Operace zabezpečení Microsoft Entra pro zařízení
Zařízení se běžně netýknou útoky založenými na identitách, ale dají se použít k uspokojování a trikování bezpečnostních prvků nebo k zosobnění uživatelů. Zařízení můžou mít jednu ze čtyř relací s ID Microsoft Entra:
Neregistrováno
Zaregistrovaná a připojená zařízení jsou vystavená primárním obnovovacím tokenem (PRT), který lze použít jako primární artefakt ověřování a v některých případech jako artefakt vícefaktorového ověřování. Útočníci se můžou pokusit zaregistrovat svá vlastní zařízení, používat PRT na legitimních zařízeních pro přístup k obchodním datům, ukrást tokeny založené na PRT z legitimních uživatelských zařízení nebo najít chybné konfigurace v ovládacích prvcích založených na zařízeních v Microsoft Entra ID. U zařízení připojených k hybridnímu připojení Microsoft Entra se proces připojení zahájí a řídí správci, což snižuje dostupné metody útoku.
Další informace o metodách integrace zařízení naleznete v tématu Volba metod integrace v článku Plánování nasazení zařízení Microsoft Entra.
Pokud chcete snížit riziko napadení infrastruktury špatnými aktéry prostřednictvím zařízení, monitorujte
Registrace zařízení a připojení k Microsoft Entra
Nevyhovující zařízení, která přistupují k aplikacím
Načtení klíče nástroje BitLocker
Role správce zařízení
Přihlášení k virtuálním počítačům
Kam se podívat
Soubory protokolů, které používáte pro šetření a monitorování, jsou:
Na webu Azure Portal můžete zobrazit protokoly auditu Microsoft Entra a stáhnout je jako soubory s hodnotami oddělenými čárkami (CSV) nebo JavaScript Object Notation (JSON). Azure Portal nabízí několik způsobů integrace protokolů Microsoft Entra s dalšími nástroji, které umožňují větší automatizaci monitorování a upozorňování:
Microsoft Sentinel – umožňuje inteligentní analýzy zabezpečení na podnikové úrovni tím, že poskytuje možnosti správy informací o zabezpečení a událostí (SIEM).
Pravidla Sigma – Sigma je vyvíjející se otevřený standard pro psaní pravidel a šablon, které mohou automatizované nástroje pro správu použít k analýze souborů protokolu. Kde existují šablony Sigma pro naše doporučená kritéria hledání, přidali jsme odkaz na úložiště Sigma. Šablony Sigma nejsou napsané, otestované a spravované Microsoftem. Úložiště a šablony se vytvářejí a shromažďují komunitou zabezpečení IT po celém světě.
Azure Monitor – umožňuje automatizované monitorování a upozorňování různých podmínek. Můžete vytvářet nebo používat sešity ke kombinování dat z různých zdrojů.
Služba Azure Event Hubs integrovaná s protokoly SIEM- Microsoft Entra je možné integrovat do jiných prostředí SIEM, jako jsou Splunk, ArcSight, QRadar a Sumo Logic prostřednictvím integrace služby Azure Event Hubs.
Microsoft Defender for Cloud Apps – umožňuje zjišťovat a spravovat aplikace, řídit se napříč aplikacemi a prostředky a kontrolovat dodržování předpisů cloudových aplikací.
Zabezpečení identit úloh pomocí služby Microsoft Entra ID Protection – používá se ke zjišťování rizik u identit úloh napříč chováním přihlašování a offline indikátory ohrožení.
Většina toho, co budete monitorovat a upozorňovat, jsou účinky zásad podmíněného přístupu. Pomocí přehledů podmíněného přístupu a sestav sešitu můžete prozkoumat účinky jedné nebo více zásad podmíněného přístupu na vaše přihlášení a výsledky zásad, včetně stavu zařízení. Tento sešit umožňuje zobrazit souhrn a identifikovat účinky v určitém časovém období. Sešit můžete také použít k prozkoumání přihlášení konkrétního uživatele.
Zbytek tohoto článku popisuje, co doporučujeme monitorovat a upozorňovat, a je uspořádaný podle typu hrozby. Pokud existují konkrétní předdefinovaná řešení, která na ně propojíme, nebo poskytneme ukázky podle tabulky. V opačném případě můžete vytvářet výstrahy pomocí předchozích nástrojů.
