Microsoft Entra-SecOps für Geräte
Geräte sind in der Regel nicht Ziel von identitätsbasierten Angriffen, können jedoch verwendet werden, um Sicherheitskontrollen zu umgehen und die Identität von Benutzern anzunehmen. Zwischen Geräten und Microsoft Entra ID kann eine von vier Beziehungen bestehen:
Nicht registriert
Für registrierte und eingebundene Geräte wird ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) ausgestellt, das als primäres Authentifizierungsartefakt und gelegentlich auch als Artefakt für eine mehrstufige Authentifizierung verwendet werden kann. Angreifer*innen können versuchen, eigene Geräte zu registrieren, mit PRTs auf rechtmäßigen Geräten auf Geschäftsdaten zuzugreifen, PRT-basierte Token von rechtmäßigen Benutzergeräten zu stehlen oder Konfigurationsfehler in gerätebasierten Kontrollen in Microsoft Entra ID ausfindig zu machen. Bei hybrid in Microsoft Entra eingebundenen Geräten wird die Einbindung von Administrator*innen initiiert und kontrolliert. Dadurch wird die Gefahr möglicher Angriffe reduziert.
Weitere Informationen zu Methoden für die Geräteintegration finden Sie unter Auswählen Ihrer Integrationsmethoden im Artikel Planen der Microsoft Entra-Gerätebereitstellung.
Verringern Sie die Gefahr, dass böswillige Akteure über Geräte auf Ihre Infrastruktur zugreifen, indem Sie Folgendes überwachen
Geräteregistrierung und Microsoft Entra-Beitritt
Nicht konforme Geräte, die auf Anwendungen zugreifen
Abruf von BitLocker-Schlüsseln
Geräteadministratorrollen
Anmeldungen bei virtuellen Computern
Zu untersuchende Protokolle
Zur Untersuchung und Überwachung verwenden Sie die folgenden Protokolldateien:
Im Azure-Portal können Sie die Microsoft Entra-Überwachungsprotokolle anzeigen und als CSV-Datei (Comma Separated Value) oder JSON-Datei (JavaScript Object Notation) herunterladen. Das Azure-Portal bietet mehrere Möglichkeiten zur Integration von Microsoft Entra-Protokollen in andere Tools, die eine umfassendere Automatisierung von Überwachung und Benachrichtigungen ermöglichen:
Microsoft Sentinel : Ermöglicht intelligente Sicherheitsanalysen auf Unternehmensebene, indem SIEM-Funktionen (Security Information and Event Management) zur Verfügung gestellt werden.
Sigma-Regeln: Sigma ist ein sich in Entwicklung befindender offener Standard zum Schreiben von Regeln und Vorlagen, die automatisierte Verwaltungstools zum Parsen von Protokolldateien verwenden können. Wenn Sigma-Vorlagen für unsere empfohlenen Suchkriterien vorhanden sind, verweist ein Link zum Sigma-Repository. Sigma-Vorlagen werden von Microsoft weder geschrieben, noch getestet und verwaltet. Das Repository und die Vorlagen werden von der weltweiten IT-Sicherheitscommunity erstellt und gesammelt.
Azure Monitor : ermöglicht die automatisierte Überwachung verschiedener Bedingungen und entsprechende Warnungen. Mit dem Tool können Arbeitsmappen erstellt werden, die sich zum Kombinieren von Daten aus verschiedenen Quellen eignen.
Azure Event Hubs mit Integration mit einem SIEM-System- Microsoft Entra-Protokolle können in andere SIEM-Systeme wie Splunk, ArcSight, QRadar und Sumo Logic über die Azure Event Hub-Integration integriert werden.
Microsoft Defender for Cloud Apps: Ermöglicht die Erkennung und Verwaltung von Apps, die Steuerung von Apps und Ressourcen sowie die Überprüfung der Kompatibilität von Cloud-Apps.
