Kiemelt fiókok biztonsági műveletei a Microsoft Entra-azonosítóban
Az üzleti eszközök biztonsága az informatikai rendszereket kezelő kiemelt fiókok integritásától függ. A számítógépes támadók hitelesítőadat-lopási támadásokat és egyéb eszközöket használnak a kiemelt fiókok megcélzására és a bizalmas adatokhoz való hozzáférésre.
A szervezeti biztonság hagyományosan a hálózat belépési és kilépési pontjaira összpontosított biztonsági szegélyként. A szolgáltatásként nyújtott szoftverek (SaaS) alkalmazásai és az interneten található személyes eszközök azonban hatékonyabbá tették ezt a megközelítést.
A Microsoft Entra ID az identitás- és hozzáférés-kezelést (IAM) használja vezérlősíkként. A szervezet identitásrétegében a kiemelt rendszergazdai szerepkörökhöz rendelt felhasználók vannak irányítva. A hozzáféréshez használt fiókokat védeni kell, függetlenül attól, hogy a környezet a helyszínen, a felhőben vagy egy hibrid környezetben található.
Teljes mértékben Ön a felelős a helyszíni informatikai környezet minden biztonsági rétegéért. Az Azure-szolgáltatások használatakor a megelőzés és a válasz a Microsoft, mint felhőszolgáltató és Ön, mint ügyfél közös felelőssége.
- A megosztott felelősségi modellről további információt a megosztott felelősség a felhőben című témakörben talál.
- A jogosultsággal rendelkező felhasználók hozzáférésének biztonságossá tételéről további információt a Hibrid és felhőbeli környezetek kiemelt hozzáférésének biztosítása a Microsoft Entra ID-ban című témakörben talál.
- A kiemelt identitásokkal kapcsolatos legfontosabb fogalmak széles körű videóiért, útmutatóiért és tartalmáért tekintse meg a Privileged Identity Management dokumentációját.
Monitorozni kívánt naplófájlok
A vizsgálathoz és monitorozáshoz használt naplófájlok a következők:
Az Azure Portalon megtekintheti a Microsoft Entra naplózási naplóit, és vesszővel tagolt értékként (CSV) vagy JavaScript Object Notation -fájlként (JSON) töltheti le. Az Azure Portal számos módon integrálhatja a Microsoft Entra-naplókat más eszközökkel, amelyek lehetővé teszik a figyelés és riasztások nagyobb automatizálását:
Microsoft Sentinel. Lehetővé teszi az intelligens biztonsági elemzéseket vállalati szinten a biztonsági információk és az eseménykezelés (SIEM) képességeinek biztosításával.
Sigma szabályok – A Sigma egy folyamatosan fejlődő nyílt szabvány a szabályok és sablonok írásához, amelyeket az automatizált felügyeleti eszközök a naplófájlok elemzésére használhatnak. Ahol Sigma-sablonok léteznek az ajánlott keresési feltételekhez, hozzáadtunk egy hivatkozást a Sigma adattárhoz. A Sigma-sablonokat nem a Microsoft írja, teszteli és kezeli. Ehelyett az adattárat és a sablonokat a globális informatikai biztonsági közösség hozza létre és gyűjti össze.
Azure Monitor. Lehetővé teszi a különböző feltételek automatikus figyelését és riasztását. Létrehozhat vagy használhat munkafüzeteket különböző forrásokból származó adatok kombinálására.
SIEM-sel integrált Azure Event Hubs . Lehetővé teszi a Microsoft Entra-naplók leküldését más SIEM-ekhez, például a Splunkhoz, az ArcSighthoz, a QRadarhoz és a Sumo Logichoz az Azure Event Hubs-integráción keresztül. További információ: Microsoft Entra-naplók streamelése egy Azure-eseményközpontba.
Felhőhöz készült Microsoft Defender Alkalmazások. Lehetővé teszi az alkalmazások felderítését és kezelését, az alkalmazások és erőforrások szabályozását, valamint a felhőalkalmazások megfelelőségének ellenőrzését.
Microsoft Graph. Lehetővé teszi az adatok exportálását, és a Microsoft Graph használatával további elemzéseket hajthat végre. További információ: Microsoft Graph PowerShell SDK és Microsoft Entra ID-védelem.