Registrace zařízení a připojení mimo zásady
Zařízení zaregistrovaná společností Microsoft Entra a zařízení připojená k Microsoft Entra mají primární obnovovací tokeny (PRT), které jsou ekvivalentem jednoho ověřovacího faktoru. Tato zařízení můžou někdy obsahovat deklarace silného ověřování. Další informace o tom, kdy žádosti o přijetí změn obsahují deklarace silného ověřování, najdete v tématu Kdy žádost o přijetí změn získá deklaraci vícefaktorového ověřování? Pokud chcete, aby špatní aktéři mohli registrovat nebo připojovat zařízení, vyžadovat vícefaktorové ověřování (MFA) k registraci nebo připojení zařízení. Pak monitorujte všechna zařízení zaregistrovaná nebo připojená bez vícefaktorového ověřování. Budete také muset sledovat změny nastavení a zásad vícefaktorového ověřování a zásad dodržování předpisů zařízením.
Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
---|---|---|---|---|
Registrace zařízení nebo připojení se dokončilo bez vícefaktorového ověřování | Střední | Protokoly přihlašování | Aktivita: Úspěšné ověření ve službě Device Registration Service And Nevyžaduje se žádné vícefaktorové ověřování |
Upozornění: Jakékoli zařízení zaregistrované nebo připojené bez vícefaktorového ověřování Šablona Microsoft Sentinelu Pravidla Sigma |
Změny přepínače MFA pro registraci zařízení v Microsoft Entra ID | Vysoká | Protokol auditu | Aktivita: Nastavení zásad registrace zařízení | Hledejte: Přepínač, který je nastavený na vypnutý. Položka protokolu auditu neexistuje. Naplánujte pravidelné kontroly. Pravidla Sigma |
Změny zásad podmíněného přístupu vyžadujících připojení k doméně nebo zařízení vyhovující předpisům | Vysoká | Protokol auditu | Změny zásad podmíněného přístupu |
Upozornění: Změna na jakoukoli zásadu vyžadující připojení k doméně nebo dodržování předpisů, změny důvěryhodných umístění nebo účtů nebo zařízení přidaných do výjimek zásad MFA |
Můžete vytvořit upozornění, které upozorní příslušné správce, když je zařízení zaregistrované nebo připojené bez vícefaktorového ověřování pomocí služby Microsoft Sentinel.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
Microsoft Intune můžete také použít k nastavení a monitorování zásad dodržování předpisů zařízením.
Nekompatibilní přihlášení zařízení
Možná nebude možné blokovat přístup ke všem cloudovým a softwarovým aplikacím jako služby pomocí zásad podmíněného přístupu vyžadujících zařízení dodržující předpisy.
Správa mobilních zařízení (MDM) pomáhá udržovat zařízení s Windows 10 v souladu s předpisy. Ve Windows verze 1809 jsme vydali standardní hodnoty zabezpečení zásad. Microsoft Entra ID se může integrovat s MDM , aby vynucuje dodržování předpisů zařízením s podnikovými zásadami a může hlásit stav dodržování předpisů zařízení.
Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
---|---|---|---|---|
Přihlášení zařízeními, která nedodržují předpisy | Vysoká | Protokoly přihlašování | DeviceDetail.isCompliant == false | Pokud vyžadujete přihlášení ze vyhovujících zařízení, upozorňování na to, že se přihlásíte nekompatibilními zařízeními nebo jakýkoli přístup bez vícefaktorového ověřování nebo důvěryhodného umístění. Pokud pracujete na vyžadování zařízení, monitorujte podezřelé přihlášení. |
Přihlášení pomocí neznámých zařízení | Nízká | Protokoly přihlašování | DeviceDetail je prázdné, jednofaktorové ověřování nebo z nedůvěryhodného umístění. | Vyhledejte: jakýkoli přístup ze zařízení, která nedodržují předpisy, jakýkoli přístup bez vícefaktorového ověřování nebo důvěryhodného umístění. Šablona Microsoft Sentinelu Pravidla Sigma |
Použití LogAnalytics k dotazování
Přihlášení zařízeními, která nedodržují předpisy
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Přihlášení pomocí neznámých zařízení
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Zastaralá zařízení
Zastaralá zařízení zahrnují zařízení, která se po zadané časové období nepřihlásila. Zařízení se můžou stát zastaralou, když uživatel získá nové zařízení nebo ztratí zařízení nebo když se zařízení připojené k Microsoft Entra vymaže nebo znovu vytvoří. Pokud už uživatel není přidružený k tenantovi, můžou zařízení zůstat zaregistrovaná nebo připojená. Zastaralá zařízení by se měla odebrat, aby se primární obnovovací tokeny (PRT) nedaly použít.
Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
---|---|---|---|---|
Datum posledního přihlášení | Nízká | Graph API | approximateLastSignInDateTime | Pomocí rozhraní Graph API nebo PowerShellu můžete identifikovat a odebrat zastaralá zařízení. |
Načtení klíče nástroje BitLocker
Útočníci, kteří napadli zařízení uživatele, mohou načíst klíče BitLockeru v Microsoft Entra ID. Uživatelé často načítají klíče a měli by být sledováni a vyšetřováni.
Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
---|---|---|---|---|
Načtení klíče | Střední | Protokoly auditu | OperationName == "Read BitLocker key" | Hledejte: načítání klíčů, jiné neobvyklé chování uživatelů, kteří načítají klíče. Šablona Microsoft Sentinelu Pravidla Sigma |
V LogAnalytics vytvořte dotaz, například
AuditLogs
| where OperationName == "Read BitLocker key"
Role správce zařízení
Místní správce zařízení připojený k Microsoft Entra a role globálního správce automaticky získají oprávnění místního správce na všech zařízeních připojených k Microsoft Entra. Je důležité monitorovat, kdo má tato práva, aby vaše prostředí bylo v bezpečí.
Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
---|---|---|---|---|
Uživatelé přidaní do rolí globálního správce nebo správce zařízení | Vysoká | Protokoly auditu | Typ aktivity = Přidat člena do role. | Hledejte: noví uživatelé přidaní do těchto rolí Microsoft Entra, následné neobvyklé chování počítačů nebo uživatelů. Šablona Microsoft Sentinelu Pravidla Sigma |
Přihlášení mimo Azure AD k virtuálním počítačům
Přihlášení k virtuálním počítačům s Windows nebo LINUXem by se měla monitorovat pro přihlášení pomocí účtů jiných než účtů Microsoft Entra.
Přihlášení k Microsoft Entra pro LINUX
Přihlášení Microsoft Entra pro LINUX umožňuje organizacím přihlásit se ke svým virtuálním počítačům Azure s LINUXem pomocí účtů Microsoft Entra přes protokol SSH (Secure Shell Protocol).
Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
---|---|---|---|---|
Přihlášení k účtu mimo Azure AD, zejména přes SSH | Vysoká | Protokoly místního ověřování | Ubuntu: monitorování /var/log/auth.log pro použití SSH RedHat: monitorování /var/log/sssd/ pro použití SSH |
Vyhledejte položky , ve kterých se účty mimo Azure AD úspěšně připojují k virtuálním počítačům. Viz následující příklad. |
Příklad Ubuntu:
9. května 23:49:39 ubuntu1804 aad_certhandler[3915]: Verze: 1.0.015570001; uživatel: localusertest01
9. května 23:49:39 ubuntu1804 aad_certhandler[3915]: Uživatel localusertest01 není uživatelem Microsoft Entra; vrátí prázdný výsledek.
9. května 23:49:43 ubuntu1804 aad_certhandler[3916]: Verze: 1.0.015570001; uživatel: localusertest01
9. května 23:49:43 ubuntu1804 aad_certhandler[3916]: Uživatel localusertest01 není uživatelem Microsoft Entra; vrátí prázdný výsledek.
9. května 23:49:43 ubuntu1804 sshd[3909]: Přijato veřejně pro localusertest01 z 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
9. května 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): relace otevřená pro uživatele localusertest01 uživatelem (uid=0).
Můžete nastavit zásady pro přihlašování virtuálních počítačů s LINUXem a zjišťovat a označit jako virtuální počítače s Linuxem, které mají přidané neschváliné místní účty. Další informace najdete v tématu Použití služby Azure Policy k zajištění standardů a vyhodnocení dodržování předpisů.
Přihlášení Microsoft Entra pro Windows Server
Přihlášení Microsoft Entra pro Windows umožňuje vaší organizaci přihlásit se k virtuálním počítačům Azure s Windows 2019+ pomocí účtů Microsoft Entra přes protokol RDP (Remote Desktop Protocol).
Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
---|---|---|---|---|
Přihlášení k účtu mimo Azure AD, zejména přes protokol RDP | Vysoká | Protokoly událostí Windows Serveru | Interaktivní přihlášení k virtuálnímu počítači s Windows | Událost 528, přihlášení typu 10 (RemoteInteractive). Zobrazuje, když se uživatel přihlásí přes Terminálovou službu nebo vzdálenou plochu. |
Další kroky
Přehled operací zabezpečení Microsoft Entra
Operace zabezpečení uživatelských účtů
Operace zabezpečení pro uživatelské účty
Operace zabezpečení pro privilegované účty
Operace zabezpečení pro Privileged Identity Management