Tutorial: Configurar a análise de segurança de dados do Azure Active Directory B2C com o Microsoft Sentinel

  • Artigo

Aumente a segurança de seu ambiente do Azure Active Directory B2C (Azure AD B2C) encaminhando logs e informações de auditoria para o Microsoft Sentinel. O escalonável Microsoft Sentinel é uma solução nativa da nuvem que oferece gerenciamento de eventos de informações de segurança (SIEM) e orquestração de segurança, automação e resposta (SOAR). Usar a solução para detecção de alertas, visibilidade de ameaças, busca proativa e resposta a ameaças para o Azure Active AD B2C.

Saiba mais:

Mais usos para o Microsoft Sentinel, com o Azure AD B2C, são:

  • Detectar ameaças que ainda não foram descobertas e minimizar falsos positivos com recursos de análise e a inteligência contra ameaças
  • Investigar as ameaças com inteligência artificial (IA)
    • Busca por atividades suspeitas em escala, e se beneficia da experiência de anos de trabalho de segurança cibernética na Microsoft
  • Responder rapidamente a incidentes com a orquestração de tarefas comuns e automação
  • Atender aos requisitos de segurança e conformidade de sua organização

Neste tutorial, você aprenderá a:

  • Transferir logs de Azure AD B2C para um workspace do Log Analytics
  • Habilitar o Microsoft Sentinel em um workspace do Log Analytics
  • Criar uma regra de amostra no Microsoft Sentinel para disparar um incidente
  • Configurar uma resposta automatizada

Configurar o Azure AD B2C com o Log Analytics do Azure Monitor

Para definir para onde os logs e métricas de um recurso são enviados,

  1. Habilite Configurações de diagnóstico na ID do Microsoft Entra, no seu locatário do Azure AD B2C.
  2. Configure o Azure AD B2C para enviar logs ao Azure Monitor.

Saiba mais, Monitorar o Azure AD B2C com o Azure Monitor.

Implantar uma instância do Microsoft Sentinel

Depois de configurar sua instância do Azure AD B2C para enviar logs ao Azure Monitor, habilite uma instância do Microsoft Sentinel.

Importante

Para habilitar o Microsoft Sentinel, obtenha permissões de Colaborador para a assinatura na qual o espaço de trabalho do Microsoft Sentinel está. Para usar o Microsoft Sentinel, use as permissões de Colaborador ou de Leitor no grupo de recursos ao qual o espaço de trabalho pertence.

  1. Entre no portal do Azure.

  2. Selecione a assinatura na qual o workspace do Log Analytics é criado.

  3. Pesquise pelo Microsoft Sentinel e selecione-o.

    Captura de tela do Azure Sentinel inserido no campo de pesquisa e a opção Azure Sentinel exibida.

  4. Selecione Adicionar.

  5. No campo espaço de trabalho de pesquisa, selecione o novo espaço de trabalho.

    Captura de tela do campo de espaço de trabalho de pesquisa em Escolher um espaço de trabalho a ser adicionado ao Azure Sentinel.

  6. Selecione Adicionar Microsoft Sentinel.

    Observação

    É possível executar o Microsoft Sentinel em mais de um espaço de trabalho, porém os dados são isolados em um único espaço de trabalho.
    Veja, Início Rápido: Integrar o Microsoft Sentinel

Criar uma regra do Microsoft Sentinel

Depois de habilitar o Microsoft Sentinel, seja notificado quando algo suspeito ocorrer em seu locatário do Azure AD B2C.

É possível criar regras de análise personalizadas para descobrir ameaças e comportamentos anômalos em seu ambiente. Estas regras pesquisam por eventos específicos, ou conjuntos de eventos, e alertam quando os limites ou condições de eventos são atingidos. Então, os incidentes são gerados para investigação.

Veja, Criar regras de análise personalizadas para detectar ameaças

Observação

O Microsoft Sentinel tem modelos para criar regras de detecção de ameaças que pesquisam seus dados por atividades suspeitas. Para este tutorial, você cria uma regra.

Regra de notificação para acesso forçado mal sucedido

Use as seguintes etapas para receber notificação sobre duas ou mais tentativas de acesso forçado sem sucesso em seu ambiente. Um exemplo é o ataque por força bruta.

