Tutorial: configurar a análise de segurança de dados do Azure Active Directory B2C com o Microsoft Azure Sentinel

Você pode proteger ainda mais seu ambiente do Azure AD B2C (Azure Active Directory B2C) encaminhando logs e informações de auditoria para o Microsoft Azure Sentinel. O Azure Sentinel é uma solução nativa da nuvem de SIEM (gerenciamento de eventos de informações de segurança) e SOAR (resposta automatizada para orquestração de segurança). O Microsoft Azure Sentinel oferece detecção de alertas, visibilidade de ameaças, busca proativa e resposta a ameaças no Azure Active Directory B2C.

Usando o Microsoft Azure Sentinel com o Azure Active Directory B2C, você pode:

  • Detectar ameaças que ainda não foram descobertas e minimizar falsos positivos usando a análise e a inteligência contra ameaças da Microsoft.
  • Investigar ameaças com a IA. Buscar atividades suspeitas em escala e acessar anos de trabalho relacionado à segurança cibernética na Microsoft.
  • Responda a incidentes de forma rápida com orquestração interna e automação de tarefas comuns.
  • Atenda aos requisitos de segurança e conformidade de sua organização.

Neste tutorial, você aprenderá como:

  • Transferir logs de Azure AD B2C para um workspace do Log Analytics.
  • Habilitar o Microsoft Azure Sentinel em um workspace do Log Analytics.
  • Criar uma regra de amostra no Microsoft Azure Sentinel que disparará um incidente.
  • Configurar a resposta automatizada.

Configurar o Azure AD B2C com o Log Analytics do Azure Monitor

Para definir onde os logs e as métricas de um recurso devem ser enviados, habilite Configurações de diagnóstico no Azure AD em seu locatário do Azure AD B2C. Depois, configure o Azure AD B2C para enviar logs para o Azure Monitor.

Implantar uma instância do Azure Sentinel

Depois de configurar sua instância do Azure AD B2C para enviar logs ao Azure Monitor, você precisa habilitar uma instância do Azure Sentinel.

Importante

Para habilitar o Azure Sentinel, você precisa de permissões de colaborador na assinatura na qual reside o workspace do Azure Sentinel. Para usar o Azure Sentinel, você precisa de permissões de colaborador ou leitor no grupo de recursos ao qual o workspace pertence.

  1. Acesse o portal do Azure. Selecione a assinatura na qual o workspace do Log Analytics é criado.

  2. Pesquise e selecione o Azure Sentinel.

    Captura de tela que mostra a pesquisa do Azure Sentinel no portal do Azure.

  3. Selecione Adicionar.

  4. Selecione o novo workspace.

    Captura de tela que mostra onde selecionar um workspace do Azure Sentinel.

  5. Selecione Adicionar o Azure Sentinel.

Observação

Você pode executar o Microsoft Azure Sentinel em mais de um workspace, mas os dados são isolados em um único workspace.

Crie uma regra do Microsoft Azure Sentinel

Agora que você habilitou o Microsoft Azure Sentinel, você será notificado quando algo suspeito ocorrer em seu locatário do Azure Active Directory B2C.

É possível criar regras de análise personalizadas para descobrir ameaças e comportamentos anômalos em seu ambiente. Essas regras pesquisam eventos ou conjuntos de eventos específicos e alertam você quando certos limites ou condições de eventos são alcançadas. Depois, eles geram incidentes para uma investigação mais aprofundada.

Observação

O Azure Sentinel fornece modelos internos para ajudar você a criar regras de detecção de ameaças projetadas pela equipe de especialistas e analistas de segurança da Microsoft. As regras criadas a partir desses modelos pesquisam automaticamente qualquer atividade suspeita em seus dados. Não há conectores de Azure Active Directory B2C nativos disponíveis no momento. Para o exemplo deste tutorial, criaremos nossa própria regra.

No exemplo a seguir, você receberá uma notificação se alguém tentar forçar o acesso ao seu ambiente, mas não for bem-sucedido. Isso pode significar um ataque de força bruta. Recomendamos notificações sobre dois ou mais logons sem sucesso em 60 segundos.

  1. No menu esquerdo no Azure Sentinel, selecione Análise.

  2. Na barra de ação na parte superior, selecione + Criar > Regra de consulta agendada.

    Captura de tela que mostra seleções para criação de uma regra de consulta agendada.

