Operace zabezpečení Microsoft Entra pro uživatelské účty
Identita uživatele je jedním z nejdůležitějších aspektů ochrany vaší organizace a dat. Tento článek obsahuje pokyny pro monitorování vytváření, odstraňování a používání účtů. První část popisuje, jak monitorovat neobvyklé vytváření a odstraňování účtů. Druhá část popisuje, jak monitorovat neobvyklé využití účtu.
Pokud jste si ještě nečetli přehled operací zabezpečení Microsoft Entra, doporučujeme to udělat před pokračováním.
Tento článek se zabývá obecnými uživatelskými účty. V případě privilegovaných účtů se podívejte na operace zabezpečení – privilegované účty.
Definování směrného plánu
Pokud chcete zjistit neobvyklé chování, musíte nejprve definovat, co je normální a očekávané chování. Definování očekávaného chování pro vaši organizaci vám pomůže určit, kdy dojde k neočekávanému chování. Definice také pomáhá snížit úroveň šumu falešně pozitivních výsledků při monitorování a upozorňování.
Jakmile definujete, co očekáváte, provedete základní monitorování, abyste ověřili očekávání. Pomocí těchto informací můžete monitorovat protokoly všeho, co spadá mimo vámi definované tolerance.
Jako zdroje dat použijte protokoly auditu Microsoft Entra, protokoly přihlášení Microsoft Entra a atributy adresáře pro účty vytvořené mimo normální procesy. Tady jsou návrhy, které vám pomůžou přemýšlet a definovat, co je pro vaši organizaci normální.
Vytvoření účtu uživatelů – vyhodnoťte následující:
Strategie a principy pro nástroje a procesy používané k vytváření a správě uživatelských účtů Existují například standardní atributy, formáty, které se použijí na atributy uživatelského účtu.
Schválené zdroje pro vytvoření účtu. Například pocházející ze služby Active Directory (AD), Microsoft Entra ID nebo hr systémů, jako je Workday.
Strategie upozornění pro účty vytvořené mimo schválené zdroje Existuje kontrolovaný seznam organizací, se kterými vaše organizace spolupracuje?
Zřizování účtů hostů a parametrů upozornění pro účty vytvořené mimo správu nároků nebo jiné běžné procesy
Parametry strategie a upozornění pro účty vytvořené, upravené nebo zakázané účtem, který není schváleným správcem uživatele.
Strategie monitorování a upozornění pro účty, ve které chybí standardní atributy, jako je ID zaměstnance nebo které nedosazují zásady vytváření názvů organizace.
Strategie, principy a proces odstraňování a uchovávání účtů
Místní uživatelské účty – vyhodnoťte následující položky pro účty synchronizované s Microsoft Entra Připojení:
Doménové struktury, domény a organizační jednotky (OU) v rozsahu synchronizace. Kdo jsou schválení správci, kteří můžou tato nastavení změnit a jak často je obor zaškrtnutý?
Typy účtů, které jsou synchronizovány. Například uživatelské účty a účty služeb.
Proces vytváření privilegovaných místních účtů a způsobu řízení synchronizace tohoto typu účtu.
Proces vytváření místních uživatelských účtů a způsobu správy synchronizace tohoto typu účtu.
Další informace o zabezpečení a monitorování místních účtů najdete v tématu Ochrana Microsoftu 365 před místními útoky.
Cloudové uživatelské účty – vyhodnoťte následující:
Proces zřizování a správy cloudových účtů přímo v Microsoft Entra ID.
Proces určení typů uživatelů zřízených jako cloudové účty Microsoft Entra. Například povolíte jenom privilegované účty nebo povolíte také uživatelské účty?
Proces vytvoření a údržby seznamu důvěryhodných jednotlivců a procesů, u které se očekává vytvoření a správa cloudových uživatelských účtů.
Proces vytvoření a údržby strategie upozornění pro neschváliné cloudové účty.
Kam se podívat
Soubory protokolů, které používáte pro šetření a monitorování, jsou:
Na webu Azure Portal můžete zobrazit protokoly auditu Microsoft Entra a stáhnout jako soubory JSON (Hodnoty oddělené čárkami) nebo JavaScript Object Notation (JSON). Azure Portal nabízí několik způsobů integrace protokolů Microsoft Entra s dalšími nástroji, které umožňují větší automatizaci monitorování a upozorňování:
Microsoft Sentinel – umožňuje inteligentní analýzy zabezpečení na podnikové úrovni tím, že poskytuje možnosti správy informací o zabezpečení a událostí (SIEM).
