Investigação de spray de senha

Este artigo fornece orientação sobre como identificar e investigar ataques de pulverização de senha em sua organização e tomar as ações de correção necessárias para proteger as informações e minimizar outros riscos.

Este artigo contém as seguintes seções:

• Pré-requisitos: Abrange os requisitos específicos que você precisa preencher antes de iniciar a investigação. Por exemplo, registro em log que deve ser ativado, funções e permissões necessárias, entre outros.
• Fluxo de trabalho: mostra o fluxo lógico que você deve seguir para executar esta investigação.
• Lista de verificação: contém uma lista de tarefas para cada uma das etapas do fluxograma. Esta lista de verificação pode ser útil em ambientes altamente regulamentados para verificar o que você fez ou simplesmente como uma porta de qualidade para si mesmo.
• Etapas da investigação: Inclui orientações detalhadas passo a passo para esta investigação específica.
• Recuperação: contém etapas de alto nível sobre como recuperar/mitigar de um ataque de pulverização de senha.
• Referências: Contém mais materiais de leitura e de referência.

Pré-requisitos

Antes de iniciar a investigação, certifique-se de ter concluído a configuração para logs e alertas e outros requisitos do sistema.

Para monitoramento do Microsoft Entra, siga nossas recomendações e orientações em nosso Guia de SecOps do Microsoft Entra.

Configurar o registo do AD FS

Registo de eventos no ADFS 2016

Por padrão, os Serviços de Federação do Microsoft Ative Directory (ADFS) no Windows Server 2016 têm um nível básico de auditoria habilitado. Com a auditoria básica, os administradores podem ver cinco ou menos eventos para uma única solicitação. Defina o registo para o nível mais elevado e envie os registos do AD FS (segurança Ads) para um SIEM para se correlacionarem com a autenticação do AD e o ID do Microsoft Entra.

Para exibir o nível de auditoria atual, use este comando do PowerShell:

Get-AdfsProperties

Esta tabela lista os níveis de auditoria disponíveis.

Nível de auditoria	Sintaxe do PowerShell	Description
None	Set-AdfsProperties -AuditLevel None	A auditoria está desativada e nenhum evento é registrado
Basic (predefinição)	Set-AdfsProperties -AuditLevel Basic	Não serão registados mais de cinco eventos para um único pedido
Verboso	Set-AdfsProperties -AuditLevel Verbose	Todos os eventos são registrados. Esse nível registra uma quantidade significativa de informações por solicitação.

Para aumentar ou diminuir o nível de auditoria, use este comando do PowerShell:

Set-AdfsProperties -AuditLevel <None | Basic | Verbose>

Configurar o log de segurança do ADFS 2012 R2/2016/2019

1. Selecione Iniciar, navegue até Ferramentas Administrativas de Programas > e selecione Diretiva de Segurança Local.

2. Navegue até a pasta Configurações de Segurança\Políticas Locais\Gerenciamento de Direitos de Usuário e clique duas vezes em Gerar auditorias de segurança.

3. Na guia Configuração de Segurança Local, verifique se a conta de serviço do ADFS está listada. Se não estiver presente, selecione Adicionar Utilizador ou Grupo e adicione-o à lista e, em seguida, selecione OK.

4. Para ativar a auditoria, abra uma linha de comandos com privilégios elevados e execute o comando seguinte:

   auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
   

5. Feche a Política de Segurança Local.

6. Em seguida, abra o snap-in Gerenciamento do ADFS, selecione Iniciar, navegue até Ferramentas Administrativas de Programas > e selecione Gerenciamento do ADFS.

7. No painel Ações, selecione Editar Propriedades do Serviço de Federação.

8. Na caixa de diálogo Propriedades do Serviço de Federação, selecione a guia Eventos.

9. Selecione as caixas de verificação Auditorias de êxito e Auditorias de falha.

10. Selecione OK para concluir e salvar a configuração.

Instalar o Microsoft Entra Connect Health para ADFS

O agente Microsoft Entra Connect Health for ADFS permite que você tenha maior visibilidade em seu ambiente de federação. Ele fornece vários painéis pré-configurados, como uso, monitoramento de desempenho e relatórios IP arriscados.

