Compartilhar via


Operações de segurança do Microsoft Entra para contas de consumidor

As atividades de identidade do consumidor são uma importante área para sua organização proteger e monitorar. Este artigo é destinado aos locatários do Azure Active Directory B2C (Azure AD B2C) e tem diretrizes para o monitoramento das atividades da conta do consumidor. As atividades são:

  • Conta de consumidor
  • Conta privilegiada
  • Aplicativo
  • Infraestrutura

Antes de começar

Antes de usar as diretrizes deste artigo, é recomendável que você leia o Guia de operações de segurança do Microsoft Entra.

Definir uma linha de base

Para descobrir um comportamento anômalo, defina o comportamento normal e esperado. Definir o comportamento esperado para sua organização ajuda você a descobrir comportamentos inesperados. Use a definição para ajudar a reduzir falsos positivos durante o monitoramento e a emissão de alertas.

Com o comportamento esperado definido, execute o monitoramento de linha de base para validar as expectativas. Em seguida, monitore os registros para o que está fora da tolerância.

Para contas criadas por meio de outros processos, use os logs de auditoria e os logs de entrada do Microsoft Entra, e os atributos de diretório como fontes de dados. As sugestões a seguir podem ajudar você a definir o normal.

Criação da conta de consumidor

Avalie a lista a seguir:

  • Estratégia e princípios para ferramentas e processos para criar e gerenciar contas de consumidor
    • Por exemplo, atributos e formatos padrão aplicados aos atributos da conta do consumidor
  • Fontes aprovadas para a criação da conta.
    • Por exemplo, integração de políticas personalizadas, provisionamento de clientes ou ferramenta de migração
  • Estratégia de alerta para contas criadas fora de fontes aprovadas.
    • Crie uma lista controlada de organizações com as quais sua organização colabora
  • Parâmetros de estratégia e alerta para contas criadas, modificadas ou desabilitadas por um administrador de conta de consumidor não aprovado
  • Estratégia de monitoramento e alerta para contas de consumidores que não possuem os atributos padrão, tais como número de cliente, ou que não seguem as convenções de nomenclatura da organização
  • Estratégia, princípios e processo para exclusão e retenção de contas

Onde procurar

Use arquivos de log para investigar e monitorar. Veja os seguintes artigos para saber mais:

Logs de auditoria e ferramentas de automação

No portal do Azure, você pode exibir os logs de auditoria do Microsoft Entra e baixá-los como arquivos CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation). Use o portal do Azure para integrar os logs do Microsoft Entra com outras ferramentas para automatizar o monitoramento e a emissão de alertas:

Use o restante do artigo para recomendações sobre o que monitorar e alertar. Consulte as tabelas, organizadas por tipo de ameaça. Consulte links para soluções ou amostras pré-construídas seguindo a tabela. Crie alertas usando as ferramentas previamente mencionadas.

