Práticas de segurança recomendadas pela CISA para o Microsoft 365

Opa! Tudo certo? Wellington Agápto por aqui. Hoje eu trouxe para vocês o artigo “Práticas de segurança recomendadas pela CISA para o Microsoft 365″. Não esqueça de me seguir no Instagram, no Twitter, conhecer meu Site, se inscrever no meu Canal, deixar o seu like e compartilhar esse artigo, para fortalecermos a nossa comunidade.

Práticas de segurança recomendadas pela CISA para o Microsoft 365

A CISA incentiva as organizações a implementarem uma estratégia de nuvem organizacional para proteger seus ativos de infraestrutura, defendendo-se contra ataques relacionados ao Microsoft Office 365. Especificamente, a CISA recomenda que os administradores implementem as seguintes mitigações e práticas recomendadas …

Habilite a autenticação multifator para contas de administrador

Administradores globais do Azure Active Directory (AD) em um ambiente O365 têm o nível mais alto de privilégios de administrador no nível do locatário. Isso é equivalente ao administrador de domínio em um ambiente AD local. Os administradores globais do Azure AD são as primeiras contas criadas para que os administradores possam começar a configurar seu locatário e eventualmente migrar seus usuários. A autenticação multifator (MFA) não está habilitada por padrão para essas contas. A Microsoft mudou para um modelo “Seguro por padrão”, mas mesmo isso deve ser habilitado pelo cliente. O novo recurso, chamado “Padrões de segurança,” auxilia na imposição do uso de MFA pelos administradores. Essas contas podem ser acessadas pela Internet porque estão hospedadas na nuvem. Se não for protegido imediatamente, um invasor pode comprometer essas contas baseadas em nuvem e manter a persistência enquanto um cliente migra usuários para o O365.

Atribua funções de administrador usando o controle de acesso baseado em função (RBAC)

Devido ao seu alto nível de privilégio padrão, você só deve usar a conta de administrador global quando for absolutamente necessário. Em vez disso, usar várias outras funções de administrador internas do Azure AD em vez da conta de administrador global pode limitar a atribuição de privilégios excessivamente permissivos a administradores legítimos. Praticar o princípio de “menor privilégio” pode reduzir bastante o impacto se uma conta de administrador for comprometida. Sempre atribua aos administradores apenas as permissões mínimas necessárias para realizar suas tarefas.

Habilitar Log de Auditoria Unificado (UAL)

O O365 tem um recurso de log chamado Log de Auditoria Unificado que contém eventos do Exchange Online, SharePoint Online, OneDrive, Azure AD, Microsoft Teams, PowerBI e outros serviços do O365. Um administrador deve habilitar o Log de auditoria unificado no Centro de conformidade e segurança antes que as consultas possam ser executadas. Habilitar o UAL permite que os administradores investiguem e procurem ações dentro do O365 que possam ser potencialmente maliciosas ou não dentro da política organizacional.

Habilite a autenticação multifator para todos os usuários

Embora os usuários normais em um ambiente O365 não tenham permissões elevadas, eles ainda têm acesso a dados que podem ser prejudiciais a uma organização se acessados por uma entidade não autorizada. Além disso, os agentes de ameaças comprometem contas de usuários normais para enviar e-mails de phishing e atacar outras organizações usando os aplicativos e serviços aos quais o usuário comprometido tem acesso.

Desabilite a autenticação do protocolo legado quando apropriado

O Azure AD é o método de autenticação que o O365 usa para autenticar com o Exchange Online, que fornece serviços de email. Há vários protocolos herdados associados ao Exchange Online que não oferecem suporte a recursos de MFA. Esses protocolos incluem Post Office Protocol (POP3), Internet Message Access Protocol (IMAP) e Simple Mail Transport Protocol (SMTP). Os protocolos legados costumam ser usados com clientes de e-mail mais antigos, que não oferecem suporte à autenticação moderna. Os protocolos legados podem ser desabilitados no nível do locatário ou no nível do usuário. No entanto, se uma organização exigir clientes de e-mail mais antigos como uma necessidade comercial, esses protocolos presumivelmente não serão desativados. Isso deixa as contas de e-mail acessíveis pela Internet com apenas o nome de usuário e a senha como método de autenticação principal. Uma abordagem para atenuar esse problema é inventariar os usuários que ainda exigem o uso de um cliente de e-mail herdado e protocolos de e-mail legados e apenas conceder acesso a esses protocolos para os usuários selecionados. O uso de políticas de acesso condicional do Azure AD pode ajudar a limitar o número de usuários que podem usar métodos de autenticação de protocolo herdados. Dar esse passo reduzirá muito a superfície de ataque de uma organização.

