Průvodce operacemi zabezpečení Azure Active Directory

Microsoft má úspěšný a prověřený přístup k zabezpečení nulová důvěra (Zero Trust) pomocí zásad hloubky ochrany, které používají identitu jako řídicí rovinu. Organizace nadále přijímají svět hybridních úloh pro škálování, úspory nákladů a zabezpečení. Azure Active Directory (Azure AD) hraje v strategii pro správu identit klíčovou roli. Nedávno se informační zpráva týkající se ohrožení identity a zabezpečení stále častěji zobrazovala výzvě k tomu, aby podniková IT zvážila stav zabezpečení identity jako měření úspěšnosti obranného zabezpečení.

Organizace musí stále častěji používat kombinaci místních a cloudových aplikací, ke kterým uživatelé přistupují s místními i cloudovými účty. Správa uživatelů, aplikací a zařízení v místním prostředí i v cloudu představuje náročné scénáře.

Hybridní identita

Azure Active Directory vytvoří společnou identitu uživatele pro ověřování a autorizaci pro všechny prostředky bez ohledu na umístění. Tuto hybridní identitu nazýváme.

Pokud chcete dosáhnout hybridní identity pomocí Azure AD, můžete použít jednu ze tří metod ověřování v závislosti na vašich scénářích. Existují tři metody:

Při auditování aktuálních operací zabezpečení nebo vytvoření operací zabezpečení pro vaše prostředí Azure doporučujeme:

  • Přečtěte si konkrétní části pokynů k zabezpečení Microsoftu, abyste vytvořili základní informace o zabezpečení cloudového nebo hybridního prostředí Azure.
  • Auditujte strategii účtu a strategie hesel a metody ověřování, které pomáhají odstrašovat nejběžnější vektory útoku.
  • Vytvořte strategii pro nepřetržité monitorování a upozorňování na aktivity, které můžou znamenat bezpečnostní hrozbu.

Cílová skupina

Příručka Azure AD SecOps je určená pro podnikové provozní týmy IT a provozní týmy zabezpečení a poskytovatele spravovaných služeb, kteří potřebují proti hrozbám prostřednictvím lepší konfigurace zabezpečení identit a profilů monitorování. Tato příručka je obzvláště důležitá pro správce IT a architekty identit, které radí týmům security Operations Center (SOC) pro obrannou obranu a penetrační testování, aby zlepšili a zachovali stav zabezpečení identit.

Obor

Tento úvod obsahuje navrhovaná doporučení pro audit a strategii pro předběžné čtení a hesla. Tento článek obsahuje také přehled nástrojů dostupných pro hybridní prostředí Azure a plně cloudová prostředí Azure. Nakonec poskytujeme seznam zdrojů dat, které můžete použít k monitorování a upozorňování a konfiguraci strategie zabezpečení a správy událostí (SIEM) a prostředí. Zbývající pokyny představují strategie monitorování a upozorňování v následujících oblastech:

  • Uživatelské účty. Pokyny specifické pro neprivilegované uživatelské účty bez oprávnění správce, včetně neobvyklého vytváření a používání účtu a neobvyklých přihlášení

  • Privilegované účty. Pokyny týkající se privilegovaných uživatelských účtů se zvýšenými oprávněními k provádění úloh správy Mezi úlohy patří přiřazení rolí Azure AD, přiřazení rolí prostředků Azure a správa přístupu pro prostředky a předplatná Azure.

  • Privileged Identity Management (PIM) Pokyny týkající se používání PIM ke správě, řízení a monitorování přístupu k prostředkům

  • Aplikace. Pokyny týkající se účtů používaných k ověřování aplikací

  • Zařízení. Pokyny specifické pro monitorování a upozorňování pro zařízení zaregistrovaná nebo připojená mimo zásady, nevyhovující využití, správu rolí správy zařízení a přihlašování k virtuálním počítačům.

  • Infrastruktura. Pokyny týkající se monitorování a upozorňování na hrozby pro hybridní a čistě cloudová prostředí

Důležitý referenční obsah

Microsoft má mnoho produktů a služeb, které vám umožňují přizpůsobit it prostředí tak, aby vyhovovalo vašim potřebám. Doporučujeme projít si následující doprovodné materiály pro vaše provozní prostředí:

Zdroje dat

Soubory protokolů, které používáte pro šetření a monitorování, jsou:

V Azure Portal můžete zobrazit protokoly auditu Azure AD. Stáhněte protokoly jako soubory JSON (Hodnoty oddělené čárkami) nebo JavaScript Object Notation (JSON). Azure Portal nabízí několik způsobů integrace protokolů Azure AD s jinými nástroji, které umožňují větší automatizaci monitorování a upozorňování:

  • Microsoft Sentinel – Umožňuje inteligentní analýzy zabezpečení na podnikové úrovni tím, že poskytuje možnosti zabezpečení a správy událostí (SIEM).

