Compartilhar via

Tutorial: Configurar a análise de segurança para dados do Azure Active Directory B2C com o Microsoft Sentinel

Importante

A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais em nossas perguntas frequentes.

Aumente a segurança do seu ambiente do Azure Active Directory B2C (Azure AD B2C) roteando logs e informações de auditoria para o Microsoft Sentinel. O Microsoft Sentinel escalonável é uma solução nativa de nuvem de SIEM (gerenciamento de eventos e informações de segurança) e SOAR (orquestração, automação e resposta de segurança). Use a solução para detecção de alertas, visibilidade de ameaças, busca proativa e resposta a ameaças para o Azure AD B2C.

Saiba Mais:

Mais usos para o Microsoft Sentinel, com o Azure AD B2C, são:

  • Detecte ameaças não detectadas anteriormente e minimize falsos positivos com recursos de análise e inteligência de ameaças
  • Investigue ameaças com inteligência artificial (IA)
    • Procure atividades suspeitas em escala e beneficie-se da experiência de anos de trabalho de segurança cibernética na Microsoft
  • Responda rapidamente a incidentes com orquestração e automação de tarefas comuns
  • Atenda aos requisitos de segurança e conformidade da sua organização

Neste tutorial, saiba como:

  • Transferir logs do Azure AD B2C para um ambiente de trabalho do Log Analytics
  • Habilitar o Microsoft Sentinel em um workspace do Log Analytics
  • Criar uma regra de exemplo no Microsoft Sentinel para disparar um incidente
  • Configurar uma resposta automatizada

Configurar o Azure AD B2C com o Log Analytics do Azure Monitor

Para definir para onde os logs e as métricas de um recurso são enviados,

  1. Habilite as configurações de diagnóstico no Microsoft Entra ID, em seu locatário do Azure AD B2C.
  2. Configure o Azure AD B2C para enviar logs ao Azure Monitor.

Saiba mais, Monitore o Azure AD B2C com o Azure Monitor.

Implantar uma instância do Microsoft Sentinel

Depois de configurar sua instância do Azure AD B2C para enviar logs para o Azure Monitor, habilite uma instância do Microsoft Sentinel.

Importante

Para habilitar o Microsoft Sentinel, obtenha permissões de Colaborador para a assinatura na qual o workspace do Microsoft Sentinel reside. Para usar o Microsoft Sentinel, use as permissões de Colaborador ou Leitor no grupo de recursos ao qual o workspace pertence.

  1. Entre no portal do Azure.

  2. Selecione a assinatura em que o workspace do Log Analytics é criado.

  3. Pesquise pelo Microsoft Sentinel e selecione-o.

    Captura de tela do Azure Sentinel inserida no campo de pesquisa e na opção do Azure Sentinel exibida.

  4. Selecione Adicionar.

  5. No campo pesquisar áreas de trabalho , selecione a nova área de trabalho.

    Captura de tela do campo workspaces de pesquisa em Escolher um workspace a ser adicionado ao Azure Sentinel.

  6. Selecione Adicionar Microsoft Sentinel.

    Observação

    É possível executar o Microsoft Sentinel em mais de um workspace, no entanto, os dados são isolados em um único workspace.
    Veja, Início Rápido: Integrar o Microsoft Sentinel

Criar uma regra do Microsoft Sentinel

Depois de habilitar o Microsoft Sentinel, seja notificado quando algo suspeito ocorrer em seu locatário do Azure AD B2C.

Você pode criar regras de análise personalizadas para descobrir ameaças e comportamentos anômalos em seu ambiente. Essas regras pesquisam eventos específicos ou conjuntos de eventos e alertam quando os limites ou condições de eventos são atendidos. Em seguida, os incidentes são gerados para investigação.

Consulte Criar regras de análise personalizadas para detectar ameaças

Observação

O Microsoft Sentinel tem modelos para criar regras de detecção de ameaças que pesquisam seus dados em busca de atividades suspeitas. Para este tutorial, você cria uma regra.

Regra de notificação para acesso forçado malsucedido

Use as etapas a seguir para receber notificações sobre duas ou mais tentativas de acesso forçado e malsucedidas em seu ambiente. Um exemplo é o ataque de força bruta.

