Operace zabezpečení Microsoft Entra pro zařízení

Článek
10/24/2023

Zařízení se běžně netýknou útoky založenými na identitách, ale dají se použít k uspokojování a trikování bezpečnostních prvků nebo k zosobnění uživatelů. Zařízení můžou mít jednu ze čtyř relací s ID Microsoft Entra:

Zaregistrovaná a připojená zařízení jsou vystavená primárním obnovovacím tokenem (PRT), který lze použít jako primární artefakt ověřování a v některých případech jako artefakt vícefaktorového ověřování. Útočníci se můžou pokusit zaregistrovat svá vlastní zařízení, používat PRT na legitimních zařízeních pro přístup k obchodním datům, ukrást tokeny založené na PRT z legitimních uživatelských zařízení nebo najít chybné konfigurace v ovládacích prvcích založených na zařízeních v Microsoft Entra ID. U zařízení připojených k hybridnímu připojení Microsoft Entra se proces připojení zahájí a řídí správci, což snižuje dostupné metody útoku.

Další informace o metodách integrace zařízení naleznete v tématu Volba metod integrace v článku Plánování nasazení zařízení Microsoft Entra.

Pokud chcete snížit riziko napadení infrastruktury špatnými aktéry prostřednictvím zařízení, monitorujte

Registrace zařízení a připojení k Microsoft Entra
Nevyhovující zařízení, která přistupují k aplikacím
Načtení klíče nástroje BitLocker
Role správce zařízení
Přihlášení k virtuálním počítačům

Kam se podívat

Soubory protokolů, které používáte pro šetření a monitorování, jsou:

Na webu Azure Portal můžete zobrazit protokoly auditu Microsoft Entra a stáhnout je jako soubory s hodnotami oddělenými čárkami (CSV) nebo JavaScript Object Notation (JSON). Azure Portal nabízí několik způsobů integrace protokolů Microsoft Entra s dalšími nástroji, které umožňují větší automatizaci monitorování a upozorňování:

Microsoft Sentinel – umožňuje inteligentní analýzy zabezpečení na podnikové úrovni tím, že poskytuje možnosti správy informací o zabezpečení a událostí (SIEM).
Pravidla Sigma – Sigma je vyvíjející se otevřený standard pro psaní pravidel a šablon, které mohou automatizované nástroje pro správu použít k analýze souborů protokolu. Kde existují šablony Sigma pro naše doporučená kritéria hledání, přidali jsme odkaz na úložiště Sigma. Šablony Sigma nejsou napsané, otestované a spravované Microsoftem. Úložiště a šablony se vytvářejí a shromažďují komunitou zabezpečení IT po celém světě.
Azure Monitor – umožňuje automatizované monitorování a upozorňování různých podmínek. Můžete vytvářet nebo používat sešity ke kombinování dat z různých zdrojů.
Služba Azure Event Hubs integrovaná s protokoly SIEM- Microsoft Entra je možné integrovat do jiných prostředí SIEM, jako jsou Splunk, ArcSight, QRadar a Sumo Logic prostřednictvím integrace služby Azure Event Hubs.
Microsoft Defender for Cloud Apps – umožňuje zjišťovat a spravovat aplikace, řídit se napříč aplikacemi a prostředky a kontrolovat dodržování předpisů cloudových aplikací.
Zabezpečení identit úloh pomocí identity Identity Protection Preview – používá se ke zjišťování rizik u identit úloh napříč chováním přihlašování a offline indikátory ohrožení.

Většina toho, co budete monitorovat a upozorňovat, jsou účinky zásad podmíněného přístupu. Pomocí přehledů podmíněného přístupu a sestav sešitu můžete prozkoumat účinky jedné nebo více zásad podmíněného přístupu na vaše přihlášení a výsledky zásad, včetně stavu zařízení. Tento sešit umožňuje zobrazit souhrn a identifikovat účinky v určitém časovém období. Sešit můžete také použít k prozkoumání přihlášení konkrétního uživatele.

Zbytek tohoto článku popisuje, co doporučujeme monitorovat a upozorňovat, a je uspořádaný podle typu hrozby. Pokud existují konkrétní předdefinovaná řešení, která na ně propojíme, nebo poskytneme ukázky podle tabulky. V opačném případě můžete vytvářet výstrahy pomocí předchozích nástrojů.