Identity Protection. Három fontos jelentést hoz létre, amelyekkel segíthet a vizsgálatban:
Kockázatos felhasználók. Információkat tartalmaz arról, hogy mely felhasználók vannak veszélyben, az észlelések részletei, az összes kockázatos bejelentkezés előzményei és a kockázati előzmények.
Kockázatos bejelentkezések. Olyan információkat tartalmaz a bejelentkezésről, amelyek gyanús körülményeket jelezhetnek. A jelentésből származó információk vizsgálatáról további információt a Kockázat vizsgálata című témakörben talál.
Kockázatészlelések. Információkat tartalmaz a kockázat észlelésekor kiváltott egyéb kockázatokról, valamint egyéb kapcsolódó információkról, például a bejelentkezési helyről és az Felhőhöz készült Microsoft Defender-alkalmazások adatairól.
Számítási feladatok identitásainak védelme az Identity Protection előzetes verziójával. A munkaterhelési identitások kockázatának észlelésére használható a bejelentkezési viselkedés és a biztonsági rés offline jelzései között.
Bár a gyakorlattól elriasztjuk, a kiemelt fiókok állandó felügyeleti jogosultságokkal rendelkezhetnek. Ha állandó jogosultságok használata mellett dönt, és a fiók biztonsága sérül, az erősen negatív hatással lehet. Javasoljuk, hogy rangsorolja a kiemelt fiókok figyelését, és foglalja bele a fiókokat a Privileged Identity Management (PIM) konfigurációjába. A PIM-ről további információt a Privileged Identity Management használatának megkezdése című témakörben talál. Azt is javasoljuk, hogy ellenőrizze, hogy a rendszergazdai fiókok:
- Kötelező megadni.
- A minimális jogosultsággal rendelkezik a szükséges tevékenységek végrehajtásához.
- Legalább többtényezős hitelesítéssel vannak védve.
- A rendszer emelt szintű hozzáférési munkaállomásról (PAW) vagy biztonságos rendszergazdai munkaállomásról (SAW) futtatható.
A cikk további részében azt ismertetjük, hogy milyen figyelési és riasztási műveleteket javasoljuk. A cikk a fenyegetés típusa szerint van rendszerezve. Ha konkrét előre összeállított megoldások vannak, a táblázatot követve hivatkozunk rájuk. Ellenkező esetben a fent leírt eszközökkel riasztásokat hozhat létre.
Ez a cikk részletesen ismerteti az alapkonfigurációk beállítását, a bejelentkezés naplózását és a kiemelt fiókok használatát. Emellett a kiemelt fiókok integritásának megőrzéséhez használható eszközöket és erőforrásokat is ismerteti. A tartalom a következő témakörökbe van rendezve:
- Vészhelyzeti "üvegtörés" fiókok
- Kiemelt fiók bejelentkezése
- Emelt szintű fiókmódosítások
- Kiemelt csoportok
- Jogosultság-hozzárendelés és jogosultságszint-emelés
Vészhelyzeti hozzáférési fiókok
Fontos, hogy megakadályozza, hogy véletlenül kizárják a Microsoft Entra-bérlőből.
A Microsoft azt javasolja, hogy a szervezetek két kizárólag felhőalapú vészhozzáférési fiókkal rendelkezzenek, amelyek véglegesen hozzárendelték a globális Rendszergazda istrator szerepkört. Ezek a fiókok kiemelt jogosultságokkal rendelkeznek, és nincsenek meghatározott személyekhez rendelve. A fiókok vészhelyzeti vagy "töréstörési" forgatókönyvekre korlátozódnak, ahol a normál fiókok nem használhatók, vagy az összes többi rendszergazda véletlenül ki van zárva. Ezeket a fiókokat a segélyhívási fiók javaslatait követve kell létrehozni.
Minden alkalommal küldjön magas prioritású riasztást, amikor vészhelyzeti hozzáférési fiókot használ.
Felderítés
Mivel az üvegtöréses fiókokat csak vészhelyzet esetén használja a rendszer, a monitorozásnak nem kell fióktevékenységet észlelnie. Magas prioritású riasztás küldése minden alkalommal, amikor vészhelyzeti hozzáférési fiókot használnak vagy módosítanak. Az alábbi események bármelyike azt jelezheti, hogy egy rossz szereplő megpróbál veszélybe sodorni a környezeteket:
- Bejelentkezés.