Para instalar o ADFS Connect Health, examine os requisitos para usar o Microsoft Entra Connect Health e instale o Azure ADFS Connect Health Agent.

Configurar alertas de IP arriscados usando a pasta de trabalho de relatório IP arriscado do ADFS

Depois que o Microsoft Entra Connect Health for ADFS estiver configurado, você deverá monitorar e configurar alertas usando a pasta de trabalho de relatório IP Arriscado do ADFS e o Azure Monitor. Os benefícios da utilização deste relatório são:

• Deteção de endereços IP que excedem um limite de logins baseados em senha com falha.
• Suporta logins falhados devido a senha incorreta ou devido ao estado de bloqueio da extranet.
• Dá suporte à habilitação de alertas por meio dos Alertas do Azure.
• Configurações de limite personalizáveis que correspondem à diretiva de segurança de uma organização.
• Consultas personalizáveis e visualizações expandidas para análise posterior.
• Funcionalidade expandida do relatório de IP de risco anterior, que foi preterido a partir de 24 de janeiro de 2022.

Configurar alertas da ferramenta SIEM no Microsoft Sentinel

Para configurar alertas da ferramenta SIEM, consulte o tutorial sobre alertas prontos para uso.

Integração SIEM com o Microsoft Defender for Cloud Apps

Conecte a ferramenta de Gerenciamento de Informações de Segurança e Eventos (SIEM) ao Microsoft Defender for Cloud Apps, que atualmente oferece suporte ao Micro Focus ArcSight e ao formato genérico de evento comum (CEF).

Para obter mais informações, consulte Integração SIEM genérica.

Integração SIEM com Graph API

Você pode conectar o SIEM com a API de segurança do Microsoft Graph usando qualquer uma das seguintes opções:

• Usando diretamente as opções de integração suportadas – Consulte a lista de opções de integração suportadas, como escrever código para conectar diretamente seu aplicativo para obter insights avançados. Use exemplos para começar.
• Use integrações nativas e conectores criados por parceiros da Microsoft – Consulte as soluções de parceiros da API de segurança do Microsoft Graph para usar essas integrações.
• Use conectores criados pela Microsoft – Consulte a lista de conectores que você pode usar para se conectar à API por meio de várias soluções para SIEM (Security Incident and Event Management), SOAR (Security Response and Orchestration), ITSM (Incident Tracking and Service Management), relatórios e assim por diante.

Para obter mais informações, consulte Integrações de soluções de segurança usando a API de segurança do Microsoft Graph.

Usando o Splunk

Você também pode usar a plataforma Splunk para configurar alertas.

• Assista a este vídeo tutorial sobre como criar alertas Splunk.
• Para obter mais informações, consulte o manual de alertas Splunk.

Fluxo de Trabalho

O fluxograma a seguir mostra o fluxo de trabalho de investigação de pulverização de senha.

Também pode:

• Faça o download do spray de senha e de outros fluxos de trabalho do manual de resposta a incidentes como um PDF.
• Baixe o spray de senha e outros fluxos de trabalho do playbook de resposta a incidentes como um arquivo do Visio.

Lista de Verificação

Gatilhos da investigação

• Recebeu um gatilho do SIEM, logs de firewall ou ID do Microsoft Entra
• Funcionalidade Microsoft Entra ID Protection Password Spray ou IP de risco
• Grande número de entradas com falha (ID de Evento 411)
• Pico no Microsoft Entra Connect Health para ADFS
• Outro incidente de segurança (por exemplo, phishing)
• Atividade inexplicável, como um início de sessão a partir de uma localização desconhecida ou um utilizador a receber pedidos de MFA inesperados