Contas de consumidor

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Grande número de criações ou exclusões de contas Alto Logs de auditoria do Microsoft Entra Atividade: adicionar usuário
Status = êxito
Iniciado por (ator) = Serviço CPIM
-e-
Atividade: excluir usuário
Status = êxito
Iniciado por (ator) = Serviço CPIM
Defina um limite de linha de base e, em seguida, monitore e ajuste para ajustar seus comportamentos organizacionais. Limitar falsos alertas.
Contas criadas e excluídas por usuários ou processos não aprovados Médio Logs de auditoria do Microsoft Entra Iniciado por (ator) – NOME UPN
-e-
Atividade: adicionar usuário
Status = êxito
Iniciado por (ator) != Serviço CPIM
and-or
Atividade: excluir usuário
Status = êxito
Iniciado por (ator) != Serviço CPIM
Se os atores forem usuários não aprovados, configure para enviar um alerta.
Contas atribuídas a uma função com privilégios Alto Logs de auditoria do Microsoft Entra Atividade: adicionar usuário
Status = êxito
Iniciado por (ator) == Serviço CPIM
-e-
Atividade = adicionar membro a função
Status = êxito
Se a conta for atribuída a uma função do Microsoft Entra, função do Azure ou associação de grupo com privilégios, alerte e priorize a investigação.
Tentativas de entrada malsucedidas Médio: se incidente isolado
Alto: se muitas contas estiverem com o mesmo padrão
Log de entrada do Microsoft Entra Status = falha
-e-
Código de erro de logon 50126: erro ao validar credenciais devido a nome de usuário ou senha inválidos.
-e-
Application == "CPIM PowerShell Client"
-ou-
Application == "ProxyIdentityExperienceFramework"
Defina um limite de linha de base e, em seguida, monitore e ajuste para se ajustar aos seus comportamentos organizacionais e limitar a geração de alertas falsos.
Eventos de bloqueio inteligentes Médio: se incidente isolado
Alto: se muitas contas estiverem com o mesmo padrão ou um VIP
Log de entrada do Microsoft Entra Status = falha
-e-
Código de erro de entrada = 50053 – IdsLocked
-e-
Application == "CPIM PowerShell Client"
-ou-
Application =="ProxyIdentityExperienceFramework"
Defina um limite de linha de base e, em seguida, monitore e ajuste para se adequar aos seus comportamentos organizacionais e limitar falsos alertas.
Autenticações com falha de países ou regiões dos quais você não opera Médio Log de entrada do Microsoft Entra Status = falha
-e-
Local = < local não aprovado>
-e-
Application == "CPIM PowerShell Client"
-ou-
Application == "ProxyIdentityExperienceFramework"
Monitore entradas diferentes dos nomes de cidades fornecidas.
Aumento de autenticações com falhas de qualquer tipo Médio Log de entrada do Microsoft Entra Status = falha
-e-
Application == "CPIM PowerShell Client"
-ou-
Application == "ProxyIdentityExperienceFramework"
Se você não tiver um limite, monitore e alerte se as falhas aumentarem em 10% ou mais.
Conta desabilitada/bloqueada para entradas Baixo Log de entrada do Microsoft Entra Status = falha
-e-
código de erro = 50057, a conta de usuário está desabilitada.
Este cenário poderia indicar alguém tentando ter acesso a uma conta depois de ter se desligado de uma organização. A conta está bloqueada, mas é importante registrar e alertar essa atividade.
Aumento mensurável de inscrições bem-sucedidas Baixo Log de entrada do Microsoft Entra Status = êxito
-e-
Application == "CPIM PowerShell Client"
-ou-
Application == "ProxyIdentityExperienceFramework"
Se você não tiver um limite, monitore e alerte se as autenticações bem-sucedidas aumentarem em 10% ou mais.