- Fiók jelszóváltoztatása.
- A fiókengedély vagy a szerepkörök megváltoztak.
- Hitelesítő vagy hitelesítési módszer hozzáadva vagy módosítva.
A segélyhívási hozzáférési fiókok kezelésével kapcsolatos további információkért lásd : Segélyhívási hozzáféréssel rendelkező rendszergazdai fiókok kezelése a Microsoft Entra ID-ban. A riasztás vészhelyzeti fiókhoz való létrehozásáról további információt a Riasztási szabály létrehozása című témakörben talál.
Kiemelt fiók bejelentkezése
Az összes kiemelt fiók bejelentkezési tevékenységének monitorozása a Microsoft Entra bejelentkezési naplóinak adatforrásként való használatával. A bejelentkezés sikerességével és sikertelenségével kapcsolatos információk mellett a naplók a következő adatokat tartalmazzák:
- Megszakítások
- Eszköz
- Hely
- Kockázat
- Alkalmazás
- Dátum és idő
- Le van tiltva a fiók
- Lockout
- MFA-csalás
- Feltételes hozzáférési hiba
Figyelendő dolgok
A kiemelt fiók bejelentkezési eseményeit a Microsoft Entra bejelentkezési naplóiban figyelheti. A kiemelt fiókokra vonatkozó következő események riasztása és kivizsgálása.
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Bejelentkezési hiba, rossz jelszó küszöbértéke | Magas | Microsoft Entra bejelentkezési napló | Állapot = Hiba -és- hibakód = 50126 |
Definiáljon egy alapkonfigurációs küszöbértéket, majd monitorozza és módosítsa a szervezeti viselkedésnek megfelelőt, és korlátozza a hamis riasztások generálása során. Microsoft Sentinel-sablon Sigma-szabályok |
| Hiba a feltételes hozzáférés követelménye miatt | Magas | Microsoft Entra bejelentkezési napló | Állapot = Hiba -és- hibakód = 53003 -és- Hiba oka = Feltételes hozzáférés letiltva |
Ez az esemény arra utalhat, hogy a támadó megpróbál bejutni a fiókba. Microsoft Sentinel-sablon Sigma-szabályok |
| Olyan kiemelt fiókok, amelyek nem követik az elnevezési szabályzatot | Azure-előfizetés | Azure-beli szerepkör-hozzárendelések listázása az Azure Portal használatával | Az előfizetések és riasztások szerepkör-hozzárendeléseinek listázása, ha a bejelentkezési név nem egyezik a szervezet formátumával. Ilyen például a ADM_ előtagként való használata. | |
| Megszakítás | Magas, közepes | Microsoft Entra-bejelentkezések | Állapot = Megszakadt -és- hibakód = 50074 -és- Hiba oka = Erős hitelesítés szükséges Állapot = Megszakadt -és- Hibakód = 500121 Hiba oka = A hitelesítés sikertelen volt az erős hitelesítési kérelem során |
Ez az esemény azt jelezheti, hogy a támadó rendelkezik a fiók jelszavával, de nem tud átmenni a többtényezős hitelesítési feladaton. Microsoft Sentinel-sablon Sigma-szabályok |
| Olyan kiemelt fiókok, amelyek nem követik az elnevezési szabályzatot | Magas | Microsoft Entra könyvtár | A Microsoft Entra szerepkör-hozzárendeléseinek felsorolása | A Microsoft Entra-szerepkörökhöz tartozó szerepkör-hozzárendelések és riasztások listázása, ha az UPN nem egyezik a szervezet formátumával. Ilyen például a ADM_ előtagként való használata. |
