Microsoft Entra operací zabezpečení pro zařízení

Článek
09/22/2023

Zařízení nejsou běžně cílem útoků založených na identitách, ale dají se použít k zajištění a podmínění bezpečnostních mechanismů nebo k zosobnění uživatelů. Zařízení můžou mít jednu ze čtyř relací s ID Microsoft Entra:

Registrovaným a připojeným zařízením se vydává primární obnovovací token (PRT), který se dá použít jako primární ověřovací artefakt a v některých případech jako artefakt vícefaktorového ověřování. Útočníci se mohou pokusit zaregistrovat svá vlastní zařízení, používat PRT na legitimních zařízeních pro přístup k obchodním datům, ukrást tokeny založené na PRT z legitimních uživatelských zařízení nebo najít chybné konfigurace v ovládacích prvcích zařízení v Microsoft Entra ID. S Microsoft Entra hybridně připojenými zařízeními je proces připojení inicializován a řízen správci, což snižuje dostupné metody útoku.

Další informace o metodách integrace zařízení najdete v tématu Volba metod integrace v článku Plánování nasazení Microsoft Entra zařízení.

Pokud chcete snížit riziko útoku špatných účastníků na vaši infrastrukturu prostřednictvím zařízení, monitorujte

Registrace zařízení a připojení Microsoft Entra
Nevyhovující zařízení přistupující k aplikacím
Načtení klíče nástroje BitLocker
Role správce zařízení
Přihlášení k virtuálním počítačům

Kde hledat

Soubory protokolu, které používáte pro šetření a monitorování, jsou:

Z Azure Portal můžete zobrazit protokoly auditu Microsoft Entra a stáhnout je jako soubory s hodnotami oddělenými čárkami (CSV) nebo JavaScript Object Notation (JSON). Azure Portal nabízí několik způsobů, jak integrovat protokoly Microsoft Entra ID s dalšími nástroji, které umožňují větší automatizaci monitorování a upozorňování:

Microsoft Sentinel – umožňuje inteligentní analýzy zabezpečení na podnikové úrovni tím, že poskytuje funkce pro správu událostí a informací o zabezpečení (SIEM).
Pravidla Sigma – Sigma je vyvíjející se otevřený standard pro psaní pravidel a šablon, které můžou automatizované nástroje pro správu použít k parsování souborů protokolu. Pokud pro naše doporučená kritéria hledání existují šablony Sigma, přidali jsme odkaz na úložiště Sigma. Šablony Sigma nejsou napsané, testované a spravované Microsoftem. Místo toho úložiště a šablony vytváří a shromažďuje celosvětová komunita zabezpečení IT.
Azure Monitor – umožňuje automatizované monitorování a upozorňování na různé podmínky. Může vytvářet nebo používat sešity ke kombinování dat z různých zdrojů.
Azure Event Hubs integrovaná se systémem SIEM- Protokoly Microsoft Entra ID je možné integrovat do jiných prostředí SIEM, jako jsou Splunk, ArcSight, QRadar a Sumo Logic, prostřednictvím integrace Azure Event Hubs.
Microsoft Defender for Cloud Apps – umožňuje zjišťovat a spravovat aplikace, řídit všechny aplikace a prostředky a kontrolovat dodržování předpisů cloudových aplikací.
Zabezpečení identit úloh pomocí služby Identity Protection Preview – používá se ke zjišťování rizik u identit úloh napříč chováním přihlašování a offline indikátory ohrožení zabezpečení.

Většina z toho, co budete monitorovat a na co budete upozorňovat, jsou účinky zásad podmíněného přístupu. Pomocí sešitu Přehledy podmíněného přístupu a vytváření sestav můžete prozkoumat vliv jedné nebo více zásad podmíněného přístupu na vaše přihlášení a výsledky zásad, včetně stavu zařízení. Tento sešit umožňuje zobrazit souhrn a identifikovat účinky v určitém časovém období. Sešit můžete také použít k prozkoumání přihlášení konkrétního uživatele.

Zbytek tohoto článku popisuje, co doporučujeme monitorovat a upozorňovat na to, a je uspořádaný podle typu hrozby. Pokud existují konkrétní předem připravená řešení, propojíme je nebo poskytneme ukázky podle tabulky. V opačném případě můžete vytvářet výstrahy pomocí předchozích nástrojů.

