Investigação de ataque de pulverização de senhas

Este artigo oferece diretrizes sobre como identificar e investigar ataques de pulverização de senha na organização e tomar as ações corretivas necessárias para proteger informações e minimizar outros riscos.

Este artigo inclui as seções a seguir:

• Pré-requisitos: esta seção cobre os requisitos específicos que você precisa concluir para iniciar a investigação. Por exemplo, os registros em log que devem ser ativados, as funções e as permissões necessárias, entre outros.
• Fluxo de trabalho: mostra o fluxo lógico que você deve seguir para executar esta investigação.
• Lista de verificação: contém uma lista de tarefas para cada uma das etapas no fluxograma. Essa lista de verificação pode ser útil em ambientes altamente regulamentados para verificar o que você já fez ou simplesmente como um ponto de controle de qualidade.
• Etapas de investigação: esta seção inclui diretrizes passo a passo detalhadas desta investigação específica.
• Recuperação: esta seção contém as etapas gerais de como fazer a recuperação/mitigação após um ataque de pulverização de senha.
• Referências: contém mais materiais de leitura e referência.

Pré-requisitos

Antes de iniciar a investigação, certifique-se de ter concluído a configuração de logs e alertas e outros requisitos do sistema.

Para o monitoramento do Microsoft Entra, siga nossas recomendações e diretrizes no nosso guia Microsoft Entra SecOps Guide.

Configurar o registro de logs do AD FS

Registro de eventos no AD FS 2016

Por padrão, o Microsoft Serviços de Federação do Active Directory (AD FS) (ADFS) no Windows Server 2016 tem um nível básico de auditoria habilitado. Com a auditoria básica, os administradores podem ver cinco ou menos eventos de uma só solicitação. Defina o registro em log para o nível mais alto e envie os logs do AD FS (e de segurança) para um SIEM, a fim de correlacionar com a autenticação do AD e com o Microsoft Entra ID.

Para ver o nível de auditoria atual, use este comando do PowerShell:

Get-AdfsProperties

Essa tabela lista os níveis de auditoria que estão disponíveis.

Para aumentar ou diminuir o nível de auditoria, use este comando do PowerShell:

Set-AdfsProperties -AuditLevel <None | Basic | Verbose>

Configurar o registro de segurança do AD FS 2012 R2/2016/2019

1. Selecione Iniciar, navegue até Programas > Ferramentas Administrativas e selecione Política de Segurança Local.

2. Navegue até a pasta Configurações de Segurança\Políticas Locais\Gerenciamento de Direitos do Usuário e clique duas vezes em Gerar Auditorias de Segurança.

3. Na guia Configuração de Segurança Local, verifique se a conta de serviço dos AD FS está listada. Se ele não estiver presente, selecione Adicionar Usuário ou Grupo e adicione-o à lista e, em seguida, selecione OK.

4. Para habilitar a auditoria, abra um prompt de comando com privilégios elevados e execute o seguinte comando:

   auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
   

5. Feche a Política de Segurança Local.

6. Em seguida, abra o snap-in Gerenciamento do ADFS, selecione Iniciar, navegue até Ferramentas Administrativas de Programas >e selecione Gerenciamento do ADFS.

7. No painel Ações, clique em Editar Propriedades do Serviço de Federação.

8. Na caixa de diálogo Propriedades do Serviço de Federação, selecione a guia Eventos.

9. Marque as caixas de seleção Auditorias com êxito e Auditorias com falha.

10. Selecione OK para concluir e salvar a configuração.

Instalar o Microsoft Entra Connect Health para ADFS

O agente Microsoft Entra Connect Health para ADFS permite que você tenha maior visibilidade em seu ambiente de federação. Ele fornece vários painéis pré-configurados, como uso, monitoramento de desempenho e relatórios de IP de risco.

Para instalar o ADFS Connect Health, acesse os requisitos para usar o Microsoft Entra Connect Health e instale o Agente de Integridade do Azure ADFS Connect.