| A többtényezős hitelesítéshez nem regisztrált kiemelt fiókok felderítése | Magas | Microsoft Graph API | Az IsMFARegistered eq false lekérdezése rendszergazdai fiókok esetében. CredentialUserRegistrationDetails listázása – Microsoft Graph bétaverzió | Naplózás és vizsgálat annak megállapításához, hogy az esemény szándékos-e vagy felügyelet. |
| Fiókzárolás | Magas | Microsoft Entra bejelentkezési napló | Állapot = Hiba -és- hibakód = 50053 |
Definiáljon egy alapkonfigurációs küszöbértéket, majd monitorozza és módosítsa a szervezeti viselkedésnek megfelelőt, és korlátozza a hamis riasztások generálása során. Microsoft Sentinel-sablon Sigma-szabályok |
| Bejelentkezések esetén letiltott vagy letiltott fiók | Alacsony | Microsoft Entra bejelentkezési napló | Állapot = Hiba -és- Target = User UPN -és- hibakód = 50057 |
Ez az esemény azt jelezheti, hogy valaki a szervezet elhagyása után próbál hozzáférni egy fiókhoz. Bár a fiók le van tiltva, továbbra is fontos a tevékenység naplózása és riasztása. Microsoft Sentinel-sablon Sigma-szabályok |
| MFA-csalásra figyelmeztető riasztás vagy blokk | Magas | Microsoft Entra bejelentkezési napló/Azure Log Analytics | >Bejelentkezési hitelesítés részletei Eredmény részletei = MFA megtagadva, beírt csalási kód | A kiemelt felhasználó jelezte, hogy nem kezdeményezte a többtényezős hitelesítési kérést, ami azt jelezheti, hogy a támadó rendelkezik a fiók jelszavával. Microsoft Sentinel-sablon Sigma-szabályok |
| MFA-csalásra figyelmeztető riasztás vagy blokk | Magas | Microsoft Entra auditnapló/Azure Log Analytics | Tevékenység típusa = Jelentett csalás – A felhasználó blokkolva van az MFA-ra vagy a jelentett csalásra – Nincs művelet (a csalási jelentés bérlőszintű beállításai alapján) | A kiemelt felhasználó jelezte, hogy nem kezdeményezte a többtényezős hitelesítési kérést, ami azt jelezheti, hogy a támadó rendelkezik a fiók jelszavával. Microsoft Sentinel-sablon Sigma-szabályok |
| Emelt szintű fiókbejelentkések a várt vezérlőkön kívül | Microsoft Entra bejelentkezési napló | Állapot = Hiba UserPricipalName = <Rendszergazda fiók> Hely = <nem jóváhagyott hely> IP-cím = <nem jóváhagyott IP-cím> Eszközinformáció = <nem jóváhagyott böngésző, operációs rendszer> |
Figyelheti és riasztást jeleníthet meg a nem jóváhagyottként definiált bejegyzéseken. Microsoft Sentinel-sablon Sigma-szabályok |
|
| A normál bejelentkezési időponton kívül | Magas | Microsoft Entra bejelentkezési napló | Status = Success -és- Hely = -és- Idő = Munkaidőn kívül |
Figyelhet és riasztást küldhet, ha a bejelentkezések a várt időpontokon kívül történnek. Fontos megtalálni az egyes kiemelt fiókok normál munkamintáját, és figyelmeztetni kell, ha a normál munkaidőn kívül nem tervezett változások történnek. A normál munkaidőn kívüli bejelentkezések biztonsági kockázatot vagy lehetséges belső fenyegetést jelezhetnek. Microsoft Sentinel-sablon Sigma-szabályok |
| Identitásvédelmi kockázat | Magas | Identity Protection-naplók | Kockázati állapot = Veszélyben -és- Kockázati szint = Alacsony, közepes, magas -és- Activity = Ismeretlen bejelentkezés/TOR stb. |
Ez az esemény azt jelzi, hogy a fiók bejelentkezése során valamilyen rendellenesség észlelhető, és riasztást kell adni. |
