Sdílet prostřednictvím


Operace zabezpečení Microsoft Entra pro zařízení

Zařízení se běžně netýknou útoky založenými na identitách, ale dají se použít k uspokojování a trikování bezpečnostních prvků nebo k zosobnění uživatelů. Zařízení můžou mít jednu ze čtyř relací s ID Microsoft Entra:

Zaregistrovaná a připojená zařízení jsou vystavená primárním obnovovacím tokenem (PRT), který lze použít jako primární artefakt ověřování a v některých případech jako artefakt vícefaktorového ověřování. Útočníci se můžou pokusit zaregistrovat svá vlastní zařízení, používat PRT na legitimních zařízeních pro přístup k obchodním datům, ukrást tokeny založené na PRT z legitimních uživatelských zařízení nebo najít chybné konfigurace v ovládacích prvcích založených na zařízeních v Microsoft Entra ID. U zařízení připojených k hybridnímu připojení Microsoft Entra se proces připojení zahájí a řídí správci, což snižuje dostupné metody útoku.

Další informace o metodách integrace zařízení naleznete v tématu Volba metod integrace v článku Plánování nasazení zařízení Microsoft Entra.

Pokud chcete snížit riziko napadení infrastruktury špatnými aktéry prostřednictvím zařízení, monitorujte

  • Registrace zařízení a připojení k Microsoft Entra

  • Nevyhovující zařízení, která přistupují k aplikacím

  • Načtení klíče nástroje BitLocker

  • Role správce zařízení

  • Přihlášení k virtuálním počítačům

Kam se podívat

Soubory protokolů, které používáte pro šetření a monitorování, jsou:

Na webu Azure Portal můžete zobrazit protokoly auditu Microsoft Entra a stáhnout je jako soubory s hodnotami oddělenými čárkami (CSV) nebo JavaScript Object Notation (JSON). Azure Portal nabízí několik způsobů integrace protokolů Microsoft Entra s dalšími nástroji, které umožňují větší automatizaci monitorování a upozorňování:

  • Microsoft Sentinel – umožňuje inteligentní analýzy zabezpečení na podnikové úrovni tím, že poskytuje možnosti správy informací o zabezpečení a událostí (SIEM).

  • Pravidla Sigma – Sigma je vyvíjející se otevřený standard pro psaní pravidel a šablon, které mohou automatizované nástroje pro správu použít k analýze souborů protokolu. Kde existují šablony Sigma pro naše doporučená kritéria hledání, přidali jsme odkaz na úložiště Sigma. Šablony Sigma nejsou napsané, otestované a spravované Microsoftem. Úložiště a šablony se vytvářejí a shromažďují komunitou zabezpečení IT po celém světě.

  • Azure Monitor – umožňuje automatizované monitorování a upozorňování různých podmínek. Můžete vytvářet nebo používat sešity ke kombinování dat z různých zdrojů.

  • Služba Azure Event Hubs integrovaná s protokoly SIEM- Microsoft Entra je možné integrovat do jiných prostředí SIEM, jako jsou Splunk, ArcSight, QRadar a Sumo Logic prostřednictvím integrace služby Azure Event Hubs.

  • Microsoft Defender for Cloud Apps – umožňuje zjišťovat a spravovat aplikace, řídit se napříč aplikacemi a prostředky a kontrolovat dodržování předpisů cloudových aplikací.

  • Zabezpečení identit úloh pomocí služby Microsoft Entra ID Protection – používá se ke zjišťování rizik u identit úloh napříč chováním přihlašování a offline indikátory ohrožení.

Většina toho, co budete monitorovat a upozorňovat, jsou účinky zásad podmíněného přístupu. Pomocí přehledů podmíněného přístupu a sestav sešitu můžete prozkoumat účinky jedné nebo více zásad podmíněného přístupu na vaše přihlášení a výsledky zásad, včetně stavu zařízení. Tento sešit umožňuje zobrazit souhrn a identifikovat účinky v určitém časovém období. Sešit můžete také použít k prozkoumání přihlášení konkrétního uživatele.

Zbytek tohoto článku popisuje, co doporučujeme monitorovat a upozorňovat, a je uspořádaný podle typu hrozby. Pokud existují konkrétní předdefinovaná řešení, která na ně propojíme, nebo poskytneme ukázky podle tabulky. V opačném případě můžete vytvářet výstrahy pomocí předchozích nástrojů.