Registrace zařízení a připojení mimo zásady

Microsoft Entra zaregistrovaná a Microsoft Entra připojená zařízení mají primární obnovovací tokeny (PRT), které jsou ekvivalentem jednoho faktoru ověřování. Tato zařízení můžou občas obsahovat silné deklarace identity ověřování. Další informace o tom, kdy PRT obsahují silné deklarace identity ověřování, najdete v tématu Kdy prt získá deklaraci vícefaktorového ověřování? Pokud chcete zabránit špatným účastníkům v registraci nebo připojování zařízení, vyžadovat vícefaktorové ověřování (MFA) k registraci nebo připojení zařízení. Pak monitorujte všechna zařízení zaregistrovaná nebo připojená bez vícefaktorového ověřování. Budete také muset watch na změny nastavení a zásad vícefaktorového ověřování a zásad dodržování předpisů zařízením.

Co monitorovat	Úroveň rizika	Kde	Filtr nebo podfiltr	Poznámky
Registrace zařízení nebo připojení se dokončily bez vícefaktorového ověřování	Střední	Protokoly přihlašování	Aktivita: úspěšné ověření ve službě registrace zařízení. And Nevyžaduje se vícefaktorové ověřování.	Upozornění: Jakékoli zařízení zaregistrované nebo připojené bez vícefaktorového ověřování Šablona Služby Microsoft Sentinel Pravidla Sigma
Změny přepínače vícefaktorového ověřování registrace zařízení v id Microsoft Entra	Vysoká	Protokol auditu	Aktivita: Nastavení zásad registrace zařízení	Hledejte: Přepínač je nastavený na vypnuto. Není k dispozici položka protokolu auditu. Naplánujte pravidelné kontroly. Pravidla Sigma
Změny zásad podmíněného přístupu, které vyžadují zařízení připojené k doméně nebo zařízení dodržující předpisy	Vysoká	Protokol auditu	Změny zásad podmíněného přístupu	Upozornění: Změna na všechny zásady vyžadující připojení k doméně nebo vyhovující předpisům, změny důvěryhodných umístění nebo účtů nebo zařízení přidaných do výjimek zásad vícefaktorového ověřování

Pomocí služby Microsoft Sentinel můžete vytvořit výstrahu, která upozorní příslušné správce, když je zařízení zaregistrované nebo připojené bez vícefaktorového ověřování.

SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"

Můžete také použít Microsoft Intune k nastavení a monitorování zásad dodržování předpisů zařízením.

Pomocí zásad podmíněného přístupu, které vyžadují kompatibilní zařízení, nemusí být možné blokovat přístup ke všem cloudovým aplikacím a aplikacím typu software jako služba.

Správa mobilních zařízení (MDM) pomáhá zajistit dodržování předpisů Windows 10 zařízení. Ve Windows verze 1809 jsme vydali standardní hodnoty zabezpečení zásad. Microsoft Entra ID se může integrovat s MDM, aby bylo možné vynutit dodržování předpisů zařízením s firemními zásadami, a může hlásit stav dodržování předpisů zařízení.

Co monitorovat	Úroveň rizika	Kde	Filtr nebo podfiltr	Poznámky
Přihlášení zařízeními, která nedodržují předpisy	Vysoká	Protokoly přihlašování	DeviceDetail.isCompliant == false	Pokud se vyžaduje přihlášení ze vyhovujících zařízení, upozorňujte na to, že se přihlásí zařízení, která nedodržují předpisy, nebo jakýkoli přístup bez vícefaktorového ověřování nebo důvěryhodného umístění. Pokud se snažíte vyžadovat zařízení, sledujte podezřelá přihlášení. Pravidla Sigma
Přihlášení pomocí neznámých zařízení	Nízká	Protokoly přihlašování	DeviceDetail je prázdný, jednofaktorové ověřování nebo z nedůvěryhodného umístění.	Hledejte: jakýkoli přístup ze zařízení, která nedodržují předpisy, jakýkoli přístup bez vícefaktorového ověřování nebo důvěryhodného umístění. Šablona Služby Microsoft Sentinel Pravidla Sigma

Použití LogAnalytics k dotazování

Přihlášení zařízeními, která nedodržují předpisy

SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"

Přihlášení pomocí neznámých zařízení


SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"

Zastaralá zařízení

Mezi zastaralá zařízení patří zařízení, která se po zadané časové období nepřihlásila. Zařízení můžou být zastaralá, když uživatel získá nové zařízení nebo ztratí zařízení nebo když se zařízení připojené k Microsoft Entra vymaže nebo znovu zřídí. Zařízení také můžou zůstat zaregistrovaná nebo připojená, když už uživatel není přidružený ke tenantovi. Zastaralá zařízení by se měla odebrat, aby se nedaly použít primární obnovovací tokeny (PRT).