| Jelszó módosítása | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység-aktor = Rendszergazda/önkiszolgáló -és- Cél = Felhasználó -és- Állapot = Sikeres vagy sikertelen |
Riasztás, ha a rendszergazdai fiók jelszava megváltozik. Írjon lekérdezést a kiemelt fiókokhoz. Microsoft Sentinel-sablon Sigma-szabályok |
| Az örökölt hitelesítési protokoll módosítása | Magas | Microsoft Entra bejelentkezési napló | Ügyfélalkalmazás = Egyéb ügyfél, IMAP, POP3, MAPI, SMTP stb. -és- Felhasználónév = UPN -és- Application = Exchange (példa) |
Sok támadás örökölt hitelesítést használ, ezért ha a felhasználó hitelesítési protokollja megváltozik, az támadásra utalhat. Microsoft Sentinel-sablon Sigma-szabályok |
| Új eszköz vagy hely | Magas | Microsoft Entra bejelentkezési napló | Eszközinformáció = Eszközazonosító -és- Böngésző -és- OS -és- Megfelelő/felügyelt -és- Cél = Felhasználó -és- Hely |
A legtöbb rendszergazdai tevékenységnek kiemelt hozzáférési eszközökről kell származnia, korlátozott számú helyről. Emiatt új eszközökön vagy helyeken is riasztást kap. Microsoft Sentinel-sablon Sigma-szabályok |
| Módosult a naplózási riasztás beállítása | Magas | Microsoft Entra ellenőrzési naplók | Szolgáltatás = PIM -és- Category = Role Management -és- Tevékenység = PIM-riasztás letiltása -és- Status = Success |
Az alapvető riasztások módosításait váratlan esetben értesíteni kell. Microsoft Sentinel-sablon Sigma-szabályok |
| Rendszergazda hitelesítők hitelesítése más Microsoft Entra-bérlőknek | Közepes | Microsoft Entra bejelentkezési napló | Status = success Erőforrás-bérlőazonosító != Otthoni bérlőazonosító |
A kiemelt felhasználókra vonatkozó hatókör esetén ez a figyelő észleli, ha egy rendszergazda sikeresen hitelesített egy másik Microsoft Entra-bérlőt egy identitással a szervezet bérlőjében. Riasztás, ha az erőforrás-bérlőazonosító nem egyenlő az otthoni bérlőazonosítóval Microsoft Sentinel-sablon Sigma-szabályok |
| Rendszergazda Felhasználó állapota vendégről tagra módosult | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: Felhasználó frissítése Kategória: UserManagement A UserType vendégről tagra módosult |
Figyelheti és riasztást jeleníthet meg a felhasználó típusának vendégről tagra történő módosításáról. Várható volt ez a változás? Microsoft Sentinel-sablon Sigma-szabályok |
| Nem jóváhagyott meghívottak által bérlőre meghívott vendégfelhasználók | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: Külső felhasználó meghívása Kategória: UserManagement Kezdeményezője (színész): Felhasználónév |
Külső felhasználókat meghívó, nem jóváhagyott szereplők figyelése és riasztása. Microsoft Sentinel-sablon Sigma-szabályok |
Kiemelt fiókok módosításai
Az összes befejezett és megkísérelt módosítás figyelése egy emelt szintű fiók által. Ezek az adatok lehetővé teszik, hogy megállapítsa, mi a normál tevékenység minden emelt szintű fiókhoz, és riasztást jeleníthet meg a várttól eltérő tevékenységről. A Microsoft Entra naplózási naplói az ilyen típusú események rögzítésére szolgálnak. A Microsoft Entra naplózási naplóiról további információt a Microsoft Entra ID naplózási naplóiban talál.