Pravidla Sigma – Sigma je vyvíjející se otevřený standard pro psaní pravidel a šablon, které mohou automatizované nástroje pro správu použít k analýze souborů protokolu. Kde existují šablony Sigma pro naše doporučená kritéria hledání, přidali jsme odkaz na úložiště Sigma. Šablony Sigma nejsou napsané, otestované a spravované Microsoftem. Úložiště a šablony se vytvářejí a shromažďují komunitou zabezpečení IT po celém světě.
Azure Monitor – umožňuje automatizované monitorování a upozorňování různých podmínek. Můžete vytvářet nebo používat sešity ke kombinování dat z různých zdrojů.
Služba Azure Event Hubs integrovaná se systémem SIEM – Protokoly Microsoft Entra je možné integrovat do jiných prostředí SIEM, jako jsou Splunk, ArcSight, QRadar a Sumo Logic prostřednictvím integrace služby Azure Event Hubs.
Microsoft Defender for Cloud Apps – umožňuje zjišťovat a spravovat aplikace, řídit se napříč aplikacemi a prostředky a kontrolovat dodržování předpisů cloudových aplikací.
Zabezpečení identit úloh pomocí identity Identity Protection Preview – používá se ke zjišťování rizik u identit úloh napříč chováním přihlašování a offline indikátory ohrožení.
Většina toho, co budete monitorovat a upozorňovat, jsou účinky zásad podmíněného přístupu. Pomocí přehledů podmíněného přístupu a sešitu vytváření sestav můžete prozkoumat účinky jedné nebo více zásad podmíněného přístupu na vaše přihlášení a výsledky zásad, včetně stavu zařízení. Tento sešit umožňuje zobrazit souhrn a identifikovat účinky v určitém časovém období. Sešit můžete také použít k prozkoumání přihlášení konkrétního uživatele.
Zbývající část tohoto článku popisuje, co doporučujeme monitorovat a upozorňovat, a je uspořádaná podle typu hrozby. Pokud existují konkrétní předdefinovaná řešení, která na ně propojíme, nebo poskytneme ukázky podle tabulky. V opačném případě můžete vytvářet výstrahy pomocí předchozích nástrojů.
Vytvoření účtu
Neobvyklé vytvoření účtu může znamenat problém se zabezpečením. Krátkodobé účty, účty, které neslouží ke standardům pojmenování, a účty vytvořené mimo běžné procesy by se měly prošetřit.
Krátkodobé účty
Vytváření a odstraňování účtů mimo normální procesy správy identit by se mělo monitorovat v MICROSOFT Entra ID. Krátkodobé účty jsou účty vytvořené a odstraněné za krátkou dobu. Tento typ vytváření a rychlého odstranění účtu může znamenat, že se chybný objekt actor snaží zabránit detekci vytvořením účtů, jejich použitím a následným odstraněním účtu.
Vzorce krátkodobých účtů můžou znamenat, že neschváliní lidé nebo procesy můžou mít právo vytvářet a odstraňovat účty, které spadají mimo zavedené procesy a zásady. Tento typ chování odebere viditelné značky z adresáře.
Pokud se záznam dat pro vytvoření a odstranění účtu nezjistí rychle, nemusí už existovat informace potřebné k prošetření incidentu. Účty se například můžou odstranit a pak vyprázdnit z koše. Protokoly auditu se uchovávají po dobu 30 dnů. Protokoly ale můžete exportovat do služby Azure Monitor nebo do řešení pro správu událostí (SIEM) zabezpečení za účelem dlouhodobého uchovávání.
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Události vytvoření a odstranění účtu v rámci časového rámce uzavření | Nejvyšší | Protokoly auditu Microsoft Entra | Aktivita: Přidání uživatele Stav = úspěch a Aktivita: Odstranění uživatele Stav = úspěch |
Vyhledejte události hlavního názvu uživatele (UPN). Vyhledejte vytvořené účty a odstraňte je do 24 hodin. Šablona Microsoft Sentinelu |
| Účty vytvořené a odstraněné neschválými uživateli nebo procesy | střední | Protokoly auditu Microsoft Entra | Inicializován (actor) – HLAVNÍ NÁZEV UŽIVATELE a Aktivita: Přidání uživatele Stav = úspěch a nebo Aktivita: Odstranění uživatele Stav = úspěch |
Pokud jsou aktéři neschválení uživatelé, nakonfigurujte odeslání výstrahy. Šablona Microsoft Sentinelu |
| Účty z neschváliných zdrojů | střední | Protokoly auditu Microsoft Entra | Aktivita: Přidání uživatele Stav = úspěch Cíle = HLAVNÍ NÁZEV UŽIVATELE |
Pokud položka není ze schválené domény nebo je známou blokovanou doménou, nakonfigurujte odeslání výstrahy. Šablona Microsoft Sentinelu |
| Účty přiřazené k privilegované roli | Nejvyšší | Protokoly auditu Microsoft Entra | Aktivita: Přidání uživatele Stav = úspěch a Aktivita: Odstranění uživatele Stav = úspěch a Aktivita: Přidání člena do role Stav = úspěch |
Pokud je účet přiřazený k roli Microsoft Entra, roli Azure nebo privilegovanému členství ve skupině, upozorňování a stanovení priority šetření. Šablona Microsoft Sentinelu Pravidla Sigma |
Privilegované i neprivilegované účty by se měly monitorovat a upozorňovat. Vzhledem k tomu, že privilegované účty mají oprávnění správce, měly by mít ve vašich procesech monitorování, výstrah a reakce vyšší prioritu.
