A Microsoft Entra biztonsági üzemeltetési útmutatója

A Microsoft sikeresen és bizonyított módon Teljes felügyelet a biztonságotaz identitást vezérlősíkként használó védelmi alapelvek használatával. A szervezetek továbbra is hibrid számítási feladatokat foglalnak magukba a skálázás, a költségmegtakarítás és a biztonság érdekében. A Microsoft Entra ID kulcsfontosságú szerepet játszik az identitáskezelési stratégiában. A közelmúltban az identitással és a biztonsági kompromisszumokkal kapcsolatos hírek egyre inkább arra ösztönözték a vállalati informatikai vállalatot, hogy az identitásbiztonsági helyzetüket a védelmi biztonsági siker mérésének tekintsék.

A szervezeteknek egyre inkább a helyszíni és a felhőalapú alkalmazások keverékét kell használniuk, amelyeket a felhasználók helyszíni és csak felhőalapú fiókokkal is elérhetnek. A felhasználók, alkalmazások és eszközök helyszíni és felhőbeli kezelése kihívást jelentő forgatókönyveket jelent.

Hibrid identitás

A Microsoft Entra ID egy közös felhasználói identitást hoz létre a hitelesítéshez és az összes erőforráshoz való engedélyezéshez, helytől függetlenül. Ezt a hibrid identitást nevezzük.

A Microsoft Entra ID-val való hibrid identitás eléréséhez a forgatókönyvek függvényében három hitelesítési módszer egyike használható. A három módszer a következő:

Az aktuális biztonsági műveletek naplózása vagy az Azure-környezet biztonsági műveleteinek létrehozása során a következőket javasoljuk:

  • Olvassa el a Microsoft biztonsági útmutatójának egyes részeit a felhőalapú vagy hibrid Azure-környezet biztonságossá tételével kapcsolatos ismeretek alapkonfigurációjának létrehozásához.
  • Naplózhatja a fiók- és jelszóstratégiát és hitelesítési módszereket, hogy elrettentse a leggyakoribb támadási vektorokat.
  • Hozzon létre egy stratégiát a biztonsági fenyegetést jelző tevékenységek folyamatos figyelésére és riasztására.

Célközönség

A Microsoft Entra SecOps útmutató olyan vállalati informatikai identitás- és biztonsági üzemeltetési csapatok és felügyelt szolgáltatók számára készült, amelyeknek jobb identitásbiztonsági konfigurációval és monitorozási profilokkal kell fellépni a fenyegetések ellen. Ez az útmutató különösen fontos az informatikai rendszergazdák és az identitástervezők számára, akik a Security Operations Center (SOC) védelmi és behatolástesztelési csapatait ajánlják az identitásbiztonsági helyzet javítása és fenntartása érdekében.

Scope

Ez a bevezetés tartalmazza a javasolt előolvasási és jelszó-naplózási és stratégiai javaslatokat. Ez a cikk áttekintést nyújt a hibrid Azure-környezetekhez és a teljes felhőalapú Azure-környezetekhez elérhető eszközökről is. Végül megadjuk a biztonsági információk és eseménykezelési (SIEM) stratégia és környezet figyeléséhez és riasztásához és konfigurálásához használható adatforrások listáját. A többi útmutató a következő területeken mutatja be a figyelési és riasztási stratégiákat:

  • Felhasználói fiókok. Útmutatás a rendszergazdai jogosultsággal nem rendelkező, nem kiemelt felhasználói fiókokra vonatkozóan, beleértve a rendellenes fióklétrehozási és -használati adatokat, valamint a szokatlan bejelentkezéseket.

  • Kiemelt fiókok. Útmutatás a rendszergazdai feladatok elvégzéséhez emelt szintű engedélyekkel rendelkező kiemelt felhasználói fiókokhoz. A feladatok közé tartoznak a Microsoft Entra szerepkör-hozzárendelései, az Azure-erőforrásszerepkör-hozzárendelések, valamint az Azure-erőforrások és -előfizetések hozzáférés-kezelése.

  • Privileged Identity Management (PIM). Útmutatás az erőforrásokhoz való hozzáférés kezeléséhez, szabályozásához és monitorozásához a PIM használatával kapcsolatban.

  • Alkalmazások. Útmutatás az alkalmazások hitelesítéséhez használt fiókokhoz.

  • Eszközök. Útmutatás a szabályzatokon kívül regisztrált vagy csatlakoztatott eszközök figyeléséhez és riasztásához, a nem megfelelő használathoz, az eszközfelügyeleti szerepkörök kezeléséhez és a virtuális gépekre való bejelentkezésekhez.

