Microsoft Entra-SecOps für Geräte

Artikel
10/29/2023

Geräte sind in der Regel nicht Ziel von identitätsbasierten Angriffen, können jedoch verwendet werden, um Sicherheitskontrollen zu umgehen und die Identität von Benutzern anzunehmen. Zwischen Geräten und Microsoft Entra ID kann eine von vier Beziehungen bestehen:

Für registrierte und eingebundene Geräte wird ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) ausgestellt, das als primäres Authentifizierungsartefakt und gelegentlich auch als Artefakt für eine mehrstufige Authentifizierung verwendet werden kann. Angreifer*innen können versuchen, eigene Geräte zu registrieren, mit PRTs auf rechtmäßigen Geräten auf Geschäftsdaten zuzugreifen, PRT-basierte Token von rechtmäßigen Benutzergeräten zu stehlen oder Konfigurationsfehler in gerätebasierten Kontrollen in Microsoft Entra ID ausfindig zu machen. Bei hybrid in Microsoft Entra eingebundenen Geräten wird die Einbindung von Administrator*innen initiiert und kontrolliert. Dadurch wird die Gefahr möglicher Angriffe reduziert.

Weitere Informationen zu Methoden für die Geräteintegration finden Sie unter Auswählen Ihrer Integrationsmethoden im Artikel Planen der Microsoft Entra-Gerätebereitstellung.

Verringern Sie die Gefahr, dass böswillige Akteure über Geräte auf Ihre Infrastruktur zugreifen, indem Sie Folgendes überwachen

Geräteregistrierung und Microsoft Entra-Beitritt
Nicht konforme Geräte, die auf Anwendungen zugreifen
Abruf von BitLocker-Schlüsseln
Geräteadministratorrollen
Anmeldungen bei virtuellen Computern

Zu untersuchende Protokolle

Zur Untersuchung und Überwachung verwenden Sie die folgenden Protokolldateien:

Im Azure-Portal können Sie die Microsoft Entra-Überwachungsprotokolle anzeigen und als CSV-Datei (Comma Separated Value) oder JSON-Datei (JavaScript Object Notation) herunterladen. Das Azure-Portal bietet mehrere Möglichkeiten zur Integration von Microsoft Entra-Protokollen in andere Tools, die eine umfassendere Automatisierung von Überwachung und Benachrichtigungen ermöglichen:

Microsoft Sentinel : Ermöglicht intelligente Sicherheitsanalysen auf Unternehmensebene, indem SIEM-Funktionen (Security Information and Event Management) zur Verfügung gestellt werden.
Sigma-Regeln: Sigma ist ein sich in Entwicklung befindender offener Standard zum Schreiben von Regeln und Vorlagen, die automatisierte Verwaltungstools zum Parsen von Protokolldateien verwenden können. Wenn Sigma-Vorlagen für unsere empfohlenen Suchkriterien vorhanden sind, verweist ein Link zum Sigma-Repository. Sigma-Vorlagen werden von Microsoft weder geschrieben, noch getestet und verwaltet. Das Repository und die Vorlagen werden von der weltweiten IT-Sicherheitscommunity erstellt und gesammelt.
Azure Monitor : ermöglicht die automatisierte Überwachung verschiedener Bedingungen und entsprechende Warnungen. Mit dem Tool können Arbeitsmappen erstellt werden, die sich zum Kombinieren von Daten aus verschiedenen Quellen eignen.
Azure Event Hubs mit Integration mit einem SIEM-System- Microsoft Entra-Protokolle können in andere SIEM-Systeme wie Splunk, ArcSight, QRadar und Sumo Logic über die Azure Event Hub-Integration integriert werden.
Microsoft Defender für Cloud-Apps : Ermöglichen Ihnen die Erkennung und Verwaltung von Apps, die Steuerung von Apps und Ressourcen sowie die Überprüfung der Compliance Ihrer Cloud-Apps.
Sichern von Workloadidentitäten mit Identity Protection (Preview): Wird verwendet, um Risiken für Workloadidentitäten über das Anmeldeverhalten und Offlineindikatoren für eine Gefährdung zu erkennen.