Účty, které nesloučí zásady pojmenování
Uživatelské účty, které nesloučí zásadami pojmenování, mohly být vytvořeny mimo zásady organizace.
Osvědčeným postupem je mít zásady pojmenování pro objekty uživatele. Zásady pojmenování usnadňují správu a pomáhají zajistit konzistenci. Tato zásada může také pomoct zjistit, kdy se uživatelé vytvořili mimo schválené procesy. Chybný aktér nemusí znát vaše standardy pojmenování a může usnadnit detekci účtu zřízeného mimo vaše organizační procesy.
Organizace mají tendenci mít specifické formáty a atributy, které se používají k vytváření uživatelských a privilegovaných účtů. Příklad:
hlavní název uživatele účtu Správa =ADM_firstname.lastname@tenant.onmicrosoft.com
Hlavní název uživatele (UPN) uživatelského účtu = Firstname.Lastname@contoso.com
Uživatelské účty mají často atribut, který identifikuje skutečného uživatele. Například EMPID = XXXNNN. Následující návrhy vám pomůžou definovat normální hodnoty pro vaši organizaci a při definování směrného plánu pro položky protokolu, když účty nevyhovují vašim konvencím vytváření názvů:
Účty, které nedodržují zásady vytváření názvů Například
nnnnnnn@contoso.comversusfirstname.lastname@contoso.com.Účty, které nemají vyplněné standardní atributy nebo nejsou ve správném formátu. Například nemá platné ID zaměstnance.
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Uživatelské účty, které nemají definované očekávané atributy. | Nejnižší | Protokoly auditu Microsoft Entra | Aktivita: Přidání uživatele Stav = úspěch |
Hledejte účty se standardními atributy null nebo v nesprávném formátu. Například EmployeeID Šablona Microsoft Sentinelu |
| Uživatelské účty vytvořené pomocí nesprávného formátu pojmenování | Nejnižší | Protokoly auditu Microsoft Entra | Aktivita: Přidání uživatele Stav = úspěch |
Vyhledejte účty s hlavního názvu uživatele (UPN), který neodpovídá zásadám pojmenování. Šablona Microsoft Sentinelu |
| Privilegované účty, které nedodržují zásady pojmenování | Nejvyšší | Předplatné Azure | Výpis přiřazení rolí Azure pomocí webu Azure Portal – Azure RBAC | Zobrazení seznamu přiřazení rolí pro předplatná a upozornění, kde se přihlašovací jméno neshoduje s formátem vaší organizace. Například ADM_ jako předponu. |
| Privilegované účty, které nedodržují zásady pojmenování | Nejvyšší | Adresář Microsoft Entra | Seznam přiřazení rolí Microsoft Entra | Zobrazí seznam přiřazení rolí pro výstrahu rolí Microsoft Entra, kde hlavní název uživatele neodpovídá formátu vaší organizace. Například ADM_ jako předponu. |
Další informace o analýze najdete tady:
Protokoly auditu Microsoft Entra – Analýza textových dat v protokolech služby Azure Monitor
Předplatná Azure – Výpis přiřazení rolí Azure pomocí Azure PowerShellu
ID Microsoft Entra – Výpis přiřazení rolí Microsoft Entra
Účty vytvořené mimo normální procesy
Standardní procesy pro vytváření uživatelů a privilegovaných účtů jsou důležité, abyste mohli bezpečně řídit životní cyklus identit. Pokud jsou uživatelé zřízeni a zrušeni mimo zavedené procesy, může to představovat bezpečnostní rizika. Provoz mimo zavedené procesy může také představovat problémy se správou identit. Mezi potenciální rizika patří:
Uživatelské a privilegované účty se nemusí řídit dodržováním zásad organizace. To může vést k širšímu prostoru pro útoky na účty, které nejsou spravovány správně.
Je obtížnější zjistit, kdy špatní aktéři vytvářejí účty pro škodlivé účely. Když máte platné účty vytvořené mimo zavedené postupy, je obtížnější zjistit, kdy se účty vytvářejí, nebo oprávnění upravená pro škodlivé účely.
