Proteção do acesso privilegiado para implantações híbridas e de nuvem no Microsoft Entra ID

A segurança dos ativos de negócios da organização moderna depende da integridade das contas com privilégios que administram seus sistemas de TI. Os invasores virtuais usam ataques de roubo de credenciais para direcionar contas de administrador e outro acesso privilegiado para tentar obter acesso a dados confidenciais.

Para serviços de nuvem, prevenção e resposta são as responsabilidades conjuntas do provedor de serviços de nuvem e do cliente. Para obter mais informações sobre as ameaças mais recentes aos pontos de extremidade e à nuvem, consulte o Relatório de Inteligência de Segurança da Microsoft. Este artigo pode ajudá-lo a desenvolver um roteiro para fechar as lacunas entre os planos atuais e as diretrizes descritas aqui.

Tradicionalmente, a segurança organizacional se concentrou nos pontos de entrada e saída de uma rede como o perímetro de segurança. No entanto, os aplicativos SaaS e dispositivos pessoais na Internet tornaram essa abordagem menos eficaz. No Microsoft Entra ID, substituímos o perímetro de segurança de rede pela autenticação na camada de identidade da organização, com usuários atribuídos a funções administrativas privilegiadas no controle. Seu acesso deve ser protegido, independentemente de o ambiente estar no local, na nuvem ou em um híbrido.

Proteger acesso privilegiado requer alterações a:

• Processos, práticas administrativas e gerenciamento de conhecimento
• Componentes técnicos, como proteção de host, proteções de conta e gerenciamento de identidade

Proteja seu acesso privilegiado de uma maneira que seja gerenciado e relatado nos serviços da Microsoft que você deseja. Se você tiver contas de administrador locais, confira as diretrizes para acesso privilegiado no local e híbrido no Active Directory em Proteção de acesso privilegiado.

Desenvolver um roteiro

A Microsoft recomenda que você crie e execute um roteiro para proteger o acesso privilegiado contra invasores virtuais. Você sempre pode ajustar seu roteiro para acomodar seus recursos existentes e os requisitos específicos dentro da sua organização. Cada estágio de nossos planos deverá aumentar o custo e a dificuldade de adversários de atacar o acesso privilegiado ao seu local, nuvem e ativos híbridos. A Microsoft recomenda os quatro estágios de roteiro a seguir. Agende primeiro as implementações mais eficazes e rápidas. Este artigo pode ser seu guia, com base nas experiências da Microsoft com a implementação de incidente e resposta de ataque cibernético. As linhas do tempo deste roteiro são aproximadas.

• Estágio 1 (24 a 48 horas): Itens críticos, recomendamos que você faça imediatamente

• Estágio 2 (2 a 4 semanas): Reduzir as técnicas de ataque usados com mais frequência

• Etapa 3 (1 a 3 meses): criar visibilidade e controle total da atividade do administrador

• Estágio 4 (seis meses ou mais): Continuar criando defesas para proteger ainda mais sua plataforma de segurança

Essa estrutura de roteiro foi projetada para maximizar o uso de tecnologias da Microsoft que você já tiver implantado. Considere a vincular qualquer ferramenta de segurança de outros fornecedores que você já tenha implantado ou esteja considerando a implantação.

Etapa 1: Itens críticos para fazer no momento

A etapa 1 do roteiro do destina-se as tarefas críticas que são rápidas e fáceis de implementar. É recomendável que você faça alguns desses itens imediatamente dentro de 24 a 48 horas primeiro para garantir um nível básico de proteção ao acesso privilegiado. Essa etapa do roteiro de Acesso Privilegiado Seguro inclui as ações a seguir:

Preparação geral

Usar o Microsoft Entra Privileged Identity Management

Recomendamos que você comece a usar o Microsoft Entra Privileged Identity Management (PIM) em seu ambiente de produção do Microsoft Entra. Após começar a usar o PIM, você receberá mensagens de notificação por email para executar alterações de função de acesso privilegiado. Notificações fornecem aviso antecipado quando usuários adicionais são adicionados às funções altamente privilegiadas.

