A Microsoft Entra biztonsági üzemeltetési útmutatója

A Microsoft sikeresen és bizonyított módon Teljes felügyelet a biztonságotaz identitást vezérlősíkként használó védelmi alapelvek használatával. A szervezetek továbbra is hibrid számítási feladatokat foglalnak magukba a skálázás, a költségmegtakarítás és a biztonság érdekében. A Microsoft Entra ID kulcsfontosságú szerepet játszik az identitáskezelési stratégiában. A közelmúltban az identitással és a biztonsági kompromisszumokkal kapcsolatos hírek egyre inkább arra ösztönözték a vállalati informatikai vállalatot, hogy az identitásbiztonsági helyzetüket a védelmi biztonsági siker mérésének tekintsék.

A szervezeteknek egyre inkább a helyszíni és a felhőalapú alkalmazások keverékét kell használniuk, amelyeket a felhasználók helyszíni és csak felhőalapú fiókokkal is elérhetnek. A felhasználók, alkalmazások és eszközök helyszíni és felhőbeli kezelése kihívást jelentő forgatókönyveket jelent.

Hibrid identitás

A Microsoft Entra ID egy közös felhasználói identitást hoz létre a hitelesítéshez és az összes erőforráshoz való engedélyezéshez, helytől függetlenül. Ezt a hibrid identitást nevezzük.

A Microsoft Entra ID-val való hibrid identitás eléréséhez a forgatókönyvek függvényében három hitelesítési módszer egyike használható. A három módszer a következő:

• Jelszókivonat-szinkronizálás (PHS)
• Átmenő hitelesítés (PTA)
• Összevonás (AD FS)

Az aktuális biztonsági műveletek naplózása vagy az Azure-környezet biztonsági műveleteinek létrehozása során a következőket javasoljuk:

• Olvassa el a Microsoft biztonsági útmutatójának egyes részeit a felhőalapú vagy hibrid Azure-környezet biztonságossá tételével kapcsolatos ismeretek alapkonfigurációjának létrehozásához.
• Naplózhatja a fiók- és jelszóstratégiát és hitelesítési módszereket, hogy elrettentse a leggyakoribb támadási vektorokat.
• Hozzon létre egy stratégiát a biztonsági fenyegetést jelző tevékenységek folyamatos figyelésére és riasztására.

Célközönség

A Microsoft Entra SecOps útmutató olyan vállalati informatikai identitás- és biztonsági üzemeltetési csapatok és felügyelt szolgáltatók számára készült, amelyeknek jobb identitásbiztonsági konfigurációval és monitorozási profilokkal kell fellépni a fenyegetések ellen. Ez az útmutató különösen fontos az informatikai rendszergazdák és az identitástervezők számára, akik a Security Operations Center (SOC) védelmi és behatolástesztelési csapatait ajánlják az identitásbiztonsági helyzet javítása és fenntartása érdekében.

Hatókör

Ez a bevezetés tartalmazza a javasolt előolvasási és jelszó-naplózási és stratégiai javaslatokat. Ez a cikk áttekintést nyújt a hibrid Azure-környezetekhez és a teljes felhőalapú Azure-környezetekhez elérhető eszközökről is. Végül megadjuk a biztonsági információk és eseménykezelési (SIEM) stratégia és környezet figyeléséhez és riasztásához és konfigurálásához használható adatforrások listáját. A többi útmutató a következő területeken mutatja be a figyelési és riasztási stratégiákat:

• Felhasználói fiókok. Útmutatás a rendszergazdai jogosultsággal nem rendelkező, nem kiemelt felhasználói fiókokra vonatkozóan, beleértve a rendellenes fióklétrehozási és -használati adatokat, valamint a szokatlan bejelentkezéseket.

• Kiemelt fiókok. Útmutatás a rendszergazdai feladatok elvégzéséhez emelt szintű engedélyekkel rendelkező kiemelt felhasználói fiókokhoz. A feladatok közé tartoznak a Microsoft Entra szerepkör-hozzárendelései, az Azure-erőforrásszerepkör-hozzárendelések, valamint az Azure-erőforrások és -előfizetések hozzáférés-kezelése.

• Privileged Identity Management (PIM). Útmutatás az erőforrásokhoz való hozzáférés kezeléséhez, szabályozásához és monitorozásához a PIM használatával kapcsolatban.

• Alkalmazások. Útmutatás az alkalmazások hitelesítéséhez használt fiókokhoz.

