Konfigurace Microsoft Entra pro nulovou důvěryhodnost: Monitorování a zjišťování kybernetických útoků

Robustní funkce monitorování stavu a detekce hrozeb jsou jedním ze šesti pilířů iniciativy Secure Future Initiative. Tyto pokyny jsou navržené tak, aby vám pomohly nastavit komplexní systém protokolování pro archivaci a analýzu. Patří sem doporučení týkající se třídění rizikových přihlášení, rizikových uživatelů a metod ověřování.

Prvním krokem pro sladění s tímto pilířem je nakonfigurovat nastavení diagnostiky pro všechny protokoly Microsoft Entra, aby se všechny změny provedené ve vašem tenantovi ukládaly a byly přístupné pro analýzu. Další doporučení v tomto pilíři se zaměřují na včasné třídění výstrah rizik a doporučení Microsoft Entra. Důležité je vědět, jaké protokoly, sestavy a nástroje pro monitorování stavu jsou k dispozici a pravidelně je sledovat.

Pokyny k zabezpečení

Nastavení diagnostiky se konfiguruje pro všechny protokoly Microsoft Entra.

Protokoly aktivit a sestavy v Microsoft Entra můžou pomoct zjistit pokusy o neoprávněný přístup nebo identifikovat, kdy se konfigurace tenanta změní. Když se protokoly archivují nebo integrují s nástroji pro správu událostí a informací o zabezpečení (SIEM), můžou týmy zabezpečení implementovat výkonné kontrolní mechanismy monitorování a detekce zabezpečení, proaktivní proaktivní vyhledávání hrozeb a procesy reakce na incidenty. Protokoly a funkce monitorování je možné použít k posouzení stavu tenanta a poskytnutí důkazů pro dodržování předpisů a auditů.

Pokud se protokoly nearchivují ani neodesílají do nástroje SIEM pro dotazování, je obtížné prozkoumat problémy s přihlášením. Absence historických protokolů znamená, že bezpečnostní týmy můžou chybět ve vzorech neúspěšných pokusů o přihlášení, neobvyklé aktivity a dalších indikátorů ohrožení zabezpečení. Tato nedostatečná viditelnost může zabránit včasné detekci porušení zabezpečení, což útočníkům umožní udržovat nedetekovaný přístup po delší dobu.

Akce nápravy

• Konfigurace nastavení diagnostiky Microsoft Entra
• Integrace protokolů Microsoft Entra s protokoly služby Azure Monitor
• streamovat protokoly Microsoft Entra do centra událostí

Aktivace privilegovaných rolí mají nakonfigurované monitorování a upozorňování

Organizace bez správných upozornění na aktivaci pro vysoce privilegované role nemají přehled o tom, kdy uživatelé přistupují k těmto kritickým oprávněním. Aktéři hrozeb mohou tuto mezeru v monitorování využít k eskalaci oprávnění aktivací vysoce privilegovaných rolí bez detekce a následným vytvořením účtu správce nebo úpravami zásad zabezpečení. Absence výstrah v reálném čase umožňuje útočníkům provádět laterální přesun, upravovat konfigurace auditu a zakázat bezpečnostní prvky bez aktivace postupů okamžité reakce.

Akce nápravy

• Konfigurace nastavení role Microsoft Entra ve službě Privileged Identity Management

Privilegovaní uživatelé se přihlašují pomocí metod odolných proti útokům phishing

Bez metod ověřování odolných proti útokům phishing jsou privilegovaní uživatelé zranitelnější vůči útokům phishing. Tyto typy útoků ošidí uživatele, aby odhalili své přihlašovací údaje, aby útočníkům udělil neoprávněný přístup. Pokud se používají metody ověřování odolné proti útokům phishing, útočníci můžou zachycovat přihlašovací údaje a tokeny prostřednictvím metod, jako jsou nežádoucí útoky typu in-the-middle, což podnítí zabezpečení privilegovaného účtu.

Jakmile dojde k ohrožení privilegovaného účtu nebo relace kvůli slabým metodám ověřování, útočníci můžou s účtem manipulovat, aby zachovali dlouhodobý přístup, vytvořili další zadní vrátka nebo upravili uživatelská oprávnění. Útočníci také můžou zneužít ohrožený privilegovaný účet k dalšímu eskalaci přístupu a potenciálně získat kontrolu nad citlivějšími systémy.