O Microsoft Entra Privileged Identity Management está incluído no Microsoft Entra ID P2 ou no EMS E5. Para ajudá-lo a proteger o acesso a aplicativos e recursos locais e na nuvem, inscreva-se na avaliação gratuita de 90 dias do Enterprise Mobility + Security. O Microsoft Entra Privileged Identity Management e o Microsoft Entra ID Protection monitoram a atividade de segurança usando relatórios, auditoria e alertas do Microsoft Entra ID.

Após começar a usar o Microsoft Entra Privileged Identity Management:

1. Entre no centro de administração do Microsoft Entra como Administrador global.

2. Para alternar os diretórios em que você gostaria de usar o Privileged Identity Management, selecione seu nome de usuário no canto superior direito do centro de administração do Microsoft Entra.

3. Navegue até Governança de identidade>Privileged Identity Management.

Garanta que a primeira pessoa a usar o PIM em sua organização seja atribuída com as funções de Administrador de segurança e Administrador de funções com privilégios. Somente os Administradores de Funções com Privilégios podem gerenciar atribuições de funções do diretório Microsoft Entra dos usuários. O assistente de segurança do PIM orienta você durante a experiência inicial de detecção e atribuição. Você pode sair do assistente sem fazer alterações adicionais no momento.

Identifique e categorize as contas que estão em funções altamente privilegiadas

Depois de começar a usar o Microsoft Entra Privileged Identity Management, exiba os usuários que estão nas seguintes funções do Microsoft Entra:

• Administrador Global
• Administrador de função com privilégios
• Administrador do Exchange
• Administrador do SharePoint

Se você não tiver o Microsoft Entra Privileged Identity Management em sua organização, poderá usar o PowerShell do Microsoft Graph. Comece com a função de administrador global porque um administrador global tem as mesmas permissões em todos os serviços de nuvem ao quais sua organização tenha assinado. Essas permissões são concedidas independentemente de onde foram atribuídas: no centro de administração do Microsoft 365, no centro de administração do Microsoft Entra ou pelo PowerShell do Microsoft Graph.

Remova todas as contas que não são mais necessárias nessas funções. Em seguida, categorize as contas restantes atribuídas às funções Administrador:

• Atribuídas a usuários administrativos, mas também podem ser usadas para fins não administrativos (por exemplo, email pessoal)
• Atribuídas a usuários administrativos e usadas apenas para fins administrativos
• Compartilhada por vários usuários
• Para cenários de acesso de emergência em situação crítica
• Para scripts automatizados
• Para usuários externos

Defina pelo menos duas contas de acesso de emergência

É possível que um usuário seja bloqueado acidentalmente de sua função. Por exemplo, se um provedor de identidade local federado não estiver disponível, os usuários não poderão entrar ou ativar uma conta de administrador existente. Você pode se preparar para a falta de acesso acidental armazenando duas ou mais contas de acesso de emergência.

As contas de acesso de emergência ajudam a restringir o acesso privilegiado em uma organização do Microsoft Entra. Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas a cenários de emergência ou urgência em que as contas administrativas normais não podem ser usadas. Certifique-se de controlar e reduzir o uso da conta de emergência somente pelo tempo necessário.

Avalie as contas que são atribuídas ou qualificadas para a função de administrador global. Se você não vir nenhuma conta somente em nuvem usando o domínio *.onmicrosoft.com (para acesso de emergência), crie-as. Para obter mais informações, confira Gerenciamento de contas administrativas de acesso de emergência no Microsoft Entra ID.

Ativar a autenticação multifator e registrar todas as outras contas de administrador não federadas de usuário único altamente privilegiadas

Exigir a autenticação multifator do Microsoft Entra no logon para todos os usuários individuais que estejam permanentemente atribuídos a uma ou mais funções Administrador do Microsoft Entra: Administrador Global, Administrador de Função com Privilégios, Administrador do Exchange e Administrador do SharePoint. Use as diretrizes em Impor a autenticação multifator aos administradores e verifique se todos esses usuários se registraram em https://aka.ms/mfasetup. Veja mais informações nas etapas 2 e 3 do guia Proteger o acesso de usuário e de dispositivo no Microsoft 365.

Etapa 2: Atenuar ataques usados com frequência

O estágio 2 do roteiro se concentra na redução das técnicas de ataque e roubo de credenciais usadas com mais frequência e pode ser implementado em aproximadamente 2 a 4 semanas. Essa etapa do roteiro de Acesso Privilegiado Seguro inclui as ações a seguir.