Contas com privilégios

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Falha na entrada, limite de senha incorreto Alto Log de entrada do Microsoft Entra Status = falha
-e-
código de erro = 50126
Defina um limite de linha de base e monitore e ajuste para se adequar aos seus comportamentos organizacionais. Limitar falsos alertas.
Falha devido ao requisito de acesso condicional Alto Log de entrada do Microsoft Entra Status = falha
-e-
código de erro = 53003
-e-
Motivo da falha = bloqueado pelo acesso condicional
O evento pode indicar que um invasor está tentando entrar na conta.
Interrupção Alto, médio Log de entrada do Microsoft Entra Status = falha
-e-
código de erro = 53003
-e-
Motivo da falha = bloqueado pelo acesso condicional
O evento pode indicar que um invasor tem a senha da conta, mas não pode passar no desafio da MFA.
Bloqueio de conta Alto Log de entrada do Microsoft Entra Status = falha
-e-
código de erro = 50053
Defina um limite de linha de base e, em seguida, monitore e ajuste para se adequar aos seus comportamentos organizacionais. Limitar falsos alertas.
Conta desabilitada ou bloqueada para entradas low Log de entrada do Microsoft Entra Status = falha
-e-
Destino = UPN do usuário
-e-
código de erro = 50057
O evento poderia indicar alguém tentando acessar uma conta depois de ter se desligado da organização. Embora a conta esteja bloqueada, registre e alerte essa atividade.
Alerta ou bloqueio de fraudes da MFA Alto Log de entradas do Microsoft Entra/Log Analytics do Azure Entradas>Detalhes de autenticação
Detalhes do resultado = MFA negado, código de fraude inserido
O usuário com privilégios indica que não instigou a solicitação da MFA, o que pode indicar que um invasor tem a senha da conta.
Alerta ou bloqueio de fraudes da MFA Alto Log de entradas do Microsoft Entra/Log Analytics do Azure Tipo de atividade = Fraude relatada - O usuário está bloqueado por MFA ou fraude relatada - Nenhuma ação executada, com base nas configurações do nível do locatário do relatório de fraude O usuário privilegiado não indicou investigações do prompt de MFA. O cenário pode indicar que um invasor tem a senha da conta.
Entradas da conta com privilégios fora dos controles esperados Alto Log de entrada do Microsoft Entra Status = falha
UserPricipalName = < conta do administrador>
Local = < local não aprovado>
Endereço IP = < IP não aprovado>
Device Info= <navegador, sistema operacional não aprovados>
Monitore e alerte as entradas que você definiu como não aprovadas.
Fora do horário de entrada normal Alto Log de entrada do Microsoft Entra Status = êxito
-e-
Local =
-e-
Horário = fora do horário de trabalho
Monitore e alerte se as inscrições ocorrerem fora dos horários esperados. Encontre o padrão de trabalho normal de cada conta com privilégios e alerte se houver alterações não planejadas fora do horário normal de trabalho. Entradas fora do horário de trabalho normal podem indicar comprometimento ou possível ameaça interna.
Alteração de senha Alto Logs de auditoria do Microsoft Entra Ator da atividade = administrador/autoatendimento
-e-
Destino = usuário
-e-
Status = êxito ou falha
Alerta quando a senha de qualquer conta de administrador for alterada. Escreva uma consulta para contas com privilégios.
Alterações nos métodos de autenticação Alto Logs de auditoria do Microsoft Entra Atividade: criar provedor de identidade
Categoria: ResourceManagement
Destino: nome UPN
A alteração pode indicar que um invasor adicionou um método de autenticação à conta para ter acesso contínuo.
Provedor de Identidade atualizado por atores não aprovados Alto Logs de auditoria do Microsoft Entra Atividade: atualizar o provedor de identidade
Categoria: ResourceManagement
Destino: nome UPN
A alteração pode indicar que um invasor adicionou um método de autenticação à conta para ter acesso contínuo.
Provedor de Identidade excluído por atores não aprovados Alto Revisões de acesso do Microsoft Entra Atividade: excluir provedor de identidade
Categoria: ResourceManagement
Destino: nome UPN
A alteração pode indicar que um invasor adicionou um método de autenticação à conta para ter acesso contínuo.