Akce nápravy

• Začínáme s nasazením ověřování bez hesla odolného proti útokům phishing
• Ujistěte se, že se privilegované účty registrují a používají metody odolné proti útokům phishing
• Nasazení zásad podmíněného přístupu pro cílové privilegované účty a vyžadování přihlašovacích údajů odolných proti útokům phishing
• Monitorování aktivit metod ověřování

Všichni vysoce rizikoví uživatelé jsou sesourcovaní podle kategorie

Uživatelé, kteří se považují za vysoce ohrožené službou Microsoft Entra ID Protection, mají vysokou pravděpodobnost ohrožení ze strany aktérů hrozeb. Aktéři hrozeb můžou získat počáteční přístup prostřednictvím ohrožených platných účtů, kde jejich podezřelé aktivity pokračují i přes aktivaci indikátorů rizika. Tento dohled může umožnit trvalost, protože aktéři hrozeb provádějí aktivity, které obvykle zaručují šetření, jako jsou neobvyklé vzory přihlášení nebo podezřelá manipulace s doručenou poštou.

Nedostatek třídění těchto rizikových uživatelů umožňuje rozšířené aktivity rekognoskace a laterální pohyb, přičemž neobvyklé vzorce chování nadále generují nešetřené výstrahy. Aktéři hrozeb se zrušují, protože bezpečnostní týmy ukazují, že aktivně nereagují na ukazatele rizik.

Akce nápravy

• Prošetření vysoce rizikových uživatelů v Microsoft Entra ID Protection
• Náprava vysoce rizikových uživatelů a odblokování v Microsoft Entra ID Protection

Všechna přihlášení s vysokým rizikem jsou vyhodnocená.

Riziková přihlášení označená službou Microsoft Entra ID Protection značí vysokou pravděpodobnost pokusů o neoprávněný přístup. Aktéři hrozeb používají tyto přihlášení k získání počátečního zápatí. Pokud tyto přihlášení zůstanou nešetřené, můžou nežádoucí osoby navázat trvalost opakovaným ověřováním pod náporem legitimních uživatelů.

Nedostatek odpovědí umožňuje útočníkům provést rekognoskaci, pokusit se eskalovat přístup a prolínat se s normálními vzory. Když neotříděná přihlášení nadále generují výstrahy a nedojde k žádnému zásahu, zvětší se mezery v zabezpečení, což usnadňuje laterální pohyb a úniky proti obraně, protože nežádoucí osoby rozpoznávají absenci aktivní bezpečnostní reakce.

Akce nápravy

• prozkoumání rizikových přihlášení
• Náprava rizik a odblokování uživatelů

Všechny rizikové identity úloh jsou vyhodnocené.

Ohrožené identity úloh (instanční objekty a aplikace) umožňují hercům hrozeb získat trvalý přístup bez zásahu uživatele nebo vícefaktorového ověřování. Microsoft Entra ID Protection monitoruje tyto identity pro podezřelé aktivity, jako jsou úniky přihlašovacích údajů, neobvyklý provoz rozhraní API a škodlivé aplikace. Neupravené identity rizikových úloh umožňují eskalaci oprávnění, laterální přesun, exfiltraci dat a trvalé backdoory, které obcházejí tradiční kontrolní mechanismy zabezpečení. Organizace musí systematicky zkoumat a opravovat tato rizika, aby se zabránilo neoprávněnému přístupu.

Akce nápravy

• Zjistěte a napravte rizikové identity pracovních zátěží
• Použití zásad podmíněného přístupu pro identity úloh

Všechny přihlašovací aktivity uživatelů používají silné metody ověřování.

Útočníci můžou získat přístup, pokud vícefaktorové ověřování (MFA) není všeobecně vynucené nebo pokud existují výjimky. Útočníci můžou získat přístup zneužitím slabých metod vícefaktorového ověřování, jako jsou SMS a telefonní hovory prostřednictvím technik sociálního inženýrství. Tyto techniky můžou zahrnovat prohození SIM karty nebo útok phishing, aby bylo možné zachycovat ověřovací kódy.

Útočníci můžou tyto účty používat jako vstupní body do tenanta. Pomocí zachycených uživatelských relací můžou útočníci zamaskovat své aktivity jako legitimní akce uživatelů, vyhnout se detekci a pokračovat v útoku bez podezření. Odtud se mohou pokusit o manipulaci s nastavením vícefaktorového ověřování za účelem vytvoření trvalosti, plánování a provádění dalších útoků na základě oprávnění ohrožených účtů.

