Partilhar via

Tutorial: Configurar a análise de segurança para dados B2C do Azure Ative Directory com o Microsoft Sentinel

Importante

A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais nas nossas Perguntas Frequentes.

Aumente a segurança do seu ambiente do Azure Ative Directory B2C (Azure AD B2C) roteando logs e informações de auditoria para o Microsoft Sentinel. O Microsoft Sentinel escalável é uma solução nativa da nuvem, de gerenciamento de informações e eventos de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). Use a solução para deteção de alertas, visibilidade de ameaças, caça proativa e resposta a ameaças para o Azure AD B2C.

Saiba mais:

Mais usos para o Microsoft Sentinel, com o Azure AD B2C, são:

  • Detete ameaças não detetadas anteriormente e minimize falsos positivos com recursos de análise e inteligência de ameaças
  • Investigue ameaças com inteligência artificial (IA)
    • Procure atividades suspeitas em escala e beneficie da experiência de anos de trabalho de cibersegurança na Microsoft
  • Responda rapidamente a incidentes com orquestração e automação de tarefas comuns
  • Atenda aos requisitos de segurança e conformidade da sua organização

Neste tutorial, saiba como:

  • Transferir logs do Azure AD B2C para um espaço de trabalho do Log Analytics
  • Habilitar o Microsoft Sentinel em um espaço de trabalho do Log Analytics
  • Criar uma regra de exemplo no Microsoft Sentinel para disparar um incidente
  • Configurar uma resposta automatizada

Configurar o Azure AD B2C com o Azure Monitor Log Analytics

Para definir para onde os logs e métricas de um recurso são enviados,

  1. Habilite as configurações de diagnóstico no Microsoft Entra ID, em seu locatário do Azure AD B2C.
  2. Configure Azure AD B2C para enviar logs a Azure Monitor.

Saiba mais, Monitore o Azure AD B2C com o Azure Monitor.

Implantar uma instância do Microsoft Sentinel

Depois de configurar sua instância do Azure AD B2C para enviar logs para o Azure Monitor, habilite uma instância do Microsoft Sentinel.

Importante

Para habilitar o Microsoft Sentinel, obtenha permissões de Colaborador para a assinatura na qual o espaço de trabalho do Microsoft Sentinel reside. Para usar o Microsoft Sentinel, use as permissões de Colaborador ou Leitor no grupo de recursos ao qual o espaço de trabalho pertence.

  1. Inicie sessão no portal Azure.

  2. Selecione a assinatura na qual o espaço de trabalho do Log Analytics é criado.

  3. Procure e selecione Microsoft Sentinel.

    Captura de ecrã com

  4. Selecione Adicionar.

  5. No campo espaços de trabalho de pesquisa , selecione o novo espaço de trabalho.

    Captura de ecrã do campo de espaços de trabalho de pesquisa em Escolha uma área de trabalho para adicionar ao Azure Sentinel.

  6. Selecione Adicionar Microsoft Sentinel.

    Observação

    É possível executar o Microsoft Sentinel em mais de um espaço de trabalho, no entanto, os dados são isolados em um único espaço de trabalho.
    Consulte Guia de início rápido: Onboard Microsoft Sentinel

Criar uma regra do Microsoft Sentinel

Depois de habilitar o Microsoft Sentinel, seja notificado quando algo suspeito ocorrer em seu locatário do Azure AD B2C.

Você pode criar regras de análise personalizadas para descobrir ameaças e comportamentos anômalos em seu ambiente. Estas regras procuram eventos ou conjuntos de eventos específicos e alertam-no quando os limites ou condições de eventos são cumpridos. Em seguida, os incidentes são gerados para investigação.

Consulte Criar regras de análise personalizadas para detetar ameaças

Observação

O Microsoft Sentinel tem modelos para criar regras de deteção de ameaças que pesquisam seus dados em busca de atividades suspeitas. Para este tutorial, você cria uma regra.

Regra de notificação para acesso forçado malsucedido

Use as etapas a seguir para receber notificações sobre duas ou mais tentativas de acesso forçado malsucedidas em seu ambiente. Um exemplo é o ataque de força bruta.