Registrace zařízení a připojení mimo zásady

Zařízení zaregistrovaná společností Microsoft Entra a zařízení připojená k Microsoft Entra mají primární obnovovací tokeny (PRT), které jsou ekvivalentem jednoho ověřovacího faktoru. Tato zařízení můžou někdy obsahovat deklarace silného ověřování. Další informace o tom, kdy žádosti o přijetí změn obsahují deklarace silného ověřování, najdete v tématu Kdy žádost o přijetí změn získá deklaraci vícefaktorového ověřování? Pokud chcete, aby špatní aktéři mohli registrovat nebo připojovat zařízení, vyžadovat vícefaktorové ověřování (MFA) k registraci nebo připojení zařízení. Pak monitorujte všechna zařízení zaregistrovaná nebo připojená bez vícefaktorového ověřování. Budete také muset sledovat změny nastavení a zásad vícefaktorového ověřování a zásad dodržování předpisů zařízením.

Co monitorovat	Úroveň rizika	Kde	Filtr nebo podfiltr	Notes
Registrace zařízení nebo připojení se dokončilo bez vícefaktorového ověřování	střední	Protokoly přihlašování	Aktivita: Úspěšné ověření ve službě Device Registration Service And Nevyžaduje se žádné vícefaktorové ověřování	Upozornění: Jakékoli zařízení zaregistrované nebo připojené bez vícefaktorového ověřování Šablona Microsoft Sentinelu Pravidla Sigma
Změny přepínače MFA pro registraci zařízení v Microsoft Entra ID	Nejvyšší	Protokol auditu	Aktivita: Nastavení zásad registrace zařízení	Hledejte: Přepínač, který je nastavený na vypnutý. Položka protokolu auditu neexistuje. Naplánujte pravidelné kontroly. Pravidla Sigma
Změny zásad podmíněného přístupu vyžadujících připojení k doméně nebo zařízení vyhovující předpisům	Nejvyšší	Protokol auditu	Změny zásad podmíněného přístupu	Upozornění: Změna na jakoukoli zásadu vyžadující připojení k doméně nebo dodržování předpisů, změny důvěryhodných umístění nebo účtů nebo zařízení přidaných do výjimek zásad MFA

Můžete vytvořit upozornění, které upozorní příslušné správce, když je zařízení zaregistrované nebo připojené bez vícefaktorového ověřování pomocí služby Microsoft Sentinel.

SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"

Microsoft Intune můžete také použít k nastavení a monitorování zásad dodržování předpisů zařízením.

Možná nebude možné blokovat přístup ke všem cloudovým a softwarovým aplikacím jako služby pomocí zásad podmíněného přístupu vyžadujících zařízení dodržující předpisy.

Správa mobilních zařízení (MDM) pomáhá udržovat zařízení s Windows 10 v souladu s předpisy. Ve Windows verze 1809 jsme vydali standardní hodnoty zabezpečení zásad. Microsoft Entra ID se může integrovat s MDM , aby vynucuje dodržování předpisů zařízením s podnikovými zásadami a může hlásit stav dodržování předpisů zařízení.

Co monitorovat	Úroveň rizika	Kde	Filtr nebo podfiltr	Notes
Přihlášení zařízeními, která nedodržují předpisy	Nejvyšší	Protokoly přihlašování	DeviceDetail.isCompliant == false	Pokud vyžadujete přihlášení ze vyhovujících zařízení, upozorňování na to, že se přihlásíte nekompatibilními zařízeními nebo jakýkoli přístup bez vícefaktorového ověřování nebo důvěryhodného umístění. Pokud pracujete na vyžadování zařízení, monitorujte podezřelé přihlášení. Pravidla Sigma
Přihlášení pomocí neznámých zařízení	Nejnižší	Protokoly přihlašování	DeviceDetail je prázdné, jednofaktorové ověřování nebo z nedůvěryhodného umístění.	Vyhledejte: jakýkoli přístup ze zařízení, která nedodržují předpisy, jakýkoli přístup bez vícefaktorového ověřování nebo důvěryhodného umístění. Šablona Microsoft Sentinelu Pravidla Sigma

Použití LogAnalytics k dotazování

Přihlášení zařízeními, která nedodržují předpisy

SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"

Přihlášení pomocí neznámých zařízení


SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"

Zastaralá zařízení

Zastaralá zařízení zahrnují zařízení, která se po zadané časové období nepřihlásila. Zařízení se můžou stát zastaralou, když uživatel získá nové zařízení nebo ztratí zařízení nebo když se zařízení připojené k Microsoft Entra vymaže nebo znovu vytvoří. Pokud už uživatel není přidružený k tenantovi, můžou zařízení zůstat zaregistrovaná nebo připojená. Zastaralá zařízení by se měla odebrat, aby se primární obnovovací tokeny (PRT) nedaly použít.