Preparação geral

Realizar um inventário de serviços, proprietários e administradores

O aumento de "bring your own device" e políticas de trabalho de casa e o crescimento da conectividade sem fio torna importante monitorar quem está se conectando à sua rede. Uma auditoria de segurança pode revelar dispositivos, aplicativos e programas em sua rede para os quais sua organização não dá suporte e que representam alto risco. Para obter mais informações, veja visão geral de monitoramento e gerenciamento de segurança do Azure. Certifique-se de incluir todas as tarefas a seguir em seu processo de inventário.

• Identifique os usuários que têm os serviços e funções administrativas, onde eles podem gerenciar.

• Use o Microsoft Entra PIM para descobrir quais usuários em sua organização têm acesso de administrador ao Microsoft Entra ID.

• Além das funções definidas no Microsoft Entra ID, o Microsoft 365 vem com um conjunto de funções Administrador que você pode atribuir aos usuários da organização. Cada função de administrador é mapeada para funções comerciais comuns e concede permissão às pessoas em sua organização para realizar tarefas específicas no Centro de Administração do Microsoft 365. Use o centro de administração do Microsoft 365 para descobrir quais usuários em sua organização têm acesso de administrador ao Microsoft 365, inclusive por meio de funções não gerenciadas no Microsoft Entra ID. Para obter mais informações, confira Sobre funções Administrador do Microsoft 365 e Práticas de segurança para o Office 365.

• Execute o inventário em serviços de que sua organização depende, como Azure, Intune ou Dynamics 365.

• Verifique se as contas são usadas para fins de administração:

  • Tenha endereços de email de trabalho anexados a elas
  • Registrar-se para a autenticação multifator do Microsoft Entra ou usar a MFA no local

• Pergunte aos usuários sua justificativa de negócios para acesso administrativo.

• Remova o acesso de administrador para as pessoas e serviços que não são necessários.

Identifique as contas da Microsoft em funções administrativas que precisam ser alternadas para contas de trabalho ou escolares

Se os Administradores Globais iniciais reutilizarem as credenciais de conta da Microsoft existentes quando começarem a usar o Microsoft Entra ID, substitua as contas da Microsoft por contas individuais baseadas na nuvem ou sincronizadas.

Garantir contas de usuário separadas e emails de encaminhamento para as contas de administrador global

Contas de email pessoais são regularmente capturadas por invasores virtuais, um risco que torna os endereços de email pessoais inaceitáveis para contas do administrador global. Para ajudar a separar os riscos de internet de privilégios administrativos, crie contas dedicadas para cada usuário com privilégios administrativos.

• Crie contas separadas para os usuários realizarem tarefas de administração globais.
• Certifique-se de que os administradores globais não abram emails ou executem programas acidentalmente com suas contas de administrador.
• Certifique-se de que essas contas têm seu email encaminhado para uma caixa de correio do trabalho.
• Contas de administrador global (e outros grupos privilegiados) devem ser contas somente em nuvem sem ligações para o Active Directory local.

Certifique-se de que as senhas de contas administrativas foram alteradas recentemente

Certifique-se de que todos os usuários entraram nas contas administrativas e alteraram as senhas pelo menos uma vez nos últimos 90 dias. Além disso, verifique se todas as contas compartilhadas tiveram as senhas alteradas recentemente.

Ativar a sincronização de hash de senha

O Microsoft Entra Connect sincroniza um hash do hash da senha de um usuário do Active Directory local para uma organização do Microsoft Entra baseada em nuvem. Você poderá usar a sincronização de hash de senha como um backup se usar a federação com os AD FS (Serviços de Federação do Active Directory). Esse backup poderá ser útil se seus servidores do Active Directory ou AD FS locais estiverem temporariamente indisponíveis.

A sincronização de hash de senha permite que os usuários se conectem ao serviço com a mesma senha usada para entrar em sua instância local do Active Directory. A sincronização de hash de senha permite que a Proteção de Identidade detecte credenciais comprometidas comparando hashes de senha com senhas conhecidamente comprometidas. Para obter mais informações, consulte Implementar a sincronização de senha com a sincronização do Microsoft Entra Connect.