Microsoft Entra tartományi szolgáltatások
A Microsoft Entra Domain Servicesben engedélyekkel rendelkező kiemelt fiókok olyan feladatokat végezhetnek a Microsoft Entra Domain Services szolgáltatásban, amelyek befolyásolják a Microsoft Entra Domain Servicest használó Azure-beli virtuális gépek biztonsági állapotát. Engedélyezze a virtuális gépek biztonsági auditjait, és figyelje a naplókat. A Microsoft Entra Domain Services naplózásának engedélyezéséről és a bizalmas jogosultságok listájáról az alábbi forrásokból tájékozódhat:
- A Microsoft Entra Domain Services biztonsági naplózásának engedélyezése
- Bizalmas jogosultságok naplózása
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Megkísérelt és befejezett módosítások | Magas | Microsoft Entra ellenőrzési naplók | Dátum és idő -és- Szolgáltatás -és- A tevékenység kategóriája és neve (mi?) -és- Állapot = Sikeres vagy sikertelen -és- Cél -és- Kezdeményező vagy színész (ki) |
A nem tervezett módosításokat azonnal értesíteni kell. Ezeket a naplókat minden vizsgálathoz meg kell őrizni. A bérlőszintű módosításokat azonnal meg kell vizsgálni (hivatkozás az Infra-dokumentumra), amelyek csökkentik a bérlő biztonsági állapotát. Ilyen például a fiókok kizárása többtényezős hitelesítésből vagy feltételes hozzáférésből. Riasztás az alkalmazások esetleges hozzáadásáról vagy módosításáról. Lásd: Microsoft Entra biztonsági üzemeltetési útmutató alkalmazásokhoz. |
| Példa Nagy értékű alkalmazások vagy szolgáltatások módosításának kísérlete vagy befejezése |
Magas | Az auditnaplóban | Szolgáltatás -és- A tevékenység kategóriája és neve |
Dátum és idő, Szolgáltatás, A tevékenység kategóriája és neve, Állapot = Siker vagy hiba, Cél, Kezdeményező vagy Szereplő (ki) |
| Kiemelt változások a Microsoft Entra Domain Servicesben | Magas | Microsoft Entra tartományi szolgáltatások | Keresse meg a 4673-at | A Microsoft Entra Domain Services biztonsági naplózásának engedélyezése Az összes kiemelt esemény listáját a Bizalmas jogosultságok használatának naplózása című témakörben találja. |
Emelt szintű fiókok módosítása
Vizsgálja meg a kiemelt fiókok hitelesítési szabályainak és jogosultságainak változásait, különösen akkor, ha a módosítás nagyobb jogosultságot biztosít, vagy lehetővé teszi a feladatok elvégzését a Microsoft Entra-környezetben.
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Emelt szintű fiók létrehozása | Közepes | Microsoft Entra ellenőrzési naplók | Service = Core Directory -és- Category = Felhasználókezelés -és- Tevékenység típusa = Felhasználó hozzáadása -korrelál a... Kategória típusa = Szerepkör-kezelés -és- Tevékenység típusa = Tag hozzáadása szerepkörhöz -és- Módosított tulajdonságok = Role.DisplayName |
A kiemelt fiókok létrehozásának monitorozása. Keresse meg a fiókok létrehozása és törlése közötti rövid időtartamú korrelációt. Microsoft Sentinel-sablon Sigma-szabályok |
| Hitelesítési módszerek módosítása | Magas | Microsoft Entra ellenőrzési naplók | Service = Hitelesítési módszer -és- Tevékenység típusa = Felhasználó által regisztrált biztonsági információk -és- Category = Felhasználókezelés |
Ez a módosítás azt jelezheti, hogy a támadó hitelesítési módszert ad hozzá a fiókhoz, hogy továbbra is hozzáférhessenek. Microsoft Sentinel-sablon Sigma-szabályok |
| Riasztás a kiemelt fiókengedélyek változásairól | Magas | Microsoft Entra ellenőrzési naplók | Category = Role Management -és- Tevékenység típusa = Jogosult tag hozzáadása (állandó) -vagy- Tevékenység típusa = Jogosult tag hozzáadása (jogosult) -és- Állapot = Sikeres vagy sikertelen -és- Módosított tulajdonságok = Role.DisplayName |
Ez a riasztás különösen olyan fiókokhoz van hozzárendelve, amelyek nem ismertek, vagy nem tartoznak a szokásos feladataikhoz. Sigma-szabályok |
| Nem használt emelt szintű fiókok | Közepes | A Microsoft Entra hozzáférési véleményei | Havonta tekintse át az inaktív kiemelt felhasználói fiókokat. Sigma-szabályok |
|
| Feltételes hozzáférés alól mentesített fiókok | Magas | Azure Monitor Logs -vagy- Hozzáférési felülvizsgálatok |
Feltételes hozzáférés = Elemzések és jelentéskészítés | A feltételes hozzáférés alól mentesített fiókok valószínűleg megkerülik a biztonsági vezérlőket, és sebezhetőbbek a biztonsági kockázatokkal szemben. Az üvegtöréses fiókok kivételt képeznek. Az üvegtöréses fiókok monitorozásáról a cikk későbbi részében olvashat. |
| Ideiglenes hozzáférési jogosultság hozzáadása emelt szintű fiókhoz | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység: Rendszergazda regisztrált biztonsági adatok Állapot oka: Rendszergazda regisztrált ideiglenes hozzáférési hozzáférési mód a felhasználó számára Kategória: UserManagement Kezdeményezője (színész): Felhasználónév Cél: Felhasználónév |
Figyelheti és riasztást jelenítheti meg a kiemelt felhasználók számára létrehozott ideiglenes hozzáférési bérleteken. Microsoft Sentinel-sablon Sigma-szabályok |
A feltételes hozzáférési szabályzatok kivételeinek figyeléséről további információt a Feltételes hozzáférési elemzések és jelentéskészítés című témakörben talál.