• Eszközök. Útmutatás a szabályzatokon kívül regisztrált vagy csatlakoztatott eszközök figyeléséhez és riasztásához, a nem megfelelő használathoz, az eszközfelügyeleti szerepkörök kezeléséhez és a virtuális gépekre való bejelentkezésekhez.

• Infrastruktúra. Útmutatás a hibrid és tisztán felhőalapú környezetek fenyegetéseinek figyeléséhez és riasztásához.

Fontos referenciatartalom

A Microsoft számos terméke és szolgáltatása lehetővé teszi az informatikai környezet igényeinek megfelelő testreszabását. Javasoljuk, hogy tekintse át az alábbi útmutatást az üzemeltetési környezethez:

• Windows operációs rendszer

  • Biztonsági alapkonfiguráció (FINAL) Windows 10 v1909 és Windows Server v1909 rendszerhez
  • A Windows 11 biztonsági alapkonfigurációja
  • A Windows Server 2022 biztonsági alapkonfigurációja

• Helyszíni környezetek

  • A Microsoft Defender for Identity architektúrája
  • Csatlakozás Microsoft Defender for Identity az Active Directoryba – rövid útmutató
  • Az Azure biztonsági alapkonfigurációja a Microsoft Defender for Identityhez
  • Az Active Directory figyelése a biztonsági rések miatt

• Felhőalapú Azure-környezetek

  • Bejelentkezések monitorozása a Microsoft Entra bejelentkezési naplójával
  • Tevékenységjelentések naplózása az Azure Portalon
  • Kockázat vizsgálata Microsoft Entra ID-védelem
  • adatok Csatlakozás Microsoft Entra ID-védelem a Microsoft Sentinelnek

• Active Directory Domain Services (AD DS)

  • A naplózási szabályzatra vonatkozó javaslatok

• Active Directory Federation Services (AD FS)

  • AD FS hibaelhárítása – Események naplózása és naplózása

Adatforrások

A vizsgálathoz és monitorozáshoz használt naplófájlok a következők:

• Microsoft Entra auditnaplók
• Bejelentkezési naplók
• Microsoft 365 auditnaplók
• Azure Key Vault-naplók

Az Azure Portalon megtekintheti a Microsoft Entra auditnaplóit. Töltse le a naplókat vesszővel tagolt értékként (CSV) vagy JavaScript Object Notation (JSON-) fájlként. Az Azure Portal számos módon integrálhatja a Microsoft Entra-naplókat más eszközökkel, amelyek lehetővé teszik a figyelés és riasztások nagyobb automatizálását:

• Microsoft Sentinel – Lehetővé teszi az intelligens biztonsági elemzéseket vállalati szinten a biztonsági információk és az eseménykezelés (SIEM) képességeinek biztosításával.

• Sigma szabályok – A Sigma egy folyamatosan fejlődő nyílt szabvány a szabályok és sablonok írásához, amelyeket az automatizált felügyeleti eszközök a naplófájlok elemzésére használhatnak. Ahol Sigma-sablonok léteznek az ajánlott keresési feltételekhez, hozzáadtunk egy hivatkozást a Sigma adattárhoz. A Sigma-sablonokat nem a Microsoft írja, teszteli és kezeli. Ehelyett az adattárat és a sablonokat a globális informatikai biztonsági közösség hozza létre és gyűjti össze.

• Azure Monitor – Lehetővé teszi a különböző feltételek automatikus monitorozását és riasztását. Létrehozhat vagy használhat munkafüzeteket különböző forrásokból származó adatok kombinálására.

• SIEM-sel integrált Azure Event Hubs . A Microsoft Entra-naplók az Azure Event Hubs-integráción keresztül integrálhatók más SIEM-ekhez, például a Splunkhoz, az ArcSighthoz, a QRadarhoz és a Sumo Logichoz. További információ: Microsoft Entra-naplók streamelése egy Azure-eseményközpontba.

• Felhőhöz készült Microsoft Defender-alkalmazások – Lehetővé teszi az alkalmazások felderítését és kezelését, az alkalmazások és erőforrások szabályozását, valamint a felhőalkalmazások megfelelőségének ellenőrzését.

• Számítási feladatok identitásainak biztonságossá tétele az Identity Protection előzetes verziójával – A számítási feladatok identitásainak kockázatának észlelésére szolgál a bejelentkezési viselkedés és a biztonsági rés offline jelzései között.