  • Infrastruktúra. Útmutatás a hibrid és tisztán felhőalapú környezetek fenyegetéseinek figyeléséhez és riasztásához.

Fontos referenciatartalom

A Microsoft számos terméke és szolgáltatása lehetővé teszi az informatikai környezet igényeinek megfelelő testreszabását. Javasoljuk, hogy tekintse át az alábbi útmutatást az üzemeltetési környezethez:

Adatforrások

A vizsgálathoz és monitorozáshoz használt naplófájlok a következők:

Az Azure Portalon megtekintheti a Microsoft Entra auditnaplóit. Töltse le a naplókat vesszővel tagolt értékként (CSV) vagy JavaScript Object Notation (JSON-) fájlként. Az Azure Portal számos módon integrálhatja a Microsoft Entra-naplókat más eszközökkel, amelyek lehetővé teszik a figyelés és riasztások nagyobb automatizálását:

  • Microsoft Sentinel – Lehetővé teszi az intelligens biztonsági elemzéseket vállalati szinten a biztonsági információk és az eseménykezelés (SIEM) képességeinek biztosításával.

  • Sigma szabályok – A Sigma egy folyamatosan fejlődő nyílt szabvány a szabályok és sablonok írásához, amelyeket az automatizált felügyeleti eszközök a naplófájlok elemzésére használhatnak. Ahol Sigma-sablonok léteznek az ajánlott keresési feltételekhez, hozzáadtunk egy hivatkozást a Sigma adattárhoz. A Sigma-sablonokat nem a Microsoft írja, teszteli és kezeli. Ehelyett az adattárat és a sablonokat a globális informatikai biztonsági közösség hozza létre és gyűjti össze.

  • Azure Monitor – Lehetővé teszi a különböző feltételek automatikus monitorozását és riasztását. Létrehozhat vagy használhat munkafüzeteket különböző forrásokból származó adatok kombinálására.

  • SIEM-sel integrált Azure Event Hubs . A Microsoft Entra-naplók az Azure Event Hubs-integráción keresztül integrálhatók más SIEM-ekhez, például a Splunkhoz, az ArcSighthoz, a QRadarhoz és a Sumo Logichoz. További információ: Microsoft Entra-naplók streamelése egy Azure-eseményközpontba.

  • Felhőhöz készült Microsoft Defender-alkalmazások – Lehetővé teszi az alkalmazások felderítését és kezelését, az alkalmazások és erőforrások szabályozását, valamint a felhőalkalmazások megfelelőségének ellenőrzését.

  • Számítási feladatok identitásainak biztonságossá tétele az Identity Protection előzetes verziójával – A számítási feladatok identitásainak kockázatának észlelésére szolgál a bejelentkezési viselkedés és a biztonsági rés offline jelzései között.

A figyelés és a riasztások nagy része a feltételes hozzáférési szabályzatok hatása. A feltételes hozzáférési megállapításokkal és jelentéskészítő munkafüzetekkel megvizsgálhatja, hogy egy vagy több feltételes hozzáférési szabályzat milyen hatással van a bejelentkezésekre és a szabályzatok eredményeire, beleértve az eszköz állapotát is. Ez a munkafüzet lehetővé teszi egy hatás összegzésének megtekintését és a hatás azonosítását egy adott időszakban. A munkafüzet segítségével egy adott felhasználó bejelentkezéseit is megvizsgálhatja. További információ: Feltételes hozzáférési elemzések és jelentéskészítés.

A cikk további része azt ismerteti, hogy mi legyen a figyelés és a riasztás. Ha konkrét előre elkészített megoldásokra hivatkozunk, vagy mintákat adunk a táblázat alapján. Ellenkező esetben riasztásokat hozhat létre az előző eszközökkel.

  • Az Identity Protection három fontos jelentést hoz létre, amelyekkel segíthet a vizsgálatban:

  • A kockázatos felhasználók információkat tartalmaznak arról, hogy mely felhasználók vannak veszélyben, részletes információkat tartalmaznak az észlelésekről, az összes kockázatos bejelentkezés előzményeiről és a kockázati előzményekről.

  • A kockázatos bejelentkezések olyan információkat tartalmaznak a bejelentkezés körülményeiről, amelyek gyanús körülményekre utalhatnak. A jelentésből származó információk vizsgálatáról további információt a How To: Investigate risk (A kockázat vizsgálata) című témakörben talál.

