Partilhar via


Configurar alertas de segurança para funções do Azure no Privileged Identity Management

O Privileged Identity Management (PIM) gera alertas quando há atividades suspeitas ou inseguras em sua organização no Microsoft Entra ID. Quando um alerta é acionado, ele aparece na página Alertas.

Nota

Um evento no Privileged Identity Management pode gerar notificações por e-mail para vários destinatários – cessionários, aprovadores ou administradores. O número máximo de notificações enviadas por um evento é de 1000. Se o número de destinatários exceder 1000 – apenas os primeiros 1000 destinatários receberão uma notificação por e-mail. Isso não impede que outros cessionários, administradores ou aprovadores usem suas permissões no Microsoft Entra ID e no Privileged Identity Management.

Captura de ecrã da página de alertas que lista o alerta, o nível de risco e a contagem.

Consultar alertas

Selecione um alerta para ver um relatório que liste os usuários ou funções que dispararam o alerta, juntamente com as diretrizes de correção.

Captura de ecrã do relatório de alertas que mostra a hora da última análise, a descrição, os passos de atenuação, o tipo, a gravidade, o impacto na segurança e como prevenir da próxima vez.

Alertas

Alerta Gravidade Acionador Recomendação
Muitos proprietários atribuídos a um recurso Médio Muitos usuários têm a função de proprietário. Revise os usuários na lista e reatribua alguns a funções menos privilegiadas.
Demasiados proprietários permanentes atribuídos a um recurso Médio Muitos usuários são atribuídos permanentemente a uma função. Revise os usuários na lista e reatribua alguns para exigir ativação para uso de função.
Função duplicada criada Médio Várias funções têm os mesmos critérios. Use apenas uma dessas funções.
As funções estão sendo atribuídas fora do Privileged Identity Management Alto Uma função é gerenciada diretamente por meio do recurso do IAM do Azure ou da API do Azure Resource Manager. Revise os usuários na lista e remova-os de funções privilegiadas atribuídas fora do Privilege Identity Management.

Nota

Para as funções que estão sendo atribuídas fora dos alertas do Privileged Identity Management , você pode encontrar notificações duplicadas. Essas duplicações podem estar principalmente relacionadas a um possível incidente no site ativo em que as notificações estão sendo enviadas novamente.

Gravidade

  • Alto: Requer ação imediata devido a uma violação de política.
  • Médio: Não requer ação imediata, mas sinaliza uma potencial violação da política.
  • Baixo: Não requer ação imediata, mas sugere uma mudança de política preferida.

Definir configurações de alerta de segurança

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Siga estas etapas para configurar alertas de segurança para funções do Azure no Privileged Identity Management:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Navegue até Governança de>identidades Gerenciamento privilegiado de identidades>Recursos do Azure Selecione sua configuração de alertas>de assinatura.> Para obter informações sobre como adicionar o bloco Privileged Identity Management ao seu painel, consulte Começar a usar o Privileged Identity Management.

    Captura de ecrã da página de alertas com as definições realçadas.

  3. Personalize as configurações nos diferentes alertas para trabalhar com seu ambiente e metas de segurança.

    Captura de ecrã da definição de alerta.

Nota

O alerta "Funções estão sendo atribuídas fora do Gerenciamento de Identidades Privilegiadas" é acionado para atribuições de função criadas para assinaturas do Azure e não é acionado para atribuições de função em Grupos de Gerenciamento, Grupos de Recursos ou escopo de Recursos."

Próximos passos