Sichern von Workload Identities mit Microsoft Entra ID Protection: Wird verwendet, um Risiken für Workload Identities über das Anmeldeverhalten und Offline-Kompromittierungsindikatoren zu erkennen.
Ein Großteil der Überwachung und zugehörigen Warnungen hängt von den Auswirkungen Ihrer Richtlinien für bedingten Zugriff ab. Sie können die Arbeitsmappe Erkenntnisse und Berichterstellung zum bedingten Zugriff verwenden, um die Auswirkungen einer oder mehrere Richtlinien für bedingten Zugriff auf Ihre Anmeldungen sowie die Ergebnisse von Richtlinien, einschließlich Gerätestatus, zu untersuchen. Diese Arbeitsmappe bietet Ihnen die Möglichkeit, eine Zusammenfassung anzuzeigen und die Auswirkungen über einen bestimmten Zeitraum zu ermitteln. Sie können mithilfe der Arbeitsmappe auch die Anmeldungen eines bestimmten Benutzers untersuchen.
Im restlichen Teil dieses Artikels wird beschrieben, was wir Ihnen zur Überwachung und für zugehörige Warnungen empfehlen, und zwar gegliedert nach der Art der Bedrohung. Wo es spezielle vordefinierte Lösungen gibt, verweisen wir auf diese oder stellen Beispiele im Anschluss an die Tabelle zur Verfügung. Andernfalls können Sie Warnungen mithilfe der oben genannten Tools erstellen.
Geräteregistrierungen und -einbindungen außerhalb der Richtlinie
Bei Microsoft Entra registrierte und in Microsoft Entra eingebundene Geräte verfügen über primäre Aktualisierungstoken (Primary Refresh Tokens, PRTs), die einem einzelnen Authentifizierungsfaktor entsprechen. Diese Geräte können bisweilen den Anspruch auf eine strenge Authentifizierung enthalten. Weitere Informationen dazu, wann PRTs den Anspruch auf eine strenge Authentifizierung enthalten, finden Sie unter Wann erhält ein PRT einen MFA-Anspruch? Verlangen Sie zum Registrieren oder Einbinden von Geräten die Multi-Faktor-Authentifizierung (MFA), um Angreifer*innen davon abzuhalten sich zu registrieren oder Geräte einzubinden. Dann können Sie überwachen, ob Geräte ohne MFA registriert oder eingebunden werden. Darüber hinaus müssen Sie darauf achten, ob an MFA-Einstellungen und -Richtlinien Änderungen vorgenommen und die Konformitätsrichtlinien für Geräte eingehalten werden.
Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
---|---|---|---|---|
Registrierung oder Einbindung eines Geräts ohne MFA | Medium | Anmeldeprotokolle | Aktivität: erfolgreiche Authentifizierung beim Geräteregistrierungsdienst Und Keine MFA erforderlich |
Warnung, wenn: Ein Gerät wird ohne MFA registriert oder eingebunden. Microsoft Sentinel-Vorlage Sigma-Regeln |
Änderungen an der MFA-Umschaltfläche für die Geräteregistrierung in Microsoft Entra ID | Hoch | Überwachungsprotokoll | Aktivität: Festlegen von Richtlinien für die Geräteregistrierung | Suchen nach: Die Umschaltung wurde deaktiviert. Im Überwachungsprotokoll ist kein Eintrag vorhanden. Regelmäßige Überprüfungen planen. Sigma-Regeln |
Änderungen an den Richtlinien für bedingten Zugriff, die in Domänen eingebundene oder konforme Geräte erfordern. | Hoch | Überwachungsprotokoll | Änderungen an Richtlinien für bedingten Zugriff |
Warnung, wenn: Änderung an einer Richtlinie, die Domänenbeitritt oder -konformität erfordert, Änderungen an vertrauenswürdigen Speicherorten oder Hinzufügen von Konten oder Geräten zu MFA-Richtlinienausnahmen |
Sie können eine Warnung erstellen, die die entsprechenden Administratoren benachrichtigt, wenn ein Gerät ohne MFA registriert oder eingebunden wird, indem Sie Microsoft Sentinel verwenden.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
Sie können auch Konformitätsrichtlinien zum Festlegen von Regeln für Geräte verwenden, die Sie mit Intune verwalten.