  • A kockázatészlelések információkat tartalmaznak a Microsoft Entra ID-védelem által észlelt kockázati jelekről, amelyek tájékoztatják a bejelentkezést és a felhasználói kockázatot. További információkért tekintse meg a Microsoft Entra felhasználói fiókokra vonatkozó biztonsági üzemeltetési útmutatóját.

További információ: What is Identity Protection.

Adatforrások a tartományvezérlő figyeléséhez

A legjobb eredmény érdekében javasoljuk, hogy a tartományvezérlőket a Microsoft Defender for Identity használatával figyelje. Ez a megközelítés a legjobb észlelési és automatizálási képességeket teszi lehetővé. Kövesse az alábbi források útmutatását:

Ha nem tervezi a Microsoft Defender for Identity használatát, az alábbi módszerek egyikével monitorozza a tartományvezérlőket:

A hibrid hitelesítés összetevői

Az Azure hibrid környezet részeként a következő elemeket kell alaptervbe foglalnia, és szerepelnie kell a figyelési és riasztási stratégiában.

A felhőalapú hitelesítés összetevői

Az Azure felhőalapú környezet részeként a következő elemeket kell alaptervbe foglalni, és szerepelnie kell a figyelési és riasztási stratégiában.

  • Microsoft Entra alkalmazásproxy – Ez a felhőszolgáltatás biztonságos távoli hozzáférést biztosít a helyszíni webalkalmazásokhoz. További információ: Távoli hozzáférés a helyszíni alkalmazásokhoz a Microsoft Entra alkalmazásproxyn keresztül.

  • Microsoft Entra Csatlakozás – A Microsoft Entra Csatlakozás megoldáshoz használt szolgáltatások. További információ: What is Microsoft Entra Csatlakozás.

  • A Microsoft Entra Csatlakozás Health – Service Health egy testreszabható irányítópultot biztosít, amely nyomon követi az Azure-szolgáltatások állapotát azokban a régiókban, ahol használja őket. További információ: Microsoft Entra Csatlakozás Health.

  • Microsoft Entra többtényezős hitelesítés – A többtényezős hitelesítéshez a felhasználónak több igazolási formát kell megadnia a hitelesítéshez. Ez a megközelítés proaktív első lépést jelenthet a környezet biztonságossá tételéhez. További információ: Microsoft Entra multifaktoros hitelesítés.

  • Dinamikus csoportok – A Microsoft Entra Rendszergazda istratorok biztonsági csoporttagságának dinamikus konfigurációja a felhasználói attribútumok alapján a Microsoft Entra-azonosítóban létrehozott csoportok feltöltésére vonatkozó szabályokat állíthat be. További információ: Dinamikus csoportok és Microsoft Entra B2B együttműködés.

  • Feltételes hozzáférés – A Feltételes hozzáférés a Microsoft Entra ID által használt eszköz a jelek összehozására, a döntések meghozatalára és a szervezeti szabályzatok kikényszerítésére. A feltételes hozzáférés az új identitásvezérelt vezérlősík középpontjában áll. További információ: Mi a feltételes hozzáférés?

  • Identity Protection – Olyan eszköz, amely lehetővé teszi a szervezetek számára az identitásalapú kockázatok észlelésének és szervizelésének automatizálását, a kockázatok portálon tárolt adatokkal történő vizsgálatát, valamint a kockázatészlelési adatok exportálását a SIEM-be. További információ: What is Identity Protection.

  • Csoportalapú licencelés – A licencek nem közvetlenül a felhasználókhoz, hanem csoportokhoz rendelhetők. A Microsoft Entra ID a felhasználók licenc-hozzárendelési állapotáról tárol információkat.

  • Kiépítési szolgáltatás – A kiépítés olyan felhasználói identitások és szerepkörök létrehozását jelenti a felhőalkalmazásokban, amelyekhez a felhasználóknak hozzáférésre van szükségük. A felhasználói identitások létrehozása mellett az automatikus kiépítés magában foglalja a felhasználói identitások állapotának vagy szerepkörváltozásának fenntartását és eltávolítását. További információ: Az alkalmazáskiépítés működése a Microsoft Entra-azonosítóban.

  • Graph API – A Microsoft Graph API egy RESTful webes API, amely lehetővé teszi a Microsoft Cloud service-erőforrások elérését. Miután regisztrálta az alkalmazást, és lekérte a hitelesítési jogkivonatokat egy felhasználóhoz vagy szolgáltatáshoz, kéréseket intézhet a Microsoft Graph API-hoz. További információ: A Microsoft Graph áttekintése.