  3. No assistente de regra de análise, acesse a guia Geral e insira as seguintes informações:

    Campo Valor
    Nome Insira um nome apropriado para logons malsucedidos do Azure AD B2C.
    Descrição Insira uma descrição que diz que a regra notificará em dois ou mais logons malsucedidos dentro de 60 segundos.
    Táticas Escolha uma das categorias de ataques pelas quais classificar a regra. Estas categorias se baseiam nas táticas da estrutura MITRE ATT&CK.
    Para este exemplo, vamos escolher PreAttack.
    O MITRE ATT&CK é uma base de conhecimento globalmente acessível de táticas e técnicas adversárias com base em observações do mundo real. Essa base de conhecimento é usada como base para o desenvolvimento de modelos e metodologias de ameaças específicos.
    Gravidade Escolha o nível de gravidade apropriado.
    Status Quando você cria a regra, seu status é Habilitado por padrão. Esse status significa que a regra será executada imediatamente depois que você terminar de criá-la. Se você não quiser que ela seja executada imediatamente, selecione Desabilitado. A regra será adicionada à guia Regras ativas e será possível habilitá-la ali quando precisar.

    Captura de tela que mostra as propriedades básicas da regra.

  4. Para definir a lógica de consulta de regra e definir as configurações, na guia Definir lógica de regra, grave uma consulta diretamente na caixa Consulta de regra.

    Captura de tela que mostra a inserção da consulta de regra na guia para definir a lógica de regra.

    Esta consulta alertará você quando houver duas ou mais tentativas de logon sem sucesso em 60 segundos no seu locatário do Azure AD B2C. Ele organizará os logons por UserPrincipalName.

  5. Na seção agendamento de consulta, defina os seguintes parâmetros:

    Captura de tela que mostra a configuração de parâmetros de agendamento de consulta.

  6. Selecione Próximo: configurações de incidente (versão prévia) . Você vai configurar e adicionar a resposta automatizada posteriormente.

  7. Acesse a guia Revisar e criar para revisar todas as configurações da nova regra de alerta. Quando a mensagem Validação aprovada for exibida, selecione Criar para inicializar a regra de alerta.

    Captura de tela que mostra a guia para revisão e criação de uma regra.

  8. Veja a regra e os incidentes gerados por ela. Encontre a regra personalizada recém-criada do tipo Agendado na tabela sob a guia Regras ativas na tela principal de Análise. Nessa lista, é possível editar, habilitar, desabilitar ou excluir as regras usando os botões correspondentes.

    Captura de tela que mostra as regras ativas com opções para editar, habilitar, desabilitar ou excluir.

  9. Veja os resultados da nova regra de logons sem sucesso do Azure AD B2C. Acesse a página Incidentes, na qual é possível fazer a triagem, investigar e corrigir as ameaças.

    Um incidente pode incluir vários alertas. É uma agregação de todas as evidências relevantes para uma investigação específica. É possível definir propriedades como severidade e status no nível do incidente.

    Observação

    Um recurso importante do Microsoft Azure Sentinel é a investigação de incidentes.

  10. Para iniciar uma investigação, selecione um incidente específico.

    À direita, você pode ver informações detalhadas sobre o incidente. Essas informações incluem gravidade, entidades envolvidas, eventos brutos que o dispararam e a ID exclusiva dele.

    Captura de tela que mostra as informações do incidente.

  11. Selecione Exibir detalhes completos no painel do incidente. Examine as guias que resumem as informações de incidente e forneça mais detalhes.

    Captura de tela que mostra guias para informações do incidente.

  12. Selecione Evidência > Eventos > Link de Análise de logs. O resultado exibirá o valor UserPrincipalName da identidade que está tentando fazer logon com o número de tentativas.

    Captura de tela que mostra os detalhes completos de um incidente selecionado.

Resposta automatizada

O Microsoft Azure Sentinel oferece uma capacidade robusta de SOAR. Ações automatizadas, chamadas de guia estratégico no Microsoft Azure Sentinel, podem ser anexadas a regras de análise para atender aos requisitos.

Neste exemplo, adicionamos uma notificação por email para um incidente criado pela regra. Para realizar essa tarefa, use um guia estratégico existente do repositório GitHub do Azure Sentinel. Depois que o guia estratégico estiver configurado, edite a regra existente e selecione o guia estratégico na guia Resposta automatizada.

Captura de tela que mostra a tela de configuração de imagem para a resposta automatizada associada a uma regra.

Para obter mais informações sobre o Azure Sentinel e o Azure AD B2C, confira:

Próximas etapas