Registrace zařízení a připojení mimo zásady

Zařízení zaregistrovaná společností Microsoft Entra a zařízení připojená k Microsoft Entra mají primární obnovovací tokeny (PRT), které jsou ekvivalentem jednoho ověřovacího faktoru. Tato zařízení můžou někdy obsahovat deklarace silného ověřování. Další informace o tom, kdy žádosti o přijetí změn obsahují deklarace silného ověřování, najdete v tématu Kdy žádost o přijetí změn získá deklaraci vícefaktorového ověřování? Pokud chcete, aby špatní aktéři mohli registrovat nebo připojovat zařízení, vyžadovat vícefaktorové ověřování (MFA) k registraci nebo připojení zařízení. Pak monitorujte všechna zařízení zaregistrovaná nebo připojená bez vícefaktorového ověřování. Budete také muset sledovat změny nastavení a zásad vícefaktorového ověřování a zásad dodržování předpisů zařízením.

Co monitorovat Úroveň rizika Kde Filtr nebo podfiltr Notes
Registrace zařízení nebo připojení se dokončilo bez vícefaktorového ověřování Střední Protokoly přihlašování Aktivita: Úspěšné ověření ve službě Device Registration Service
And
Nevyžaduje se žádné vícefaktorové ověřování
Upozornění: Jakékoli zařízení zaregistrované nebo připojené bez vícefaktorového ověřování
Šablona Microsoft Sentinelu
Pravidla Sigma
Změny přepínače MFA pro registraci zařízení v Microsoft Entra ID Vysoká Protokol auditu Aktivita: Nastavení zásad registrace zařízení Hledejte: Přepínač, který je nastavený na vypnutý. Položka protokolu auditu neexistuje. Naplánujte pravidelné kontroly.
Pravidla Sigma
Změny zásad podmíněného přístupu vyžadujících připojení k doméně nebo zařízení vyhovující předpisům Vysoká Protokol auditu Změny zásad podmíněného přístupu
Upozornění: Změna na jakoukoli zásadu vyžadující připojení k doméně nebo dodržování předpisů, změny důvěryhodných umístění nebo účtů nebo zařízení přidaných do výjimek zásad MFA

Můžete vytvořit upozornění, které upozorní příslušné správce, když je zařízení zaregistrované nebo připojené bez vícefaktorového ověřování pomocí služby Microsoft Sentinel.

SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"

Microsoft Intune můžete také použít k nastavení a monitorování zásad dodržování předpisů zařízením.

Nekompatibilní přihlášení zařízení

Možná nebude možné blokovat přístup ke všem cloudovým a softwarovým aplikacím jako služby pomocí zásad podmíněného přístupu vyžadujících zařízení dodržující předpisy.

Správa mobilních zařízení (MDM) pomáhá udržovat zařízení s Windows 10 v souladu s předpisy. Ve Windows verze 1809 jsme vydali standardní hodnoty zabezpečení zásad. Microsoft Entra ID se může integrovat s MDM , aby vynucuje dodržování předpisů zařízením s podnikovými zásadami a může hlásit stav dodržování předpisů zařízení.

Co monitorovat Úroveň rizika Kde Filtr nebo podfiltr Notes
Přihlášení zařízeními, která nedodržují předpisy Vysoká Protokoly přihlašování DeviceDetail.isCompliant == false Pokud vyžadujete přihlášení ze vyhovujících zařízení, upozorňování na to, že se přihlásíte nekompatibilními zařízeními nebo jakýkoli přístup bez vícefaktorového ověřování nebo důvěryhodného umístění.

Pokud pracujete na vyžadování zařízení, monitorujte podezřelé přihlášení.

Pravidla Sigma

Přihlášení pomocí neznámých zařízení Nízká Protokoly přihlašování DeviceDetail je prázdné, jednofaktorové ověřování nebo z nedůvěryhodného umístění. Vyhledejte: jakýkoli přístup ze zařízení, která nedodržují předpisy, jakýkoli přístup bez vícefaktorového ověřování nebo důvěryhodného umístění.
Šablona Microsoft Sentinelu

Pravidla Sigma

Použití LogAnalytics k dotazování

Přihlášení zařízeními, která nedodržují předpisy

SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"

Přihlášení pomocí neznámých zařízení


SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"

Zastaralá zařízení

Zastaralá zařízení zahrnují zařízení, která se po zadané časové období nepřihlásila. Zařízení se můžou stát zastaralou, když uživatel získá nové zařízení nebo ztratí zařízení nebo když se zařízení připojené k Microsoft Entra vymaže nebo znovu vytvoří. Pokud už uživatel není přidružený k tenantovi, můžou zařízení zůstat zaregistrovaná nebo připojená. Zastaralá zařízení by se měla odebrat, aby se primární obnovovací tokeny (PRT) nedaly použít.

Co monitorovat Úroveň rizika Kde Filtr nebo podfiltr Notes
Datum posledního přihlášení Nízká Graph API approximateLastSignInDateTime Pomocí rozhraní Graph API nebo PowerShellu můžete identifikovat a odebrat zastaralá zařízení.

