Megosztás a következőn keresztül:


Microsoft Entra biztonsági műveletek eszközökhöz

Az eszközöket általában nem identitásalapú támadások érik, hanem a biztonsági vezérlők kielégítésére és becsapására, illetve a felhasználók megszemélyesítésére használhatók. Az eszközök a Microsoft Entra-azonosítóval való négy kapcsolat egyikével rendelkezhetnek:

A regisztrált és csatlakoztatott eszközök elsődleges frissítési jogkivonatot (PRT) bocsátanak ki, amely elsődleges hitelesítési összetevőként, bizonyos esetekben többtényezős hitelesítési összetevőként használható. A támadók megpróbálhatják regisztrálni a saját eszközeiket, prT-eket használhatnak jogos eszközökön üzleti adatok eléréséhez, PRT-alapú jogkivonatokat lophatnak el a jogszerű felhasználói eszközökről, vagy helytelen konfigurációkat találhatnak az eszközalapú vezérlőkben a Microsoft Entra ID-ban. A Microsoft Entra hibrid csatlakoztatott eszközeivel a rendszergazdák kezdeményezik és felügyelik az illesztési folyamatot, csökkentve az elérhető támadási módszereket.

Az eszközintegrációs módszerekről további információt a Microsoft Entra-eszközök telepítésének megtervezése című cikkben talál.

Az infrastruktúrát eszközökkel támadó rossz szereplők kockázatának csökkentése érdekében figyelje a

  • Eszközregisztráció és Microsoft Entra-csatlakozás

  • Alkalmazásokhoz hozzáférő nem megfelelő eszközök

  • BitLocker-kulcs lekérése

  • Eszközadminisztrátori szerepkörök

  • Bejelentkezés virtuális gépekre

Hol érdemes keresni?

A vizsgálathoz és monitorozáshoz használt naplófájlok a következők:

Az Azure Portalon megtekintheti a Microsoft Entra naplózási naplóit, és vesszővel tagolt értékként (CSV) vagy JavaScript Object Notation -fájlként (JSON) töltheti le. Az Azure Portal számos módon integrálhatja a Microsoft Entra-naplókat más eszközökkel, amelyek lehetővé teszik a figyelés és riasztások nagyobb automatizálását:

A figyelés és a riasztások nagy része a feltételes hozzáférési szabályzatok hatása. A feltételes hozzáférési megállapításokkal és jelentéskészítő munkafüzetekkel megvizsgálhatja egy vagy több feltételes hozzáférési szabályzatnak a bejelentkezésekre gyakorolt hatását, valamint a szabályzatok eredményeit, beleértve az eszköz állapotát is. Ez a munkafüzet lehetővé teszi egy összegzés megtekintését és az adott időszak effektusainak azonosítását. A munkafüzet segítségével egy adott felhasználó bejelentkezéseit is megvizsgálhatja.

A cikk további része azt ismerteti, hogy milyen figyelést és riasztást javasoljuk, és a fenyegetés típusa szerint van rendszerezve. Ha konkrét előre elkészített megoldásokra hivatkozunk, vagy mintákat adunk a táblázat alapján. Ellenkező esetben riasztásokat hozhat létre az előző eszközökkel.

Eszközregisztrációk és csatlakozások külső szabályzaton kívül

A Microsoft Entra regisztrált és a Microsoft Entra-hoz csatlakoztatott eszközök elsődleges frissítési jogkivonatokkal (PRT-ekkel) rendelkeznek, amelyek egyetlen hitelesítési tényezőnek felelnek meg. Ezek az eszközök időnként erős hitelesítési jogcímeket tartalmazhatnak. További információ arról, hogy a PRT-k mikor tartalmaznak erős hitelesítési jogcímeket, lásd : Mikor kap egy PRT MFA-jogcímet? Annak érdekében, hogy a rossz szereplők ne regisztráljanak vagy csatlakozzanak az eszközökhöz, többtényezős hitelesítésre (MFA) van szükség az eszközök regisztrálásához vagy csatlakoztatásához. Ezután figyelje az MFA nélkül regisztrált vagy csatlakoztatott összes eszközt. Emellett figyelnie kell az MFA-beállítások és -szabályzatok, valamint az eszközmegfelelési szabályzatok módosításait is.