Akce nápravy

• Nasazení vícefaktorového ověřování
• Začínáme s nasazením ověřování bez hesla odolného proti útokům phishing
• Nasazení zásad podmíněného přístupu pro vyžadování vícefaktorového ověřování odolného proti útokům phishing pro všechny uživatele
• Kontrola aktivit metod ověřování

Řeší se doporučení Microsoft Entra s vysokou prioritou.

Neoznačená doporučení Microsoft Entra s vysokou prioritou můžou vytvořit mezeru v stavu zabezpečení organizace a nabídnout účastníkům hrozeb příležitosti k zneužití známých slabých stránek. Nečinné na těchto položkách může vést ke zvýšenému prostoru útoku, neoptimálním operacím nebo špatnému uživatelskému prostředí.

Akce nápravy

• Řešení všech doporučení s vysokou prioritou v centru pro správu Microsoft Entra

Povolená oznámení ochrany ID

Pokud nepovolíte oznámení o ochraně ID, vaše organizace ztratí kritická upozornění v reálném čase, když aktéři hrozeb ohrožují uživatelské účty nebo provádějí aktivity rekognoskace. Když Microsoft Entra ID Protection zjistí ohrožené účty, odešle e-mailové výstrahy s rizikem uživatele zjištěné jako předmět a odkazy na sestavu Uživatelů označených příznakem rizika . Bez těchtooznámeních Tato rizika můžete posílat do nástrojů, jako je podmíněný přístup, abyste mohli rozhodovat o přístupu, nebo je odeslat nástroji pro šetření a korelaci do nástroje pro správu událostí (SIEM). Aktéři hrozeb můžou tuto mezeru v detekci využít k provádění aktivit laterálního pohybu, pokusů o eskalaci oprávnění nebo operací exfiltrace dat, zatímco správci neznají probíhající ohrožení. Zpožděná reakce umožňuje subjektům hrozeb vytvořit více mechanismů trvalosti, změnit uživatelská oprávnění nebo přistupovat k citlivým prostředkům, než problém vyřešíte. Bez proaktivního oznamování detekcí rizik musí organizace spoléhat výhradně na ruční monitorování sestav rizik, což výrazně zvyšuje dobu potřebnou k detekci a reakci na útoky založené na identitách.

Akce nápravy

• Konfigurace rizikových výstrah uživatelů

Žádná starší aktivita přihlášení k ověřování

Starší ověřovací protokoly, jako je základní ověřování smtp a IMAP, nepodporují moderní funkce zabezpečení, jako je vícefaktorové ověřování (MFA), což je zásadní pro ochranu před neoprávněným přístupem. Díky této nedostatečné ochraně jsou účty používající tyto protokoly zranitelné vůči útokům založeným na heslech a útočníkům poskytuje způsob, jak získat počáteční přístup pomocí odcizených nebo uhodnutých přihlašovacích údajů.

Když útočník úspěšně získá neoprávněný přístup k přihlašovacím údajům, může ho použít pro přístup k propojeným službám pomocí slabé metody ověřování jako vstupního bodu. Útočníci, kteří získávají přístup prostřednictvím starší verze ověřování, můžou provádět změny v systému Microsoft Exchange, jako je konfigurace pravidel předávání pošty nebo změna jiných nastavení, což jim umožní zachovat nepřetržitý přístup k citlivé komunikaci.

Starší ověřování také poskytuje útočníkům konzistentní metodu pro opětovné zadání systému pomocí ohrožených přihlašovacích údajů bez aktivace výstrah zabezpečení nebo vyžadování opětovného ověření.

Odsud můžou útočníci používat starší protokoly pro přístup k jiným systémům, které jsou přístupné prostřednictvím ohroženého účtu, což usnadňuje laterální přesun. Útočníci, kteří používají starší protokoly, se můžou spojit s legitimními aktivitami uživatelů a znesnadňuje týmům zabezpečení rozlišovat mezi normálním používáním a škodlivým chováním.

Akce nápravy

• protokoly Exchange je možné deaktivovat v systému Exchange
• starší verze ověřovacích protokolů je možné zablokovat pomocí podmíněného přístupu
• přihlášení pomocí starší verze ověřovacího sešitu, abyste zjistili, jestli je bezpečné vypnout starší

Řeší se všechna doporučení Microsoft Entra.

Doporučení Microsoft Entra poskytují organizacím příležitosti k implementaci osvědčených postupů a optimalizaci stavu zabezpečení. Nečinné na těchto položkách může vést ke zvýšenému prostoru útoku, neoptimálním operacím nebo špatnému uživatelskému prostředí.

Akce nápravy

• Vyřešit všechna aktivní nebo odložená doporučení v centru pro správu Microsoft Entra