Azure Active Directory-Sicherheitsvorgänge für Geräte
Geräte sind in der Regel nicht Ziel von identitätsbasierten Angriffen, können jedoch verwendet werden, um Sicherheitskontrollen zu umgehen und die Identität von Benutzern anzunehmen. Zwischen Geräten und Azure AD kann eine von vier Beziehungen bestehen:
Registrierung aufgehoben
Für registrierte und eingebundene Geräte wird ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) ausgestellt, das als primäres Authentifizierungsartefakt und gelegentlich auch als Artefakt für eine mehrstufige Authentifizierung verwendet werden kann. Angreifer können versuchen, eigene Geräte zu registrieren, mit PRTs auf rechtmäßigen Geräten auf Geschäftsdaten zuzugreifen, PRT-basierte Token von rechtmäßigen Benutzergeräten zu stehlen oder Konfigurationsfehler in gerätebasierten Kontrollen in Azure Active Directory ausfindig zu machen. Bei in Azure AD Hybrid eingebundenen Geräten wird die Einbindung von Administratoren initiiert und kontrolliert. Dadurch wird die Gefahr möglicher Angriffe reduziert.
Weitere Informationen zu Methoden zur Geräteintegration finden Sie unter Auswählen Ihrer Integrationsmethoden im Artikel Planen der Azure AD-Gerätebereitstellung.
Verringern Sie die Gefahr, dass böswillige Akteure über Geräte auf Ihre Infrastruktur zugreifen, indem Sie Folgendes überwachen
Geräteregistrierung und Azure AD-Einbindung
Nicht konforme Geräte, die auf Anwendungen zugreifen
Abruf von BitLocker-Schlüsseln
Geräteadministratorrollen
Anmeldungen bei virtuellen Computern
Zu untersuchende Protokolle
Zur Untersuchung und Überwachung verwenden Sie die folgenden Protokolldateien:
Im Azure-Portal können Sie die Azure AD-Überwachungsprotokolle anzeigen und als CSV- oder JSON-Dateien (Comma-Separated Value, JavaScript Object Notation) herunterladen. Das Azure-Portal bietet mehrere Möglichkeiten zur Integration von Azure AD-Protokollen in andere Tools, die eine umfassendere Automatisierung von Überwachung und Warnmeldungen ermöglichen:
Microsoft Sentinel : Ermöglicht intelligente Sicherheitsanalysen auf Unternehmensebene, indem SIEM-Funktionen (Security Information and Event Management) zur Verfügung gestellt werden.
Sigma-Regeln: Sigma ist ein sich in Entwicklung befindender offener Standard zum Schreiben von Regeln und Vorlagen, die automatisierte Verwaltungstools zum Parsen von Protokolldateien verwenden können. Wenn Sigma-Vorlagen für unsere empfohlenen Suchkriterien vorhanden sind, verweist ein Link zum Sigma-Repository. Sigma-Vorlagen werden von Microsoft weder geschrieben, noch getestet und verwaltet. Das Repository und die Vorlagen werden von der weltweiten IT-Sicherheitscommunity erstellt und gesammelt.
Azure Monitor : ermöglicht die automatisierte Überwachung verschiedener Bedingungen und entsprechende Warnungen. Mit dem Tool können Arbeitsmappen erstellt werden, die sich zum Kombinieren von Daten aus verschiedenen Quellen eignen.
Azure Event Hubs: integriert mit einem SIEM-Konzept- Azure AD-Protokolle können über die Azure Event Hubs-Integration mit anderen SIEM-Konzepten integriert werden, z. B. mit Splunk, ArcSight, QRadar und Sumo Logic.
Microsoft Defender für Cloud-Apps : Ermöglichen Ihnen die Erkennung und Verwaltung von Apps, die Steuerung von Apps und Ressourcen sowie die Überprüfung der Compliance Ihrer Cloud-Apps.
Sichern von Workloadidentitäten mit Identity Protection (Preview): Wird verwendet, um Risiken für Workloadidentitäten über das Anmeldeverhalten und Offlineindikatoren für eine Gefährdung zu erkennen.
Ein Großteil der Überwachung und zugehörigen Warnungen hängt von den Auswirkungen Ihrer Richtlinien für bedingten Zugriff ab. Sie können die Arbeitsmappe Erkenntnisse und Berichterstellung zum bedingten Zugriff verwenden, um die Auswirkungen einer oder mehrere Richtlinien für bedingten Zugriff auf Ihre Anmeldungen sowie die Ergebnisse von Richtlinien, einschließlich Gerätestatus, zu untersuchen. Diese Arbeitsmappe bietet Ihnen die Möglichkeit, eine Zusammenfassung anzuzeigen und die Auswirkungen über einen bestimmten Zeitraum zu ermitteln. Sie können mithilfe der Arbeitsmappe auch die Anmeldungen eines bestimmten Benutzers untersuchen.