Doporučujeme, aby se uživatelské a privilegované účty vytvářely jenom podle zásad vaší organizace. Například účet by měl být vytvořen se správnými standardy pojmenování, informacemi o organizaci a v rozsahu odpovídajících zásad správného řízení identit. Organizace by měly mít přísné kontroly, kdo má práva vytvářet, spravovat a odstraňovat identity. Role pro vytvoření těchto účtů by měly být úzce spravované a práva k dispozici pouze po provedení zavedeného pracovního postupu ke schválení a získání těchto oprávnění.
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Uživatelské účty vytvořené nebo odstraněné neschválými uživateli nebo procesy. | střední | Protokoly auditu Microsoft Entra | Aktivita: Přidání uživatele Stav = úspěch a-nebo- Aktivita: Odstranění uživatele Stav = úspěch a Inicializován (actor) = HLAVNÍ NÁZEV UŽIVATELE |
Upozornění na účty vytvořené neschválými uživateli nebo procesy Určete prioritu účtů vytvořených s zvýšenými oprávněními. Šablona Microsoft Sentinelu |
| Uživatelské účty vytvořené nebo odstraněné z neschváliných zdrojů | střední | Protokoly auditu Microsoft Entra | Aktivita: Přidání uživatele Stav = úspěch nebo Aktivita: Odstranění uživatele Stav = úspěch a Cíle = HLAVNÍ NÁZEV UŽIVATELE |
Výstraha, když je doména neschváliná nebo známá blokovaná doména |
Neobvyklé přihlášení
Dochází k selhání ověřování uživatelů je normální. Zobrazení vzorů nebo bloků selhání ale může být indikátorem, že se něco děje s identitou uživatele. Například při útoku password spray nebo hrubou silou nebo při ohrožení uživatelského účtu. Je důležité monitorovat a upozorňovat, když se objeví vzory. To pomáhá zajistit, abyste mohli chránit uživatele a data vaší organizace.
Zdá se, že úspěch říká, že vše je v pořádku. Může to ale znamenat, že špatný herec úspěšně získal přístup ke službě. Monitorování úspěšných přihlášení vám pomůže zjistit uživatelské účty, které získávají přístup, ale nemají uživatelské účty, které by měly mít přístup. Úspěšné ověření uživatele jsou normální položky v protokolech přihlašování Microsoft Entra. Doporučujeme monitorovat a upozorňovat, abyste zjistili, kdy se vzory objeví. To vám pomůže zajistit ochranu uživatelských účtů a dat vaší organizace.
Při návrhu a zprovoznění strategie monitorování protokolů a upozorňování zvažte nástroje, které máte k dispozici prostřednictvím webu Azure Portal. Služba Identity Protection umožňuje automatizovat detekci, ochranu a nápravu rizik založených na identitách. Ochrana identit využívá inteligentní strojové učení a heuristické systémy k detekci rizika a přiřazení rizikového skóre pro uživatele a přihlášení. Zákazníci můžou nakonfigurovat zásady na základě úrovně rizika, kdy povolit nebo odepřít přístup, nebo povolit uživateli bezpečné samoobslužné nápravy z rizika. Následující detekce rizik identity Protection dnes informují úrovně rizik:
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Detekce rizik uživatelů s nevrácenými přihlašovacími údaji | Nejvyšší | Protokoly detekce rizik Microsoft Entra | UX: Uniklé přihlašovací údaje Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
| Microsoft Entra Threat Intelligence – detekce rizik uživatelů | Nejvyšší | Protokoly detekce rizik Microsoft Entra | UX: Analýza hrozeb Microsoft Entra Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
| Detekce rizik přihlašování k anonymní IP adrese | Je to různé. | Protokoly detekce rizik Microsoft Entra | Uživatelské rozhraní: Anonymní IP adresa Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
| Detekce rizik atypického cestovního přihlašování | Je to různé. | Protokoly detekce rizik Microsoft Entra | UX: Atypické cestování Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
| Neobvyklý token | Je to různé. | Protokoly detekce rizik Microsoft Entra | UX: Neobvyklý token Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
| Detekce rizik přihlašování pomocí propojené IP adresy s malwarem | Je to různé. | Protokoly detekce rizik Microsoft Entra | Uživatelské rozhraní: Propojená IP adresa malwaru Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
| Detekce podezřelých rizik přihlašování v prohlížeči | Je to různé. | Protokoly detekce rizik Microsoft Entra | UX: Podezřelý prohlížeč Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
| Detekce rizik přihlášení k neznámým vlastnostem přihlašování | Je to různé. | Protokoly detekce rizik Microsoft Entra | Uživatelské rozhraní: Neznámé vlastnosti přihlašování Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
| Detekce rizika přihlášení k škodlivé IP adrese | Je to různé. | Protokoly detekce rizik Microsoft Entra | UX: Škodlivá IP adresa Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