Investigação

• O que está sendo alertado?
• Você pode confirmar que este ataque é um spray de senha?
• Determine a linha do tempo para o ataque.
• Determine um ou mais endereços IP do ataque.
• Filtrar entradas bem-sucedidas para este período de tempo e endereço IP, incluindo senha bem-sucedida, mas MFA com falha
• Verificar relatórios de AMF
• Existe algo fora do comum na conta, como novo dispositivo, novo sistema operacional, novo endereço IP usado? Use o Defender for Cloud Apps ou a Proteção de Informações do Azure para detetar atividades suspeitas.
• Informar as autoridades locais/terceiros para obter assistência.
• Se suspeitar de um comprometimento, verifique se há exfiltração de dados.
• Verifique se há comportamento suspeito na conta associada e procure correlacionar com outras possíveis contas e serviços, bem como outros endereços IP maliciosos.
• Verifique as contas de qualquer pessoa que trabalhe no mesmo escritório/acesso delegado - higiene da palavra-passe (certifique-se de que não estão a utilizar a mesma palavra-passe que a conta comprometida)
• Executar a ajuda do ADFS

Mitigações

Consulte a seção Referências para obter orientação sobre como habilitar os seguintes recursos:

• Bloquear endereço IP do invasor (fique atento a alterações em outro endereço IP)
• Alteração da senha do usuário por suspeita de comprometimento
• Ativar bloqueio de extranet do ADFS
• Autenticação herdada desativada
• Azure Identity Protection ativado (políticas de entrada e de risco do usuário)
• MFA ativada (se ainda não houver)
• Proteção por senha ativada
• Implantar o Microsoft Entra Connect Health para ADFS (se ainda não tiver sido)

Recuperação

• Marcar endereço IP incorreto no Defender for Cloud Apps, SIEM, ADFS e Microsoft Entra ID
• Verifique se há outras formas de persistência de caixa de correio, como regras de encaminhamento ou outras delegações adicionadas
• MFA como autenticação primária
• Configurar integrações SIEM com Cloud
• Configurar alertas - Proteção de identidade, ADFS Health Connect, SIEM e Defender for Cloud Apps
• Lições aprendidas (incluir as principais partes interessadas, terceiros, equipas de comunicação)
• Revisão/melhorias na postura de segurança
• Planeje executar simuladores de ataque regulares

Você também pode baixar o spray de senha e outras listas de verificação de incidentes como um arquivo Excel.

Passos de investigação

Resposta a incidentes de pulverização de senha

Vamos entender algumas técnicas de ataque de spray de senha antes de prosseguir com a investigação.

Comprometimento da senha: um invasor adivinhou a senha do usuário, mas não conseguiu acessar a conta devido a outros controles, como a autenticação multifator (MFA).

Comprometimento da conta: um invasor adivinhou a senha do usuário e obteve acesso à conta.

Deteção de ambiente

Identificar o tipo de autenticação

Como primeiro passo, você precisa verificar qual tipo de autenticação é usado para um domínio inquilino/verificado que você está investigando.

Para obter o status de autenticação de um nome de domínio específico, use o comando Get-MgDomain PowerShell. Eis um exemplo:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -DomainId "contoso.com"

A autenticação é federada ou gerenciada?

Se a autenticação for federada, as entradas bem-sucedidas serão armazenadas no Microsoft Entra ID. As entradas com falha estão em seu provedor de identidade (IDP). Para obter mais informações, consulte Solução de problemas e log de eventos do AD FS.

Se o tipo de autenticação for gerenciado – somente nuvem, PHS (sincronização de hash de senha) ou autenticação de passagem (PTA) –, os logins bem-sucedidos e com falha serão armazenados nos logs de entrada do Microsoft Entra.

O Microsoft Entra Connect Health está habilitado para ADFS?

• O relatório RiskyIP fornece IPs suspeitos e data/hora. As notificações devem ser ativadas.
• Verifique também a investigação de entradas federadas no manual de phishing

O registro em log avançado está habilitado no ADFS?

• Essa configuração é um requisito para o ADFS Connect Health, mas pode ser habilitada independentemente
• Veja como ativar o ADFS Health Connect)
• Verifique também a investigação de entradas federadas no manual de phishing

Os logs são armazenados no SIEM?