Exigir autenticação multifator para usuários em funções privilegiadas e usuários expostos

O Microsoft Entra ID recomenda que você exija a autenticação multifator para todos os seus usuários. Considere os usuários que teriam um impacto significativo se sua conta estivesse comprometida (por exemplo, gerentes financeiros). A MFA reduz o risco de um ataque devido a uma senha comprometida.

Ativar:

• A MFA usando políticas de acesso condicional para todos os usuários em sua organização.

Se você usar o Windows Hello for Business, o requisito de MFA pode ser atendido usando o logon do Windows Hello. Para obter mais informações, consulte Windows Hello.

Configurar o Identity Protection

O Microsoft Entra ID Protection é uma ferramenta de monitoramento e relatórios baseada em algoritmos que detecta possíveis vulnerabilidades que afetam as identidades da organização. Você pode configurar as respostas automatizadas a essas atividades suspeitas detectadas e tomar as devidas providências para resolvê-los. Para obter mais informações, confira Microsoft Entra ID Protection.

Obter a sua Classificação de segurança da Microsoft 365 (se estiver usando o Microsoft 365)

A Classificação de segurança analisa suas configurações e atividades para os serviços do Microsoft 365 que você está usando e compara com uma linha de base estabelecida pela Microsoft. Você obterá uma pontuação com base em como está alinhado com as práticas de segurança. Qualquer pessoa que tenha permissões de administrador para uma assinatura do Microsoft 365 Business Standard ou Enterprise pode acessar a Classificação de segurança em https://security.microsoft.com/securescore.

Verificar as diretrizes de segurança e conformidade do Microsoft 365 (se estiver usando o Microsoft 365)

O plano de segurança e conformidade descreve a abordagem de um cliente do Office 365 para configurar o Office 365 e habilitar outros recursos do EMS. Em seguida, analise as etapas de 3 a 6 de como Proteger o acesso a dados e serviços no Microsoft 365 e o guia de como monitorar segurança e conformidade no Microsoft 365.

Configurar o Monitoramento de Atividades do Microsoft 365 (se estiver usando o Microsoft 365)

Monitore sua organização para usuários que estão usando o Microsoft 365 para identificar a equipe que tem uma conta de administrador, mas pode não precisar de acesso ao Microsoft 365 porque não entram nesses portais. Para obter mais informações, confira Relatórios de atividade no Centro de administração do Microsoft 365.

Estabelecer os proprietários de plano de resposta de incidente/emergência

O estabelecimento de uma capacidade de resposta a incidentes bem-sucedida requer planejamento considerável e recursos. Você deve monitorar continuamente os ataques cibernéticos e estabelecer prioridades para o tratamento de incidentes. Colete, analise e relate dados de incidentes para criar relações e estabelecer comunicação com outros grupos internos e proprietários do plano. Para obter mais informações, consulte Microsoft Security Response Center.

Proteja as contas as contas administrativas locais, se ainda não tiver feito isso

Se a sua organização do Microsoft Entra estiver sincronizada com o Active Directory local, siga as diretrizes em Roteiro de Acesso Privilegiado à Segurança: esta fase inclui:

• Criar contas de administrador separadas para usuários que precisam realizar tarefas administrativas locais
• Implantar estações de trabalho com acesso privilegiado para administradores do Active Directory
• Criar senhas de administrador local exclusivas para estações de trabalho e servidores

Etapas adicionais para as organizações a gerenciar o acesso do Azure

Concluir um inventário de assinaturas

Use o portal da Enterprise e o portal do Azure para identificar as assinaturas em sua organização que hospedam aplicativos de produção.

Remover as contas da Microsoft de funções Administrador

As contas da Microsoft de outros programas, como Xbox, Live e Outlook não devem ser usadas como contas de administrador para assinaturas da sua organização. Remova o status de administrador de todas as contas Microsoft e substitua por contas corporativas ou de estudante (por exemplo, chris@contoso.com) do Microsoft Entra ID. Para fins de administração, dependa de contas autenticadas no Microsoft Entra ID e não em outros serviços.

Monitorar a atividade do Azure

O Log de Atividades do Azure fornece um histórico de eventos no nível da assinatura no Azure. Oferece informações sobre quem criou, atualizou ou excluiu quais recursos e quando fez isso. Para obter mais informações, consulte Auditar e receber notificações sobre ações importantes em sua assinatura do Azure.