A figyelés és a riasztások nagy része a feltételes hozzáférési szabályzatok hatása. A feltételes hozzáférési megállapításokkal és jelentéskészítő munkafüzetekkel megvizsgálhatja, hogy egy vagy több feltételes hozzáférési szabályzat milyen hatással van a bejelentkezésekre és a szabályzatok eredményeire, beleértve az eszköz állapotát is. Ez a munkafüzet lehetővé teszi egy hatás összegzésének megtekintését és a hatás azonosítását egy adott időszakban. A munkafüzet segítségével egy adott felhasználó bejelentkezéseit is megvizsgálhatja. További információ: Feltételes hozzáférési elemzések és jelentéskészítés.

A cikk további része azt ismerteti, hogy mi legyen a figyelés és a riasztás. Ha konkrét előre elkészített megoldásokra hivatkozunk, vagy mintákat adunk a táblázat alapján. Ellenkező esetben riasztásokat hozhat létre az előző eszközökkel.

• Az Identity Protection három fontos jelentést hoz létre, amelyekkel segíthet a vizsgálatban:

• A kockázatos felhasználók információkat tartalmaznak arról, hogy mely felhasználók vannak veszélyben, részletes információkat tartalmaznak az észlelésekről, az összes kockázatos bejelentkezés előzményeiről és a kockázati előzményekről.

• A kockázatos bejelentkezések olyan információkat tartalmaznak a bejelentkezés körülményeiről, amelyek gyanús körülményekre utalhatnak. A jelentésből származó információk vizsgálatáról további információt a How To: Investigate risk (A kockázat vizsgálata) című témakörben talál.

• A kockázatészlelések információkat tartalmaznak a Microsoft Entra ID-védelem által észlelt kockázati jelekről, amelyek tájékoztatják a bejelentkezést és a felhasználói kockázatot. További információkért tekintse meg a Microsoft Entra felhasználói fiókokra vonatkozó biztonsági üzemeltetési útmutatóját.

További információ: What is Identity Protection.

Adatforrások a tartományvezérlő figyeléséhez

A legjobb eredmény érdekében javasoljuk, hogy a tartományvezérlőket a Microsoft Defender for Identity használatával figyelje. Ez a megközelítés a legjobb észlelési és automatizálási képességeket teszi lehetővé. Kövesse az alábbi források útmutatását:

• A Microsoft Defender for Identity architektúrája
• Csatlakozás Microsoft Defender for Identity az Active Directoryba – rövid útmutató

Ha nem tervezi a Microsoft Defender for Identity használatát, az alábbi módszerek egyikével monitorozza a tartományvezérlőket:

• Eseménynapló-üzenetek. Lásd: Az Active Directory monitorozása a biztonsági rések miatt.
• PowerShell-parancsmagok. Lásd a tartományvezérlő üzembe helyezésének hibaelhárítását.

A hibrid hitelesítés összetevői

Az Azure hibrid környezet részeként a következő elemeket kell alaptervbe foglalnia, és szerepelnie kell a figyelési és riasztási stratégiában.

• PTA-ügynök – Az átmenő hitelesítési ügynök az átmenő hitelesítés engedélyezésére szolgál, és a helyszínen van telepítve. Az ügynök verziójának ellenőrzéséről és a következő lépésekről további információt a Microsoft Entra átmenő hitelesítési ügynöke: Verziókiadási előzmények című témakörben talál.

• Az AD FS/WAP – Active Directory összevonási szolgáltatások (AD FS) (Azure AD FS) és a webes alkalmazásproxy (WAP) lehetővé teszik a digitális identitások és jogosultsági jogok biztonságos megosztását a biztonsági és vállalati határokon. A biztonsági ajánlott eljárásokról további információt a Active Directory összevonási szolgáltatások (AD FS) biztonságossá tételével kapcsolatos ajánlott eljárásokban talál.

• Microsoft Entra Csatlakozás Health Agent – A Microsoft Entra Csatlakozás Health kommunikációs hivatkozásának biztosítására használt ügynök. Az ügynök telepítéséről további információt a Microsoft Entra Csatlakozás Health-ügynök telepítésével kapcsolatban talál.

• Microsoft Entra Csatlakozás Sync Engine – A helyszíni összetevő, más néven szinkronizálási motor. A szolgáltatásról további információt a Microsoft Entra Csatlakozás Szinkronizálási szolgáltatás funkciói című témakörben talál.

• Password Protection DC-ügynök – Az Azure password protection DC-ügynöke segít az eseménynapló-üzenetek monitorozásában és jelentésében. További információ: Helyszíni Microsoft Entra Jelszóvédelem kényszerítése Active Directory tartományi szolgáltatások.