Para verificar se você está armazenando e correlacionando logs em um SIEM (Gerenciamento de Informações e Eventos de Segurança) ou em qualquer outro sistema:

• Análise de log - consultas pré-criadas
• Microsoft Sentinel- consultas pré-criadas
• Splunk – consultas pré-construídas
• Registos da firewall
• UAL se > 30 dias

Noções básicas sobre relatórios de ID e MFA do Microsoft Entra

É importante que você entenda os logs que está vendo para poder determinar o comprometimento. Aqui estão guias rápidos para entender as entradas do Microsoft Entra e os relatórios de MFA:

• Relatórios de AMF
• Noções básicas sobre logins

Gatilhos de incidentes

Um gatilho de incidente é um evento ou uma série de eventos que faz com que o alerta predefinido seja acionado. Um exemplo é o número de tentativas de senha incorreta acima do seu limite predefinido. Aqui estão outros exemplos de gatilhos que podem ser alertados em ataques de pulverização de senha e onde esses alertas são exibidos. Os gatilhos de incidentes incluem:

• Utilizadores

• IP

• Cadeias de caracteres do agente do usuário

• Data/hora

• Anomalias

• Tentativas de senha incorreta

  

Picos incomuns na atividade são indicadores-chave através do Microsoft Entra Health Connect (supondo que este componente esteja instalado). Outros indicadores são:

• O alerta por meio do SIEM mostra um pico quando você agrupa os logs.
• Tamanho de log maior do que o normal para entradas com falha no ADFS, o que pode ser um alerta na ferramenta SIEM).
• Quantidades aumentadas de IDs de eventos 342/411 – o nome de utilizador ou a palavra-passe estão incorretos. Ou 516 para bloqueio de extranet.
• Atingir o limite de solicitação de autenticação com falha – IP arriscado no Microsoft Entra ID ou alerta da ferramenta SIEM/erros 342 e 411 (Para poder visualizar essas informações, o log avançado deve ser ativado.)

IP de risco no portal Microsoft Entra Health Connect

Alertas de IP de risco ocorrem quando o limite personalizado foi atingido para senhas incorretas em uma hora e contagem de senhas incorretas em um dia e bloqueios de extranet.

Os detalhes das tentativas falhadas estão disponíveis nos separadores Endereço IP e bloqueios de extranet.

Detetar spray de senha no Azure Identity Protection

O Azure Identity Protection é um recurso do Microsoft Entra ID P2 que tem um alerta de risco de deteção de spray de senha e um recurso de pesquisa que fornece mais informações ou correção automática.

Indicadores de ataque baixo e lento

Indicadores de ataque baixos e lentos são quando os limites para bloqueio de conta ou senhas incorretas não estão sendo atingidos. Pode detetar estes indicadores através de:

• Falhas na ordem GAL
• Falhas com atributos repetitivos (UA, AppID de destino, bloco/local IP)
• Tempo – pulverizações automatizadas tendem a ter um intervalo de tempo mais regular entre as tentativas.

Investigação e mitigação

1. Ative o log avançado no ADFS se ele ainda não estiver ativado.

2. Determine a data e a hora do início do ataque.

3. Determine o endereço IP do invasor (pode ser várias fontes e vários endereços IP) a partir do firewall, ADFS, SIEM ou ID do Microsoft Entra.

4. Uma vez confirmado o spray de senha, você pode ter que informar as agências locais (polícia, terceiros, entre outros).

5. Agrupar e monitorar as seguintes IDs de evento para ADFS:

   ADFS 2012 R2

   • Evento de auditoria 403 – agente do usuário fazendo a solicitação
   • Evento de auditoria 411 – solicitações de autenticação com falha
   • Evento de auditoria 516 – bloqueio da extranet
   • Evento de auditoria 342 – solicitações de autenticação com falha
   • Evento de auditoria 412 - Início de sessão bem-sucedido