Etapas adicionais para organizações que gerenciam o acesso a outros aplicativos de nuvem por meio do Microsoft Entra ID

Configurar as políticas de acesso condicional

Prepare as políticas de acesso condicional para o local e os aplicativos hospedados em nuvem. Se você tiver dispositivos ingressados no local de trabalho dos usuários, obtenha mais informações em Configuração do acesso condicional local usando o registro de dispositivo do Microsoft Entra.

Estágio 3: assumir controle da atividade do administrador

O Estágio 3 amplia as atenuações do Estágio 2 e deve ser implementado em aproximadamente um a três meses. Essa etapa do roteiro de Acesso Privilegiado Seguro inclui as ações a seguir.

Preparação geral

Concluir uma análise de acesso de usuários em funções de administrador

Mais usuários corporativos estão obtendo acesso privilegiado por meio de serviços de nuvem, o que pode levar a um acesso não gerenciado. Atualmente, os usuários podem se tornar administradores globais do Microsoft 365, administradores da assinatura do Azure ou ter acesso de administrador para VMs ou por aplicativos SaaS.

A organização deve fazer com que todos os funcionários tratem transações de negócios comuns como usuários sem privilégios e conceder direitos de administrador somente quando necessário. Conclua as revisões de acesso para identificar e confirmar os usuários que estão qualificados para ativar os privilégios de administrador.

É recomendável que você:

1. Determine quais usuários são administradores do Microsoft Entra, habilite o acesso de administrador sob demanda, just-in-time e controles de segurança baseada em funções.
2. Converter os usuários que não têm justificativa clara para acesso de administrador com privilégios para uma função diferente (se não houver função qualificada, remova-os).

Continuar a distribuição de autenticação mais forte para todos os usuários

Exija que os usuários altamente expostos tenham uma autenticação moderna e forte, como a autenticação multifator do Microsoft Entra ou o Windows Hello. Exemplos de usuários altamente expostos incluem:

• Diretores
• Gerentes de alto nível
• Pessoal de TI e segurança crítica

Usar estações de trabalho dedicadas para a administração do Microsoft Entra ID

Os invasores podem direcionar para contas com privilégios para interromper a integridade e autenticidade dos dados. Geralmente, eles usam um código mal-intencionado que altera a lógica do programa ou espiona o administrador inserindo uma credencial. As Estações de Trabalho com Acesso Privilegiado (PAWs) fornecem um sistema operacional dedicado para as tarefas confidenciais protegidas contra ataques da Internet e vetores de ameaça. Separar essas contas e tarefas confidenciais de dispositivos e estações de trabalho de uso diário proporciona forte proteção contra:

• Ataques de phishing
• Vulnerabilidades do aplicativo e do sistema operacional
• Ataques de usurpação de identidade
• Ataques de roubo de credenciais, como registro de pressionamento de teclas, Pass-the-Hash e Pass-the-Ticket

Com a implantação de estações de trabalho de acesso privilegiado, você pode reduzir o risco de os administradores inserirem credenciais em um ambiente de área de trabalho que não foi protegido. Para saber mais, confira Privileged Identity Management.

Analise as recomendações do Instituto Nacional de padrões e tecnologia para lidar com incidentes

O Instituto Nacional de padrões e tecnologia (NIST) fornece diretrizes para tratamento de incidentes, particularmente para analisar dados relacionados ao incidente e determinar a resposta apropriada a cada incidente. Para obter mais informações, consulte (NIST) o Computer Security Incident Handling Guide (SP 61 800, Revisão 2).

Implementar Privileged Identity Management (PIM) para JIT a funções administrativas adicionais

Para o Microsoft Entra ID, use o recurso Microsoft Entra Privileged Identity Management. Ativação de tempo limitado de funções privilegiadas funciona, permitindo que você:

• Ativar os privilégios de administrador para executar uma tarefa específica

• Imponha o MFA durante o processo de ativação

• Usar alertas para informar os administradores sobre alterações fora de banda

• Permita que os usuários mantenham os privilégios de acesso por um período de tempo pré-configurado

• Permita que o administrador de segurança:

  • Descubra todas as identidades com privilégios
  • Visualize relatórios de auditoria
  • Criar revisões de acesso para identificar todo usuário elegível para ativar privilégios de administrador

Se você já estiver usando o Microsoft Entra Privileged Identity Management, ajuste os prazos para privilégios com limite de tempo conforme necessário (por exemplo, janelas de manutenção).