  • Pravidla Sigma - Sigma je vyvíjející se otevřený standard pro psaní pravidel a šablon, které automatizované nástroje pro správu mohou použít k analýze souborů protokolu. Kde šablony Sigma existují pro naše doporučená kritéria hledání, přidali jsme odkaz na úložiště Sigma. Šablony Sigma nejsou napsané, testovány a spravovány Microsoftem. Místo toho se úložiště a šablony vytvářejí a shromažďují celosvětovou komunitou zabezpečení IT.

  • Azure Monitor – Umožňuje automatizované monitorování a upozorňování různých podmínek. Může vytvářet nebo používat sešity ke kombinování dat z různých zdrojů.

  • Azure Event Hubs integrovaná se systémem SIEM. Azure AD protokoly je možné integrovat do jiných SIEM, jako jsou Splunk, ArcSight, QRadar a Sumo Logic prostřednictvím integrace Azure Event Hubs. Další informace najdete v tématu Streamování protokolů Azure Active Directory do centra událostí Azure.

  • Microsoft Defender for Cloud Apps – umožňuje zjišťovat a spravovat aplikace, řídit se napříč aplikacemi a prostředky a kontrolovat dodržování předpisů vašich cloudových aplikací.

  • Zabezpečení identit úloh pomocí identity Identity Protection Preview – Používá se k detekci rizika identit úloh napříč chováním při přihlašování a offline indikátory ohrožení zabezpečení.

Většina toho, co budete monitorovat a upozorňovat, jsou účinky zásad podmíněného přístupu. Pomocí přehledů podmíněného přístupu a sestav sešitu můžete prozkoumat účinky jedné nebo více zásad podmíněného přístupu na vaše přihlášení a výsledky zásad, včetně stavu zařízení. Tento sešit umožňuje zobrazit souhrn dopadu a identifikovat dopad v určitém časovém období. Sešit můžete použít také k prozkoumání přihlášení konkrétního uživatele. Další informace najdete v tématu Přehledy a vytváření sestav podmíněného přístupu.

Zbývající část tohoto článku popisuje, jak monitorovat a upozorňovat. Pokud jsou k dispozici konkrétní předdefinovaná řešení, propojíme s nimi nebo poskytneme ukázky podle tabulky. Jinak můžete vytvářet upozornění pomocí předchozích nástrojů.

  • Identity Protection vygeneruje tři klíčové sestavy, které vám můžou pomoct s vyšetřováním:

  • Rizikoví uživatelé obsahují informace o tom, kteří uživatelé jsou ohroženi, podrobnosti o detekcích, historii všech rizikových přihlášení a historii rizik.

  • Rizikové přihlášení obsahuje informace o okolnostech přihlášení, které můžou znamenat podezřelé okolnosti. Další informace o zkoumání informací z této sestavy najdete v tématu Postupy: Zkoumání rizika.

  • Detekce rizik obsahují informace o rizikových signálech zjištěných službou Azure AD Identity Protection, která informuje o přihlášení a riziku uživatele. Další informace najdete v průvodci operacemi zabezpečení Azure AD uživatelských účtů.

Další informace najdete v tématu Co je Identity Protection.

Zdroje dat pro monitorování řadiče domény

Pro dosažení nejlepších výsledků doporučujeme monitorovat řadiče domény pomocí Microsoft Defender for Identity. Tento přístup umožňuje nejlepší možnosti detekce a automatizace. Postupujte podle pokynů z těchto zdrojů informací:

Pokud nechcete používat Microsoft Defender for Identity, monitorujte řadiče domény jedním z těchto přístupů:

Komponenty hybridního ověřování

V rámci hybridního prostředí Azure by měly být následující položky standardní a zahrnuté do strategie monitorování a upozorňování.

Komponenty cloudového ověřování

V rámci cloudového prostředí Azure by měly být následující položky standardní a zahrnuté do strategie monitorování a upozorňování.

  • Azure AD proxy aplikací – tato cloudová služba poskytuje zabezpečený vzdálený přístup k místním webovým aplikacím. Další informace najdete v tématu Vzdálený přístup k místním aplikacím prostřednictvím Azure AD proxy aplikací.

  • Azure AD Connect – Služby používané pro řešení Azure AD Connect Další informace najdete v tématu Co je Azure AD Connect.

  • Azure AD Connect Health – Service Health poskytuje přizpůsobitelný řídicí panel, který sleduje stav služeb Azure v oblastech, ve kterých je používáte. Další informace najdete v tématu Azure AD Connect Health.

  • Azure AD vícefaktorové ověřování – Vícefaktorové ověřování vyžaduje, aby uživatel poskytl více než jednu formu ověření. Tento přístup může poskytnout proaktivní první krok zabezpečení vašeho prostředí. Další informace najdete v tématu Azure AD vícefaktorové ověřování.

  • Dynamické skupiny – Dynamická konfigurace členství ve skupinách zabezpečení pro Azure AD Správci můžou nastavit pravidla pro naplnění skupin vytvořených v Azure AD na základě atributů uživatele. Další informace najdete v tématu Dynamické skupiny a spolupráce B2B v Azure Active Directory.

  • Podmíněný přístup – Podmíněný přístup je nástroj používaný službou Azure Active Directory k propojení signálů, k rozhodování a vynucování zásad organizace. Podmíněný přístup je jádrem nové roviny řízení řízené identitou. Další informace najdete v tématu Co je podmíněný přístup.

