
Implementar o provisionamento de usuários para aplicativos conectados
O Microsoft Entra ID permite automatizar a criação e manutenção de identidades de usuários em aplicativos na nuvem, como Dropbox, Salesforce e ServiceNow. Para obter mais informações, consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.
Integre a proteção de informações
O Microsoft Defender for Cloud Apps permite-lhe investigar ficheiros e definir políticas com base nas etiquetas de classificação da Proteção de Informações do Azure, permitindo uma maior visibilidade e controlo dos seus dados na nuvem. Digitalize e classifique arquivos na nuvem e aplique rótulos de proteção de informações do Azure. Para obter mais informações, consulte Integração da Proteção de Informações do Azure.
Configurar acesso condicional
Configure o Acesso Condicional com base em um grupo, local e sensibilidade de aplicativo para aplicativos SaaS e aplicativos conectados ao Microsoft Entra.
Monitore a atividade em aplicativos de nuvem conectados
Recomendamos o uso do Microsoft Defender for Cloud Apps para garantir que o acesso do usuário também esteja protegido em aplicativos conectados. Esta funcionalidade protege o acesso empresarial a aplicações na nuvem e protege as suas contas de administrador, permitindo-lhe:
- Estenda a visibilidade e o controle para aplicativos na nuvem
- Criar políticas de acesso, atividades e compartilhamento de dados
- Identifique automaticamente atividades de risco, comportamentos anormais e ameaças
- Evitar fugas de dados
- Minimize o risco e a prevenção automatizada de ameaças e a aplicação de políticas
O agente SIEM do Defender for Cloud Apps integra o Defender for Cloud Apps ao seu servidor SIEM para permitir o monitoramento centralizado de alertas e atividades do Microsoft 365. Ele é executado em seu servidor e recebe alertas e atividades do Defender for Cloud Apps e os transmite para o servidor SIEM. Para obter mais informações, consulte Integração SIEM.
Etapa 4: Continuar a construir defesas
A fase 4 do roteiro deverá ser implementada daqui a seis meses. Conclua seu roteiro para fortalecer suas proteções de acesso privilegiado contra possíveis ataques conhecidos atualmente. Para as ameaças de segurança do futuro, recomendamos ver a segurança como um processo contínuo para aumentar os custos e reduzir a taxa de sucesso dos adversários visando seu ambiente.
Proteger o acesso privilegiado é importante para estabelecer garantias de segurança para os ativos da sua empresa. No entanto, deve fazer parte de um programa de segurança completo que forneça garantias de segurança contínuas. Este programa deve incluir elementos como:
- Política
- Operações
- Segurança da informação
- Servidores
- Aplicações
- PCs
- Dispositivos
- Malha de nuvem
Recomendamos as seguintes práticas ao gerenciar contas de acesso privilegiado:
- Certifique-se de que os administradores estão fazendo seus negócios diários como usuários sem privilégios
- Conceda acesso privilegiado somente quando necessário e remova-o depois (just-in-time)
- Manter registros de atividades de auditoria relacionados a contas privilegiadas
Para obter mais informações sobre como criar um roteiro de segurança completo, consulte Recursos de arquitetura de TI na nuvem da Microsoft. Para interagir com os serviços da Microsoft para ajudá-lo a implementar qualquer parte do seu roteiro, entre em contato com seu representante da Microsoft ou consulte Criar defesas cibernéticas críticas para proteger sua empresa.
Esta etapa final em curso do roteiro do Acesso Privilegiado Protegido inclui os seguintes componentes.
Preparação geral
Revisar funções de administrador no Microsoft Entra ID
Determine se as funções de administrador internas atuais do Microsoft Entra ainda estão atualizadas e certifique-se de que os usuários estejam apenas nas funções de que precisam. Com o Microsoft Entra ID, você pode atribuir administradores separados para servir diferentes funções. Para obter mais informações, consulte Funções internas do Microsoft Entra.
Revise os usuários que têm administração de dispositivos associados ao Microsoft Entra
Para obter mais informações, consulte Como configurar dispositivos associados híbridos do Microsoft Entra.
Rever os membros das funções de administrador incorporadas do Microsoft 365
Ignore este passo se não estiver a utilizar o Microsoft 365.