Aplicativos

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Credenciais adicionadas aos aplicativos Alto Logs de auditoria do Microsoft Entra Diretório Service-Core, Category-ApplicationManagement
Atividade: atualização de certificados de aplicativo e gerenciamento de segredos
-e-
Atividade: atualização da entidade de serviço/atualização do aplicativo
Alerte quando as credenciais são: adicionadas fora do horário comercial normal ou dos fluxos de trabalho, tipos não utilizados no seu ambiente ou adicionados a uma entidade de serviço de suporte a fluxo não SAML.
Aplicativo atribuído a uma função RBAC (controle de acesso baseado em função) do Azure ou a uma função de Microsoft Entra Alto a médio Logs de auditoria do Microsoft Entra Tipo: entidade de serviço
Atividade = "adicionar membro à função"
ou
"Adicionar membro qualificado à função"
-ou-
"Adicionar membro no escopo à função."
N/D
O aplicativo concedeu permissões altamente privilegiadas, como permissões com “.All” (Directory.ReadWrite.All) ou permissões abrangentes (Mail.) Alto Logs de auditoria do Microsoft Entra N/D Os aplicativos concederam permissões amplas, como “.All” (Directory.ReadWrite.All) ou permissões abrangentes (Mail.)
Administrador concedendo permissões de aplicativo (funções do aplicativo) ou permissões delegadas altamente privilegiadas Alto Portal do Microsoft 365 "Adicionar atribuição de função de aplicativo à entidade de serviço"
-em que-
Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph) "Adicionar concessão de permissão delegada"
-em que-
Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph)
-e-
DelegatedPermissionGrant.Scope inclui permissões de alto privilégio.
Alerta quando um administrador global, de aplicativos ou de aplicativos em nuvem dá seu consentimento a um aplicativo. Procure especialmente por consentimentos fora da atividade normal e de procedimentos de alteração.
O aplicativo recebe permissões para o Microsoft Graph, o Exchange, o SharePoint ou o Microsoft Entra ID. Alto Logs de auditoria do Microsoft Entra "Adicionar concessão de permissão delegada"
-ou-
"Adicionar atribuição de função de aplicativo à entidade de serviço"
-em que-
Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph, o Exchange Online etc.)
Usar o alerta na linha anterior.
Permissões delegadas altamente privilegiadas concedidas em nome de todos os usuários Alto Logs de auditoria do Microsoft Entra "Adicionar concessão de permissão delegada"
onde
Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph)
DelegatedPermissionGrant.Scope inclui permissões de privilégio elevado.
-e-
DelegatedPermissionGrant.ConsentType é "AllPrincipals".
Usar o alerta na linha anterior.
Aplicativos que estão usando o fluxo de autenticação ROPC Médio Log de entrada do Microsoft Entra Status=Success
Autenticação Protocol-ROPC
Um alto nível de confiança é colocado nesta aplicação porque as credenciais podem ser armazenadas em cache ou armazenadas. Se possível, mova para um fluxo de autenticação mais seguro. Use o processo apenas em testes automatizados de aplicativos, se ainda não o fez.
URI pendente Alto Logs e registros de aplicativo do Microsoft Entra Diretório de Núcleo para Serviço
Category-ApplicationManagement
Atividade: atualizar aplicativo
Sucesso – nome da propriedade AppAddress
Por exemplo, procure por URIs pendentes apontando para um nome de domínio que tenha desaparecido, ou um que não seja seu.
Alterações na configuração do URI de redirecionamento Alto Logs do Microsoft Entra Diretório de Núcleo para Serviço
Category-ApplicationManagement
Atividade: atualizar aplicativo
Sucesso – nome da propriedade AppAddress
Pesquise URIs que não usam HTTPS*, URIs com caracteres curingas no final ou o domínio da URL, URIs que não são exclusivos do aplicativo, URIs que apontam para um domínio que você não controla.
Alterações no URI de AppID Alto Logs do Microsoft Entra Diretório de Núcleo para Serviço
Category-ApplicationManagement
Atividade: atualizar aplicativo
Atividade: atualizar entidade de serviço
Procure modificações no URI do AppID, como adicionar, modificar ou remover o URI.
Alterações na propriedade do aplicativo Médio Logs do Microsoft Entra Diretório de Núcleo para Serviço
Category-ApplicationManagement
Atividade: adicionar proprietário ao aplicativo
Procure por instâncias de usuários adicionados como proprietários de aplicativos fora das atividades normais de gerenciamento de alterações.
Alterações na URL de saída Baixo Logs do Microsoft Entra Diretório de Núcleo para Serviço
Category-ApplicationManagement
Atividade: atualizar aplicativo
-e-
Atividade: atualizar entidade de serviço
Procure por modificações em uma URL de saída. Entradas em branco ou entradas em locais inexistentes impedirão que um usuário encerre uma sessão.