• Jelszószűrő DLL – A TARTOMÁNYVEZÉRLŐ-ügynök jelszószűrő DLL-je felhasználói jelszóérvényesítési kéréseket fogad az operációs rendszertől. A szűrő továbbítja őket a dc agent szolgáltatásnak, amely helyileg fut a tartományvezérlőn. A DLL használatáról további információt a helyszíni Microsoft Entra Password Protection kényszerítése Active Directory tartományi szolgáltatások.

• Jelszóvisszaíró ügynök – A jelszóvisszaírás a Microsoft Entra Csatlakozás által engedélyezett funkció, amely lehetővé teszi a felhőben a jelszómódosítások valós idejű visszaírását egy meglévő helyszíni címtárba. A funkcióval kapcsolatos további információkért lásd : Hogyan működik az önkiszolgáló jelszó-visszaállítás visszaírása a Microsoft Entra-azonosítóban.

• Microsoft Entra privát hálózati összekötő – Egyszerűsített ügynökök, amelyek a helyszínen ülnek, és megkönnyítik a alkalmazásproxy szolgáltatáshoz való kimenő kapcsolatot. További információ: A Microsoft Entra magánhálózati összekötőinek ismertetése.

A felhőalapú hitelesítés összetevői

Az Azure felhőalapú környezet részeként a következő elemeket kell alaptervbe foglalni, és szerepelnie kell a figyelési és riasztási stratégiában.

• Microsoft Entra alkalmazásproxy – Ez a felhőszolgáltatás biztonságos távoli hozzáférést biztosít a helyszíni webalkalmazásokhoz. További információ: Távoli hozzáférés a helyszíni alkalmazásokhoz a Microsoft Entra alkalmazásproxyn keresztül.

• Microsoft Entra Csatlakozás – A Microsoft Entra Csatlakozás megoldáshoz használt szolgáltatások. További információ: What is Microsoft Entra Csatlakozás.

• A Microsoft Entra Csatlakozás Health – Service Health egy testreszabható irányítópultot biztosít, amely nyomon követi az Azure-szolgáltatások állapotát azokban a régiókban, ahol használja őket. További információ: Microsoft Entra Csatlakozás Health.

• Microsoft Entra többtényezős hitelesítés – A többtényezős hitelesítéshez a felhasználónak több igazolási formát kell megadnia a hitelesítéshez. Ez a megközelítés proaktív első lépést jelenthet a környezet biztonságossá tételéhez. További információ: Microsoft Entra multifaktoros hitelesítés.

• Dinamikus csoportok – A Microsoft Entra Rendszergazda istratorok biztonsági csoporttagságának dinamikus konfigurációja a felhasználói attribútumok alapján a Microsoft Entra-azonosítóban létrehozott csoportok feltöltésére vonatkozó szabályokat állíthat be. További információ: Dinamikus csoportok és Microsoft Entra B2B együttműködés.

• Feltételes hozzáférés – A Feltételes hozzáférés a Microsoft Entra ID által használt eszköz a jelek összehozására, a döntések meghozatalára és a szervezeti szabályzatok kikényszerítésére. A feltételes hozzáférés az új identitásvezérelt vezérlősík középpontjában áll. További információ: Mi a feltételes hozzáférés?

• Identity Protection – Olyan eszköz, amely lehetővé teszi a szervezetek számára az identitásalapú kockázatok észlelésének és szervizelésének automatizálását, a kockázatok portálon tárolt adatokkal történő vizsgálatát, valamint a kockázatészlelési adatok exportálását a SIEM-be. További információ: What is Identity Protection.

• Csoportalapú licencelés – A licencek nem közvetlenül a felhasználókhoz, hanem csoportokhoz rendelhetők. A Microsoft Entra ID a felhasználók licenc-hozzárendelési állapotáról tárol információkat.

• Kiépítési szolgáltatás – A kiépítés olyan felhasználói identitások és szerepkörök létrehozását jelenti a felhőalkalmazásokban, amelyekhez a felhasználóknak hozzáférésre van szükségük. A felhasználói identitások létrehozása mellett az automatikus kiépítés magában foglalja a felhasználói identitások állapotának vagy szerepkörváltozásának fenntartását és eltávolítását. További információ: Az alkalmazáskiépítés működése a Microsoft Entra-azonosítóban.

• Graph API – A Microsoft Graph API egy RESTful webes API, amely lehetővé teszi a Microsoft Cloud service-erőforrások elérését. Miután regisztrálta az alkalmazást, és lekérte a hitelesítési jogkivonatokat egy felhasználóhoz vagy szolgáltatáshoz, kéréseket intézhet a Microsoft Graph API-hoz. További információ: A Microsoft Graph áttekintése.