6. Para coletar o evento de auditoria 411 - solicitações de autenticação com falha, use o seguinte script:

   PARAM ($PastDays = 1, $PastHours)
   #************************************************
   #ADFSBadCredsSearch.ps1
   #Version 1.0
   #Date: 6-20-2016
   #Author: Tim Springston [MSFT]
   #Description: This script will parse the ADFS server's (not proxy) security ADFS
   #for events which indicate an incorrectly entered username or password. The script can specify a
   #past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for
   #review of UPN, IP address of submitter, and timestamp.
   #************************************************
   cls
   if ($PastHours -gt 0)
   {$PastPeriod = (Get-Date).AddHours(-($PastHours))}
   else
   {$PastPeriod = (Get-Date).AddDays(-($PastDays))}
   $Outputfile = $Pwd.path + "\BadCredAttempts.csv"
   $CS = get-wmiobject -class win32_computersystem
   $Hostname = $CS.Name + '.' + $CS.Domain
   $Instances = @{}
   $OSVersion = gwmi win32_operatingsystem
   [int]$BN = $OSVersion.Buildnumber
   if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"}
   else {$ADFSLogName = "AD FS/Admin"}
   $Users = @()
   $IPAddresses = @()
   $Times = @()
   $AllInstances = @()
   Write-Host "Searching event log for bad credential events..."
   if ($BN -ge 9200) {Get-Winevent -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} | % {
   $Instance = New-Object PSObject
   $UPN = $_.Properties[2].Value
   $UPN = $UPN.Split("-")[0]
   $IPAddress = $_.Properties[4].Value
   $Users += $UPN
   $IPAddresses += $IPAddress
   $Times += $_.TimeCreated
   add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN
   add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress
   add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString()
   $AllInstances += $Instance
   $Instance = $null
   }
   }
   $AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation
   Write-Host "Data collection finished. The output file can be found at >$outputfile`."
   $AllInstances = $null
   

ADFS 2016/2019

Juntamente com as IDs de evento acima, agrupe o Evento de auditoria 1203 – Erro de validação de credenciais novas.

1. Agrupe todas as entradas bem-sucedidas para este tempo no ADFS (se federado). Uma entrada e saída rápidas (no mesmo segundo) podem ser um indicador de que uma senha está sendo adivinhada com sucesso e sendo tentada pelo invasor.
2. Agrupe todos os eventos bem-sucedidos ou interrompidos do Microsoft Entra para esse período de tempo para cenários federados e gerenciados.

Monitorar e agrupar IDs de eventos da ID do Microsoft Entra

Veja como encontrar o significado dos logs de erro.

As seguintes IDs de evento do Microsoft Entra ID são relevantes:

• 50057 - A conta de utilizador foi desativada
• 50055 - A palavra-passe expirou
• 50072 - Usuário solicitado a fornecer MFA
• 50074 - AMF necessária
• 50079 - O usuário precisa registrar informações de segurança
• 53003 - Usuário bloqueado por acesso condicional
• 53004 - Não é possível configurar MFA devido a atividade suspeita
• 530032 - Bloqueado pelo Acesso Condicional na Política de Segurança
• Estado de início de sessão Êxito, Falha, Interrupção

Agrupar IDs de eventos do manual do Microsoft Sentinel

Você pode obter todas as IDs de evento do Microsoft Sentinel Playbook que está disponível no GitHub.

Isolar e confirmar o ataque

Isole os eventos de entrada bem-sucedidos e interrompidos do ADFS e do Microsoft Entra. Estas são as suas contas de interesse.

Bloqueie o endereço IP ADFS 2012R2 e superior para autenticação federada. Eis um exemplo:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

Coletar logs do ADFS

Colete várias IDs de evento dentro de um período de tempo. Eis um exemplo:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

Agrupar logs do ADFS no Microsoft Entra ID

Os relatórios de entrada do Microsoft Entra incluem a atividade de entrada do ADFS quando você usa o Microsoft Entra Connect Health. Filtre os logs de entrada por tipo de emissor de token "federado".

Aqui está um exemplo de comando do PowerShell para recuperar logs de entrada para um endereço IP específico:

Get-AzureADIRSignInDetail -TenantId b446a536-cb76-4360-a8bb-6593cf4d9c7f -IpAddress 131.107.128.76

Além disso, pesquise no portal do Azure por período de tempo, endereço IP e entrada bem-sucedida e interrompida, conforme mostrado nestas imagens.

Em seguida, você pode baixar esses dados como um arquivo .csv para análise. Para obter mais informações, consulte Relatórios de atividade de entrada no centro de administração do Microsoft Entra.

