Operações de segurança para dispositivos do Microsoft Entra
Os dispositivos não costumam ser o destino de ataques baseados em identidade, mas podem ser usados para satisfazer e enganar controles de segurança ou para representar usuários. Os dispositivos podem ter uma das quatro relações com o Microsoft Entra ID:
Não Registrado
É emitido um Token de Atualização Primária (PRT) para dispositivos registrados e ingressados. Esse token pode ser usado como um artefato de autenticação primário e, em alguns casos, como um artefato de autenticação multifator. Os invasores podem tentar registrar seus próprios dispositivos, usar PRTs em dispositivos legítimos para acessar dados empresariais, roubar tokens baseados em PRT de dispositivos de usuários legítimos ou encontrar configurações incorretas em controles baseados em dispositivo no Microsoft Entra ID. Com dispositivos ingressados de forma híbrida no Microsoft Entra, o processo de associação é iniciado e controlado pelos administradores, reduzindo os métodos de ataque disponíveis.
Para mais informações sobre os métodos de integração de dispositivos, consulte Escolher métodos de integração no artigo Planejar a implantação do dispositivo no Microsoft Entra.
Para reduzir o risco de ataque de atores mal-intencionados à sua infraestrutura por meio de dispositivos, monitore
Registro de dispositivo e ingresso no Microsoft Entra
Acesso de aplicativos por dispositivos sem conformidade
Recuperação de chave do BitLocker
Funções de administrador do dispositivo
Conexões a máquinas virtuais
Onde procurar
Os arquivos de log que você usa para investigação e monitoramento são:
No portal do Azure, é possível exibir os logs de auditoria do Microsoft Entra e baixá-los como arquivos CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation). O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas que permitem uma maior automação de monitoramento e de alerta:
Microsoft Sentinel – Permite a análise de segurança inteligente no nível empresarial fornecendo recursos de SIEM (gerenciamento de eventos e informações de segurança).
Regras Sigma – Sigma é um padrão aberto em evolução para gravar regras e modelos que as ferramentas de gerenciamento automatizadas poderão usar para analisar arquivos de log. Onde há modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link para o repositório Sigma. Os modelos Sigma não são gravados, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.
Azure Monitor : permite o monitoramento e o alerta automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de fontes diferentes.
Hubs de Eventos do Azure - Integrado com um SIEM- Os logs da ID do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic pela integração do Hubs de Eventos do Azure.
Microsoft Defender para Aplicativos em Nuvem – Permite que você descubra e gerencie aplicativos, administre em aplicativos e recursos e verifique a conformidade dos seus aplicativos em nuvem.
Proteger identidades de carga de trabalho com o Identity Protection Preview − Usado para detectar riscos em identidades de carga de trabalho no comportamento de entrada e indicadores offline de comprometimento.
Grande parte do que você monitora e alerta é um efeito de suas políticas de acesso condicional. Você pode usar a pasta de trabalho de insights e relatórios de Acesso Condicional para examinar os efeitos de uma ou mais políticas de Acesso Condicional em suas conexões, bem como os resultados das políticas, incluindo o estado do dispositivo. Esta pasta de trabalho permite que você exiba um resumo e identifique os efeitos em um período específico. Você também pode usar a pasta de trabalho para investigar as entradas de um usuário específico.
O restante deste artigo descreve o que é recomendável monitorar e alertar. Ele está organizado pelo tipo de ameaça. Quando houver soluções predefinidas específicas, apontaremos para elas ou forneceremos exemplos na sequência da tabela. Caso contrário, você pode criar alertas usando as ferramentas anteriores.