  • Identity Protection – nástroj, který organizacím umožňuje automatizovat detekci a nápravu rizik založených na identitě, prozkoumat rizika pomocí dat na portálu a exportovat data detekce rizik do systému SIEM. Další informace najdete v tématu Co je Identity Protection.

  • Licencování na základě skupin – Licence je možné přiřadit skupinám místo přímo uživatelům. Azure AD uchovává informace o stavu přiřazení licencí uživatelům.

  • Služba zřizování – Zřizování odkazuje na vytváření identit uživatelů a rolí v cloudových aplikacích, ke kterým uživatelé potřebují přístup. Kromě vytváření identit uživatelů zahrnuje automatické zřizování údržbu a odebrání identit uživatelů při změně stavu nebo rolí. Další informace najdete v tématu Fungování zřizování aplikací v Azure Active Directory.

  • Graph API – Microsoft Graph API je webové rozhraní API RESTful, které umožňuje přístup k prostředkům cloudové služby Microsoftu. Po registraci aplikace a získání ověřovacích tokenů pro uživatele nebo službu můžete registrovat žádosti na microsoft Graph API. Další informace najdete v tématu Přehled Microsoft Graphu.

  • Domain Service – Azure Active Directory Domain Services (AD DS) poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny. Další informace najdete v tématu Co je Azure Active Directory Domain Services.

  • Azure Resource Manager – Azure Resource Manager je služba pro nasazení a správu pro Azure. Poskytuje úroveň správy, která vám umožňuje vytvářet, aktualizovat a odstraňovat prostředky v účtu Azure. Další informace najdete v tématu Co je Azure Resource Manager.

  • Spravovaná identita – Spravované identity eliminují potřebu vývojářů spravovat přihlašovací údaje. Spravované identity poskytují identitu aplikacím, které se mají použít při připojování k prostředkům, které podporují ověřování Azure AD. Další informace najdete v tématu Co jsou spravované identity pro prostředky Azure.

  • Privileged Identity Management – PIM je služba v Azure AD, která umožňuje spravovat, řídit a monitorovat přístup k důležitým prostředkům ve vaší organizaci. Další informace najdete v tématu Co je Azure AD Privileged Identity Management.

  • Kontroly přístupu – Azure AD kontroly přístupu umožňují organizacím efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Přístup uživatele je možné pravidelně kontrolovat, abyste měli jistotu, že k nim budou mít nadále přístup jenom ti správní uživatelé. Další informace najdete v tématu Co jsou Azure AD kontroly přístupu.

  • Správa nároků – správa nároků Azure AD je funkce zásad správného řízení identit. Organizace můžou spravovat životní cyklus identit a přístupu ve velkém měřítku tím, že automatizují pracovní postupy žádosti o přístup, přiřazení přístupu, kontroly a vypršení platnosti. Další informace najdete v tématu Co je Azure AD správa nároků.

  • Protokoly aktivit – Protokol aktivit je protokol platformy Azure, který poskytuje přehled o událostech na úrovni předplatného. Tento protokol obsahuje takové informace, jako je třeba při změně prostředku nebo při spuštění virtuálního počítače. Další informace najdete v protokolu aktivit Azure.

  • Samoobslužná služba resetování hesla – Azure AD samoobslužné resetování hesla (SSPR) umožňuje uživatelům změnit nebo resetovat heslo. Správce nebo helpdesk se nevyžaduje. Další informace najdete v tématu Jak to funguje: Azure AD samoobslužné resetování hesla.

  • Služby zařízení – Správa identit zařízení je základem podmíněného přístupu na základě zařízení. Pomocí zásad podmíněného přístupu na základě zařízení můžete zajistit, aby přístup k prostředkům ve vašem prostředí byl možný jenom se spravovanými zařízeními. Další informace najdete v tématu Co je identita zařízení.

  • Samoobslužná správa skupin – Uživatelům můžete povolit vytváření a správu vlastních skupin zabezpečení nebo skupin Microsoftu 365 v Azure AD. Vlastník skupiny může schválit nebo odepřít žádosti o členství a může delegovat kontrolu nad členstvím ve skupině. Funkce samoobslužné správy skupin nejsou k dispozici pro poštovní skupiny zabezpečení ani distribuční seznamy. Další informace najdete v tématu Nastavení samoobslužné správy skupin v Azure Active Directory.

  • Detekce rizik – obsahuje informace o dalších rizicích aktivovaných při zjištění rizika a dalších relevantních informacích, jako je umístění přihlášení a veškeré podrobnosti z Microsoft Defender for Cloud Apps.

Další kroky

Projděte si tyto články s průvodcem operacemi zabezpečení:

Operace zabezpečení uživatelských účtů

Operace zabezpečení pro uživatelské účty

Operace zabezpečení pro privilegované účty

Operace zabezpečení pro Privileged Identity Management

Operace zabezpečení pro aplikace

Operace zabezpečení pro zařízení

Operace zabezpečení pro infrastrukturu