Alertas de Segurança Office 365: Análise Automática de Riscos
OFFICE 365
O Desafio
Monitorar logs de segurança do Office 365 manualmente é uma tarefa exaustiva e propensa a erros. Com milhares de eventos gerados diariamente, identificar ameaças reais — como tentativas de login em contas desativadas ou falhas de conformidade — no meio de "ruído" operacional (como interrupções KMSI) é um desafio constante para equipes de TI.
O objetivo era:
- Identificar riscos de segurança ativos no tenant
- Filtrar eventos irrelevantes (falsos positivos)
- Obter recomendações de ação imediatas e claras
- Detectar credenciais comprometidas ou tentativas de acesso não autorizado
O Prompt Enviado ao Myrmex
Usando a integração com o tenant Office 365, enviamos:
Recupere os 5 alertas de segurança mais recentes do Office 365 do tenant.
Para cada alerta, analise o nível de ameaça e forneça uma lista concisa
de etapas de remediação. Foque em ações imediatas para mitigar riscos,
como redefinição de senhas ou isolamento de dispositivos.
Nota: O Myrmex atua como um analista de segurança sênior, cruzando dados de logs brutos com inteligência de ameaças para entregar insights acionáveis.
O Que o Myrmex Fez
O Myrmex conectou-se à API de Logs de Entrada do Microsoft Entra ID (visto que a API de alertas avançados possuía restrições de licença) e realizou uma varredura nos últimos eventos de autenticação.
Resumo dos Eventos Analisados
| Timestamp (UTC) | Usuário | Evento Detectado | Nível de Ameaça | Ação Recomendada |
|---|---|---|---|---|
| 19:20 | Robson Severo | Login em Conta Desativada | 🟡 Médio | Revogar Sessões |
| 19:19 | Robson Severo | Login em Conta Desativada | 🟡 Médio | Auditar Origem IP |
| 18:58 | Larissa Faustino | Interrupção KMSI | 🔵 Info | Nenhuma Ação |
| 18:36 | Larissa Faustino | Senha Expirada | 🟡 Baixa | Redefinir Senha |
| 18:02 | Vinicius Silva | Interrupção KMSI | 🔵 Info | Nenhuma Ação |
Análise e Ações Realizadas
1. Detecção de Acesso em Conta Desativada
O Myrmex identificou múltiplas tentativas de falha de login para o usuário robson.severo@ainext.com.br, originadas de um dispositivo Windows 10 (GRS).
Identificação do Risco: Mesmo com a conta desativada, um dispositivo ou cliente local (Outlook/Teams) continuava tentando autenticar. Isso indica que o dispositivo não foi devidamente limpo ou desconectado ao desligar o colaborador.
Ações Recomendadas pelo Myrmex:
- Imediato: Executar "Revogar sessões" no Entra ID para invalidar Refresh Tokens.
- Dispositivo: Realizar wipe remoto no dispositivo
GRScaso gerenciado pelo Intune. - Rede: Monitoramento do IP
2804:1e68:8401:d71a:519d:7d32:3b03:70e5.
2. Filtragem de Ruído (KMSI)
Eventos de "KMSI Interrupt" (Keep Me Signed In) foram classificados automaticamente como Info, evitando que a equipe de segurança perdesse tempo investigando comportamentos padrão do sistema.
3. Gestão de Credenciais
Para o erro de "Senha Expirada", o Myrmex sugeriu um fluxo de autoatendimento para o usuário, reduzindo a carga de tickets de suporte nível 1.
Benefícios da Abordagem
🚀 Detecção Proativa
Em vez de esperar por um ticket de suporte ou um incidente grave, a auditoria automática detectou um dispositivo "órfão" tentando autenticação, permitindo ação preventiva.
📉 Redução de Fadiga de Alertas
A classificação automática de riscos (Médio vs. Info) permite que a equipe focado apenas no que importa (o acesso não autorizado) e ignore o ruído (KMSI).
Resultado
Com a análise do Myrmex:
- ✅ Risco Mitigado: Identificação de dispositivo tentando acesso indevido.
- ✅ Visibilidade: Clareza sobre quais contas estão gerando logs de erro.
- ✅ Eficiência: Separação clara entre problemas técnicos (senha) e segurança (conta desativada).
Variações do Prompt
O mesmo padrão pode ser usado para outras buscas de segurança:
Para monitorar administradores:
Analise os últimos 20 logins de usuários com a role 'Global Administrator'
e alerte sobre acessos fora do horário comercial ou de países incomuns.
Para conformidade de dispositivos:
Liste todos os dispositivos que tentaram login nas últimas 24h
que não estão marcados como 'Compliant' no Intune.