Compartilhar via


Configurar alertas de segurança para as funções do Azure no Privileged Identity Management

O PIM (Privileged Identity Management) gera alertas quando há atividades suspeitas ou inseguras em sua organização no Microsoft Entra ID. Quando um alerta é disparado, ele aparece na página Alertas.

Observação

Um evento no Privileged Identity Management pode gerar notificações por email para vários destinatários: destinatários, aprovadores ou administradores. O número máximo de notificações enviadas por evento é 1.000. Se o número de destinatários for superior a 1.000, somente os primeiros 1.000 destinatários receberão uma notificação por email. Isso não impede que outros destinatários, administradores ou aprovadores usem suas permissões no Microsoft Entra ID e no Privileged Identity Management.

Captura de tela da página de alertas listando alerta, nível de risco e contagem.

Revisar alertas

Selecione um alerta para ver um relatório que lista os usuários ou as funções que dispararam o alerta, junto com o guia correção.

Captura de tela do relatório de alerta mostrando o horário da última verificação, a descrição, as etapas de mitigação, o tipo, a gravidade, o impacto na segurança e como evitar na próxima vez.

Alertas

Alerta Severidade Gatilho Recomendação
Muitos proprietários atribuídos a um recurso Médio Muitos usuários têm a função de proprietário. Examine os usuários na lista e reatribua alguns a funções menos privilegiadas.
Muitos proprietários permanentes atribuídos a um recurso Médio Muitos usuários são permanentemente atribuídos a uma função. Examine os usuários na lista e transfira alguns para exigir ativação para o uso da função.
Duplicar função criada Médio Várias funções têm os mesmos critérios. Use apenas uma dessas funções.
As funções estão sendo atribuídas fora do Privileged Identity Management Alto Uma função é gerenciada diretamente por meio do recurso do IAM do Azure ou da API do Azure Resource Manager. Revise os usuários na lista e remova-os das funções privilegiadas atribuídas fora do Privileged Identity Management.

Observação

Para as funções que estão sendo atribuídas fora dos alertas do Privileged Identity Management, você pode encontrar notificações duplicadas. Essas duplicações estão relacionadas principalmente a um incidente ao vivo no site em que as notificações estão sendo enviadas novamente.

Severidade

  • Alta: exige ação imediata devido a uma violação da política.
  • Média: não exige ação imediata, mas sinaliza uma possível violação da política.
  • Baixa: não exige ação imediata, mas sugere uma alteração preferencial da política.

Definir configurações de alerta de segurança

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Siga estas etapas para configurar alertas de segurança para funções do Azure no Privileged Identity Management:

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Governança de identidade>Privileged Identity Management>Recursos do Azure Selecione sua assinatura >Alertas>Configuração. Para saber mais sobre como adicionar o bloco Privileged Identity Management ao seu painel, confira Começar a usar o Privileged Identity Management.

    Captura de tela da página de alertas com as configurações realçadas.

  3. Personalize configurações nos diferentes alertas para trabalhar com seu ambiente e as metas de segurança.

    Captura de tela da configuração de alerta.

Observação

O alerta "As funções estão sendo atribuídas fora do Gerenciamento de Identidades Privilegiadas" é disparado para atribuições de função criadas para assinaturas do Azure e não é disparado para atribuições de função em Grupos de Gerenciamento, Grupos de Recursos ou escopo de Recursos.

Próximas etapas