Im restlichen Teil dieses Artikels wird beschrieben, was wir Ihnen zur Überwachung und für zugehörige Warnungen empfehlen, und zwar gegliedert nach der Art der Bedrohung. Wo es spezielle vordefinierte Lösungen gibt, verweisen wir auf diese oder stellen Beispiele im Anschluss an die Tabelle zur Verfügung. Andernfalls können Sie Warnungen mithilfe der oben genannten Tools erstellen.
Geräteregistrierungen und -einbindungen außerhalb der Richtlinie
Bei Azure AD registrierte und in Azure AD eingebundene Geräte verfügen über primäre Aktualisierungstoken (Primary Refresh Tokens, PRTs), die einer einstufigen Authentifizierung entsprechen. Diese Geräte können bisweilen den Anspruch auf eine strenge Authentifizierung enthalten. Weitere Informationen dazu, wann PRTs den Anspruch auf eine strenge Authentifizierung enthalten, finden Sie unter Wann erhält ein PRT einen MFA-Anspruch? Verlangen Sie zum Registrieren oder Einbinden von Geräten die Multi-Faktor-Authentifizierung (MFA), um Angreifer*innen davon abzuhalten sich zu registrieren oder Geräte einzubinden. Dann können Sie überwachen, ob Geräte ohne MFA registriert oder eingebunden werden. Darüber hinaus müssen Sie darauf achten, ob an MFA-Einstellungen und -Richtlinien Änderungen vorgenommen und die Konformitätsrichtlinien für Geräte eingehalten werden.
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Registrierung oder Einbindung eines Geräts ohne MFA | Medium | Anmeldeprotokolle | Aktivität: erfolgreiche Authentifizierung beim Geräteregistrierungsdienst Und Keine MFA erforderlich |
Warnung, wenn: Ein Gerät wird ohne MFA registriert oder eingebunden. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Änderungen an der MFA-Umschaltung der Geräteregistrierung in Azure AD | Hoch | Überwachungsprotokoll | Aktivität: Festlegen von Richtlinien für die Geräteregistrierung | Suchen nach: Die Umschaltung wurde deaktiviert. Im Überwachungsprotokoll ist kein Eintrag vorhanden. Regelmäßige Überprüfungen planen. Sigma-Regeln |
| Änderungen an den Richtlinien für bedingten Zugriff, die in Domänen eingebundene oder konforme Geräte erfordern. | Hoch | Überwachungsprotokoll | Änderungen an Richtlinien für bedingten Zugriff |
Warnung, wenn: Änderung an einer Richtlinie, die Domänenbeitritt oder -konformität erfordert, Änderungen an vertrauenswürdigen Speicherorten oder Hinzufügen von Konten oder Geräten zu MFA-Richtlinienausnahmen |
Sie können eine Warnung erstellen, die die entsprechenden Administratoren benachrichtigt, wenn ein Gerät ohne MFA registriert oder eingebunden wird, indem Sie Microsoft Sentinel verwenden.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
Sie können auch Konformitätsrichtlinien zum Festlegen von Regeln für Geräte verwenden, die Sie mit Intune verwalten.
Anmeldung von nicht konformen Geräten
Es ist unter Umständen nicht möglich, den Zugriff auf alle Cloud- und Software-as-a-Service-Anwendungen mit Richtlinien für bedingten Zugriff, die konforme Geräte erfordern, zu blockieren.
Mit der Verwaltung mobiler Geräte (Mobile Device Management, MDM) können Sie Windows 10-Geräte konform halten. Mit Windows 1809 wurde eine Sicherheitsbaseline von Richtlinien veröffentlicht. Azure Active Directory kann mit MDM integriert werden, um die Gerätekonformität mit Unternehmensrichtlinien durchzusetzen und den Konformitätsstatus eines Geräts zu melden.
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Anmeldungen durch nicht konforme Geräte | Hoch | Anmeldeprotokolle | DeviceDetail.isCompliant == false | Bei erforderlicher Anmeldung von konformen Geräten, Warnung, wenn: Anmeldung durch nicht konforme Geräte oder Zugriff ohne MFA oder vertrauenswürdigen Speicherort Wenn Sie darauf hinarbeiten, dass Geräte konform sein müssen, achten Sie auf verdächtige Anmeldungen. |
| Anmeldungen durch unbekannte Geräte | Niedrig | Anmeldeprotokolle | „DeviceDetail“ ist leer, eine einstufige Authentifizierung oder von einem nicht vertrauenswürdigen Speicherort | Suchen nach: Zugriff von Geräten außerhalb der Konformität, Zugriff ohne MFA oder vertrauenswürdigen Speicherort Microsoft Sentinel-Vorlage Sigma-Regeln |
Verwenden von LogAnalytics für Abfragen
Anmeldungen durch nicht konforme Geräte
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Anmeldungen durch unbekannte Geräte
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Veraltete Geräte
Veraltete Geräte sind Geräte, die für einen bestimmten Zeitraum nicht angemeldet waren. Geräte können veralten, wenn ein Benutzer ein neues Gerät erhält oder ein Gerät verliert, oder wenn ein in Azure AD eingebundenes Gerät zurückgesetzt oder neu bereitgestellt wird. Geräte können auch registriert oder eingebunden bleiben, wenn Benutzer*innen nicht mehr dem Mandanten zugeordnet sind. Veraltete Geräte sollten entfernt werden, damit die primären Aktualisierungstoken (Primary Refresh Tokens, PRTs) nicht verwendet werden können.