• Domain Service – A Microsoft Entra Domain Services (AD DS) olyan felügyelt tartományi szolgáltatásokat biztosít, mint a tartományhoz való csatlakozás, a csoportházirend. További információ: What is Microsoft Entra Domain Services.

• Azure Resource Manager – Az Azure Resource Manager az Azure üzembe helyezési és felügyeleti szolgáltatása. Egy olyan felügyeleti réteget biztosít, amely lehetővé teszi az Azure-fiókban lévő erőforrások létrehozását, frissítését és törlését. További információ: Mi az Az Azure Resource Manager?

• Felügyelt identitás – A felügyelt identitások nem igénylik a fejlesztőknek a hitelesítő adatok kezelését. A felügyelt identitások olyan identitást biztosítanak az alkalmazások számára, amelyeket a Microsoft Entra-hitelesítést támogató erőforrásokhoz való csatlakozáskor használhatnak. További információt az Azure-erőforrások felügyelt identitásai című témakörben talál.

• Privileged Identity Management – A PIM a Microsoft Entra ID szolgáltatása, amely lehetővé teszi a szervezet fontos erőforrásaihoz való hozzáférés kezelését, ellenőrzését és monitorozását. További információ: What is Microsoft Entra Privileged Identity Management.

• Hozzáférési felülvizsgálatok – A Microsoft Entra hozzáférési véleményei lehetővé teszik a szervezetek számára a csoporttagságok hatékony kezelését, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. A felhasználók hozzáférése rendszeresen áttekinthető, hogy csak a megfelelő személyek rendelkezzenek folyamatos hozzáféréssel. További információ: Mik azok a Microsoft Entra hozzáférési felülvizsgálatok.

• Jogosultságkezelés – A Microsoft Entra jogosultságkezelés egy identitásszabályozási funkció. A szervezetek nagy léptékben kezelhetik az identitást és a hozzáférési életciklust a hozzáférési kérelmek munkafolyamatainak, a hozzáférési hozzárendeléseknek, a felülvizsgálatoknak és a lejáratnak az automatizálásával. További információ: What is Microsoft Entra entitlement management.

• Tevékenységnaplók – A tevékenységnapló egy Azure-platformnapló, amely betekintést nyújt az előfizetési szintű eseményekbe. Ez a napló olyan információkat tartalmaz, mint például egy erőforrás módosítása vagy egy virtuális gép indítása. További információ: Azure-tevékenységnapló.

• Önkiszolgáló jelszó-visszaállítási szolgáltatás – A Microsoft Entra önkiszolgáló jelszó-visszaállítás (SSPR) lehetővé teszi a felhasználók számára a jelszó módosítását vagy alaphelyzetbe állítását. Nincs szükség a rendszergazdára vagy a segélyszolgálatra. További információ: Hogyan működik a Microsoft Entra önkiszolgáló jelszó-visszaállítás.

• Eszközszolgáltatások – Az eszközidentitás-kezelés az eszközalapú feltételes hozzáférés alapja. Az eszközalapú feltételes hozzáférési szabályzatokkal biztosíthatja, hogy a környezetben lévő erőforrásokhoz csak felügyelt eszközökkel lehessen hozzáférni. További információ: Mi az eszközidentitás?

• Önkiszolgáló csoportkezelés – Engedélyezheti a felhasználóknak, hogy saját biztonsági csoportokat vagy Microsoft 365-csoportokat hozzanak létre és kezelhessenek a Microsoft Entra-azonosítóban. A csoport tulajdonosa jóváhagyhatja vagy megtagadhatja a tagsági kérelmeket, és delegálhatja a csoporttagság ellenőrzését. Az önkiszolgáló csoportkezelési funkciók nem érhetők el levelezési biztonsági csoportokhoz vagy terjesztési listákhoz. További információ: Önkiszolgáló csoportkezelés beállítása a Microsoft Entra ID-ban.

• Kockázatészlelések – Információkat tartalmaz a kockázat észlelésekor kiváltott egyéb kockázatokról és egyéb kapcsolódó információkról, például a bejelentkezési helyről és az Felhőhöz készült Microsoft Defender-alkalmazások adatairól.

Következő lépések

Tekintse meg az alábbi biztonsági műveletek útmutatóinak cikkeit:

Felhasználói fiókok biztonsági műveletei

Biztonsági műveletek fogyasztói fiókokhoz

Kiemelt fiókok biztonsági műveletei

A Privileged Identity Management biztonsági műveletei

Alkalmazások biztonsági műveletei

Biztonsági műveletek eszközökhöz

Infrastruktúra biztonsági műveletei