| Detekce rizik podezřelé manipulace s doručenou poštou | Je to různé. | Protokoly detekce rizik Microsoft Entra | Uživatelské rozhraní: Podezřelá pravidla manipulace s doručenou poštou Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
| Detekce rizik přihlašování password Spray | Nejvyšší | Protokoly detekce rizik Microsoft Entra | UX: Password Spray Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
| Detekce rizik přihlášení k nemožné cestě | Je to různé. | Protokoly detekce rizik Microsoft Entra | UX: Nemožné cestování Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
| Detekce rizik přihlášení k nové zemi nebo oblasti | Je to různé. | Protokoly detekce rizik Microsoft Entra | Uživatelské rozhraní: Nová země/oblast Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
| Aktivita z detekce rizik přihlášení k anonymní IP adrese | Je to různé. | Protokoly detekce rizik Microsoft Entra | UX: Aktivita z anonymní IP adresy Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
| Detekce rizik podezřelého předávání doručené pošty | Je to různé. | Protokoly detekce rizik Microsoft Entra | Uživatelské rozhraní: Podezřelé přeposílání doručené pošty Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
| Detekce rizik přihlašování k analýze hrozeb v Microsoft Entra | Nejvyšší | Protokoly detekce rizik Microsoft Entra | UX: Analýza hrozeb Microsoft Entra Rozhraní API: Zobrazení typu prostředku riskDetection – Microsoft Graph |
Podívejte se , co je riziko? Microsoft Entra ID Protection Pravidla Sigma |
Další informace najdete v tématu Co je Identity Protection.
Co hledat
Nakonfigurujte monitorování dat v protokolech přihlašování Microsoft Entra, abyste měli jistotu, že dojde k upozorňování a dodržuje zásady zabezpečení vaší organizace. Tady je několik příkladů:
Neúspěšná ověřování: Protože všichni lidé občas získají svá hesla špatně. Mnoho neúspěšných ověřování však může znamenat, že se chybný objekt actor pokouší získat přístup. Útoky se liší ve ferocity, ale mohou se pohybovat od několika pokusů za hodinu až po mnohem vyšší rychlost. Například Password Spray obvykle brání jednodušším heslům u mnoha účtů, zatímco hrubá síla se pokouší použít mnoho hesel proti cílovým účtům.
Přerušené ověřování: Přerušení v Microsoft Entra ID představuje injektáž procesu pro splnění ověřování, například při vynucování ovládacího prvku v zásadách podmíněného přístupu. Jedná se o normální událost, ke které může dojít, když nejsou aplikace správně nakonfigurované. Když ale u uživatelského účtu uvidíte mnoho přerušení, může to znamenat, že se s tímto účtem něco děje.
- Pokud jste například vyfiltrovali protokoly přihlášení uživatele a zobrazili velký objem stavu přihlášení = Přerušeno a Podmíněný přístup = Selhání. Podrobnější zkoumání může ukazovat v podrobnostech o ověření, že heslo je správné, ale vyžaduje se silné ověřování. To může znamenat, že uživatel nedokončuje vícefaktorové ověřování (MFA), což může značit ohrožení hesla uživatele a chybný objekt actor nemůže splnit vícefaktorové ověřování.
Inteligentní uzamčení: Microsoft Entra ID poskytuje inteligentní uzamčení služby, která představuje koncept známých a nevědomých umístění pro proces ověřování. Uživatelský účet, který navštíví známé umístění, se může úspěšně ověřit, když se po několika pokusech zablokuje chybný objekt actor, který nezná stejné umístění. Vyhledejte účty, které byly uzamčeny, a prozkoumejte je dál.
Změny IP adres: Je normální vidět uživatele pocházející z různých IP adres. Nulová důvěra (Zero Trust) stavy ale nikdy nedůvěřují a vždy ověřují. Zobrazení velkého objemu IP adres a neúspěšných přihlášení může být indikátorem narušení. Vyhledejte vzor mnoha neúspěšných ověřování, které probíhá z několika IP adres. Upozorňujeme, že připojení virtuální privátní sítě (VPN) můžou způsobit falešně pozitivní výsledky. Bez ohledu na výzvy doporučujeme monitorovat změny IP adres a pokud je to možné, pomocí služby Microsoft Entra ID Protection automaticky zjišťovat a zmírnit tato rizika.
Umístění: Obecně očekáváte, že uživatelský účet bude ve stejném zeměpisném umístění. Očekáváte také přihlášení z míst, kde máte zaměstnance nebo obchodní vztahy. Pokud uživatelský účet pochází z jiného mezinárodního umístění za kratší dobu, než by trvalo cestování tam, může to znamenat, že je uživatelský účet zneužitý. Poznámka: Sítě VPN můžou způsobit falešně pozitivní výsledky, doporučujeme monitorovat přihlašování uživatelských účtů z geograficky vzdálených umístění a pokud je to možné, pomocí služby Microsoft Entra ID Protection automaticky zjišťovat a zmírnit tato rizika.