Co monitorovat	Úroveň rizika	Kde	Filtr nebo podfiltr	Poznámky
Datum posledního přihlášení	Nízká	Graph API	approximateLastSignInDateTime	K identifikaci a odebrání zastaralých zařízení použijte Graph API nebo PowerShell.

Načtení klíče nástroje BitLocker

Útočníci, kteří napadli zařízení uživatele, můžou načíst klíče nástroje BitLocker ve Microsoft Entra ID. Pro uživatele je neobvyklé načítat klíče a měli byste je monitorovat a prověřovat.

Co monitorovat	Úroveň rizika	Kde	Filtr nebo podfiltr	Poznámky
Načtení klíče	Střední	Protokoly auditu	OperationName == "Read BitLocker key"	Hledejte: načítání klíčů, jiné neobvyklé chování uživatelů, kteří klíče načítají. Šablona Služby Microsoft Sentinel Pravidla Sigma

V LogAnalytics vytvořte dotaz, například

AuditLogs
| where OperationName == "Read BitLocker key"

Role správce zařízení

Globální správci a správci cloudových zařízení automaticky získají práva místního správce na všech zařízeních připojených k Microsoft Entra. Je důležité sledovat, kdo má tato práva, aby bylo vaše prostředí bezpečné.

Co monitorovat	Úroveň rizika	Kde	Filtr nebo podfiltr	Poznámky
Uživatelé přidaní do globálních rolí nebo rolí správce zařízení	Vysoká	Protokoly auditu	Typ aktivity = Přidat člena do role.	Hledejte: noví uživatelé přidaní do těchto Microsoft Entra rolí, následné neobvyklé chování počítačů nebo uživatelů. Šablona Služby Microsoft Sentinel Pravidla Sigma

Přihlášení k virtuálním počítačům bez Azure AD

Přihlášení k virtuálním počítačům s Windows nebo LINUXem by se měla monitorovat z hlediska přihlášení jinými účty než účty Microsoft Entra.

Microsoft Entra přihlašování pro LINUX umožňuje organizacím přihlašovat se k virtuálním počítačům Azure s LINUXem pomocí účtů Microsoft Entra přes protokol SSH (Secure Shell Protocol).

Co monitorovat	Úroveň rizika	Kde	Filtr nebo podfiltr	Poznámky
Přihlášení k účtu bez Azure AD, zejména přes SSH	Vysoká	Protokoly místního ověřování	Ubuntu: monitorování /var/log/auth.log pro použití SSH Redhat: monitorování /var/log/sssd/ pro použití SSH	Vyhledejte položky, ve kterých se účty bez Azure AD úspěšně připojují k virtuálním počítačům. Podívejte se na následující příklad.

Příklad Ubuntu:

Květen 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Verze: 1.0.015570001; user: localusertest01

Květen 23:49:39 ubuntu1804 aad_certhandler[3915]: Uživatel localusertest01 není uživatel Microsoft Entra; vrací prázdný výsledek.

Květen 9 23:49:43 ubuntu1804 aad_certhandler[3916]: Verze: 1.0.015570001; user: localusertest01

Květen 23:49:43 ubuntu1804 aad_certhandler[3916]: Uživatel localusertest01 není Microsoft Entra uživatelem; vrací prázdný výsledek.

Květen 23:49:43 ubuntu1804 sshd[3909]: Veřejně přijato pro localusertest01 od 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

Květen 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): relace otevřená pro uživatele localusertest01 (uid=0).

Můžete nastavit zásady pro přihlašování virtuálních počítačů s LINUXem a zjišťovat a označit virtuální počítače s Linuxem, které mají přidané neschválené místní účty. Další informace najdete v tématu Použití Azure Policy k zajištění standardů a posouzení dodržování předpisů.

Microsoft Entra přihlášení pro Windows Server

Microsoft Entra přihlášení pro Windows umožňuje vaší organizaci přihlásit se k virtuálním počítačům Azure s Windows 2019+ pomocí Microsoft Entra účtů přes protokol RDP (Remote Desktop Protocol).

Co monitorovat	Úroveň rizika	Kde	Filtr nebo podfiltr	Poznámky
Přihlášení k účtu bez Azure AD, zejména přes protokol RDP	Vysoká	Protokoly událostí Windows Serveru	Interaktivní přihlášení k virtuálnímu počítači s Windows	Událost 528, typ přihlášení 10 (RemoteInteractive). Zobrazuje, když se uživatel přihlásí přes Terminálovou službu nebo Vzdálenou plochu.