A nem használt emelt szintű fiókok felderítéséről további információt a Microsoft Entra-szerepkörök hozzáférési felülvizsgálatának létrehozása a Privileged Identity Managementben című témakörben talál.
Hozzárendelés és jogosultságszint-emelés
Az emelt szintű képességekkel véglegesen kiépített kiemelt fiókok növelhetik a támadási felületet, és kockázatot jelenthetnek a biztonsági határra. Ehelyett alkalmazzon igény szerinti hozzáférést emelési eljárással. Ez a rendszertípus lehetővé teszi, hogy jogosultságot rendeljen a kiemelt szerepkörökhöz. Rendszergazda csak akkor emelik ki jogosultságaikat ezekre a szerepkörökre, ha olyan feladatokat hajtanak végre, amelyeknek szükségük van ezekre a jogosultságokra. A jogosultságszint-emelési folyamat lehetővé teszi a jogosultságszint-emelések monitorozását és a kiemelt fiókok nem használatát.
Alapterv létrehozása
A kivételek figyeléséhez először létre kell hoznia egy alaptervet. Az alábbi információk meghatározása ezekhez az elemekhez
Rendszergazda fiókok
- A kiemelt fiók stratégiája
- Helyszíni fiókok használata helyszíni erőforrások felügyeletéhez
- Felhőalapú fiókok használata felhőalapú erőforrások felügyeletéhez
- A helyszíni és felhőalapú erőforrások felügyeleti engedélyeinek elkülönítése és monitorozása
Kiemelt szerepkörök védelme
- Felügyeleti jogosultságokkal rendelkező szerepkörök védelmi stratégiája
- A kiemelt fiókok használatára vonatkozó szervezeti szabályzat
- Az állandó jogosultság fenntartásának stratégiája és alapelvei, szemben az időhöz kötött és jóváhagyott hozzáférés biztosításával
A következő fogalmak és információk segítenek meghatározni a szabályzatokat:
- Az igény szerint történő rendszergazdai alapelvek. A Microsoft Entra-naplók segítségével rögzítheti a környezetében gyakori felügyeleti feladatok elvégzésére vonatkozó információkat. Határozza meg a tevékenységek elvégzéséhez szükséges átlagos időt.
- Megfelelő rendszergazdai alapelvek. Határozza meg a rendszergazdai feladatokhoz szükséges minimális jogosultságú szerepkört, amely lehet egyéni szerepkör. További információt a Microsoft Entra ID-ban feladatonkénti legkevésbé kiemelt szerepkörök című témakörben talál.
- Hozzon létre egy jogosultságszint-emelési szabályzatot. Miután betekintést kapott a szükséges emelt szintű jogosultság típusába és az egyes tevékenységekhez szükséges hosszú időre, hozzon létre olyan szabályzatokat, amelyek tükrözik a környezet emelt szintű emelt szintű használatát. Példaként definiáljon egy szabályzatot, amely egy órára korlátozza a szerepkör-emeléseket.
Miután létrehozta az alapkonfigurációt és beállította a szabályzatot, konfigurálhatja a figyelést a szabályzaton kívüli használat észlelésére és riasztására.
Felderítés
Különös figyelmet fordítson a hozzárendelés és a jogosultságszint-emelés változásaira, és vizsgálja meg azokat.
Figyelendő dolgok
A kiemelt fiókmódosításokat a Microsoft Entra naplózási naplói és az Azure Monitor-naplók segítségével figyelheti. Vegye fel a következő módosításokat a monitorozási folyamatba.