Monitorozási teendők Kockázati szint Where Szűrő/alszűrő Jegyzetek
Eszközregisztráció vagy csatlakozás MFA nélkül befejezve Közepes Bejelentkezési naplók Tevékenység: az eszközregisztrációs szolgáltatás sikeres hitelesítése.
And
Nincs szükség MFA-ra
Riasztás, ha: Az MFA nélkül regisztrált vagy csatlakoztatott eszközök
Microsoft Sentinel-sablon
Sigma-szabályok
Az eszközregisztráció MFA kapcsolójának módosítása a Microsoft Entra-azonosítóban Magas Az auditnaplóban Tevékenység: Eszközregisztrációs szabályzatok beállítása Keresse meg a következőt: A kapcsoló ki van kapcsolva. Nincs naplózási naplóbejegyzés. Rendszeres ellenőrzések ütemezése.
Sigma-szabályok
Tartományhoz csatlakoztatott vagy megfelelő eszközt igénylő feltételes hozzáférési szabályzatok módosítása. Magas Az auditnaplóban A feltételes hozzáférési szabályzatok módosítása
Riasztás: A tartományhoz való csatlakozást vagy megfelelőséget igénylő házirendek módosítása, a megbízható helyek, illetve az MFA-szabályzat kivételeihez hozzáadott fiókok vagy eszközök módosítása.

Létrehozhat egy riasztást, amely értesíti a megfelelő rendszergazdákat, ha egy eszköz MFA nélkül van regisztrálva vagy csatlakozik az eszközhöz a Microsoft Sentinel használatával.

SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"

A Microsoft Intune-ral is beállíthat és figyelhet eszközmegfelelési szabályzatokat.

Nem megfelelő eszközbejelentkés

Előfordulhat, hogy nem lehet letiltani az összes felhőbeli és szoftveres alkalmazáshoz való hozzáférést olyan feltételes hozzáférési szabályzatokkal, amelyek megfelelő eszközöket igényelnek.

A mobileszköz-kezelés (MDM) segít a Windows 10-eszközök megfelelőségében. A Windows 1809-es verziójával közzétettük a szabályzatok biztonsági alapkonfigurációját . A Microsoft Entra ID integrálható az MDM-sel az eszközmegfelelőség vállalati szabályzatoknak való kikényszerítése érdekében, és jelentheti az eszköz megfelelőségi állapotát.

Monitorozási teendők Kockázati szint Where Szűrő/alszűrő Jegyzetek
Bejelentkezések nem megfelelő eszközökkel Magas Bejelentkezési naplók DeviceDetail.isCompliant == false Ha a megfelelő eszközökről való bejelentkezésre van szükség, riasztást küld, ha: nem megfelelő eszközök által történő bejelentkezés, vagy MFA vagy megbízható hely nélküli hozzáférés.

Ha az eszközök megkövetelése érdekében dolgozik, figyelje a gyanús bejelentkezéseket.

Sigma-szabályok

Bejelentkezés ismeretlen eszközökkel Alacsony Bejelentkezési naplók A DeviceDetail üres, egytényezős hitelesítés, vagy nem megbízható helyről származik Keresse meg a következőt: bármilyen hozzáférés a megfelelőségi eszközökről, bármilyen hozzáférés MFA nélkül vagy megbízható hely nélkül
Microsoft Sentinel-sablon

Sigma-szabályok

A LogAnalytics használata lekérdezéshez

Bejelentkezések nem megfelelő eszközökkel

SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"

Bejelentkezés ismeretlen eszközökkel


SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"

Elavult eszközök

Az elavult eszközök közé tartoznak azok az eszközök, amelyek egy adott időszakban nem jelentkeznek be. Az eszközök elavulttá válhatnak, ha egy felhasználó új eszközt szerez be, vagy elveszíti az eszközt, vagy ha egy Microsoft Entra-hez csatlakoztatott eszközt töröl vagy újraépít. Előfordulhat, hogy az eszközök akkor is regisztrálva maradnak vagy csatlakoznak, ha a felhasználó már nincs társítva a bérlővel. Az elavult eszközöket el kell távolítani, így az elsődleges frissítési jogkivonatok (PRT-k) nem használhatók.

Monitorozási teendők Kockázati szint Where Szűrő/alszűrő Jegyzetek
Utolsó bejelentkezési dátum Alacsony Graph API használatába approximateLastSignInDateTime A Graph API vagy a PowerShell használatával azonosíthatja és eltávolíthatja az elavult eszközöket.

BitLocker-kulcs lekérése

Azok a támadók, akik feltörték a felhasználó eszközét, lekérhetik a BitLocker-kulcsokat a Microsoft Entra-azonosítóban. Nem gyakori, hogy a felhasználók lekérik a kulcsokat, és figyelni és kivizsgálni kell őket.