V této oblasti rizik doporučujeme monitorovat standardní uživatelské účty a privilegované účty, ale určit prioritu šetření privilegovaných účtů. Privilegované účty jsou nejdůležitějšími účty v jakémkoli tenantovi Microsoft Entra. Konkrétní pokyny pro privilegované účty najdete v tématu Operace zabezpečení – privilegované účty.
Postup zjištění
Používáte Microsoft Entra ID Protection a protokoly přihlašování Microsoft Entra, které pomáhají zjišťovat hrozby označené neobvyklými přihlašovacími charakteristikami. Informace o službě Identity Protection jsou k dispozici v tématu Co je Identity Protection. Data můžete také replikovat do služby Azure Monitor nebo SIEM pro účely monitorování a upozorňování. Pokud chcete definovat normální hodnoty pro vaše prostředí a nastavit směrný plán, určete:
parametry, které považujete za normální pro vaši uživatelskou základnu.
průměrný počet pokusů o zadání hesla v průběhu času, než uživatel zavolá na servisní oddělení nebo provede samoobslužné resetování hesla.
kolik neúspěšných pokusů chcete povolit před upozorňováním, a pokud se bude lišit u uživatelských účtů a privilegovaných účtů.
kolik pokusů o vícefaktorové ověřování chcete povolit před upozorňováním, a pokud se bude lišit u uživatelských účtů a privilegovaných účtů.
pokud je povolené starší ověřování a plán ukončení používání.
známé výchozí IP adresy jsou určené pro vaši organizaci.
země/oblasti, ze kterých vaši uživatelé pracují.
zda existují skupiny uživatelů, kteří zůstávají v síťovém umístění nebo zemi nebo oblasti.
Identifikujte všechny další indikátory neobvyklých přihlášení, které jsou specifické pro vaši organizaci. Například dny nebo časy týdne nebo roku, které vaše organizace nefunguje.
Jakmile určíte rozsah normálního nastavení účtů ve vašem prostředí, zvažte následující seznam, který vám pomůže určit scénáře, na které chcete monitorovat a upozorňovat, a doladit upozorňování.
Potřebujete monitorovat a upozorňovat, pokud je služba Identity Protection nakonfigurovaná?
Vztahují se na privilegované účty přísnější podmínky, které můžete použít k monitorování a upozorňování? Například vyžadování privilegovaných účtů se používá jenom z důvěryhodných IP adres.
Jsou směrné plány, které jste nastavili příliš agresivní? Příliš mnoho upozornění může vést k ignorování nebo zmeškaným upozorněním.
Nakonfigurujte Službu Identity Protection, která pomáhá zajistit, aby byla zajištěna ochrana, která podporuje zásady standardních hodnot zabezpečení. Blokování uživatelů například v případě rizika = vysoké. Tato úroveň rizika značí vysokou jistotu, že dojde k ohrožení uživatelského účtu. Další informace o nastavení zásad rizik přihlašování a zásad rizik uživatelů najdete v tématu Zásady identity Protection. Další informace o nastavení podmíněného přístupu najdete v tématu Podmíněný přístup: Podmíněný přístup založený na riziku přihlášení.
Níže jsou uvedeny v pořadí důležitosti na základě účinku a závažnosti položek.