Priorizar resultados

É importante ser capaz de reagir à ameaça mais crítica. Essa ameaça pode indicar que o invasor obteve acesso a uma conta com sucesso e, portanto, pode acessar/exfiltrar dados; O invasor tem a senha, mas pode não conseguir acessar a conta. Por exemplo, eles têm a senha, mas não estão passando no desafio MFA. Além disso, o invasor não poderia estar adivinhando senhas corretamente, mas continuando a tentar. Durante a análise, priorize estes resultados:

• Entradas bem-sucedidas por endereço IP de invasor conhecido
• Início de sessão interrompido por um endereço IP conhecido de um intruso
• Entradas malsucedidas por endereço IP de invasor conhecido
• Outros logins bem-sucedidos de endereços IP desconhecidos

Verificar autenticação herdada

A maioria dos ataques usa autenticação herdada. Há muitas maneiras de determinar o protocolo do ataque.

1. No Microsoft Entra ID, navegue até Entradas e filtre no Aplicativo Cliente.

2. Selecione todos os protocolos de autenticação herdados listados.

   

3. Ou, se você tiver um espaço de trabalho do Azure, poderá usar a pasta de trabalho de autenticação herdada pré-criada localizada no centro de administração do Microsoft Entra em Monitoramento e Pastas de Trabalho.

   

Bloquear endereço IP Microsoft Entra ID para cenário gerenciado (PHS incluindo preparação)

1. Navegue até Novos locais nomeados.

   

2. Crie uma política de autoridade de certificação para direcionar todos os aplicativos e bloquear apenas para esse local nomeado.

O usuário já usou este sistema operacional, IP, ISP, dispositivo ou navegador antes?

Se não o tiverem e esta atividade for incomum, sinalize o utilizador e investigue todas as suas atividades.

O IP está marcado como "arriscado"?

Certifique-se de registrar senhas bem-sucedidas, mas respostas de MFA com falha, pois essa atividade indica que o invasor está recebendo a senha, mas não passando a MFA.

Separe qualquer conta que pareça ser um login normal, por exemplo, MFA passado, localização e IP não fora do comum.

Relatórios de AMF

É importante também verificar os logs de MFA para determinar se um invasor adivinhou uma senha, mas está falhando no prompt de MFA. Os logs de autenticação multifator do Microsoft Entra mostram detalhes de autenticação para eventos quando um usuário é solicitado para autenticação multifator. Verifique e certifique-se de que não existem grandes registos MFA suspeitos no Microsoft Entra ID. Para obter mais informações, consulte como usar o relatório de entradas para revisar eventos de autenticação multifator do Microsoft Entra.

Verificações adicionais

No Defender for Cloud Apps, investigue as atividades e o acesso a arquivos da conta comprometida. Para obter mais informações, consulte:

• Investigue o compromisso com o Defender for Cloud Apps
• Investigue anomalias com o Defender for Cloud Apps

Verifique se o usuário tem acesso a mais recursos, como máquinas virtuais (VMs), permissões de conta de domínio, armazenamento, entre outros. Se houver uma violação de dados, você deve informar mais agências, como a polícia.

Medidas corretivas imediatas

1. Altere a palavra-passe de qualquer conta que suspeite ter sido violada ou a palavra-passe da conta descoberta. Além disso, bloqueie o usuário. Certifique-se de seguir as diretrizes para revogar o acesso de emergência.
2. Marque qualquer conta comprometida como "comprometida" no Microsoft Entra ID Identity Protection.
3. Bloqueie o endereço IP do atacante. Seja cauteloso ao executar essa ação, pois os invasores podem usar VPNs legítimas e podem criar mais risco ao alterar endereços IP também. Se estiver a utilizar a Autenticação na Nuvem, bloqueie o endereço IP no Defender for Cloud Apps ou no Microsoft Entra ID. Se federado, você precisa bloquear o endereço IP no nível de firewall na frente do serviço ADFS.
4. Bloqueie a autenticação herdada se ela estiver sendo usada (essa ação, no entanto, pode afetar os negócios).
5. Habilite o MFA se ainda não tiver sido feito.
6. Habilite a Proteção de Identidade para o risco do usuário e o risco de entrada
7. Verifique os dados comprometidos (e-mails, SharePoint, OneDrive, aplicativos). Veja como usar o filtro de atividade no Defender for Cloud Apps.
8. Mantenha a higiene da senha. Para obter mais informações, consulte Proteção por senha do Microsoft Entra.
9. Você também pode consultar a Ajuda do ADFS.