Monitorozási teendők Kockázati szint Where Szűrő/alszűrő Jegyzetek
Kulcslekérés Közepes Naplók OperationName == "Read BitLocker key" (BitLocker-kulcs olvasása) Keresse meg a következőt: kulcslekérés, a kulcsokat beolvasó felhasználók egyéb rendellenes viselkedése.
Microsoft Sentinel-sablon

Sigma-szabályok

A LogAnalyticsben hozzon létre egy lekérdezést, például

AuditLogs
| where OperationName == "Read BitLocker key" 

Eszközadminisztrátori szerepkörök

A Microsoft Entra-hoz csatlakoztatott eszköz helyi rendszergazdája és a globális rendszergazdai szerepkörök automatikusan helyi rendszergazdai jogosultságokat kapnak minden Microsoft Entra-hez csatlakoztatott eszközön. Fontos megfigyelni, hogy ki rendelkezik ezekkel a jogokkal a környezet biztonsága érdekében.

Monitorozási teendők Kockázati szint Where Szűrő/alszűrő Jegyzetek
Globális vagy eszközadminisztrátori szerepkörökhöz hozzáadott felhasználók Magas Naplók Tevékenység típusa = Tag hozzáadása a szerepkörhöz. Keresse meg a következőt: új felhasználók hozzáadva ezekhez a Microsoft Entra-szerepkörökhöz, majd a gépek vagy felhasználók rendellenes viselkedése.
Microsoft Sentinel-sablon

Sigma-szabályok

Nem Azure AD-bejelentkezések virtuális gépekre

A Windows vagy LINUX rendszerű virtuális gépekre (VM-ekre) való bejelentkezéseket a Microsoft Entra-fiókoktól eltérő fiókoknak kell figyelnie a bejelentkezések esetében.

Microsoft Entra bejelentkezés LINUX-ra

A Linuxhoz készült Microsoft Entra-bejelentkezés lehetővé teszi a szervezetek számára, hogy Microsoft Entra-fiókokkal, biztonságos rendszerhéjprotokollon (SSH) keresztül jelentkezzenek be az Azure LINUX-beli virtuális gépeikre.

Monitorozási teendők Kockázati szint Where Szűrő/alszűrő Jegyzetek
Nem Azure AD-fiók bejelentkezése, különösen SSH-on keresztül Magas Helyi hitelesítési naplók Ubuntu:
monitor /var/log/auth.log SSH-használatra
RedHat:
monitor /var/log/sssd/ SSH-használatra
Keresse meg azokat a bejegyzéseket , amelyekben a nem Azure AD-fiókok sikeresen csatlakoznak a virtuális gépekhez. Lásd a következő példát.

Ubuntu-példa:

Május 9. 23:49:39 ubuntu1804 aad_certhandler[3915]: Verzió: 1.0.015570001; felhasználó: localusertest01

Május 9. 23:49:39 ubuntu1804 aad_certhandler[3915]: A "localusertest01" felhasználó nem Microsoft Entra-felhasználó; üres eredményt ad vissza.

Május 9. 23:49:43 ubuntu1804 aad_certhandler[3916]: Verzió: 1.0.015570001; felhasználó: localusertest01

Május 9. 23:49:43 ubuntu1804 aad_certhandler[3916]: A "localusertest01" felhasználó nem Microsoft Entra-felhasználó; üres eredményt ad vissza.

Május 9. 23:49:43 ubuntu1804 sshd[3909]: A localusertest01 nyilvánosan elfogadva 192.168.0.192-től 15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

Május 9. 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): a user localusertest01(uid=0) által megnyitott munkamenet.

Beállíthatja a linuxos virtuális gépek bejelentkezésére vonatkozó szabályzatot, valamint észlelheti és megjelölheti azokat a Linux rendszerű virtuális gépeket, amelyekhez nem jóváhagyott helyi fiókokat adtak hozzá. További információkért tekintse meg az Azure Policy használatát a szabványok biztosításához és a megfelelőség értékeléséhez.

Microsoft Entra-bejelentkezések Windows Serverhez

A Windowshoz készült Microsoft Entra-bejelentkezés lehetővé teszi a szervezet számára, hogy Távoli asztali protokollon (RDP) keresztül jelentkezzen be Az Azure Windows 2019+ rendszerű virtuális gépeibe Microsoft Entra-fiókok használatával.

Monitorozási teendők Kockázati szint Where Szűrő/alszűrő Jegyzetek
Nem Azure AD-fiók bejelentkezése, különösen RDP-vel Magas Windows Server eseménynaplók Interaktív bejelentkezés Windows rendszerű virtuális gépre Event 528, log-on type 10 (RemoteInteractive).
Megjeleníti, hogy egy felhasználó mikor jelentkezik be a Terminálszolgáltatások vagy a Távoli asztal szolgáltatáson keresztül.

Következő lépések

A Microsoft Entra biztonsági műveleteinek áttekintése

Felhasználói fiókok biztonsági műveletei

Biztonsági műveletek fogyasztói fiókokhoz

Kiemelt fiókok biztonsági műveletei

A Privileged Identity Management biztonsági műveletei

Alkalmazások biztonsági műveletei

Infrastruktúra biztonsági műveletei