Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A pasta de trabalho do relatório de operações confidenciais tem o objetivo de ajudar a identificar atividades suspeitas de aplicativos e serviços principais que possam indicar comprometimentos em seu ambiente.
Este artigo fornece uma visão geral da pasta de trabalho Relatório de operações confidenciais.
Pré-requisitos
Para usar as Pastas de Trabalho do Azure para o Microsoft Entra ID, você precisa:
- Um locatário do Microsoft Entra com uma licença Premium P1
- Um espaço de trabalho do Log Analytics e acesso a esse espaço de trabalho
- As funções apropriadas para o Azure Monitor e o Microsoft Entra ID
Espaço de trabalho do Log Analytics
Você deve criar um espaço de trabalho do Log Analyticsantes de poder usar as Pastas de Trabalho do Microsoft Entra. Vários fatores determinam o acesso aos espaços de trabalho do Log Analytics. Você precisa das funções corretas para o espaço de trabalho e os recursos que enviam os dados.
Para obter mais informações, consulte Gerenciar o acesso a espaços de trabalho do Log Analytics.
Funções do Azure Monitor
O Azure Monitor fornece duas funções internas para exibir os dados de monitoramento e editar as configurações de monitoramento. O controle de acesso baseado em função (RBAC) do Azure também fornece duas funções internas do Log Analytics que concedem acesso semelhante.
Exibir:
- Leitor de monitoramento
- Leitor do Log Analytics
Exibir e modificar as configurações:
- Colaborador de monitoramento
- Colaborador do Log Analytics
Funções do Microsoft Entra
O acesso somente leitura permite exibir os dados de log do Microsoft Entra ID dentro de uma pasta de trabalho, consultar os dados do Log Analytics ou ler os logs no centro de administração do Microsoft Entra. O acesso de atualização adiciona a capacidade de criar e editar configurações de diagnóstico para enviar dados do Microsoft Entra a um espaço de trabalho do Log Analytics.
Ler:
- Leitor de relatórios
- Leitor de segurança
- Leitor Global
Atualizar:
- Administrador de Segurança
Para obter mais informações sobre as funções internas do Microsoft Entra, consulte Funções internas do Microsoft Entra.
Para obter mais informações sobre as funções RBAC do Log Analytics, confira Funções internas do Azure.
Descrição
Essa pasta de trabalho identifica operações confidenciais recentes realizadas no seu locatário.
Se a sua organização for nova nas pastas de trabalho do Azure Monitor, será necessário integrar os logs de entrada e auditoria do Microsoft Entra com o Azure Monitor antes de acessar a pasta de trabalho. Essa integração permite que você armazene, consulte e visualize seus registros usando pastas de trabalho por até dois anos. Somente os eventos de login e auditoria criados após a integração do Azure Monitor são armazenados, portanto, a pasta de trabalho não conterá insights anteriores a essa data. Para obter mais informações, consulte Integrar logs do Microsoft Entra ao Azure Monitor.
Como acessar a pasta de trabalho
Entre no centro de administração do Microsoft Entra usando a combinação apropriada de funções.
Acesse o Entra ID>Monitoramento & Integridade>Pastas de trabalho.
Selecione a pasta de trabalho Relatório de operações confidenciais na seção Solucionar problemas.
Seções
Essa pasta de trabalho é dividida em quatro seções:
Aplicativos modificados e métodos de autenticação/credenciais da entidade de serviço – esse relatório sinaliza os atores que alteraram recentemente muitas credenciais da entidade de serviço, bem como quantas de cada tipo de credenciais de entidade de serviço foram alteradas.
Novas permissões concedidas às entidades de serviço – esta pasta de trabalho também realça as permissões de OAuth 2.0 concedidas recentemente às entidades de serviço.
Atualizações de função de diretório e associação de grupo para entidades de serviço
Configurações de federação modificadas – esse relatório realça quando um usuário ou aplicativo modifica as configurações de federação em um domínio. Por exemplo, relata quando um objeto TrustedRealm do ADFS (Serviço Federado do Active Directory), como um certificado de autenticação, é adicionado ao domínio. A modificação nas configurações de federação de domínio deve ser rara.
Credenciais/métodos de autenticação de aplicativos e entidades de serviço modificados
Uma das maneiras mais comuns de os invasores obterem acesso ao ambiente é adicionando novas credenciais aos aplicativos existentes e aos princípios de serviço. As credenciais permitem que o invasor se autentique como o aplicativo ou a entidade de serviço de destino, concedendo a ele acesso a todos os recursos aos quais ele tem permissões.
Esta seção inclui os seguintes dados para ajudá-lo a detectar:
Todas as novas credenciais adicionadas a aplicativos e entidades de serviço, incluindo o tipo de credencial
Principais atores e a quantidade de credenciais de modificações que eles executaram
Uma linha do tempo para todas as alterações de credenciais
Novas permissões concedidas a entidades de serviço
Os invasores geralmente tentam adicionar permissões a outra entidade de serviço ou aplicativo se não conseguirem encontrar uma entidade de serviço ou aplicativo com um conjunto de permissões de alto privilégio por meio do qual possam obter acesso.
Esta seção inclui um detalhamento das concessões de permissões AppOnly para entidades de serviço existentes. Os administradores devem investigar todas as instâncias de permissões altas excessivas sendo concedidas, incluindo, dentre outras, o Exchange Online e o Microsoft Graph.
Atualizações de função de diretório e associação de grupo para entidades de serviço
Seguindo a lógica de o invasor adicionar permissões a entidades de serviço e aplicativos, outra abordagem é adicioná-las a grupos ou funções de diretório.
Essa seção inclui uma visão geral de todas as alterações feitas nas associações de entidades de serviço e deve ser revisada para verificar se há adições a funções e grupos de alta privilégio.
Configurações de federação modificadas
Outra abordagem comum para obter um controle de longo prazo no ambiente é:
- Modificar as relações de confiança de domínio federado do locatário.
- Adicione outro IDP SAML que o invasor controle como uma fonte de autenticação confiável.
Esta seção inclui os seguintes dados:
Alterações realizadas em relações de confiança de federação de domínio existentes
Adição de novos domínios e relações de confiança
Filtros
Este parágrafo lista os filtros com suporte para cada seção.
Credenciais/métodos de autenticação de Aplicativos e Entidades de Serviço Modificados
- Intervalo de horas
- Nome da operação
- Credencial
- Ator
- Excluir ator
Novas permissões concedidas a entidades de serviço
- Intervalo de horas
- Aplicativo cliente
- Recurso
Atualizações de associação de função do diretório e grupo para entidades de serviço
- Intervalo de horas
- Operação
- Iniciando usuário ou aplicativo
Configurações de federação modificadas
- Intervalo de horas
- Operação
- Iniciando usuário ou aplicativo
Práticas recomendadas
Use credenciais de aplicativo e entidade de serviço modificadas para procurar credenciais que estão sendo adicionadas a entidades de serviço que não são usadas com frequência na sua organização. Use os filtros presentes nesta seção para investigar ainda mais qualquer um dos atores ou entidades de serviço suspeitos que foram modificados.
Use novas permissões concedidas às entidades de serviço para procurar permissões amplas ou excessivas que estão sendo adicionadas às entidades de serviço por atores que podem estar comprometidos.
Use a seção de configurações de federação modificadas para confirmar se o domínio/URL de destino adicionado ou modificado é um comportamento de administrador legítimo. Ações que modificam ou adicionam relações de confiança de federação de domínio são raras e devem ser tratadas como de alta fidelidade para serem investigadas o mais rápido possível.