Registros de dispositivo e conexões fora da política
Os dispositivos registrados e ingressados no Microsoft Entra possuem tokens de atualização primários (PRTs), que são equivalentes a um único fator de autenticação. Esses dispositivos podem, às vezes, conter declarações de autenticação fortes. Para mais informações sobre quando os PRTs contêm declarações de autenticação fortes, consulte Em que situações um PRT obtém uma declaração de autenticação multifator? Para impedir que atores mal-intencionados registrem ou ingressem em dispositivos, defina a MFA (autenticação multifator) como requisito para registrar ou ingressar em dispositivos. Em seguida, monitore todos os dispositivos registrados ou ingressados sem MFA. Você também precisará observar as alterações nas configurações e nas políticas de MFA e nas políticas de conformidade dos dispositivos.
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Registro ou ingresso de dispositivo concluídos sem MFA | Médio | Logs de entrada | Atividade: autenticação bem-sucedida para o Serviço de Registro de Dispositivo. E Não é necessária a MFA |
Alertar quando: qualquer dispositivo for registrado ou ingressado sem MFA Modelo do Microsoft Sentinel Regras Sigma |
| Alterações na alternância de MFA do Registro de Dispositivo no Microsoft Entra ID | Alto | Log de auditoria | Atividade: definir políticas de registro de dispositivo | Procurar: a alternância que está sendo definida como desativada. Não há entrada de log de auditoria. Agende verificações periódicas. Regras Sigma |
| Alterações nas políticas de acesso condicional que exijam dispositivo ingressado no domínio ou em conformidade. | Alto | Log de auditoria | Alterações nas políticas de Acesso Condicional |
Alerta quando: alterar para qualquer política que exija domínio ingressado ou em conformidade, ocorrerem alterações em locais confiáveis ou contas/dispositivos forem adicionados a exceções da política de MFA. |
Você pode criar um alerta que notifica os administradores apropriados quando um dispositivo é registrado ou ingressa sem MFA usando o Microsoft Sentinel.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
Você também pode usar o Microsoft Intune para definir e monitorar políticas de conformidade do dispositivo.
Entrada de dispositivos sem conformidade
Talvez não seja possível bloquear o acesso a todos os aplicativos de nuvem e de software como serviço com políticas de Acesso Condicional que exijam dispositivos compatíveis.
O Gerenciamento de dispositivo móvel (MDM) ajuda a manter os dispositivos Windows 10 em conformidade. Na versão do Windows 1809, lançamos uma linha de base de segurança de políticas. O Microsoft Entra ID pode se integrar ao MDM para impor a conformidade do dispositivo com políticas corporativas, e pode também relatar o status de conformidade de um dispositivo.
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Conexões de dispositivos sem conformidade | Alto | Logs de entrada | DeviceDetail.isCompliant == false | Se exigir a entrada de dispositivos em conformidade, alertar quando: ocorrer qualquer entrada por dispositivos sem conformidade ou qualquer acesso sem MFA ou em um local confiável. Se estiver trabalhando com exigência de dispositivos, monitore as conexões suspeitas. |
| Conexões de dispositivos desconhecidos | Baixo | Logs de entrada | DeviceDetail está vazio, autenticação de fator único ou de um local não confiável | Procurar: qualquer acesso de dispositivos fora de conformidade, qualquer acesso sem MFA ou local confiável Modelo do Microsoft Sentinel Regras Sigma |
Usar o LogAnalytics para consultar
Conexões de dispositivos sem conformidade
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Conexões de dispositivos desconhecidos
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Dispositivos obsoletos
Os dispositivos obsoletos incluem dispositivos que não se conectaram durante um período de tempo especificado. Os dispositivos podem ficar obsoletos quando um usuário obtém um novo dispositivo ou perde um dispositivo, ou quando um dispositivo associado ao Microsoft Entra é apagado ou provisionado novamente. Os dispositivos também podem permanecer registrados ou conectados quando o usuário não estiver mais associado ao locatário. Os dispositivos obsoletos devem ser removidos para que os PRTs (tokens de atualização primária) não possam mais ser usados.