  1. No Microsoft Sentinel, no menu à esquerda, selecione Análise.

  2. Na barra superior, selecione + Criar>regra de consulta agendada.

    Captura de tela da opção Criar em Analytics.

  3. No Assistente para regras do Analytics, acesse a guia Geral.

  4. Em Nome, insira um nome para logins malsucedidos.

  5. Em Descrição, indique que a regra notifica duas ou mais entradas malsucedidas, dentro de 60 segundos.

  6. Para Táticas, selecione uma categoria. Por exemplo, selecione Pré-ataque.

  7. Em Gravidade, selecione um nível de gravidade.

  8. O status é Ativado por padrão. Para alterar uma regra, vá para a guia Regras ativas .

    Captura de tela de Criar nova regra com opções e seleções.

  9. Selecione a guiaConjunto de lógica de regra.

  10. Insira uma consulta no campo Consulta de regra . O exemplo de consulta organiza os logins por UserPrincipalName.

    Captura de tela do texto da consulta no campo Consulta Regra em Definir lógica de regra.

  11. Vá para Agendamento de consultas.

  12. Para Executar consulta a cada, insira 5 e Minutos.

  13. Para Pesquisa de dados nos últimos, insira 5 e Minutos.

  14. Para Gerar alerta quando o número de resultados da consulta, selecione É maior que e 0.

  15. Para Agrupamento de eventos, selecione Agrupar todos os eventos em um único alerta.

  16. Para Parar de executar a consulta após a geração do alerta, selecione Desativado.

  17. Selecione Avançar: Configurações de incidente (versão prévia).

Captura de tela das seleções e opções de agendamento de consulta.

  1. Vá para a guia Revisar e criar para revisar as configurações da regra.

  2. Quando o banner Validação aprovada for exibido, selecione Criar.

    Captura de tela das configurações selecionadas, o banner Validação aprovada e a opção Criar.

Veja a regra e os incidentes que ela gera. Encontre sua regra personalizada recém-criada do tipo Agendado na tabela na guia Regras ativas no principal

  1. Vá para a tela Analytics .
  2. Selecione a guia Regras ativas .
  3. Na tabela, em Agendado, encontre a regra.

Você pode editar, ativar, desativar ou excluir a regra.

Captura de tela de regras ativas com as opções Ativar, Desabilitar, Excluir e Editar.

Triagem, investigação e correção de incidentes

Um incidente pode incluir vários alertas e é uma agregação de evidências relevantes para uma investigação. No nível do incidente, você pode definir propriedades como Gravidade e Status.

Saiba mais: Investigue incidentes com o Microsoft Sentinel.

  1. Vá para a página Incidentes .

  2. Selecione um incidente.

  3. À direita, são exibidas informações detalhadas sobre o incidente, incluindo gravidade, entidades, eventos e a ID do incidente.

    Captura de tela que mostra informações do incidente.

  4. No painel Incidentes , selecione Exibir detalhes completos.

  5. Guias de revisão que resumem o incidente.

    Captura de tela de uma lista de incidentes.

  6. Selecione Evidência>Eventos>Link para o Log Analytics.

  7. Nos resultados, veja o valor de identidade UserPrincipalName tentando fazer o login.

    Captura de tela dos detalhes do incidente.

Resposta automatizada

O Microsoft Sentinel tem funções de orquestração, automação e resposta de segurança (SOAR). Anexe ações automatizadas ou um guia estratégico às regras de análise.

Veja, O que é SOAR?

Notificação por e-mail para um incidente

Para essa tarefa, use um guia estratégico do repositório GitHub do Microsoft Sentinel.

  1. Vá até um guia estratégico configurado.
  2. Edite a regra.
  3. Na guia de Resposta automatizada, selecione o guia estratégico.

Saiba mais: Notificação por e-mail de incidente

Captura de tela das opções de resposta automatizada para uma regra.

Recursos

Para obter mais informações sobre o Microsoft Sentinel e o Azure AD B2C, consulte:

Próxima etapa

Tratar falsos positivos no Microsoft Sentinel

  • Last updated on