Monitorování přihlášení externích uživatelů
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Uživatelé ověřující se v jiných tenantech Microsoft Entra. | Nejnižší | Protokol přihlášení Microsoft Entra | Stav = úspěch ID tenanta prostředku != ID domovského tenanta |
Zjistí, kdy se uživatel úspěšně ověřil v jiném tenantovi Microsoft Entra s identitou v tenantovi vaší organizace. Upozornění, pokud id tenanta prostředku není rovno ID domovského tenanta Šablona Microsoft Sentinelu Pravidla Sigma |
| Stav uživatele se změnil z hosta na člena | střední | Protokoly auditu Microsoft Entra | Aktivita: Aktualizace uživatele Kategorie: UserManagement UserType se změnilo z hosta na člena |
Monitorování a upozorňování na změnu typu uživatele z hosta na člena Bylo to očekávané? Šablona Microsoft Sentinelu Pravidla Sigma |
| Uživatelé typu host pozvaní do tenanta neschválinými pozvanými uživateli | střední | Protokoly auditu Microsoft Entra | Aktivita: Pozvání externího uživatele Kategorie: UserManagement Zahájil (actor): Hlavní název uživatele |
Monitorujte a upozorňovat na neschváliné aktéry, kteří zvou externí uživatele. Šablona Microsoft Sentinelu Pravidla Sigma |
Monitorování neúspěšných neobvyklých přihlášení
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Neúspěšné pokusy o přihlášení | Střední – pokud je izolovaný incident Vysoká – pokud u mnoha účtů dochází ke stejnému vzoru nebo virtuální IP adresě. |
Protokol přihlášení Microsoft Entra | Stav = selhání a Kód chyby přihlášení 50126 – Při ověřování přihlašovacích údajů kvůli neplatnému uživatelskému jménu nebo heslu došlo k chybě. |
Definujte prahovou hodnotu podle směrného plánu a pak monitorujte a upravte sadu chování organizace a omezte generování falešných výstrah. Šablona Microsoft Sentinelu Pravidla Sigma |
| Inteligentní události uzamčení | Střední – pokud je izolovaný incident Vysoká – pokud u mnoha účtů dochází ke stejnému vzoru nebo virtuální IP adresě. |
Protokol přihlášení Microsoft Entra | Stav = selhání a Kód chyby přihlášení = 50053 – IdsLocked |
Definujte prahovou hodnotu podle směrného plánu a pak monitorujte a upravte sadu chování organizace a omezte generování falešných výstrah. Šablona Microsoft Sentinelu Pravidla Sigma |
| Přerušení | Střední – pokud je izolovaný incident Vysoká – pokud u mnoha účtů dochází ke stejnému vzoru nebo virtuální IP adresě. |
Protokol přihlášení Microsoft Entra | 500121 ověřování selhalo během požadavku silného ověřování. nebo 50097, vyžaduje se ověřování zařízení nebo 50074, vyžaduje se silné ověřování. nebo 50155, DeviceAuthenticationFailed nebo 50158, ExternalSecurityChallenge – Externí bezpečnostní výzva nebyla splněna. nebo 53003 a důvod selhání = blokován podmíněným přístupem |
Monitorování a upozorňování na přerušení Definujte prahovou hodnotu podle směrného plánu a pak monitorujte a upravte sadu chování organizace a omezte generování falešných výstrah. Šablona Microsoft Sentinelu Pravidla Sigma |
Níže jsou uvedeny v pořadí důležitosti na základě účinku a závažnosti položek.
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Upozornění na podvody s vícefaktorovým ověřováním (MFA). | Nejvyšší | Protokol přihlášení Microsoft Entra | Stav = selhání a Podrobnosti = odepření vícefaktorového ověřování |
Monitorování a upozorňování na jakoukoli položku Šablona Microsoft Sentinelu Pravidla Sigma |
| Neúspěšná ověřování ze zemí nebo oblastí, ze kterých nepracujete. | střední | Protokol přihlášení Microsoft Entra | Umístění = <neschválené umístění> | Monitorování a upozorňování na všechny položky Šablona Microsoft Sentinelu Pravidla Sigma |
| Neúspěšná ověřování pro starší verze protokolů nebo protokolů, které se nepoužívají. | střední | Protokol přihlášení Microsoft Entra | Stav = selhání a Klientská aplikace = Ostatní klienti, POP, IMAP, MAPI, SMTP, ActiveSync |
Monitorování a upozorňování na všechny položky Šablona Microsoft Sentinelu Pravidla Sigma |
| Selhání blokovaná podmíněným přístupem | střední | Protokol přihlášení Microsoft Entra | Kód chyby = 53003 a Důvod selhání = blokovaný podmíněným přístupem |
Monitorování a upozorňování na všechny položky Šablona Microsoft Sentinelu Pravidla Sigma |
| Zvýšená neúspěšná ověřování libovolného typu | střední | Protokol přihlášení Microsoft Entra | Zachytávání se zvyšuje při selhání na celé desce. To znamená, že celkový součet selhání pro dnešní den je >10 % ve stejném dni, v předchozím týdnu. | Pokud nemáte nastavenou prahovou hodnotu, monitorujte a upozorňovat, pokud se selhání zvýší o 10 % nebo vyšší. Šablona Microsoft Sentinelu |
