Compartilhar via

Práticas recomendadas de segurança para o cliente

  • Artigo

Funções apropriadas: Agente Administrador | Agente de Helpdesk

Todos os clientes de parceiros CSP (Provedor de Soluções na Nuvem) devem seguir as diretrizes de segurança neste artigo.

Para obter as práticas recomendadas de segurança para CSPs, consulte Práticas recomendadas de segurança do CSP.

  • Certifique-se de que a autenticação multifator (MFA) esteja habilitada e registrada em todas as contas. Use os padrões de segurança da ID do Microsoft Entra ou o Acesso Condicional para impor a MFA. MFA é o melhor método de higiene de segurança de linha de base para proteção contra ameaças.

    • Considere usar a entrada sem senha com o aplicativo Microsoft Authenticator.

  • Revise com frequência assinaturas e recursos ou serviços que podem ter sido provisionados inesperadamente.

    • Examine o log de atividades do Azure Monitor para atividades relacionadas à assinatura do Azure.

  • Utilize alertas de anomalias de custo para detectar alto consumo inesperado em sua assinatura do Azure.

  • Os usuários que têm funções administrativas do Microsoft Entra não devem usar regularmente essas contas para email e colaboração. Crie uma conta de usuário separada sem funções administrativas do Microsoft Entra para tarefas de colaboração.

  • Revise e verifique regularmente os endereços de email e números de telefone de recuperação de senha na ID do Microsoft Entra para todos os usuários com as funções de administrador privilegiadas do Entra e atualize imediatamente.

  • Examine, audite e minimize privilégios de acesso e permissões delegadas. É importante considerar e implementar uma abordagem de privilégios mínimos. A Microsoft recomenda priorizar uma revisão completa e uma auditoria das relações de parceiros para minimizar quaisquer permissões desnecessárias entre sua organização e provedores upstream. A Microsoft recomenda a remoção imediata do acesso para quaisquer relações de parceiros que pareçam desconhecidas ou que ainda não tenham sido auditadas.

  • Revise, proteja e monitore todas as contas de administrador de locatários: todas as organizações devem examinar minuciosamente todos os usuários administradores de locatários, incluindo usuários associados ao AOBO (Administrar em Nome de) em assinaturas do Azure e verificar a autenticidade dos usuários e da atividade. Recomendamos fortemente o uso de MFA resistente a phishing para todos os administradores de locatários, a revisão de dispositivos registrados para uso com MFA e a minimização do uso de acesso permanente de alto privilégio. Continue a inspecionar novamente todas as contas de usuários administradores de locatários ativos e verifique os logs de auditoria regularmente para verificar se o acesso de usuário de alto privilégio não é concedido ou delegado a usuários administradores que não exigem esses privilégios para fazer seus trabalhos.

  • Reveja as permissões de acesso do provedor de serviços de B2B e contas locais: além de usar recursos de privilégio administrativo delegado, alguns provedores de serviços de nuvem usam contas B2B (entre empresas) ou contas de administrador local em locatários do cliente. Recomendamos que você identifique se seus provedores de serviços de nuvem usam essas contas e, em caso afirmativo, verifique se essas contas são bem controladas e têm acesso com privilégios mínimos em seu locatário. A Microsoft não recomenda o uso de contas de administrador "compartilhadas". Reveja as diretrizes detalhadas sobre como examinar permissões para contas B2B.

  • Examinar e auditar entradas e alterações de configuração do Microsoft Entra: autenticações dessa natureza são auditadas e estão disponíveis para os clientes por meio dos logs de entrada do Microsoft Entra, logs de auditoria do Microsoft Entra e do portal de conformidade do Microsoft Purview (anteriormente no Centro de Administração do Exchange). Recentemente, adicionamos a capacidade de ver as entradas de parceiros que delegaram permissões de administrador. Você pode ver uma exibição filtrada dessas entradas acessando os logs de entrada no centro de administração do Microsoft Entra e adicionando o filtro Tipo de acesso entre locatários: Provedor de serviços na guia Entradas do usuário (não interativas).

    Captura de tela do centro de administração do Microsoft Entra, adicionando um filtro Tipo de acesso entre locatários:Provedor de serviços nas entradas do usuário.

  • Examine as estratégias existentes de disponibilidade e retenção de logs: a investigação de atividades conduzidas por agentes mal-intencionados coloca uma grande ênfase em ter procedimentos adequados de retenção de logs para recursos baseados em nuvem, incluindo o Microsoft 365. Níveis diversos de assinatura têm políticas de disponibilidade e retenção de log individualizadas, o que é importante entender antes de formar um procedimento de resposta a incidentes.

Incentivamos todas as organizações a se familiarizarem com os logs disponibilizados em sua assinatura e a avaliá-los rotineiramente quanto à adequação e anomalias. Para organizações que dependem de uma organização terceirizada, trabalhe com eles para entender sua estratégia de registro para todas as ações administrativas e estabelecer um processo caso os registros precisem ser disponibilizados durante um incidente.

Confira também