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Datum der letzten Anmeldung | Niedrig | Graph-API | approximateLastSignInDateTime | Verwendung von Graph API oder PowerShell, um veraltete Geräte zu erkennen und zu entfernen |
Abruf von BitLocker-Schlüsseln
Angreifer, die das Gerät eines Benutzers kompromittiert haben, können die BitLocker-Schlüssel in Azure AD abrufen. Da es nicht üblich ist, dass Benutzer Schlüssel abrufen, sollten diese Vorgänge überwacht und untersucht werden.
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Abruf von Schlüsseln | Medium | Überwachungsprotokolle | OperationName == "Read BitLocker key" | Suchen nach: Schlüsselabruf, anderem ungewöhnlichen Verhalten durch Benutzer*innen beim Abrufen von Schlüsseln Microsoft Sentinel-Vorlage Sigma-Regeln |
Erstellen Sie in LogAnalytics eine Abfrage wie die folgende:
AuditLogs
| where OperationName == "Read BitLocker key"
Geräteadministratorrollen
Globale Administratoren und Cloudgeräteadministratoren erhalten automatisch auf allen in Azure AD eingebundenen Geräten lokale Administratorrechte. Daher ist es wichtig, zu überwachen, wer über diese Rechte verfügt, damit Ihre Umgebung sicher bleibt.
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Benutzer, die den Rollen „Globaler Administrator“ oder „Geräteadministrator“ hinzugefügt wurden | Hoch | Überwachungsprotokolle | Aktivitätstyp = Mitglied zu Rolle hinzufügen | Suchen nach: neuen Benutzer*innen, die diesen Azure AD-Rollen hinzugefügt wurden, nachfolgendes ungewöhnliches Verhalten von Computern oder Benutzer*innen Microsoft Sentinel-Vorlage Sigma-Regeln |
Anmeldungen bei virtuellen Computern ohne Azure AD
Bei Anmeldungen bei virtuellen Windows- oder LINUX-Computern (Virtual Machines, VMs) sollte auf die Anmeldung über Konten geachtet werden, bei denen es sich nicht um Azure AD-Konten handelt.
Azure AD-Anmeldung für LINUX
Mit der Azure AD-Anmeldung für LINUX können sich Organisationen bei ihren virtuellen Azure LINUX-Computern über Azure AD-Konten mithilfe des SSH-Protokolls (Secure Shell) anmelden.
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Anmeldungen über Konten, bei denen es sich nicht um Azure AD-Konten handelt, insbesondere Anmeldungen über SSH | Hoch | Protokolle für lokale Authentifizierung | Ubuntu: monitor /var/log/auth.log for SSH use RedHat: Überwachung von „/var/log/sssd/“ auf SSH-Verwendung |
Suchen nach: Einträgen, bei denen über Konten, bei denen es sich nicht um Azure AD-Konten handelt, eine Verbindung mit virtuellen Computern hergestellt wurde Siehe folgendes Beispiel: |
Ubuntu-Beispiel:
May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Version: 1.0.015570001; user: localusertest01
May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: User 'localusertest01' is not an AAD user; returning empty result.
May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: Version: 1.0.015570001; user: localusertest01
May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: User 'localusertest01' is not an AAD user; returning empty result.
May 9 23:49:43 ubuntu1804 sshd[3909]: Accepted publicly for localusertest01 from 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
May 9 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): session opened for user localusertest01 by (uid=0).
Sie können Richtlinien für Anmeldungen durch virtuelle LINUX-Computer festlegen und virtuelle Linux-Computer, denen nicht genehmigte lokale Konten hinzugefügt wurden, erkennen und kennzeichnen. Weitere Informationen finden Sie unter Verwenden von Azure Policy zum Sicherstellen von Standards und für die Konformitätsbewertung.
Azure AD-Anmeldungen für Windows Server
Mit Azure AD-Anmeldungen für Windows kann sich Ihre Organisation bei Ihren virtuellen Computern ab Azure Windows 2019 mithilfe von Azure AD-Konten über das Remotedesktopprotokoll (RDP) anmelden.
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Anmeldungen über Konten, bei denen es sich nicht um Azure AD-Konten handelt, insbesondere Anmeldungen über RDP | Hoch | Windows Server-Ereignisprotokolle | Interaktive Anmeldung bei virtuellen Windows-Computern | Ereignis 528, Anmeldetyp 10 (RemoteInteractive). Gibt an, wenn sich ein Benutzer über Terminaldienste oder Remotedesktop anmeldet. |
Nächste Schritte
Azure AD: Übersicht über Sicherheitsvorgänge
Sicherheitsvorgänge für Benutzerkonten
Sicherheitsvorgänge für Consumerkonten
Sicherheitsvorgänge für privilegierte Konten
Sicherheitsvorgänge für Privileged Identity Management