Determine a exposição a protocolos com senha (se estiver usando o Exchange Online)

Recomendamos a identificação de todos os usuários potenciais que poderão ser catastróficos para a organização se suas credenciais forem comprometidas. Para esses usuários, implemente requisitos de autenticação rígidos e use o Acesso Condicional do Microsoft Entra para impedir que eles entrem no email usando nome de usuário e senha. Você pode bloquear a autenticação herdada usando acesso condicional e pode bloquear a autenticação básica por meio do Exchange Online.

Concluir uma avaliação de análise de funções para as funções do Microsoft 365 (se estiver usando o Microsoft 365)

Avalie se todos os usuários administradores estão nas funções corretas (exclua e reatribua de acordo com essa avaliação).

Examinar a abordagem de gerenciamento de incidentes de segurança usada no Microsoft 365 e compare com sua própria organização

Você pode fazer o download desse relatório de Gerenciamento de incidentes de segurança no Microsoft 365.

Continuar a proteger as contas administrativas privilegiadas locais

Se o Microsoft Entra ID estiver conectado ao Active Directory local, siga as diretrizes do Roteiro de Acesso Privilegiado à Segurança: fase 2. Neste estágio, você pode:

• Implantar estações de trabalho com acesso privilegiado para todos os administradores
• Exigir MFA
• Usar apenas o administrador suficiente para a manutenção do controlador de domínio, reduzindo a superfície de ataque de domínios
• Implantar a Análise Avançada de Ameaças para detecção de ataque

Etapas adicionais para as organizações a gerenciar o acesso do Azure

Estabelecer monitoramento integrado

O Microsoft Defender para Nuvem:

• Fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure
• Ajuda a detectar ameaças que não seriam observadas de outra forma
• Funciona com uma ampla variedade de soluções de segurança

Faça o inventário de contas privilegiadas em Máquinas Virtuais hospedadas

Você geralmente não precisa fornecer aos usuários permissões irrestritas a todos os recursos ou assinaturas do Azure. Use as funções Administrador do Microsoft Entra para conceder apenas o acesso que os usuários precisam para realizar seus trabalhos. Você pode usar as funções Administrador do Microsoft Entra para permitir que um administrador gerencie apenas VMs em uma assinatura, enquanto outro pode gerenciar bancos de dados SQL na mesma assinatura. Para obter mais informações, confira O que é o RBAC do Azure (controle de acesso baseado em função do Azure)?.

Implementar o PIM para as funções Administrador do Microsoft Entra

Use o Privileged Identity Management com as funções Administrador do Microsoft Entra para gerenciar, controlar e monitorar o acesso aos recursos do Azure. Use as proteções de PIM reduzindo o tempo de exposição de privilégios e aumentando sua visibilidade sobre o uso por meio de alertas e relatórios. Para obter mais informações, confira O que é o Microsoft Entra Privileged Identity Management.

Usar integrações do log do Azure para enviar logs relevantes do Azure para seus sistemas SIEM

A integração de log do Azure permite que você integre logs brutos de recursos do Azure aos sistemas de gerenciamento de eventos e informações de segurança (SIEM) da sua organização. A integração de logs do Azure coleta eventos do Windows de logs de Visualizador de Eventos do Windows e recursos do Azure de:

• Logs de atividades do Azure
• Alertas do Microsoft Defender para Nuvem
• Logs de recursos do Azure

Etapas adicionais para organizações que gerenciam o acesso a outros aplicativos de nuvem por meio do Microsoft Entra ID

Implementar o provisionamento do usuário para aplicativos conectados

O Microsoft Entra ID permite automatizar a criação e a manutenção de identidades de usuários em aplicativos de nuvem como Dropbox, Salesforce e ServiceNow. Para obter mais informações, confira Automatizar o provisionamento e desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Integrar proteção de informações

O Microsoft Defender para Aplicativos de Nuvem permite investigar arquivos e definir políticas com base Proteção de Informações do Azure rótulos de classificação, permitindo maior visibilidade e controle dos dados de nuvem. Verifique e classifique arquivos na nuvem e aplique rótulos de proteção de informações do Azure. Para obter mais informações, consulte integração da Proteção de Informações do Microsoft Azure.