Ein Großteil der Überwachung und zugehörigen Warnungen hängt von den Auswirkungen Ihrer Richtlinien für bedingten Zugriff ab. Sie können die Arbeitsmappe Erkenntnisse und Berichterstellung zum bedingten Zugriff verwenden, um die Auswirkungen einer oder mehrere Richtlinien für bedingten Zugriff auf Ihre Anmeldungen sowie die Ergebnisse von Richtlinien, einschließlich Gerätestatus, zu untersuchen. Diese Arbeitsmappe bietet Ihnen die Möglichkeit, eine Zusammenfassung anzuzeigen und die Auswirkungen über einen bestimmten Zeitraum zu ermitteln. Sie können mithilfe der Arbeitsmappe auch die Anmeldungen eines bestimmten Benutzers untersuchen.

Im restlichen Teil dieses Artikels wird beschrieben, was wir Ihnen zur Überwachung und für zugehörige Warnungen empfehlen, und zwar gegliedert nach der Art der Bedrohung. Wo es spezielle vordefinierte Lösungen gibt, verweisen wir auf diese oder stellen Beispiele im Anschluss an die Tabelle zur Verfügung. Andernfalls können Sie Warnungen mithilfe der oben genannten Tools erstellen.

Geräteregistrierungen und -einbindungen außerhalb der Richtlinie

Bei Microsoft Entra registrierte und in Microsoft Entra eingebundene Geräte verfügen über primäre Aktualisierungstoken (Primary Refresh Tokens, PRTs), die einem einzelnen Authentifizierungsfaktor entsprechen. Diese Geräte können bisweilen den Anspruch auf eine strenge Authentifizierung enthalten. Weitere Informationen dazu, wann PRTs den Anspruch auf eine strenge Authentifizierung enthalten, finden Sie unter Wann erhält ein PRT einen MFA-Anspruch? Verlangen Sie zum Registrieren oder Einbinden von Geräten die Multi-Faktor-Authentifizierung (MFA), um Angreifer*innen davon abzuhalten sich zu registrieren oder Geräte einzubinden. Dann können Sie überwachen, ob Geräte ohne MFA registriert oder eingebunden werden. Darüber hinaus müssen Sie darauf achten, ob an MFA-Einstellungen und -Richtlinien Änderungen vorgenommen und die Konformitätsrichtlinien für Geräte eingehalten werden.

Zu überwachende Elemente	Risikostufe	Hierbei gilt:	Filter/Unterfilter	Notizen
Registrierung oder Einbindung eines Geräts ohne MFA	Medium	Anmeldeprotokolle	Aktivität: erfolgreiche Authentifizierung beim Geräteregistrierungsdienst Und Keine MFA erforderlich	Warnung, wenn: Ein Gerät wird ohne MFA registriert oder eingebunden. Microsoft Sentinel-Vorlage Sigma-Regeln
Änderungen an der MFA-Umschaltfläche für die Geräteregistrierung in Microsoft Entra ID	Hoch	Überwachungsprotokoll	Aktivität: Festlegen von Richtlinien für die Geräteregistrierung	Suchen nach: Die Umschaltung wurde deaktiviert. Im Überwachungsprotokoll ist kein Eintrag vorhanden. Regelmäßige Überprüfungen planen. Sigma-Regeln
Änderungen an den Richtlinien für bedingten Zugriff, die in Domänen eingebundene oder konforme Geräte erfordern.	Hoch	Überwachungsprotokoll	Änderungen an Richtlinien für bedingten Zugriff	Warnung, wenn: Änderung an einer Richtlinie, die Domänenbeitritt oder -konformität erfordert, Änderungen an vertrauenswürdigen Speicherorten oder Hinzufügen von Konten oder Geräten zu MFA-Richtlinienausnahmen

Sie können eine Warnung erstellen, die die entsprechenden Administratoren benachrichtigt, wenn ein Gerät ohne MFA registriert oder eingebunden wird, indem Sie Microsoft Sentinel verwenden.

SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"

Sie können auch Konformitätsrichtlinien zum Festlegen von Regeln für Geräte verwenden, die Sie mit Intune verwalten.

Es ist unter Umständen nicht möglich, den Zugriff auf alle Cloud- und Software-as-a-Service-Anwendungen mit Richtlinien für bedingten Zugriff, die konforme Geräte erfordern, zu blockieren.

Mit der Verwaltung mobiler Geräte (Mobile Device Management, MDM) können Sie Windows 10-Geräte konform halten. Mit Windows 1809 wurde eine Sicherheitsbaseline von Richtlinien veröffentlicht. Microsoft Entra ID kann in MDM integriert werden, um die Gerätekonformität mit Unternehmensrichtlinien durchzusetzen und den Konformitätsstatus eines Geräts zu melden.

Zu überwachende Elemente	Risikostufe	Hierbei gilt:	Filter/Unterfilter	Notizen
Anmeldungen durch nicht konforme Geräte	Hoch	Anmeldeprotokolle	DeviceDetail.isCompliant == false	Bei erforderlicher Anmeldung von konformen Geräten, Warnung, wenn: Anmeldung durch nicht konforme Geräte oder Zugriff ohne MFA oder vertrauenswürdigen Speicherort Wenn Sie darauf hinarbeiten, dass Geräte konform sein müssen, achten Sie auf verdächtige Anmeldungen. Sigma-Regeln
Anmeldungen durch unbekannte Geräte	Niedrig	Anmeldeprotokolle	„DeviceDetail“ ist leer, eine einstufige Authentifizierung oder von einem nicht vertrauenswürdigen Speicherort	Suchen nach: Zugriff von Geräten außerhalb der Konformität, Zugriff ohne MFA oder vertrauenswürdigen Speicherort Microsoft Sentinel-Vorlage Sigma-Regeln

Verwenden von LogAnalytics für Abfragen

Anmeldungen durch nicht konforme Geräte

SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"

Anmeldungen durch unbekannte Geräte


SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"

Veraltete Geräte

Veraltete Geräte sind Geräte, die für einen bestimmten Zeitraum nicht angemeldet waren. Geräte können veralten, wenn Benutzer*innen ein neues Gerät erhalten oder ein Gerät verlieren, oder wenn ein in Microsoft Entra eingebundenes Gerät zurückgesetzt oder neu bereitgestellt wird. Geräte können auch registriert oder eingebunden bleiben, wenn Benutzer*innen nicht mehr dem Mandanten zugeordnet sind. Veraltete Geräte sollten entfernt werden, damit die primären Aktualisierungstoken (Primary Refresh Tokens, PRTs) nicht verwendet werden können.

Zu überwachende Elemente	Risikostufe	Hierbei gilt:	Filter/Unterfilter	Notizen
Datum der letzten Anmeldung	Niedrig	Graph-API	approximateLastSignInDateTime	Verwendung von Graph API oder PowerShell, um veraltete Geräte zu erkennen und zu entfernen

Abruf von BitLocker-Schlüsseln

Angreifer*innen, die ein Benutzergerät kompromittiert haben, können die BitLocker-Schlüssel in Microsoft Entra ID abrufen. Da es nicht üblich ist, dass Benutzer Schlüssel abrufen, sollten diese Vorgänge überwacht und untersucht werden.

Zu überwachende Elemente	Risikostufe	Hierbei gilt:	Filter/Unterfilter	Notizen
Abruf von Schlüsseln	Medium	Überwachungsprotokolle	OperationName == "Read BitLocker key"	Suchen nach: Schlüsselabruf, anderem ungewöhnlichen Verhalten durch Benutzer*innen beim Abrufen von Schlüsseln Microsoft Sentinel-Vorlage Sigma-Regeln

Erstellen Sie in LogAnalytics eine Abfrage wie die folgende:

AuditLogs
| where OperationName == "Read BitLocker key"

Geräteadministratorrollen

Globale Administrator*innen und Cloudgeräteadministrator*innen erhalten automatisch auf allen in Microsoft Entra eingebundenen Geräten lokale Administratorrechte. Daher ist es wichtig, zu überwachen, wer über diese Rechte verfügt, damit Ihre Umgebung sicher bleibt.