Načtení klíče nástroje BitLocker

Útočníci, kteří napadli zařízení uživatele, mohou načíst klíče BitLockeru v Microsoft Entra ID. Uživatelé často načítají klíče a měli by být sledováni a vyšetřováni.

Co monitorovat Úroveň rizika Kde Filtr nebo podfiltr Notes
Načtení klíče Střední Protokoly auditu OperationName == "Read BitLocker key" Hledejte: načítání klíčů, jiné neobvyklé chování uživatelů, kteří načítají klíče.
Šablona Microsoft Sentinelu

Pravidla Sigma

V LogAnalytics vytvořte dotaz, například

AuditLogs
| where OperationName == "Read BitLocker key" 

Role správce zařízení

Místní správce zařízení připojený k Microsoft Entra a role globálního správce automaticky získají oprávnění místního správce na všech zařízeních připojených k Microsoft Entra. Je důležité monitorovat, kdo má tato práva, aby vaše prostředí bylo v bezpečí.

Co monitorovat Úroveň rizika Kde Filtr nebo podfiltr Notes
Uživatelé přidaní do rolí globálního správce nebo správce zařízení Vysoká Protokoly auditu Typ aktivity = Přidat člena do role. Hledejte: noví uživatelé přidaní do těchto rolí Microsoft Entra, následné neobvyklé chování počítačů nebo uživatelů.
Šablona Microsoft Sentinelu

Pravidla Sigma

Přihlášení mimo Azure AD k virtuálním počítačům

Přihlášení k virtuálním počítačům s Windows nebo LINUXem by se měla monitorovat pro přihlášení pomocí účtů jiných než účtů Microsoft Entra.

Přihlášení k Microsoft Entra pro LINUX

Přihlášení Microsoft Entra pro LINUX umožňuje organizacím přihlásit se ke svým virtuálním počítačům Azure s LINUXem pomocí účtů Microsoft Entra přes protokol SSH (Secure Shell Protocol).

Co monitorovat Úroveň rizika Kde Filtr nebo podfiltr Notes
Přihlášení k účtu mimo Azure AD, zejména přes SSH Vysoká Protokoly místního ověřování Ubuntu:
monitorování /var/log/auth.log pro použití SSH
RedHat:
monitorování /var/log/sssd/ pro použití SSH
Vyhledejte položky , ve kterých se účty mimo Azure AD úspěšně připojují k virtuálním počítačům. Viz následující příklad.

Příklad Ubuntu:

9. května 23:49:39 ubuntu1804 aad_certhandler[3915]: Verze: 1.0.015570001; uživatel: localusertest01

9. května 23:49:39 ubuntu1804 aad_certhandler[3915]: Uživatel localusertest01 není uživatelem Microsoft Entra; vrátí prázdný výsledek.

9. května 23:49:43 ubuntu1804 aad_certhandler[3916]: Verze: 1.0.015570001; uživatel: localusertest01

9. května 23:49:43 ubuntu1804 aad_certhandler[3916]: Uživatel localusertest01 není uživatelem Microsoft Entra; vrátí prázdný výsledek.

9. května 23:49:43 ubuntu1804 sshd[3909]: Přijato veřejně pro localusertest01 z 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

9. května 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): relace otevřená pro uživatele localusertest01 uživatelem (uid=0).

Můžete nastavit zásady pro přihlašování virtuálních počítačů s LINUXem a zjišťovat a označit jako virtuální počítače s Linuxem, které mají přidané neschváliné místní účty. Další informace najdete v tématu Použití služby Azure Policy k zajištění standardů a vyhodnocení dodržování předpisů.

Přihlášení Microsoft Entra pro Windows Server

Přihlášení Microsoft Entra pro Windows umožňuje vaší organizaci přihlásit se k virtuálním počítačům Azure s Windows 2019+ pomocí účtů Microsoft Entra přes protokol RDP (Remote Desktop Protocol).

Co monitorovat Úroveň rizika Kde Filtr nebo podfiltr Notes
Přihlášení k účtu mimo Azure AD, zejména přes protokol RDP Vysoká Protokoly událostí Windows Serveru Interaktivní přihlášení k virtuálnímu počítači s Windows Událost 528, přihlášení typu 10 (RemoteInteractive).
Zobrazuje, když se uživatel přihlásí přes Terminálovou službu nebo vzdálenou plochu.

Další kroky

Přehled operací zabezpečení Microsoft Entra

Operace zabezpečení uživatelských účtů

Operace zabezpečení pro uživatelské účty

Operace zabezpečení pro privilegované účty

Operace zabezpečení pro Privileged Identity Management

Operace zabezpečení pro aplikace

Operace zabezpečení pro infrastrukturu