  • Domain Service – A Microsoft Entra Domain Services (AD DS) olyan felügyelt tartományi szolgáltatásokat biztosít, mint a tartományhoz való csatlakozás, a csoportházirend. További információ: What is Microsoft Entra Domain Services.

  • Azure Resource Manager – Az Azure Resource Manager az Azure üzembe helyezési és felügyeleti szolgáltatása. Egy olyan felügyeleti réteget biztosít, amely lehetővé teszi az Azure-fiókban lévő erőforrások létrehozását, frissítését és törlését. További információ: Mi az Az Azure Resource Manager?

  • Felügyelt identitás – A felügyelt identitások nem igénylik a fejlesztőknek a hitelesítő adatok kezelését. A felügyelt identitások olyan identitást biztosítanak az alkalmazások számára, amelyeket a Microsoft Entra-hitelesítést támogató erőforrásokhoz való csatlakozáskor használhatnak. További információt az Azure-erőforrások felügyelt identitásai című témakörben talál.

  • Privileged Identity Management – A PIM a Microsoft Entra ID szolgáltatása, amely lehetővé teszi a szervezet fontos erőforrásaihoz való hozzáférés kezelését, ellenőrzését és monitorozását. További információ: What is Microsoft Entra Privileged Identity Management.

  • Hozzáférési felülvizsgálatok – A Microsoft Entra hozzáférési véleményei lehetővé teszik a szervezetek számára a csoporttagságok hatékony kezelését, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. A felhasználók hozzáférése rendszeresen áttekinthető, hogy csak a megfelelő személyek rendelkezzenek folyamatos hozzáféréssel. További információ: Mik azok a Microsoft Entra hozzáférési felülvizsgálatok.

  • Jogosultságkezelés – A Microsoft Entra jogosultságkezelés egy identitásszabályozási funkció. A szervezetek nagy léptékben kezelhetik az identitást és a hozzáférési életciklust a hozzáférési kérelmek munkafolyamatainak, a hozzáférési hozzárendeléseknek, a felülvizsgálatoknak és a lejáratnak az automatizálásával. További információ: What is Microsoft Entra entitlement management.

  • Tevékenységnaplók – A tevékenységnapló egy Azure-platformnapló, amely betekintést nyújt az előfizetési szintű eseményekbe. Ez a napló olyan információkat tartalmaz, mint például egy erőforrás módosítása vagy egy virtuális gép indítása. További információ: Azure-tevékenységnapló.

  • Önkiszolgáló jelszó-visszaállítási szolgáltatás – A Microsoft Entra önkiszolgáló jelszó-visszaállítás (SSPR) lehetővé teszi a felhasználók számára a jelszó módosítását vagy alaphelyzetbe állítását. Nincs szükség a rendszergazdára vagy a segélyszolgálatra. További információ: Hogyan működik a Microsoft Entra önkiszolgáló jelszó-visszaállítás.

  • Eszközszolgáltatások – Az eszközidentitás-kezelés az eszközalapú feltételes hozzáférés alapja. Az eszközalapú feltételes hozzáférési szabályzatokkal biztosíthatja, hogy a környezetben lévő erőforrásokhoz csak felügyelt eszközökkel lehessen hozzáférni. További információ: Mi az eszközidentitás?

  • Önkiszolgáló csoportkezelés – Engedélyezheti a felhasználóknak, hogy saját biztonsági csoportokat vagy Microsoft 365-csoportokat hozzanak létre és kezelhessenek a Microsoft Entra-azonosítóban. A csoport tulajdonosa jóváhagyhatja vagy megtagadhatja a tagsági kérelmeket, és delegálhatja a csoporttagság ellenőrzését. Az önkiszolgáló csoportkezelési funkciók nem érhetők el levelezési biztonsági csoportokhoz vagy terjesztési listákhoz. További információ: Önkiszolgáló csoportkezelés beállítása a Microsoft Entra ID-ban.

  • Kockázatészlelések – Információkat tartalmaz a kockázat észlelésekor kiváltott egyéb kockázatokról és egyéb kapcsolódó információkról, például a bejelentkezési helyről és az Felhőhöz készült Microsoft Defender-alkalmazások adatairól.

További lépések

Tekintse meg az alábbi biztonsági műveletek útmutatóinak cikkeit:

Felhasználói fiókok biztonsági műveletei

Biztonsági műveletek fogyasztói fiókokhoz

Kiemelt fiókok biztonsági műveletei

A Privileged Identity Management biztonsági műveletei

Alkalmazások biztonsági műveletei

Biztonsági műveletek eszközökhöz

Infrastruktúra biztonsági műveletei