Co monitorovat	Úroveň rizika	Kde	Filtr nebo podfiltr	Notes
Datum posledního přihlášení	Nejnižší	Graph API	approximateLastSignInDateTime	Pomocí rozhraní Graph API nebo PowerShellu můžete identifikovat a odebrat zastaralá zařízení.

Načtení klíče nástroje BitLocker

Útočníci, kteří napadli zařízení uživatele, mohou načíst klíče BitLockeru v Microsoft Entra ID. Uživatelé často načítají klíče a měli by být sledováni a vyšetřováni.

Co monitorovat	Úroveň rizika	Kde	Filtr nebo podfiltr	Notes
Načtení klíče	střední	Protokoly auditu	OperationName == "Read BitLocker key"	Hledejte: načítání klíčů, jiné neobvyklé chování uživatelů, kteří načítají klíče. Šablona Microsoft Sentinelu Pravidla Sigma

V LogAnalytics vytvořte dotaz, například

AuditLogs
| where OperationName == "Read BitLocker key"

Role správce zařízení

Globální správci a cloudová zařízení Správa istrátory automaticky získají oprávnění místního správce na všech zařízeních připojených k Microsoft Entra. Je důležité monitorovat, kdo má tato práva, aby vaše prostředí bylo v bezpečí.

Co monitorovat	Úroveň rizika	Kde	Filtr nebo podfiltr	Notes
Uživatelé přidaní do rolí globálního správce nebo správce zařízení	Nejvyšší	Protokoly auditu	Typ aktivity = Přidat člena do role.	Hledejte: noví uživatelé přidaní do těchto rolí Microsoft Entra, následné neobvyklé chování počítačů nebo uživatelů. Šablona Microsoft Sentinelu Pravidla Sigma

Přihlášení mimo Azure AD k virtuálním počítačům

Přihlášení k virtuálním počítačům s Windows nebo LINUXem by se měla monitorovat pro přihlášení pomocí účtů jiných než účtů Microsoft Entra.

Přihlášení Microsoft Entra pro LINUX umožňuje organizacím přihlásit se ke svým virtuálním počítačům Azure s LINUXem pomocí účtů Microsoft Entra přes protokol SSH (Secure Shell Protocol).

Co monitorovat	Úroveň rizika	Kde	Filtr nebo podfiltr	Notes
Přihlášení k účtu mimo Azure AD, zejména přes SSH	Nejvyšší	Protokoly místního ověřování	Ubuntu: monitorování /var/log/auth.log pro použití SSH Redhat: monitorování /var/log/sssd/ pro použití SSH	Vyhledejte položky , ve kterých se účty mimo Azure AD úspěšně připojují k virtuálním počítačům. Viz následující příklad.

Příklad Ubuntu:

9. května 23:49:39 ubuntu1804 aad_certhandler[3915]: Verze: 1.0.015570001; uživatel: localusertest01

9. května 23:49:39 ubuntu1804 aad_certhandler[3915]: Uživatel localusertest01 není uživatelem Microsoft Entra; vrátí prázdný výsledek.

9. května 23:49:43 ubuntu1804 aad_certhandler[3916]: Verze: 1.0.015570001; uživatel: localusertest01

9. května 23:49:43 ubuntu1804 aad_certhandler[3916]: Uživatel localusertest01 není uživatelem Microsoft Entra; vrátí prázdný výsledek.

9. května 23:49:43 ubuntu1804 sshd[3909]: Přijato veřejně pro localusertest01 z 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

9. května 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): relace otevřená pro uživatele localusertest01 uživatelem (uid=0).

Můžete nastavit zásady pro přihlašování virtuálních počítačů s LINUXem a zjišťovat a označit jako virtuální počítače s Linuxem, které mají přidané neschváliné místní účty. Další informace najdete v tématu Použití služby Azure Policy k zajištění standardů a vyhodnocení dodržování předpisů.

Přihlášení Microsoft Entra pro Windows Server

Přihlášení Microsoft Entra pro Windows umožňuje vaší organizaci přihlásit se k virtuálním počítačům Azure s Windows 2019+ pomocí účtů Microsoft Entra přes protokol RDP (Remote Desktop Protocol).

Co monitorovat	Úroveň rizika	Kde	Filtr nebo podfiltr	Notes
Přihlášení k účtu mimo Azure AD, zejména přes protokol RDP	Nejvyšší	Protokoly událostí Windows Serveru	Interaktivní přihlášení k virtuálnímu počítači s Windows	Událost 528, přihlášení typu 10 (RemoteInteractive). Zobrazuje, když se uživatel přihlásí přes Terminálovou službu nebo vzdálenou plochu.