Habilite os alertas para atividades suspeitas

Habilitar o log de atividades em um ambiente Azure/0365 pode aumentar muito a eficácia do proprietário em identificar atividades maliciosas ocorrendo em seu ambiente e habilitar alertas servirá para aprimorar isso. A criação e ativação de alertas no Centro de Conformidade e Segurança para notificar os administradores sobre eventos anormais reduzirá o tempo necessário para identificar e mitigar atividades maliciosas com eficiência. No mínimo, a CISA recomenda habilitar alertas para logins de locais suspeitos e para contas que excedam os limites de e-mail enviado.

Utilize o Microsoft Secure Score

A Microsoft fornece uma ferramenta integrada para medir a postura de segurança de uma organização em relação aos seus serviços O365 e oferecer recomendações de aprimoramento. Essas recomendações fornecidas pelo Microsoft Secure Score NÃO abrangem todas as configurações de segurança possíveis, mas as organizações ainda devem considerar o uso do Microsoft Secure Score porque as ofertas de serviço do O365 mudam com frequência. O uso do Microsoft Secure Score ajudará a fornecer às organizações um painel centralizado para rastrear e priorizar as alterações de segurança e conformidade no O365.

Integre os logs com sua ferramenta de SIEM

Mesmo com logs robustos ativados por meio do UAL, é essencial integrar e correlacionar seus logs do O365 com outras soluções de monitoramento e gerenciamento de logs. Isso garantirá que você possa detectar atividades anômalas em seu ambiente e correlacioná-las com qualquer atividade anômala em potencial no O365.

Resumo das recomendações

Use a autenticação multifator. Essa é a melhor técnica de mitigação para proteção contra roubo de credenciais para administradores e usuários do O365.
Proteja os Administradores Globais de comprometimento e use o princípio de “Menor Privilégio”.
Habilite o log de auditoria unificado no Centro de Conformidade e Segurança.
Ativar recursos de alerta.
Integre com soluções SIEM organizacionais.
Desative os protocolos de e-mail herdados, se não forem necessários, ou limite seu uso a usuários específicos.

E aí! Curtiu o artigo? Não esqueça de me seguir no Instagram, no Twitter, conhecer meu Site, se inscrever no meu Canal, deixar o seu like, e compartilhar esse artigo, para fortalecermos a nossa comunidade.

Curso gratuito com certificado?

Faça o curso de Fundamentos da computação em nuvem gratuitamente e garanta o seu certificado. Inscreva-se clicando AQUI.

Cursos por apenas R$ 9,90

A Comunidade Cloud Hero foi criada para profissionais que desejam estar entre um seleto grupo de especialistas. Tornando-se um membro da comunidade você terá acesso a cursos, grupo VIP no WhatsApp, E-books, e downloads dos produtos mais utilizados no mercado da tecnologia da informação. Tudo isso por apenas R$ 9,90 por mês.

Clique AQUI e saiba mais.

Certificação em 4 Semanas

Escolha umas das certificações a seguir e seja aprovado em até 4 semanas: SC-100 – Microsoft Cybersecurity Architect, CLF-C01: AWS Certified Cloud Practitioner, AZ-900: Fundamentos do Microsoft Azure, AZ-104: Administrador do Microsoft Azure, AZ-500: Engenheiro de Segurança do Microsoft Azure, AZ-800: Administrando uma infraestrutura híbrida do Windows Server, MS-900: Fundamentos do Microsoft 365, MS-100: Identidades e Serviços do Microsoft 365, MS-101: Mobilidade e Segurança do Microsoft 365, MS-203: Microsoft Messaging Administrator, MS-500: Administrador de Segurança do Microsoft 365, MS-700: Administrador do Microsoft Teams, SC-900: Segurança no Microsoft 365.

Clique AQUI e garanta R$ 200,00 de desconto!

Wellington Agápto

Curso para a Certificação MS-102 Administrador do Microsoft 365

6 Tendências de Cloud Security para 2023

Ameaças Persistentes Avançadas (APTs) na Nuvem

Boas práticas de segurança para o Office 365

Microsoft 70-345 – O quê estudar para aprova de Exchange Server 2016

10 Políticas de grupo (voltadas a segurança) que todo analista de TI deve conhecer

Perguntas frequentes sobre Office 365

Curso de Exchange Server

Sobre o Blog

Veja também

Ameaças Persistentes Avançadas (APTs) na Nuvem

Pentest! O que é? E qual a sua importância?

Mais acessados