Zu überwachende Elemente	Risikostufe	Hierbei gilt:	Filter/Unterfilter	Notizen
Benutzer, die den Rollen „Globaler Administrator“ oder „Geräteadministrator“ hinzugefügt wurden	Hoch	Überwachungsprotokolle	Aktivitätstyp = Mitglied zu Rolle hinzufügen	Suchen Sie nach: neuen Benutzerinnen, die diesen Microsoft Entra-Rollen hinzugefügt wurden, anschließendem ungewöhnlichen Verhalten von Computern oder Benutzerinnen. Microsoft Sentinel-Vorlage Sigma-Regeln

Anmeldungen bei virtuellen Computern ohne Azure AD

Anmeldungen bei Windows- oder LINUX-VMs sollten auf Anmeldungen durch Konten überwacht werden, bei denen es sich nicht um Microsoft Entra-Konten handelt.

Mit der Microsoft Entra-Anmeldung für LINUX können sich Organisationen unter Verwendung von Microsoft Entra-Konten mithilfe des SSH-Protokolls (Secure Shell) bei ihren Azure-LINUX-VMs anmelden.

Zu überwachende Elemente	Risikostufe	Hierbei gilt:	Filter/Unterfilter	Notizen
Anmeldungen über Konten, bei denen es sich nicht um Azure AD-Konten handelt, insbesondere Anmeldungen über SSH	Hoch	Protokolle für lokale Authentifizierung	Ubuntu: monitor /var/log/auth.log for SSH use RedHat: Überwachung von „/var/log/sssd/“ auf SSH-Verwendung	Suchen nach: Einträgen, bei denen über Konten, bei denen es sich nicht um Azure AD-Konten handelt, eine Verbindung mit virtuellen Computern hergestellt wurde Siehe folgendes Beispiel:

Ubuntu-Beispiel:

May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Version: 1.0.015570001; user: localusertest01

May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: User 'localusertest01' is not a Microsoft Entra user; returning empty result.

May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: Version: 1.0.015570001; user: localusertest01

May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: User 'localusertest01' is not a Microsoft Entra user; returning empty result.

May 9 23:49:43 ubuntu1804 sshd[3909]: Accepted publicly for localusertest01 from 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

May 9 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): session opened for user localusertest01 by (uid=0).

Sie können Richtlinien für Anmeldungen durch virtuelle LINUX-Computer festlegen und virtuelle Linux-Computer, denen nicht genehmigte lokale Konten hinzugefügt wurden, erkennen und kennzeichnen. Weitere Informationen finden Sie unter Verwenden von Azure Policy zum Sicherstellen von Standards und für die Konformitätsbewertung.

Microsoft Entra-Anmeldungen für Windows Server

Mit Microsoft Entra-Anmeldungen für Windows kann sich Ihre Organisation unter Verwendung von Microsoft Entra-Konten über das Remotedesktopprotokoll (RDP) bei Ihren Azure-VMs anmelden, auf denen Windows 2019 oder höher ausgeführt wird.

Zu überwachende Elemente	Risikostufe	Hierbei gilt:	Filter/Unterfilter	Notizen
Anmeldungen über Konten, bei denen es sich nicht um Azure AD-Konten handelt, insbesondere Anmeldungen über RDP	Hoch	Windows Server-Ereignisprotokolle	Interaktive Anmeldung bei virtuellen Windows-Computern	Ereignis 528, Anmeldetyp 10 (RemoteInteractive). Gibt an, wenn sich ein Benutzer über Terminaldienste oder Remotedesktop anmeldet.