Recuperação

Proteção por palavra-passe

Implemente a proteção por senha no Microsoft Entra ID e no local habilitando as listas de senhas proibidas personalizadas. Essa configuração impede que os usuários definam senhas fracas ou senhas associadas à sua organização:

Para obter mais informações, consulte como se defender contra ataques de pulverização de senha.

Marcação de endereço IP

Marque os endereços IP no Defender for Cloud Apps para receber alertas relacionados ao uso futuro:

Marcação de endereços IP

No Defender for Cloud Apps, "marque" o endereço IP para o escopo IP e configure um alerta para esse intervalo de IP para referência futura e resposta acelerada.

Definir alertas para um endereço IP específico

Configurar alertas

Dependendo das necessidades da sua organização, você pode configurar alertas.

Configure alertas em sua ferramenta SIEM e veja como melhorar as lacunas de registro. Integre o registo do ADFS, Microsoft Entra ID, Office 365 e Defender for Cloud Apps.

Configure o limite e os alertas no ADFS Health Connect e no portal IP de risco.

Veja como configurar alertas no portal de Proteção de Identidade.

Configurar políticas de risco de início de sessão com Acesso Condicional ou Proteção de Identidade

• Configurar o risco de início de sessão
• Configurar o Risco do Usuário
• Configurar alertas de política no Defender for Cloud Apps

Defesas recomendadas

• Educar usuários finais, principais partes interessadas, operações de linha de frente, equipes técnicas, equipes de segurança cibernética e equipes de comunicação
• Revise o controle de segurança e faça as alterações necessárias para melhorar ou fortalecer o controle de segurança em sua organização
• Sugerir avaliação de configuração do Microsoft Entra
• Execute exercícios regulares de simulador de ataque

Referências

Pré-requisitos

• Alertas do Microsoft Sentinel
• Integração do SIEM com o Defender for Cloud Apps
• Integração SIEM com Graph API
• Manual de alerta do Splunk
• Instalando o ADFS Health Connect
• Noções básicas sobre os logs de entrada do Microsoft Entra
• Noções básicas sobre relatórios de MFA

Mitigações

• Atenuações para pulverização de senha
• Ativar proteção por palavra-passe
• Bloquear a autenticação legada
• Bloquear endereço IP no ADFS
• Controles de acesso (incluindo bloqueio de endereços IP) ADFS v3
• Proteção por senha do ADFS
• Ativar bloqueio de extranet do ADFS
• MFA como autenticação primária
• Enable Identity Protection (Ativar o Identity Protection)
• Referência da atividade de auditoria do Microsoft Entra
• Esquema de logs de auditoria do Microsoft Entra
• Esquema de logs de entrada do Microsoft Entra
• Microsoft Entra log de auditoria Graph API
• Alertas IP de risco
• Ajuda do ADFS

Recuperação

• Integrações de ferramentas SIEM
• Criar alertas do Defender for Cloud Apps
• Criar alertas de IP de risco e ADFS Health Connect
• Alertas de Proteção de Identidade
• Simulador de ataque

Manuais extras de resposta a incidentes

Examine as orientações para identificar e investigar esses tipos extras de ataques:

• Phishing
• Consentimento da aplicação

Recursos de resposta a incidentes

• Visão geral dos produtos e recursos de segurança da Microsoft para analistas recém-chegados às funções e experientes
• Planejando seu Centro de Operações de Segurança (SOC)
• Resposta a incidentes do Microsoft Defender XDR
• Microsoft Defender para Cloud (Azure)
• Resposta a incidentes do Microsoft Sentinel
• O guia da equipe de Resposta a Incidentes da Microsoft compartilha práticas recomendadas para equipes e líderes de segurança
• Os guias de Resposta a Incidentes da Microsoft ajudam as equipas de segurança a analisar atividades suspeitas