Configurar acesso condicional

Configure o Acesso Condicional com base em um grupo, local e confidencialidade do aplicativo para aplicativos SaaS e aplicativos conectados ao Microsoft Entra.

Monitorar a atividade de aplicativos de nuvem conectados

Recomendamos o uso do Microsoft Defender para Aplicativos de Nuvem para garantir que o acesso do usuário também esteja protegido em aplicativos conectados. Esse recurso protege o acesso corporativo a aplicativos de nuvem, além de proteger suas contas de administrador, permitindo:

• Aumentar a visibilidade e controle para aplicativos em nuvem
• Criar políticas de acesso, atividades e compartilhamento de dados
• Identificar automaticamente as atividades arriscadas, comportamentos anormais e ameaças
• Impedir o vazamento de dados
• Minimizar o risco e prevenção de ameaças automatizado e aplicação de políticas

O agente SIEM do Defender para Aplicativos de Nuvem integra o Defender para Aplicativos de Nuvem ao servidor SIEM para habilitar o monitoramento centralizado Microsoft 365 alertas e atividades. Ele é executado em seu servidor e recebe alertas e atividades do Defender para Aplicativos de Nuvem e os transmite para o servidor SIEM. Para obter mais informações, consulte Integração SIEM.

Estágio 4: Continuar criando defesas

O estágio 4 do roteiro deve ser implementado em cerca de seis meses. Conclua seu roteiro para reforçar as proteções de acesso privilegiado de possíveis ataques que são conhecidos hoje. Para as ameaças de segurança do amanhã, é recomendável ver a segurança como um processo contínuo para aumentar os custos e reduzir a taxa de sucesso dos adversários que estão direcionando para o seu ambiente.

Proteger o acesso privilegiado é importante para estabelecer garantias de segurança para seus ativos de negócios. No entanto, ele deve fazer parte de um programa de segurança completo que fornece garantias de segurança contínuas. Este programa deve incluir elementos como:

• Política
• Operações
• Segurança das informações
• Servidores
• Aplicativos
• PCs
• Dispositivos
• Malha da nuvem

Recomendamos as seguintes práticas quando você estiver gerenciando contas de acesso privilegiado:

• Certifique-se de que os administradores estão fazendo seus negócios diários como usuários sem privilégios
• Conceda acesso privilegiado apenas quando necessário e remova-o posteriormente (just-in-time)
• Mantenha registros de atividades de auditoria relacionadas a contas privilegiadas

Para obter mais informações sobre a criação de um roteiro de segurança completa, consulte recursos de arquitetura de TI de nuvem da Microsoft. Para que os serviços da Microsoft ajudem você a implementar qualquer parte do seu roteiro, entre em contato com seu representante da Microsoft ou confira Construir defesas cibernéticas essenciais para proteger a sua empresa.

Essa etapa final do roteiro Secured Privileged Access inclui os seguintes componentes.

Preparação geral

Examinar as funções Administrador no Microsoft Entra ID

Determine se as atuais funções Administrador internas do Microsoft Entra ainda estão atualizadas e garanta que os usuários tenham apenas as funções necessárias. Com o Microsoft Entra ID, você pode atribuir administradores separados para atender a diferentes funções. Para obter mais informações, confira Funções internas do Microsoft Entra.

Examinar os usuários que têm administração de dispositivos ingressados no Microsoft Entra

Para obter mais informações, confira Como configurar dispositivos ingressados híbridos do Microsoft Entra.

Rever os membros de funções internas do administrador do Microsoft 365

Ignore esta etapa se você não estiver usando o Microsoft 365.

Valiar o plano de resposta a incidentes

Para melhorar o seu plano, a Microsoft recomenda que você valide regularmente seu que está funcionando conforme o esperado:

• Passe pelo seu roteiro existente para ver o que foi perdido
• Com base na análise post mortem, revise práticas existentes ou defina novas práticas
• Certifique-se de que seu plano de resposta a incidentes está atualizado e que as práticas são distribuídas por toda a organização

Etapas adicionais para as organizações a gerenciar o acesso do Azure

Determine se você precisa transferir a propriedade de uma assinatura do Azure para outra conta.