Validar o plano de resposta a incidentes
Para melhorar o seu plano, a Microsoft recomenda que valide regularmente se o seu plano funciona conforme esperado:
- Percorra o seu roteiro existente para ver o que foi perdido
- Com base na análise post mortem, rever as práticas existentes ou definir novas práticas
- Certifique-se de que seu plano e práticas de resposta a incidentes atualizados sejam distribuídos por toda a organização
Etapas adicionais para organizações que gerenciam o acesso ao Azure
Determine se você precisa transferir a propriedade de uma assinatura do Azure para outra conta.
"Quebrar vidros": o que fazer em caso de emergência
Notifique os principais gerentes e agentes de segurança com informações sobre o incidente.
Reveja o seu manual de ataque.
Aceda à combinação de nome de utilizador e palavra-passe da sua conta "break glass" para iniciar sessão no Microsoft Entra ID.
Obtenha ajuda da Microsoft abrindo uma solicitação de suporte do Azure.
Veja os relatórios de início de sessão do Microsoft Entra. Pode haver algum tempo entre a ocorrência de um evento e a sua inclusão no relatório.
Para ambientes híbridos, se a infraestrutura local federada e o servidor AD FS não estiverem disponíveis, você poderá alternar temporariamente da autenticação federada para usar a sincronização de hash de senha. Essa opção reverte a federação de domínio de volta para a autenticação gerenciada até que o servidor AD FS fique disponível.
Monitore o e-mail em busca de contas privilegiadas.
Certifique-se de salvar backups de logs relevantes para possíveis investigações forenses e legais.
Para obter mais informações sobre como o Microsoft Office 365 lida com incidentes de segurança, consulte Gerenciamento de incidentes de segurança no Microsoft Office 365.
Perguntas frequentes: Respostas para proteger o acesso privilegiado
P: O que devo fazer se ainda não implementei nenhum componente de acesso seguro?
Resposta: Defina pelo menos duas contas de quebra-vidro, atribua MFA às suas contas de administrador privilegiado e separe as contas de usuário das contas de Administrador Global.
P: Após uma violação, qual é o principal problema que precisa ser resolvido primeiro?
Resposta: Certifique-se de que você está exigindo a autenticação mais forte para indivíduos altamente expostos.
P: O que acontece se os nossos administradores privilegiados tiverem sido desativados?
Resposta: Crie uma conta de Administrador Global sempre atualizada.
P: O que acontece se restar apenas um Administrador Global e não for possível contactá-lo?
Resposta: Use uma de suas contas de quebra-vidro para obter acesso privilegiado imediato.
P: Como posso proteger os administradores dentro da minha organização?
Resposta: Faça com que os administradores sempre façam seus negócios diários como usuários "não privilegiados" padrão.
P: Quais são as práticas recomendadas para criar contas de administrador no Microsoft Entra ID?
Resposta: Reserve acesso privilegiado para tarefas específicas do administrador.
P: Que ferramentas existem para reduzir o acesso persistente do administrador?
Resposta: Funções de administrador do Privileged Identity Management (PIM) e do Microsoft Entra.
P: Qual é a posição da Microsoft sobre a sincronização de contas de administrador com o Microsoft Entra ID?
Resposta: As contas de administrador de nível 0 são usadas apenas para contas do AD local. Essas contas normalmente não são sincronizadas com o Microsoft Entra ID na nuvem. As contas de administrador de nível 0 incluem contas, grupos e outros ativos que têm controle administrativo direto ou indireto da floresta, domínios, controladores de domínio e ativos do Ative Directory local.
P: Como impedimos que os administradores atribuam acesso aleatório de administrador no portal?
Resposta: Use contas não privilegiadas para todos os usuários e a maioria dos administradores. Comece desenvolvendo uma pegada da organização para determinar quais poucas contas de administrador devem ser privilegiadas. E monitore os usuários administrativos recém-criados.
Próximos passos
Central de Confiabilidade da Microsoft para Segurança de Produtos – Recursos de segurança dos produtos e serviços de nuvem da Microsoft
Ofertas de conformidade da Microsoft – o conjunto abrangente de ofertas de conformidade da Microsoft para serviços de nuvem
Orientação sobre como fazer uma avaliação de risco - Gerenciar requisitos de segurança e conformidade para serviços de nuvem da Microsoft
Outros Serviços Online da Microsoft
Segurança do Microsoft Intune – O Intune fornece gestão de dispositivos móveis, gestão de aplicações móveis e capacidades de gestão de PC a partir da nuvem.
Microsoft Dynamics 365 security – Dynamics 365 é a solução baseada na nuvem da Microsoft que unifica os recursos de gerenciamento de relacionamento com o cliente (CRM) e planejamento de recursos empresariais (ERP).