  1. No Microsoft Sentinel, a partir do menu da esquerda, selecione Analytics.

  2. Na barra superior, selecione + Criar>Regra de consulta agendada.

    Captura de tela da opção Criar em Analytics.

  3. No Assistente para regras do Analytics, acesse a guia Geral.

  4. Para Nome, insira um nome para logons mal sucedidos.

  5. Para Descrição, indique que a regra envia notificação para duas ou mais entradas mal sucedidas, dentro de 60 segundos.

  6. Para Táticas, selecione uma categoria. Por exemplo, selecione PreAttack.

  7. Para Severidade, selecione um nível de severidade.

  8. O Status é Habilitado por padrão. Para alterar uma regra, vá para a guia Regras ativas.

    Captura de tela de Criar nova regra com opções e seleções.

  9. Selecione a guiaConjunto de lógica de regra.

  10. Insira uma consulta no campo Consulta de regra. O exemplo de consulta organiza as credenciais por UserPrincipalName.

    Captura de tela do texto da consulta no campo Consulta de regra em Definir lógica de regra.

  11. Vá para Agendamento de consulta.

  12. Para Executar consulta a cada, insira 5 e Minutos.

  13. Para Pesquisa de dados nos últimos, insira 5 e Minutos.

  14. Para Gerar alerta quando o número de resultados da consulta, selecione For maior que, e 0.

  15. Para Agrupamento de eventos, selecione Agrupar todos os eventos em um único alerta.

  16. Para Parar de executar a consulta depois que o alerta for gerado, selecione Desativado.

  17. Selecione Próximo: configurações de incidente (versão prévia) .

Captura de tela das opções e seleções de agendamento de consultas.

  1. Vá para a guia Analisar e criar para analisar as configurações da regra.

  2. Quando a notificação Validação aprovada for exibida, selecione Criar.

    Captura de tela das configurações selecionadas, da notificação Validação aprovada, e da opção Criar.

Exibição da regra e os incidentes gerados por ela. Encontre sua nova regra personalizada do tipo Agendado na tabela sob a guia Regras ativas na janela principal

  1. Vá para a tela do Analytics.
  2. Selecione a guia Regras ativas.
  3. Na tabela, em Agendado, encontre a regra.

Você pode editar, habilitar, desabilitar ou excluir a regra.

Captura de tela das regras ativas com as opções Habilitar, Desabilitar, Excluir e Editar.

Triagem, investigação e correção de incidentes

Um incidente pode incluir vários alertas e é uma agregação de evidências relevantes para uma investigação. No nível de incidente, você pode definir propriedades tais como Severidade e Status.

Saiba mais: Investigar incidentes com o Microsoft Sentinel.

  1. Vá para a página de Incidentes.

  2. Selecione um incidente.

  3. À direita, aparecem informações detalhadas dos incidentes, incluindo a severidade, entidades, eventos e a ID do incidente.

    Captura de tela que mostra as informações do incidente.

  4. No painel de Incidentes, eleja Exibir todos os detalhes.

  5. Guias de revisão que resumem o incidente.

    Captura de tela de uma lista de incidentes.

  6. Selecione Evidência>Eventos>Link de Análise de logs.

  7. Nos resultados, veja o valor de identidade UserPrincipalName tentando fazer o login.

    Uma captura de tela com detalhes do incidente.

Resposta automatizada

O Microsoft Sentinel tem funções de orquestração de segurança, automação e resposta (SOAR). Anexar ações automatizadas, ou um guia estratégico, às regras de análise.

Veja, O que é o SOAR?

Notificação por email para um incidente

Para esta tarefa, use um guia estratégico do repositório GitHub do Microsoft Sentinel.

  1. Vá até um guia estratégico configurado.
  2. Edite a regra.
  3. Na guia de Resposta automatizada, selecione o guia estratégico.

Saiba mais: Incidente-Email-Notificação

Captura de tela das opções de resposta automatizada para uma regra.

Recursos

Para obter mais informações sobre o Microsoft Sentinel e o Azure AD B2C, confira:

Próxima etapa

Lidar com falsos positivos no Microsoft Sentinel