"Vigilância": o que fazer em caso de emergência

1. Notifique os principais gerentes e executivos de segurança com informações sobre o incidente.

2. Analise o guia estratégico de ataque.

3. Acesse a combinação de nome de usuário e senha da sua conta "break glass" para entrar no Microsoft Entra ID.

4. Obtenha ajuda da Microsoft ao abrir uma solicitação de suporte do Azure.

5. Veja os relatórios de entrada do Microsoft Entra. Pode haver um espaço de tempo entre um evento ocorrendo e quando ele é incluído no relatório.

6. Para ambientes híbridos, se a infraestrutura local federada e o seu servidor AD FS não estiverem disponíveis, você poderá alternar temporariamente da autenticação federada para o uso da sincronização de hash de senha. Essa mudança reverterá a federação de domínio para a autenticação gerenciada até que o servidor do AD FS se torne disponível.

7. Monitorar o email quanto a contas com privilégios.

8. Certifique-se de salvar os backups de logs relevantes para investigação forense e investigação jurídica.

Para obter mais informações sobre como o Microsoft Office 365 trata os incidentes de segurança, consulte gerenciamento de incidentes de segurança no Microsoft Office 365.

Perguntas frequentes: Respostas para proteger o acesso privilegiado

P: O que fazer se eu ainda não implementei os componentes de acesso seguro?

Resposta: Defina no mínimo duas contas de vigilância, atribua o MFA a suas contas de administrador privilegiado e separe as contas de usuário das contas de administrador global.

P: Após uma violação, qual é o problema superior que precisa ser abordado primeiro?

Resposta: Verifique se você está exigindo a autenticação mais forte para indivíduos altamente expostos.

P: O que acontece se nosso administradores com privilégios forem desativados?

Resposta: Crie uma conta de administrador global que está sempre atualizada.

P: O que acontecerá se houver apenas um administrador global e ele não puder ser contatado?

Resposta: Use uma de suas contas de vigilância para obter acesso privilegiado imediato.

P: Como posso proteger administradores dentro da minha organização?

Resposta: Dê acesso aos administradores para seus negócios diários como usuários “não privilegiados” padrão.

P: Quais são as melhores práticas para a criação de contas de administrador no Microsoft Entra ID?

Resposta: Reservar o acesso privilegiado para as tarefas de administrador específicas.

P: Quais ferramentas existem para reduzir o acesso de administrador persistente?

Resposta: Funções Administrador do Privileged Identity Management (PIM) e do Microsoft Entra.

P: Qual é a posição da Microsoft sobre a sincronização de contas de administrador com o Microsoft Entra ID?

Resposta: As contas de administrador do Nível 0 são usadas somente para contas do AD local. Normalmente, essas contas não são sincronizadas com o Microsoft Entra ID na nuvem. As contas de administrador do Nível 0 incluem contas, grupos e outros ativos que têm controle administrativo direto ou indireto de floresta, domínios, controladores de domínio e ativos do Active Directory local.

P: Como podemos impedir que os administradores atribuam acesso de administrador aleatório no portal?

Resposta: Use contas sem privilégios para todos os usuários e a maioria dos administradores. Primeiro, desenvolva um volume da organização para determinar quais contas de administrador devem ser privilegiadas. E monitore usuários administrativos recém-criados.

Próximas etapas

• Microsoft Trust Center for Product Security - Produtos e serviços de nuvem de recursos de segurança da Microsoft

• Ofertas de conformidade da Microsoft – Conjunto abrangente de ofertas de conformidade da Microsoft para serviços de nuvem

• Orientação sobre como realizar uma avaliação de risco – gerenciar requisitos de conformidade e segurança para serviços de nuvem da Microsoft

Outros Microsoft Online Services

• Microsoft Intune Security - O Microsoft Intune oferece recursos de gerenciamento de dispositivo móvel, gerenciamento de aplicativo móvel e gerenciamento de PC na nuvem.

• Microsoft Dynamics 365 security – O Dynamics 365 é a solução baseada em nuvem da Microsoft que unifica o gerenciamento de relacionamento com clientes (CRM) e recursos de planejamento de recursos empresariais (ERP).