| Ověřování probíhá v časech a dnech v týdnu, když země nebo oblasti neprovádí normální obchodní operace. | Nejnižší | Protokol přihlášení Microsoft Entra | Zachyťte interaktivní ověřování, ke kterému dochází mimo běžné provozní dny\čas. Stav = úspěch a Umístění = <umístění> a Den\Čas = <ne normální pracovní doba> |
Monitorování a upozorňování na všechny položky Šablona Microsoft Sentinelu |
| Zakázaný nebo blokovaný účet pro přihlášení | Nejnižší | Protokol přihlášení Microsoft Entra | Stav = Selhání a kód chyby = 50057, uživatelský účet je zakázán. |
To může znamenat, že se někdo snaží získat přístup k účtu, jakmile opustí organizaci. I když je účet zablokovaný, je důležité se k této aktivitě přihlásit a upozornit. Šablona Microsoft Sentinelu Pravidla Sigma |
Monitorování úspěšných neobvyklých přihlášení
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Ověřování privilegovaných účtů mimo očekávané ovládací prvky | Nejvyšší | Protokol přihlášení Microsoft Entra | Stav = úspěch a UserPricipalName = <účet Správa> a Umístění = <neschválené umístění> a IP adresa = <neschválené IP adresy> Informace o zařízení = <neschválené prohlížeče, operační systém> |
Monitorování a upozorňování na úspěšné ověřování privilegovaných účtů mimo očekávané kontroly Jsou uvedeny tři běžné ovládací prvky. Šablona Microsoft Sentinelu Pravidla Sigma |
| Pokud se vyžaduje pouze jednofaktorové ověřování. | Nejnižší | Protokol přihlášení Microsoft Entra | Stav = úspěch Požadavek na ověření = jednofaktorové ověřování |
Pravidelně monitorujte a zajistěte očekávané chování. Pravidla Sigma |
| Zjišťování privilegovaných účtů, které nejsou zaregistrované pro vícefaktorové ověřování | Nejvyšší | Azure Graph API | Dotaz na IsMFARegistered eq false pro účty správce. Výpis přihlašovacích údajůUserRegistrationDetails – Microsoft Graph beta |
Auditujte a prošetřujte, abyste zjistili, jestli úmyslné nebo dohledové. |
| Úspěšná ověřování ze zemí nebo oblastí, ze kterých vaše organizace nepracuje. | střední | Protokol přihlášení Microsoft Entra | Stav = úspěch Umístění = <neschválené země/oblast> |
Monitorujte a upozorňovat na všechny položky, které se nerovnají názvům měst, které zadáte. Pravidla Sigma |
| Úspěšné ověřování, relace blokovaná podmíněným přístupem. | střední | Protokol přihlášení Microsoft Entra | Stav = úspěch a kód chyby = 53003 – důvod selhání, blokovaný podmíněným přístupem |
Monitorujte a prošetřujte, kdy je ověřování úspěšné, ale podmíněný přístup blokuje relace. Šablona Microsoft Sentinelu Pravidla Sigma |
| Úspěšné ověření po zakázání starší verze ověřování | střední | Protokol přihlášení Microsoft Entra | status = úspěch a Klientská aplikace = Ostatní klienti, POP, IMAP, MAPI, SMTP, ActiveSync |
Pokud vaše organizace zakázala starší ověřování, monitorujte a upozorněte na úspěšné ověření starší verze. Šablona Microsoft Sentinelu Pravidla Sigma |
Doporučujeme pravidelně kontrolovat ověřování na střední obchodní dopad (MBI) a aplikace s vysokým obchodním dopadem (HBI), které vyžadují pouze jednofaktorové ověřování. U každého chcete zjistit, jestli se jednofaktorové ověřování očekávalo nebo ne. Kontrola úspěšného ověření se navíc zvyšuje nebo v neočekávaných časech na základě umístění.
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Ověřování pro aplikaci MBI a HBI pomocí jednofaktorového ověřování | Nejnižší | Protokol přihlášení Microsoft Entra | status = úspěch a ID aplikace = <aplikace HBI> a Požadavek na ověření = jednofaktorové ověřování. |
Zkontrolujte a ověřte, že je tato konfigurace úmyslná. Pravidla Sigma |
| Ověřování vednechchch | Nejnižší | Protokol přihlášení Microsoft Entra | Zachyťte interaktivní ověřování, ke kterému dochází mimo běžné provozní dny\čas. Stav = úspěch Umístění = <umístění> Datum\Čas = <ne normální pracovní doba> |
Monitorujte a upozorňujte na dny a časy v týdnu nebo v roce, kdy země nebo oblasti neprovádí normální obchodní operace. Pravidla Sigma |
| Měřitelný nárůst úspěšných přihlášení | Nejnižší | Protokol přihlášení Microsoft Entra | Zachytávání se zvyšuje při úspěšném ověření na panelu. To znamená, že součty úspěchů pro dnešní den jsou >10 % ve stejném dni, v předchozím týdnu. | Pokud nemáte nastavenou prahovou hodnotu, monitorujte a upozorňovat, pokud se úspěšné ověření zvýší o 10 % nebo vyšší. Šablona Microsoft Sentinelu Pravidla Sigma |
Další kroky
Projděte si tyto články s průvodcem operacemi zabezpečení:
Přehled operací zabezpečení Microsoft Entra
Operace zabezpečení pro uživatelské účty
Operace zabezpečení pro privilegované účty
Operace zabezpečení pro Privileged Identity Management
Operace zabezpečení pro aplikace