Configurar alertas de IP arriscados usando a pasta de trabalho de relatório de IP de risco do AD FS

Depois que o Microsoft Entra Connect Health for ADFS for configurado, você deverá monitorar e configurar alertas usando a pasta de trabalho de relatório de IP arriscado do ADFS e o Azure Monitor. Os benefícios de usar esse relatório são:

• Detecção de endereços IP que ultrapassam um limite de tentativas de login com falha baseadas em senha.
• Dá suporte a falhas de login causadas por senha incorreta ou por estado de bloqueio de extranet.
• Dá suporte à habilitação de alertas por meio de alertas de Azure.
• Configurações de limite personalizáveis que correspondem à política de segurança de uma organização.
• Consultas personalizáveis e visualizações expandidas para análise posterior.
• Funcionalidade ampliada a partir do relatório anterior de IP Arriscado, que foi descontinuado desde 24 de janeiro de 2022.

Configurar alertas de ferramenta SIEM no Microsoft Sentinel

Para configurar alertas da ferramenta de SIEM, siga o tutorial sobre alertas prontos para uso.

Integração do SIEM ao Microsoft Defender para Aplicativos de Nuvem

Conecte a ferramenta SIEM (Gerenciamento de Eventos e Informações de Segurança) ao Microsoft Defender para Aplicativos de Nuvem, que atualmente dá suporte ao Micro Focus ArcSight e ao CEF (formato de evento comum genérico).

Para obter mais informações, confira Integração de SIEM genérico.

Integração do SIEM ao API do Graph

Você pode conectar o SIEM ao API de Segurança do Microsoft Graph usando qualquer uma das seguintes opções:

• Diretamente usando as opções de integração com suporte – Confira a lista de opções de integração com suporte, como escrever o código para conectar o aplicativo diretamente a fim de obter insights avançados. Use amostras para começar.
• Use integrações nativas e conectores criados por parceiros Microsoft – consulte as soluções de parceiro API de Segurança do Microsoft Graph para usar essas integrações.
• Use conectores criados pelo Microsoft – consulte a lista de conectores que você pode usar para se conectar à API por meio de várias soluções para SIEM (Gerenciamento de Eventos e Incidentes de Segurança), SOAR (Resposta e Orquestração de Segurança), ITSM (Gerenciamento de Serviços e Acompanhamento de Incidentes), relatórios e assim por diante.

Para obter mais informações, consulte as integrações de solução Security usando o API de Segurança do Microsoft Graph.

Usando o Splunk

Você também pode usar a plataforma Splunk para configurar alertas.

• Assista a este tutorial em vídeo sobre como criar alertas do Splunk.
• Para obter mais informações, confira o Manual de alertas do Splunk.

Workflow

O fluxograma a seguir mostra o fluxo de investigação de ataque de pulverização de senha.

Também é possível:

• Baixe os fluxos de trabalho de guia estratégico de resposta a pulverização de senha e outros incidentes no formato PDF.
• Baixe o ataque chamado "password spray" e outros fluxos de trabalho do manual de resposta a incidentes como um arquivo Visio.

Lista de Verificação

Gatilhos de investigação

• Recebeu um gatilho de SIEM, logs de firewall ou Microsoft Entra ID
• recurso de pulverização de senha Microsoft Entra ID Protection ou IP arriscado
• Grande número de falhas de login (ID do Evento 411)
• Aumento repentino no Microsoft Entra Connect Health para ADFS
• Outro incidente de segurança (por exemplo, phishing)
• Atividade não explicada, como um acesso de localização desconhecida ou um usuário recebendo solicitações inesperadas de MFA

Investigação

• O que está sendo notificado?
• Você pode confirmar se esse ataque é uma pulverização de senha?
• Determine a linha do tempo do ataque.
• Determine um ou mais endereços IP do ataque.
• Filtre os logins bem-sucedidos para este período de tempo e endereço IP, incluindo senha bem-sucedida, mas falha na autenticação multifatorial.
• Verificar os relatórios de MFA
• Há algo fora do comum na conta, como um novo dispositivo, um novo OS ou um novo endereço IP usado? Use Defender para Aplicativos de Nuvem ou Proteção de Informações do Azure para detectar atividades suspeitas.
• Informe as autoridades locais ou terceiros para obter assistência.
• Se você suspeitar de um comprometimento, confire se houve exfiltração dos dados.
• Verifique se há comportamento suspeito na conta associada e procure correlacionar a outras contas e serviços possíveis, bem como outros endereços IP mal-intencionados.
• Verificar as contas de todos que trabalham no mesmo escritório ou com o mesmo acesso delegado – Limpeza de senha (verificar que ninguém esteja usando a mesma senha que a conta comprometida)
• Acesse a ajuda do ADFS

Mitigações

Confira a seção Referências para obter diretrizes sobre como habilitar os seguintes recursos:

• Bloquear o endereço IP do invasor (fique atento a alterações em outro endereço IP)
• Foi alterada a senha do usuário sob suspeita de comprometimento
• Habilitar o bloqueio de extranet do AD FS
• Autenticação herdada desabilitada
• Enabled Azure Identity Protection (políticas de risco de autenticação e usuário)
• MFA habilitada (caso ainda não esteja)
• Habilitar a proteção de senha
• Deploy Microsoft Entra Connect Health para ADFS (se ainda não estiver)

Recuperação

• Marcar endereço IP incorreto em Defender para Aplicativos de Nuvem, SIEM, ADFS e Microsoft Entra ID
• Verifique outras formas de persistência de caixa de correio, como regras de encaminhamento ou outras delegações adicionadas
• MFA como autenticação principal
• Configurar as integrações do SIEM com a nuvem
• Configurar alertas – Proteção de Identidade, ADFS Health Connect, SIEM e Defender para Aplicativos de Nuvem
• Lições aprendidas (incluir os stakeholders principais, terceiros e as equipes de comunicação)
• Revisão/melhorias da postura de segurança
• Planejar a execução de simuladores de ataque regulares

Você também pode baixar o ataque de pulverização de senhas e outras listas de verificação de planos de resposta a incidentes como um arquivo Excel.

Etapas de investigação

Resposta ao incidente de pulverização de senha

Vamos entender algumas técnicas de ataque de pulverização de senha antes de continuar a investigação.

Comprometimento de senha: um invasor adivinhou a senha do usuário, mas não conseguiu acessar a conta devido a outros controles, como a MFA (autenticação multifator).

Comprometimento de conta: um invasor adivinhou a senha do usuário e obteve acesso à conta.

Descoberta do ambiente

Identificar o tipo de autenticação

Como primeira etapa, você precisa verificar qual tipo de autenticação é usado para um locatário/domínio verificado que você está investigando.

Para obter o status de autenticação para um nome de domínio específico, use o comando Get-MgDomain PowerShell. Veja um exemplo:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -DomainId "contoso.com"

A autenticação é federada ou gerenciada?

Se a autenticação for federada, as entradas bem-sucedidas serão armazenadas em Microsoft Entra ID. As tentativas de entrada com falha estão no IDP (provedor de identidade). Para obter mais informações, confira Solução de problemas e log de eventos do AD FS.

Se o tipo de autenticação for gerenciado– somente nuvem, PHS (sincronização de hash de senha) ou PTA (autenticação de passagem) – as entradas bem-sucedidas e com falha serão armazenadas nos logs de entrada Microsoft Entra.

O Microsoft Entra Connect Health está habilitado para o ADFS?

• O relatório RiskyIP fornece IPs suspeitos e a data/hora. As notificações devem ser habilitadas.
• Verifique também a investigação de logins federados do manual de Phishing

Está o registro em log avançado habilitado no ADFS?

• Essa configuração é um requisito do AD FS Connect Health, mas pode ser habilitado de modo independente
• Veja como habilitar o AD FS Connect Health
• Verifique também o Investigações de logons federados do manual de Phishing

Os logs são armazenados no SIEM?

Para verificar se você está armazenando e correlacionando logs em um SIEM (Gerenciamento de Eventos e Informações de Segurança) ou em qualquer outro sistema:

• Log Analytics: consultas predefinidas
• Microsoft Sentinel- consultas predefinidas
• Splunk: consultas predefinidas
• Logs de Firewall
• UAL se > 30 dias

Noções básicas sobre relatórios de Microsoft Entra ID e MFA

É importante que você entenda os logs que está vendo para poder determinar o comprometimento de segurança. Aqui estão guias rápidos para entender as entradas do Microsoft Entra e os relatórios de MFA:

• Relatório de MFA
• Compreendendo os Logins

Gatilhos de incidente

Um gatilho de incidente é um evento ou uma série de eventos que faz com que o alerta predefinido seja disparado. Um exemplo é o número de tentativas de senha incorreta acima do limite predefinido. Aqui há mais exemplos de gatilhos que podem disparar alertas em ataques de pulverização de senha e onde esses alertas são exibidos. Os gatilhos de incidente incluem:

• Usuários

• IP

• Cadeias de caracteres do agente do usuário

• Data e Hora

• Anomalias

• Tentativas de senhas incorretas

  

Picos incomuns na atividade são indicadores-chave por meio do Microsoft Entra Health Connect (supondo que esse componente esteja instalado). Outros indicadores são:

• Os alertas por meio do SIEM apresentam um pico quando você agrupa os logs.
• Tamanho do log maior que o normal para tentativas de login com falha no ADFS, o que pode gerar um alerta na ferramenta de SIEM.
• Aumento no número de ID de eventos 342/411 – O nome de usuário ou a senha está incorreto. Ou 516 para bloqueio de extranet.
• Exceder o limite de solicitações de autenticação com falha – IP suspeito em Microsoft Entra ID ou alerta de ferramenta SIEM/ambos os erros 342 e 411 (para visualizar essas informações, o registro avançado deve ser ativado.)

IP arriscado no portal do Microsoft Entra Health Connect

Os alertas de IP suspeito ocorrerão quando o limite personalizado for atingido para senhas erradas em uma hora e contagem de senhas erradas em um dia, bem como para bloqueios de extranet.

Os detalhes das tentativas com falha estão disponíveis nas guias Endereço IP e bloqueios de extranet.

Detectar pulverização de senha na Proteção de Identidade do Azure

Azure Identity Protection é um recurso da Microsoft Entra ID P2 que inclui um alerta de risco e uma ferramenta de pesquisa para detecção de spray de senha, fornecendo mais informações e correção automática.

Indicadores de ataque baixos e lentos

Os indicadores de ataque baixos e lentos são aqueles em que os limites de bloqueio de conta ou de senhas erradas não estão sendo atingidos. Você pode detectar esses indicadores por meio de:

• Falhas na ordem de GAL
• Falhas com atributos repetitivos (agente do usuário, AppID de destino, bloqueio/localização de IP)
• Tempo – As pulverizações automatizadas geralmente têm um intervalo de tempo mais regular entre as tentativas.

Investigação e mitigação

1. Ative o registro em log avançado no AD FS se ele ainda não estiver ativado.

2. Determine a data e a hora do início do ataque.

3. Determine o endereço IP do invasor (pode ser várias fontes e vários endereços IP) do firewall, ADFS, SIEM ou Microsoft Entra ID.

4. Após a confirmação da pulverização de senha, talvez seja necessário informar os órgãos locais (polícia, terceiros, entre outros).

5. Agrupe e monitore as seguintes IDs de Evento para ADFS:

   AD FS 2012 R2

   • Evento de auditoria 403 – Agente do usuário fazendo a solicitação
   • Evento de auditoria 411 – Solicitações de autenticação com falha
   • Evento de auditoria 516 – Bloqueio de extranet
   • Evento de auditoria 342 – Solicitações de autenticação com falha
   • Evento de auditoria 412 – Login bem-sucedido

6. Para coletar o Evento de auditoria 411 – Solicitações de autenticação com falha, use o seguinte script:

   PARAM ($PastDays = 1, $PastHours)
   #************************************************
   #ADFSBadCredsSearch.ps1
   #Version 1.0
   #Date: 6-20-2016
   #Author: Tim Springston [MSFT]
   #Description: This script will parse the ADFS server's (not proxy) security ADFS
   #for events which indicate an incorrectly entered username or password. The script can specify a
   #past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for
   #review of UPN, IP address of submitter, and timestamp.
   #************************************************
   cls
   if ($PastHours -gt 0)
   {$PastPeriod = (Get-Date).AddHours(-($PastHours))}
   else
   {$PastPeriod = (Get-Date).AddDays(-($PastDays))}
   $Outputfile = $Pwd.path + "\BadCredAttempts.csv"
   $CS = get-wmiobject -class win32_computersystem
   $Hostname = $CS.Name + '.' + $CS.Domain
   $Instances = @{}
   $OSVersion = gwmi win32_operatingsystem
   [int]$BN = $OSVersion.Buildnumber
   if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"}
   else {$ADFSLogName = "AD FS/Admin"}
   $Users = @()
   $IPAddresses = @()
   $Times = @()
   $AllInstances = @()
   Write-Host "Searching event log for bad credential events..."
   if ($BN -ge 9200) {Get-Winevent -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} | % {
   $Instance = New-Object PSObject
   $UPN = $_.Properties[2].Value
   $UPN = $UPN.Split("-")[0]
   $IPAddress = $_.Properties[4].Value
   $Users += $UPN
   $IPAddresses += $IPAddress
   $Times += $_.TimeCreated
   add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN
   add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress
   add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString()
   $AllInstances += $Instance
   $Instance = $null
   }
   }
   $AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation
   Write-Host "Data collection finished. The output file can be found at >$outputfile`."
   $AllInstances = $null
   

AD FS 2016/2019

Juntamente com as IDs de evento acima, agrupe o Evento de auditoria 1203 – Erro de validação de credencial recente.

1. Colete todos os logins bem-sucedidos neste período no AD FS (se federado). Uma entrada e saída rápidas (no mesmo segundo) podem ser um indicador de que uma senha está sendo adivinhada com sucesso e sendo tentada pelo invasor.
2. Colha os eventos bem-sucedidos ou interrompidos do Microsoft Entra para cenários federados e gerenciados durante esse período de tempo.

Monitorar e compilar IDs de evento do Microsoft Entra ID

Confira como encontrar o significado dos logs de erro.

As seguintes IDs de evento de Microsoft Entra ID são relevantes:

• 50057 – A conta de usuário foi desabilitada
• 50055 – Senha expirada
• 50072 – Usuário solicitado a fornecer um MFA
• 50074 – MFA necessária
• 50079 – O usuário precisa registrar informações de segurança
• 53003 – Usuário bloqueado pelo acesso condicional
• 53004 - Não é possível configurar a MFA devido a atividades suspeitas
• 530032 – Bloqueado por acesso condicional na política de segurança
• Status do login: Êxito, Falha, Interrupção

Coletar IDs de eventos do playbook do Microsoft Sentinel

Você pode obter todas as IDs de Eventos do Playbook do Microsoft Sentinel que está disponível no GitHub.

Isolar e confirmar o ataque

Isole os eventos de login bem-sucedidos e interrompidos do ADFS e Microsoft Entra. Essas são suas contas de interesse.

Bloqueie o endereço IP do AD FS 2012 R2 e superior para autenticação federativa. Veja um exemplo:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

Agrupar os logs dos AD FS

Coletar várias identificações de evento dentro de um intervalo de tempo. Veja um exemplo:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

Agrupar logs do ADFS no Microsoft Entra ID

Os relatórios de entrada do Microsoft Entra incluem a atividade de entrada do ADFS quando você usa o Microsoft Entra Connect Health. Filtre os logs de entrada pelo Tipo de Emissor de Token "Federado".

Veja um exemplo de comando do PowerShell para recuperar os logs de entrada de um endereço IP específico:

Get-AzureADIRSignInDetail -TenantId aaaabbbb-0000-cccc-1111-dddd2222eeee -IpAddress 131.107.128.76

Além disso, pesquise no portal do Azure o período de tempo, o endereço IP e a entrada bem-sucedida e interrompida, conforme mostrado nessas imagens.

Depois, baixe esses dados como um arquivo .csv para análise. Para obter mais informações, consulte Relatórios de atividade de entrada no Centro de administração do Microsoft Entra.

Priorizar as conclusões

É importante conseguir reagir à ameaça mais crítica possível. Essa ameaça pode indicar que o invasor obteve acesso com sucesso a uma conta e, portanto, pode acessar/exfiltrar dados; O invasor tem a senha, mas pode não conseguir acessar a conta. Por exemplo, eles têm a senha, mas não estão passando no desafio da autenticação multifator (MFA). Além disso, o invasor pode não adivinhar as senhas corretamente, mas continuar tentando. Durante a análise, priorize estas conclusões:

• Logins bem-sucedidos por endereço IP de atacante conhecido
• Entrada interrompida por endereço IP de invasor conhecido
• Tentativas de login malsucedidas por endereço IP de invasor conhecido
• Outros logins bem-sucedidos de endereços IP desconhecidos

Verificar a autenticação herdada

A maioria dos ataques usa a autenticação herdada. Há várias maneiras de determinar o protocolo do ataque.

1. Em Microsoft Entra ID, navegue até Sign-Ins e filtre em Client App.

2. Selecione todos os protocolos de autenticação herdados listados.

   

3. Ou, se você tiver um espaço de trabalho Azure, poderá usar a pasta de trabalho predefinida de autenticação herdada localizada na central de administração Microsoft Entra em Monitoramento e Pastas de Trabalho.

   

Bloquear endereço IP para Microsoft Entra ID em cenário gerenciado (PHS, incluindo estágio)

1. Navegue até Novas localizações nomeadas.

   

2. Crie uma política de Acesso Condicional para aplicar a todos os aplicativos e bloquear apenas essa localização nomeada.

O usuário já usou esse sistema operacional, IP, ISP, dispositivo ou navegador?

Se nunca o fizeram e essa atividade for incomum, sinalize o usuário e investigue todas as atividades dele.

O IP está marcado como “suspeito”?

Registre as tentativas de senha bem-sucedidas, mas as respostas da autenticação multifator com falha, pois essa atividade indica que o invasor obteve a senha, mas não consegue passar na autenticação multifator.

Separe as contas que parecem ser entradas normais, por exemplo, aprovadas na MFA, com localização e IP dentro do padrão.

Relatório de MFA

É importante também verificar os logs de MFA para determinar se um invasor adivinhou uma senha, mas não está conseguindo passar pelo prompt de MFA. Os logs de autenticação multifator do Microsoft Entra mostram detalhes de autenticação para eventos quando um usuário é solicitado a fornecer autenticação multifator. Verifique se não há logs grandes e suspeitos de MFA no Microsoft Entra ID. Para obter mais informações, consulte como usar o relatório de acessos para revisar os eventos de autenticação multifator do Microsoft Entra.

Verificações extras

Em Defender para Aplicativos de Nuvem, investigue as atividades e o acesso a arquivos da conta comprometida. Para saber mais, veja:

• Investigar comprometimento com o Defender para Aplicativos de Nuvem
• Investigar anomalias com o Defender para Aplicativos em Nuvem

Verifique se o usuário tem acesso a mais recursos, como VMs (máquinas virtuais), permissões de conta de domínio, armazenamento, entre outros. Se houver uma violação de dados, você deve informar mais agências, como a polícia.

Ações corretivas imediatas

1. Altere a senha das contas suspeitas de violação ou cujas senhas foram descobertas. Além disso, bloqueie o usuário. Siga as diretrizes para revogar o acesso de emergência.
2. Marque qualquer conta comprometida como "compromised" no Microsoft Entra Identity Protection.
3. Bloqueie o endereço IP do invasor. Tenha cuidado ao executar essa ação, pois os invasores podem usar VPNs legítimas e isso pode criar mais riscos, pois eles também alteram os endereços IP. Se você estiver usando a Autenticação de Nuvem, bloqueie o endereço IP em Defender para Aplicativos de Nuvem ou Microsoft Entra ID. Se o endereço IP for federado, bloqueie-o no nível do firewall à frente do serviço AD FS.
4. Bloqueie a autenticação herdada se ela estiver sendo usada (mas essa ação pode afetar os negócios).
5. Habilite a MFA se ela ainda não estiver habilitada.
6. Habilite o Identity Protection para o risco do usuário e o risco de login
7. Verifique os dados comprometidos (emails, SharePoint, OneDrive, aplicativos). Veja como usar o filtro atividade no Defender para Aplicativos de Nuvem.
8. Mantenha a limpeza de senhas. Para obter mais informações, consulte Microsoft Entra proteção por senha.

Recuperação

Proteção por senha

Implemente proteção por senha no Microsoft Entra ID e nas instalações, habilitando listas personalizadas de senhas proibidas. Essa configuração impede que os usuários configurem senhas fracas ou associadas à organização:

Para obter mais informações, confira como se defender de ataques de pulverização de senha.

Etiquetar endereço IP

Marque os endereços IP em Defender para Aplicativos de Nuvem para receber alertas relacionados ao uso futuro:

Marcando endereços IP

Em Defender para Aplicativos de Nuvem, "etiquete" o endereço IP para o escopo de IP e configure um alerta para esse intervalo de IP para referência futura e resposta rápida.

Como definir alertas para um endereço IP específico

Configurar alertas

Você pode configurar alerta dependendo das necessidades da organização.

Configure alertas na ferramenta de SIEM e procure aprimorar as lacunas nos registros. Integre o log do ADFS, Microsoft Entra ID, Office 365 e Defender para Aplicativos de Nuvem.

Configure o limiar e os alertas no ADFS Health Connect e no portal de IP Suspeito.

Veja como configurar alertas no portal do Identity Protection.

Configurar políticas de risco de sign-in com o Conditional Access ou o Identity Protection

• Configurar risco de login
• Configurar risco do usuário
• Configurar alertas de política no Defender para Aplicativos de Nuvem

Defesas recomendadas

• Eduque os usuários finais, as principais partes interessadas, as operações da linha de frente, as equipes técnicas, as equipes de segurança cibernética e as equipes de comunicações
• Examinar o controle de segurança e fazer as alterações necessárias para aprimorar ou fortalecer o controle de segurança na organização
• Sugerir uma avaliação de configuração do Microsoft Entra
• Realizar exercícios regulares do simulador de ataque

Referências

Pré-requisitos

• Alertas do Microsoft Sentinel
• integração SIEM no Defender para Aplicativos de Nuvem
• integração SIEM com o API do Graph
• Manual de alertas do Splunk
• Como instalar o AD FS Connect Health
• Entendendo os logs de login do Microsoft Entra
• Noções básicas sobre o relatório de MFA

Mitigações

• Mitigações da pulverização de senha
• Habilitar a proteção de senha
• Bloquear a autenticação herdada
• Bloquear o endereço IP nos AD FS
• Controles de acesso (incluindo o bloqueio de endereços IP) nos AD FS v3
• Proteção de senha dos AD FS
• Habilitar o bloqueio de extranet do AD FS
• MFA como autenticação principal
• Habilitar a Proteção de Identidade
• Microsoft Entra referência de atividade de auditoria
• Esquema de logs de auditoria do Microsoft Entra
• Esquema de logs de entrada do Microsoft Entra
• Microsoft Entra log de auditoria API do Graph
• Alertas de IP suspeito

Recuperação

• Integrações da ferramenta de SIEM
• Criar alertas de Defender para Aplicativos de Nuvem
• Criar alertas de IP arriscado e ADFS Health Connect
• Alertas de Proteção de Identidade
• Simulador de ataque

Guias extras de resposta a incidentes

Examine as diretrizes para identificar e investigar esses tipos extras de ataques:

• Phishing
• Consentimento do aplicativo

Recursos de resposta a incidentes

• Visão geral dos produtos e recursos de segurança da Microsoft para analistas novos na função e experientes
• Planejamento do seu SOC (Centro de Operações de Segurança)
• Microsoft Defender XDR resposta a incidentes
• Microsoft Defender para Nuvem (Azure)
• Microsoft Sentinel resposta a incidentes
• Microsoft guia da equipe de Resposta a Incidentes compartilha as melhores práticas para equipes de segurança e líderes
• Microsoft Guias de Resposta a Incidentes ajudam as equipes de segurança a analisar atividades suspeitas