  1. No Microsoft Sentinel, no menu à esquerda, selecione Analytics.

  2. Na barra superior, selecione + Criar>regra de consulta agendada.

    Captura de ecrã da opção Criar em Análise.

  3. No assistente de regras de análise, vá para Geral.

  4. Em Nome, insira um nome para logins malsucedidos.

  5. Em Descrição, indique que a regra notifica duas ou mais entradas malsucedidas, dentro de 60 segundos.

  6. Em Tática, selecione uma categoria. Por exemplo, selecione Pré-ataque.

  7. Em Gravidade, selecione um nível de gravidade.

  8. O status é Ativado por padrão. Para alterar uma regra, vá para a guia Regras ativas .

    Captura de ecrã de Criar nova regra com opções e seleções.

  9. Selecione a guia Definir lógica da regra .

  10. Insira uma consulta no campo Consulta de regra . O exemplo de consulta organiza as entradas por UserPrincipalName.

    Captura de ecrã do texto da consulta no campo de consulta Regra em Definir lógica da regra.

  11. Vá para Agendamento de consultas.

  12. Em Executar consulta a cada dia, digite 5 e Minutos.

  13. Para consultar dados recentes, insira 5 e minutos.

  14. Em Gerar alerta quando o número de resultados da consulta, selecione É maior que e 0.

  15. Em Agrupamento de eventos, selecione Agrupar todos os eventos em um único alerta.

  16. Em Parar de executar consulta após o alerta ser gerado, selecione Desativado.

  17. Selecione Seguinte: Configurações de incidentes (Prévia).

Captura de ecrã das seleções e opções de agendamento de consultas.

  1. Aceda ao separador Rever e criar para rever as definições da regra.

  2. Quando o banner Validação passada for exibido, selecione Criar.

    Captura de tela das configurações selecionadas, do banner Validação passada e da opção Criar.

Veja a regra e os incidentes que ela gera. Encontre sua regra personalizada recém-criada do tipo Agendado na tabela na guia Regras ativas na página principal

  1. Vá para a tela do Google Analytics .
  2. Selecione a guia Regras ativas .
  3. Na tabela, na coluna intitulada Agendado, localize a regra.

Você pode editar, habilitar, desabilitar ou excluir a regra.

Captura de ecrã de regras ativas com as opções Ativar, Desativar, Eliminar e Editar.

Triar, investigar e remediar incidentes

Um incidente pode incluir vários alertas e é uma agregação de provas relevantes para uma investigação. No nível do incidente, você pode definir propriedades como Severidade e Status.

Saiba mais: investigue incidentes com o Microsoft Sentinel.

  1. Vá para a página Incidentes .

  2. Selecione um incidente.

  3. À direita, aparecem informações detalhadas sobre incidentes, incluindo gravidade, entidades, eventos e a ID do incidente.

    Captura de tela que mostra informações do incidente.

  4. No painel Incidentes , selecione Exibir detalhes completos.

  5. Revise as guias que resumem o incidente.

    Captura de ecrã de uma lista de incidentes.

  6. Selecione Evidência>Eventos>Link para o Log Analytics.

  7. Nos resultados, consulte o valor de identidade UserPrincipalName tentando entrar.

    Captura de ecrã dos detalhes do incidente.

Resposta automática

O Microsoft Sentinel tem funções de orquestração, automação e resposta de segurança (SOAR). Anexe ações automatizadas, ou um manual, às regras de análise.

Veja, O que é SOAR?

Notificação por e-mail de um incidente

Para essa tarefa, use um manual do repositório GitHub do Microsoft Sentinel.

  1. Vá para um playbook configurado.
  2. Edite a regra.
  3. Na guia Resposta automatizada , selecione o playbook.

Saiba mais: Notificação de incidente por e-mail

Captura de tela das opções de resposta automatizada para uma regra.

Recursos

Para obter mais informações sobre o Microsoft Sentinel e o Azure AD B2C, consulte:

Próximo passo

Lidar com falsos positivos no Microsoft Sentinel

  • Last updated on