Anmeldung von nicht konformen Geräten
Es ist unter Umständen nicht möglich, den Zugriff auf alle Cloud- und Software-as-a-Service-Anwendungen mit Richtlinien für bedingten Zugriff, die konforme Geräte erfordern, zu blockieren.
Mit der Verwaltung mobiler Geräte (Mobile Device Management, MDM) können Sie Windows 10-Geräte konform halten. Mit Windows 1809 wurde eine Sicherheitsbaseline von Richtlinien veröffentlicht. Microsoft Entra ID kann in MDM integriert werden, um die Gerätekonformität mit Unternehmensrichtlinien durchzusetzen und den Konformitätsstatus eines Geräts zu melden.
Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
---|---|---|---|---|
Anmeldungen durch nicht konforme Geräte | Hoch | Anmeldeprotokolle | DeviceDetail.isCompliant == false | Bei erforderlicher Anmeldung von konformen Geräten, Warnung, wenn: Anmeldung durch nicht konforme Geräte oder Zugriff ohne MFA oder vertrauenswürdigen Speicherort Wenn Sie darauf hinarbeiten, dass Geräte konform sein müssen, achten Sie auf verdächtige Anmeldungen. |
Anmeldungen durch unbekannte Geräte | Niedrig | Anmeldeprotokolle | „DeviceDetail“ ist leer, eine einstufige Authentifizierung oder von einem nicht vertrauenswürdigen Speicherort | Suchen nach: Zugriff von Geräten außerhalb der Konformität, Zugriff ohne MFA oder vertrauenswürdigen Speicherort Microsoft Sentinel-Vorlage Sigma-Regeln |
Verwenden von LogAnalytics für Abfragen
Anmeldungen durch nicht konforme Geräte
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Anmeldungen durch unbekannte Geräte
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Veraltete Geräte
Veraltete Geräte sind Geräte, die für einen bestimmten Zeitraum nicht angemeldet waren. Geräte können veralten, wenn Benutzer*innen ein neues Gerät erhalten oder ein Gerät verlieren, oder wenn ein in Microsoft Entra eingebundenes Gerät zurückgesetzt oder neu bereitgestellt wird. Geräte können auch registriert oder eingebunden bleiben, wenn Benutzer*innen nicht mehr dem Mandanten zugeordnet sind. Veraltete Geräte sollten entfernt werden, damit die primären Aktualisierungstoken (Primary Refresh Tokens, PRTs) nicht verwendet werden können.
Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
---|---|---|---|---|
Datum der letzten Anmeldung | Niedrig | Graph-API | approximateLastSignInDateTime | Verwendung von Graph API oder PowerShell, um veraltete Geräte zu erkennen und zu entfernen |
Abruf von BitLocker-Schlüsseln
Angreifer*innen, die ein Benutzergerät kompromittiert haben, können die BitLocker-Schlüssel in Microsoft Entra ID abrufen. Da es nicht üblich ist, dass Benutzer Schlüssel abrufen, sollten diese Vorgänge überwacht und untersucht werden.
Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
---|---|---|---|---|
Abruf von Schlüsseln | Medium | Überwachungsprotokolle | OperationName == "Read BitLocker key" | Suchen nach: Schlüsselabruf, anderem ungewöhnlichen Verhalten durch Benutzer*innen beim Abrufen von Schlüsseln Microsoft Sentinel-Vorlage Sigma-Regeln |
Erstellen Sie in LogAnalytics eine Abfrage wie die folgende:
AuditLogs
| where OperationName == "Read BitLocker key"
Geräteadministratorrollen
Die Rollen Lokaler Administrator des in Microsoft Entra eingebundenen Geräts und Globaler Administrator erhalten automatisch auf allen in Microsoft Entra eingebundenen Geräten lokale Administratorrechte. Daher ist es wichtig, zu überwachen, wer über diese Rechte verfügt, damit Ihre Umgebung sicher bleibt.
Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
---|---|---|---|---|
Benutzer, die den Rollen „Globaler Administrator“ oder „Geräteadministrator“ hinzugefügt wurden | Hoch | Überwachungsprotokolle | Aktivitätstyp = Mitglied zu Rolle hinzufügen | Suchen Sie nach: neuen Benutzer*innen, die diesen Microsoft Entra-Rollen hinzugefügt wurden, anschließendem ungewöhnlichen Verhalten von Computern oder Benutzer*innen. Microsoft Sentinel-Vorlage Sigma-Regeln |
Anmeldungen bei virtuellen Computern ohne Azure AD
Anmeldungen bei Windows- oder LINUX-VMs sollten auf Anmeldungen durch Konten überwacht werden, bei denen es sich nicht um Microsoft Entra-Konten handelt.
Microsoft Entra-Anmeldung für LINUX
Mit der Microsoft Entra-Anmeldung für LINUX können sich Organisationen unter Verwendung von Microsoft Entra-Konten mithilfe des SSH-Protokolls (Secure Shell) bei ihren Azure-LINUX-VMs anmelden.
Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
---|---|---|---|---|
Anmeldungen über Konten, bei denen es sich nicht um Azure AD-Konten handelt, insbesondere Anmeldungen über SSH | Hoch | Protokolle für lokale Authentifizierung | Ubuntu: monitor /var/log/auth.log for SSH use RedHat: Überwachung von „/var/log/sssd/“ auf SSH-Verwendung |
Suchen nach: Einträgen, bei denen über Konten, bei denen es sich nicht um Azure AD-Konten handelt, eine Verbindung mit virtuellen Computern hergestellt wurde Siehe folgendes Beispiel: |
Ubuntu-Beispiel:
May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Version: 1.0.015570001; user: localusertest01
May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: User 'localusertest01' is not a Microsoft Entra user; returning empty result.
May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: Version: 1.0.015570001; user: localusertest01
May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: User 'localusertest01' is not a Microsoft Entra user; returning empty result.
May 9 23:49:43 ubuntu1804 sshd[3909]: Accepted publicly for localusertest01 from 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
May 9 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): session opened for user localusertest01 by (uid=0).
Sie können Richtlinien für Anmeldungen durch virtuelle LINUX-Computer festlegen und virtuelle Linux-Computer, denen nicht genehmigte lokale Konten hinzugefügt wurden, erkennen und kennzeichnen. Weitere Informationen finden Sie unter Verwenden von Azure Policy zum Sicherstellen von Standards und für die Konformitätsbewertung.
Microsoft Entra-Anmeldungen für Windows Server
Mit Microsoft Entra-Anmeldungen für Windows kann sich Ihre Organisation unter Verwendung von Microsoft Entra-Konten über das Remotedesktopprotokoll (RDP) bei Ihren Azure-VMs anmelden, auf denen Windows 2019 oder höher ausgeführt wird.
Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
---|---|---|---|---|
Anmeldungen über Konten, bei denen es sich nicht um Azure AD-Konten handelt, insbesondere Anmeldungen über RDP | Hoch | Windows Server-Ereignisprotokolle | Interaktive Anmeldung bei virtuellen Windows-Computern | Ereignis 528, Anmeldetyp 10 (RemoteInteractive). Gibt an, wenn sich ein Benutzer über Terminaldienste oder Remotedesktop anmeldet. |
Nächste Schritte
Übersicht zu Microsoft Entra-SecOps
Sicherheitsvorgänge für Benutzerkonten
Sicherheitsvorgänge für Consumerkonten
Sicherheitsvorgänge für privilegierte Konten
Sicherheitsvorgänge für Privileged Identity Management