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Data da última conexão | Baixo | API do Graph | approximateLastSignInDateTime | Use a API do Graph ou o PowerShell para identificar e remover dispositivos obsoletos. |
Recuperação de chave do BitLocker
Ao comprometerem o dispositivo de um usuário, os invasores podem vir a solicitar a recuperação de chaves do BitLocker no Microsoft Entra ID. Não é comum os usuários recuperarem chaves. Por isso, essas solicitações devem ser monitoradas e investigadas.
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Recuperação de chave | Médio | Logs de auditoria | OperationName == "Read BitLocker key" | Procurar: recuperação de chave, outro comportamento anômalo por parte dos usuários que recuperam chaves. Modelo do Microsoft Sentinel Regras Sigma |
No LogAnalytics, crie uma consulta do tipo
AuditLogs
| where OperationName == "Read BitLocker key"
Funções de administrador do dispositivo
As funções Administrador Local do Dispositivo Conectado ao Microsoft Entra e Administrador Global automaticamente recebem direitos de administrador local em todos os dispositivos conectados ao Microsoft Entra. É importante monitorar quem tem esses direitos para manter seu ambiente seguro.
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Usuários adicionados a funções de administrador global ou de dispositivo | Alto | Logs de auditoria | Tipo de atividade = Adicionar membro a função. | Procure por: novos usuários adicionados a essas funções do Microsoft Entra, comportamento anômalo subsequente por parte de computadores ou usuários. Modelo do Microsoft Sentinel Regras Sigma |
Conexões não Azure AD para máquinas virtuais
As entradas em máquinas virtuais (VMs) Windows ou LINUX devem ser monitoradas para entradas por contas que não sejam contas do Microsoft Entra.
Entrada do Microsoft Entra para LINUX
A entrada do Microsoft Entra para LINUX permite que as organizações entrem em suas VMs do Azure LINUX usando contas do Microsoft Entra por meio do protocolo de shell seguro (SSH).
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Entrada de conta não Azure AD, especialmente por SSH | Alto | Logs de autenticação local | Ubuntu: monitorar /var/log/auth.log para uso de SSH RedHat: monitorar /var/log/sssd/ para uso de SSH |
Procurar: entradas em que contas que não são do Azure AD estão se conectando com êxito às VMs. Veja o exemplo a seguir. |
Exemplo do Ubuntu:
May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Version: 1.0.015570001; user: localusertest01
09 de maio 23:49:39 ubuntu1804 aad_certhandler [3915]: o usuário "localusertest01"não é um usuário do Microsoft Entra; retornando resultado vazio.
May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: Version: 1.0.015570001; user: localusertest01
09 de maio 23:49:43 ubuntu1804 aad_certhandler [3916]: o usuário "localusertest01" não é um usuário do Microsoft Entra; retornando resultado vazio.
May 9 23:49:43 ubuntu1804 sshd[3909]: Accepted publicly for localusertest01 from 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
May 9 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): session opened for user localusertest01 by (uid=0).
Você pode definir a política para entradas de VMs do Linux e detectar e sinalizar VMs do Linux que tenham adicionadas contas locais não aprovadas. Para saber mais, consulte o uso do Azure Policy para garantir padrões e avaliar a conformidade.
Entradas do Microsoft Entra para Windows Server
A entrada do Microsoft Entra para Windows permite que sua organização entre em suas VMs do Azure Windows 2019+ usando contas do Microsoft Entra por meio do protocolo de área de trabalho remota (RDP).
| O que monitorar | Nível de risco | Where | Filtro/subfiltro | Observações |
|---|---|---|---|---|
| Entrada de conta não pertencente ao Azure AD, especialmente por RDP | Alto | Log de eventos do Windows Server | Logon interativo para VM do Windows | Evento 528, tipo de logon 10 (RemoteInteractive). Mostra quando um usuário entra nos Serviços de Terminal ou na Área de Trabalho Remota. |
Próximas etapas
Visão geral de operações de segurança do Microsoft Entra
Operações de segurança para contas de usuário
Operações de segurança para contas do consumidor
Operações de segurança para contas com privilégios
Operações de segurança para o Privileged Identity Management