Infraestrutura

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Nova Política de Acesso Condicional criada por atores não aprovados Alto Logs de auditoria do Microsoft Entra Atividade: adicionar política de acesso condicional
Categoria: política
Iniciado por (ator): nome UPN
Monitorar e alertar as alterações de Acesso Condicional. Iniciado por (ator): aprovado para fazer alterações no Acesso Condicional?
Política de Acesso Condicional removida por atores não aprovados Médio Logs de auditoria do Microsoft Entra Atividade: excluir política de acesso condicional
Categoria: política
Iniciado por (ator): nome UPN
Monitorar e alertar as alterações de Acesso Condicional. Iniciado por (ator): aprovado para fazer alterações no Acesso Condicional?
Política de Acesso Condicional atualizada por atores não aprovados Alto Logs de auditoria do Microsoft Entra Atividade: atualizar política de acesso condicional
Categoria: política
Iniciado por (ator): nome UPN
Monitorar e alertar as alterações de Acesso Condicional. Iniciado por (ator): aprovado para fazer alterações no Acesso Condicional?
Examine as Propriedades Modificadas e compare os valores antigos vs. novos
Política personalizada do B2C criada por atores não aprovados Alto Logs de auditoria do Microsoft Entra Atividade: criar política personalizada
Categoria: ResourceManagement
Destino: nome UPN
Monitorar e alertar as alterações na política personalizada. Iniciado por (ator): aprovado para fazer alterações nas políticas personalizadas?
Política personalizada do B2C atualizada por atores não aprovados Alto Logs de auditoria do Microsoft Entra Atividade: obter políticas personalizadas
Categoria: ResourceManagement
Destino: nome UPN
Monitorar e alertar as alterações na política personalizada. Iniciado por (ator): aprovado para fazer alterações nas políticas personalizadas?
Política personalizada do B2C excluída por atores não aprovados Médio Logs de auditoria do Microsoft Entra Atividade: excluir política personalizada
Categoria: ResourceManagement
Destino: nome UPN
Monitorar e alertar as alterações na política personalizada. Iniciado por (ator): aprovado para fazer alterações nas políticas personalizadas?
Fluxo de usuário criado por atores não aprovados Alto Logs de auditoria do Microsoft Entra Atividade: criar fluxo de usuário
Categoria: ResourceManagement
Destino: nome UPN
Monitorar e alertar sobre mudanças no fluxo do usuários. Iniciado por (ator): aprovado para fazer alterações nos fluxos de usuários?
Fluxo de usuário atualizado por atores não aprovados Alto Logs de auditoria do Microsoft Entra Atividade: atualizar o fluxo de usuário
Categoria: ResourceManagement
Destino: nome UPN
Monitorar e alertar sobre mudanças no fluxo do usuários. Iniciado por (ator): aprovado para fazer alterações nos fluxos de usuários?
Fluxo de usuário excluído por atores não aprovados Médio Logs de auditoria do Microsoft Entra Atividade: excluir fluxo de usuário
Categoria: ResourceManagement
Destino: nome UPN
Monitorar e alertar sobre mudanças no fluxo do usuários. Iniciado por (ator): aprovado para fazer alterações nos fluxos de usuários?
Conectores de API criados por atores não aprovados Médio Logs de auditoria do Microsoft Entra Atividade: criar conector de API
Categoria: ResourceManagement
Destino: nome UPN
Monitorar e alertar as alterações no conector de API. Iniciado por (ator): aprovado para fazer alterações nos conectores de API?
Conectores de API atualizados por atores não aprovados Médio Logs de auditoria do Microsoft Entra Atividade: atualizar conector de API
Categoria: ResourceManagement
Destino: nome UPN: ResourceManagement
Monitorar e alertar as alterações no conector de API. Iniciado por (ator): aprovado para fazer alterações nos conectores de API?
Conectores de API excluídos por atores não aprovados Médio Logs de auditoria do Microsoft Entra Atividade: atualizar conector de API
Categoria: ResourceManagment
Destino: nome UPN: ResourceManagment
Monitorar e alertar as alterações no conector de API. Iniciado por (ator): aprovado para fazer alterações nos conectores de API?
Provedor de identidade (IdP) criado por atores não aprovados Alto Logs de auditoria do Microsoft Entra Atividade: criar provedor de identidade
Categoria: ResourceManagement
Destino: nome UPN
Monitorar e alertar as alterações do IdP. Iniciado por (ator): aprovado para fazer alterações na configuração do IdP?
IdP atualizado por atores não aprovados Alto Logs de auditoria do Microsoft Entra Atividade: atualizar o provedor de identidade
Categoria: ResourceManagement
Destino: nome UPN
Monitorar e alertar as alterações do IdP. Iniciado por (ator): aprovado para fazer alterações na configuração do IdP?
IdP excluído por atores não aprovados Médio Logs de auditoria do Microsoft Entra Atividade: excluir provedor de identidade
Categoria: ResourceManagement
Destino: nome UPN
Monitorar e alertar as alterações do IdP. Iniciado por (ator): aprovado para fazer alterações na configuração do IdP?

Próximas etapas

Para saber mais, consulte os seguintes artigos sobre operações de segurança: