Utilizando o Azure AD Identity Protection para Detecção de Riscos e Remediação

Utilizando o Azure AD Identity Protection para Detecção de Riscos e Remediação

14/12/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na utilização do Azure AD Identity Protection para detectar, investigar e remediar riscos de identidade em seus ambientes. O Azure AD Identity Protection é um recurso do Microsoft Entra ID (anteriormente Azure Active Directory) que automatiza a detecção e remediação de riscos baseados em identidade, protegendo as organizações contra ameaças como credenciais comprometidas, ataques de força bruta e acesso não autorizado [1].

Introdução

As identidades são o novo perímetro de segurança. Com a mudança para a nuvem e o trabalho remoto, a proteção das identidades dos usuários tornou-se mais crítica do que nunca. Ataques de phishing, vazamento de credenciais, pulverização de senhas e acesso de locais incomuns são ameaças constantes que podem levar ao comprometimento de contas e, consequentemente, a violações de dados e interrupções de serviço. O Azure AD Identity Protection oferece uma solução proativa e automatizada para identificar atividades de risco, avaliar o nível de risco associado a usuários e entradas (sign-ins) e aplicar políticas de remediação em tempo real para proteger as identidades da sua organização [2].

Este guia prático abordará os conceitos fundamentais do Azure AD Identity Protection, incluindo os tipos de detecção de risco, as políticas de risco de usuário e de entrada, a configuração dessas políticas, a integração com o Acesso Condicional do Azure AD, bem como a investigação e remediação de riscos. Serão fornecidas instruções passo a passo, exemplos de configurações e para que o leitor possa implementar e validar o Azure AD Identity Protection, fortalecendo a segurança de suas identidades e garantindo uma resposta eficaz a incidentes de segurança de identidade de forma autônoma, profissional e confiável.

Por que o Azure AD Identity Protection é crucial?

  • Detecção de Riscos em Tempo Real: Utiliza algoritmos de aprendizado de máquina e inteligência de ameaças da Microsoft para detectar automaticamente atividades suspeitas, como entradas de locais anônimos, IPs infectados, viagens impossíveis e credenciais vazadas.
  • Avaliação de Risco Adaptativa: Atribui um nível de risco (baixo, médio, alto) a cada usuário e entrada com base em uma variedade de fatores, permitindo respostas proporcionais à ameaça.
  • Políticas de Remediação Automatizadas: Permite configurar políticas que automaticamente exigem MFA, redefinem senhas ou bloqueiam o acesso em resposta a níveis de risco específicos.
  • Integração com Acesso Condicional: Trabalha em conjunto com o Acesso Condicional do Azure AD para impor controles de acesso adaptativos com base no risco da identidade.
  • Visibilidade e Investigação: Fornece relatórios detalhados sobre detecções de risco, usuários de risco e entradas de risco, facilitando a investigação e a resposta a incidentes.
  • Redução da Carga de Trabalho do SOC: Automatiza a triagem e a remediação de muitos incidentes de identidade, liberando a equipe de segurança para se concentrar em ameaças mais complexas.

Pré-requisitos

Para utilizar o Azure AD Identity Protection, você precisará dos seguintes itens:

  1. Licenciamento: O Azure AD Identity Protection requer uma licença Microsoft Entra ID P2 (anteriormente Azure AD Premium P2) [3].
  2. Acesso Administrativo: Uma conta com a função de Administrador de Segurança, Administrador de Acesso Condicional ou Administrador Global no portal do Azure (https://portal.azure.com).
  3. MFA Configurado: Para que as políticas de risco de entrada e usuário funcionem de forma eficaz, os usuários devem ter o Multi-Factor Authentication (MFA) configurado e registrado. Recomenda-se o uso do Azure AD Multi-Factor Authentication.

Passo a Passo: Configurando o Azure AD Identity Protection

Vamos configurar as políticas de risco para proteger suas identidades.

1. Acessando o Azure AD Identity Protection

  1. Abra seu navegador e navegue até o portal do Azure: https://portal.azure.com.
  2. Faça login com uma conta que tenha as permissões necessárias.
  3. No campo de pesquisa superior, digite Azure AD Identity Protection e selecione-o nos resultados.

2. Configurando a Política de Risco de Usuário

Esta política define a ação a ser tomada quando um usuário é detectado como estando em risco (ex: credenciais vazadas, atividades anômalas persistentes).

  1. No painel de navegação esquerdo do Azure AD Identity Protection, selecione Políticas de risco de usuário.

  2. Atribuições:

    • Em Usuários, selecione Todos os usuários ou Selecionar indivíduos e grupos para aplicar a política a usuários específicos ou grupos de teste. Para começar, é recomendável aplicar a um grupo de teste.
    • Opcionalmente, você pode Excluir usuários e grupos (ex: contas de serviço, administradores de emergência).

  3. Condições:

    • Em Risco de usuário, defina o nível de risco que acionará a política (ex: Alto). Você pode começar com Médio e superior e ajustar conforme a necessidade.

  4. Controles:

    • Acesso: Selecione Permitir acesso.
    • Impor política: Selecione Exigir alteração de senha segura.
      • Explicação: Se um usuário atingir o nível de risco configurado, ele será forçado a alterar sua senha na próxima entrada. Isso é crucial para credenciais vazadas.

  5. Habilitar política: Defina como Ativado.

  6. Clique em Salvar.

3. Configurando a Política de Risco de Entrada (Sign-in Risk Policy)

Esta política define a ação a ser tomada quando uma tentativa de entrada é detectada como sendo de risco (ex: de um local incomum, IP anônimo, IP infectado).

  1. No painel de navegação esquerdo do Azure AD Identity Protection, selecione Políticas de risco de entrada.

  2. Atribuições:

    • Em Usuários, selecione Todos os usuários ou Selecionar indivíduos e grupos.
    • Opcionalmente, você pode Excluir usuários e grupos.

  3. Condições:

    • Em Risco de entrada, defina o nível de risco que acionará a política (ex: Médio).

  4. Controles:

    • Acesso: Selecione Permitir acesso.
    • Impor política: Selecione Exigir Multi-Factor Authentication.
      • Explicação: Se uma entrada for detectada como de risco, o usuário será obrigado a completar um desafio MFA, mesmo que normalmente não seja exigido. Isso ajuda a verificar a identidade do usuário.

  5. Habilitar política: Defina como Ativado.

  6. Clique em Salvar.

4. Configurando a Política de MFA de Registro

Esta política garante que novos usuários ou usuários que ainda não registraram o MFA sejam solicitados a fazê-lo, o que é um pré-requisito para as políticas de risco.

  1. No painel de navegação esquerdo do Azure AD Identity Protection, selecione Política de registro de MFA.

  2. Atribuições:

    • Em Usuários, selecione Todos os usuários ou Selecionar indivíduos e grupos.
    • Opcionalmente, você pode Excluir usuários e grupos.

  3. Impor política: Defina como Ativado.

  4. Clique em Salvar.

5. Investigando Usuários e Entradas de Risco

O Identity Protection fornece relatórios para monitorar e investigar atividades de risco.

  1. No painel de navegação esquerdo do Azure AD Identity Protection, selecione Usuários de risco.

    • Este relatório lista os usuários que foram detectados como estando em risco, juntamente com o nível de risco e a última detecção de risco.

  2. Clique em um usuário para ver os detalhes do risco, incluindo as detecções de risco específicas (ex: Credenciais vazadas, Entrada de IP anônimo).

  3. No painel de navegação esquerdo, selecione Entradas de risco.

    • Este relatório lista as tentativas de entrada que foram detectadas como de risco, juntamente com o nível de risco e os detalhes da entrada.

  4. Clique em uma entrada de risco para ver os detalhes completos, incluindo o tipo de detecção, o local, o dispositivo e o aplicativo.

6. Remediando Riscos Manualmente

Embora as políticas automatizem a remediação, você pode precisar remediar riscos manualmente.

  1. Para Usuários de Risco:

    • No relatório Usuários de risco, selecione um usuário.
    • Você pode escolher Confirmar usuário comprometido (isso acionará a política de risco de usuário, forçando uma alteração de senha) ou Dispensar risco de usuário (se você determinar que o risco é um falso positivo).

  2. Para Entradas de Risco:

    • No relatório Entradas de risco, selecione uma entrada.
    • Você pode escolher Confirmar comprometimento ou Confirmar segurança (se for um falso positivo).

Validação e Teste

Testar o Azure AD Identity Protection é crucial para garantir que as políticas estão funcionando conforme o esperado.

1. Simulação de Risco de Entrada (IP Anônimo)

  1. Use uma VPN ou um proxy para se conectar à internet de um local que não seja o seu local de trabalho usual e que possa ser classificado como um IP anônimo (ex: um servidor proxy público, Tor).

  2. Tente fazer login no portal do Azure ou em um aplicativo conectado ao Azure AD com uma conta de teste.

    • Resultado Esperado: Se a política de risco de entrada estiver configurada para Médio ou Alto e Exigir Multi-Factor Authentication, você deve ser solicitado a completar o MFA. Se o risco for Alto e a política estiver configurada para Bloquear acesso, o acesso será negado.

  3. Verifique o relatório Entradas de risco no Azure AD Identity Protection. Você deve ver uma entrada de risco para a conta de teste com o tipo de detecção Entrada de IP anônimo.

2. Simulação de Risco de Usuário (Credenciais Vazadas)

Não é possível simular credenciais vazadas diretamente, mas você pode testar a política de risco de usuário definindo um usuário de teste para o nível de risco Alto manualmente (apenas para fins de teste em um ambiente controlado).

  1. No relatório Usuários de risco, selecione um usuário de teste.
  2. Clique em Confirmar usuário comprometido (isso definirá o risco do usuário como Alto e acionará a política).
  3. Peça ao usuário de teste para tentar fazer login.
    • Resultado Esperado: O usuário deve ser solicitado a alterar sua senha na próxima entrada, conforme configurado na política de risco de usuário.

3. Verificando os Logs de Auditoria e Logs de Entrada

  1. No portal do Azure, navegue até Azure Active Directory > Monitoramento > Logs de entrada.
  2. Filtre os logs por Status do risco de entrada e Status do risco de usuário para ver as entradas que foram avaliadas e as ações tomadas.

Dicas de Segurança e Melhores Práticas

  • Comece com o Modo de Relatório: Ao configurar as políticas de risco, comece com o modo Somente relatório para entender o impacto das políticas antes de aplicá-las em modo de imposição. Isso ajuda a identificar falsos positivos sem interromper os usuários.
  • Educação do Usuário: Eduque os usuários sobre a importância do MFA e como responder a solicitações de alteração de senha ou desafios de MFA. Explique os benefícios do Identity Protection para eles.
  • Integração com Acesso Condicional: Use o Identity Protection em conjunto com o Acesso Condicional para criar políticas de acesso adaptativas mais sofisticadas. Por exemplo, bloquear o acesso a aplicativos críticos se o risco de entrada for Alto.
  • Monitoramento Contínuo: Monitore regularmente os relatórios Usuários de risco e Entradas de risco para investigar atividades suspeitas e garantir que as políticas estão funcionando conforme o esperado.
  • Revisão Periódica das Políticas: Revise e ajuste suas políticas de risco regularmente para se adaptar às mudanças no cenário de ameaças e nos requisitos de negócios.
  • Integração com SIEM/SOAR: Integre os alertas do Azure AD Identity Protection com seu SIEM (ex: Microsoft Sentinel) para uma visão centralizada e automação de resposta a incidentes mais abrangente.
  • Priorize Usuários Privilegiados: Concentre-se em proteger usuários com altos privilégios (administradores) com as políticas de risco mais rigorosas.

Troubleshooting Comum

  • Usuários não são solicitados a MFA/alteração de senha: Verifique se o usuário tem uma licença Azure AD P2. Certifique-se de que as políticas de risco estão Ativadas e que o usuário está incluído nas atribuições. Verifique se o usuário já registrou o MFA.
  • Falsos positivos de risco: Investigue as detecções de risco para entender por que foram acionadas. Você pode Confirmar segurança para entradas ou Dispensar risco de usuário para usuários se tiver certeza de que não há ameaça. Ajuste as condições das políticas de risco se necessário (ex: aumentar o nível de risco que aciona a política).
  • Usuários bloqueados indevidamente: Se a política de risco de entrada estiver configurada para Bloquear acesso para um risco Médio ou Baixo, isso pode resultar em bloqueios excessivos. Revise o nível de risco e a ação da política. Considere usar Exigir Multi-Factor Authentication em vez de Bloquear acesso para riscos médios.
  • Problemas com o registro de MFA: Certifique-se de que a Política de Registro de MFA está Ativada e que os usuários estão incluídos. Verifique se há outras políticas de Acesso Condicional que possam estar interferindo.
  • Detecções de risco não aparecem: Verifique se o Identity Protection está habilitado e se há tráfego de autenticação no seu Azure AD. Pode levar algum tempo para que as detecções de risco apareçam, especialmente para riscos de usuário.

Conclusão

O Azure AD Identity Protection é uma ferramenta indispensável para proteger as identidades em ambientes modernos baseados em nuvem. Ao automatizar a detecção e remediação de riscos de identidade, ele permite que as organizações respondam rapidamente a ameaças, reduzam a superfície de ataque e fortaleçam sua postura de segurança geral. A implementação cuidadosa das políticas de risco, combinada com a educação do usuário e o monitoramento contínuo, capacita as equipes de segurança a proteger proativamente as identidades mais críticas. Com este guia prático, os profissionais de segurança estarão bem equipados para configurar, validar e gerenciar o Azure AD Identity Protection, garantindo que suas identidades permaneçam seguras e resilientes contra as ameaças cibernéticas em constante evolução.

Referências:

[1] Microsoft Learn. O que é o Microsoft Entra ID Protection?. Disponível em: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection [2] Microsoft Learn. O que são detecções de risco?. Disponível em: https://learn.microsoft.com/pt-br/entra/id-protection/concept-identity-protection-risks [3] Microsoft Learn. Requisitos de licenciamento para o Microsoft Entra ID Protection. Disponível em: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection#license-requirements [4] Microsoft Learn. Configurar políticas de risco para o Microsoft Entra ID Protection. Disponível em: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-configure-risk-policies [5] Microsoft Learn. Investigar riscos com o Microsoft Entra ID Protection. Disponível em: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-investigate-risk [6] Microsoft Learn. Remediar riscos e desbloquear usuários. Disponível em: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-remediate-unblock