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Hozzáadva a jogosult kiemelt szerepkörhöz | Magas | Microsoft Entra ellenőrzési naplók | Szolgáltatás = PIM -és- Category = Role Management -és- Tevékenység típusa = Tag hozzáadása befejezett szerepkörhöz (jogosult) -és- Állapot = Sikeres vagy sikertelen -és- Módosított tulajdonságok = Role.DisplayName |
Mostantól minden szerepkörre jogosult fiók jogosultsági jogosultsággal rendelkezik. Ha a hozzárendelés váratlan vagy olyan szerepkörbe kerül, amely nem a fióktulajdonos feladata, vizsgálja meg. Microsoft Sentinel-sablon Sigma-szabályok |
| A PIM-ből kiosztott szerepkörök | Magas | Microsoft Entra ellenőrzési naplók | Szolgáltatás = PIM -és- Category = Role Management -és- Tevékenység típusa = Tag hozzáadása szerepkörhöz (állandó) -és- Állapot = Sikeres vagy sikertelen -és- Módosított tulajdonságok = Role.DisplayName |
Ezeket a szerepköröket szorosan figyelni és figyelmeztetni kell. Ha lehetséges, a felhasználókat nem szabad szerepkörökhöz rendelni a PIM-en kívül. Microsoft Sentinel-sablon Sigma-szabályok |
| Emelkedés | Közepes | Microsoft Entra ellenőrzési naplók | Szolgáltatás = PIM -és- Category = Role Management -és- Tevékenység típusa = Tag hozzáadása a szerepkörhöz befejeződött (PIM aktiválás) -és- Állapot = Sikeres vagy sikertelen -és- Módosított tulajdonságok = Role.DisplayName |
Ha egy emelt szintű jogosultságú fiók emelt szintű, olyan módosításokat hajthat végre, amelyek hatással lehetnek a bérlő biztonságára. Minden jogosultságszint-emelkedést naplózni kell, és ha a felhasználó szokásos mintáján kívül történik, riasztást kell adni, és meg kell vizsgálni, ha nem tervezett. |
| Jóváhagyások és megtagadás jogosultságszint-emelése | Alacsony | Microsoft Entra ellenőrzési naplók | Service = Access Review -és- Category = UserManagement -és- Tevékenység típusa = Kérelem jóváhagyva vagy elutasítva -és- Kezdeményező = UPN |
Figyelje az összes szintemelkedést, mert az egyértelműen jelezheti a támadás ütemtervét. Microsoft Sentinel-sablon Sigma-szabályok |
| A PIM beállításainak módosítása | Magas | Microsoft Entra ellenőrzési naplók | Szolgáltatás = PIM -és- Category = Role Management -és- Tevékenység típusa = Szerepkör-beállítás frissítése a PIM-ben -és- Állapot oka = MFA az aktiválás letiltva (példa) |
Az egyik ilyen művelet csökkentheti a PIM-jogosultságszint-emelés biztonságát, és megkönnyítheti a támadók számára egy emelt szintű fiók beszerzését. Microsoft Sentinel-sablon Sigma-szabályok |
| Nem történik szintemelés a SAW/PAW-on | Magas | Microsoft Entra bejelentkezési naplók | Eszközazonosító -és- Böngésző -és- OS -és- Megfelelő/felügyelt Korreláció a következőkkel: Szolgáltatás = PIM -és- Category = Role Management -és- Tevékenység típusa = Tag hozzáadása a szerepkörhöz befejeződött (PIM aktiválás) -és- Állapot = Sikeres vagy sikertelen -és- Módosított tulajdonságok = Role.DisplayName |
Ha a módosítás konfigurálva van, azonnal meg kell vizsgálni a nem PAW-/SAW-eszközön történő emelési kísérleteket, mert az azt jelezheti, hogy a támadó megpróbálja használni a fiókot. Sigma-szabályok |
| Jogosultságszint-emelés az összes Azure-előfizetés kezeléséhez | Magas | Azure Monitor | Tevékenységnapló lap Címtártevékenység lap Műveleti név = Hozzárendeli a hívót a felhasználói hozzáférés rendszergazdájához -És- Eseménykategória = Rendszergazda istrative -és- Status = Succeeded, start, fail -és- Esemény kezdeményezője |
Ezt a módosítást azonnal meg kell vizsgálni, ha nem tervezett. Ez a beállítás lehetővé teheti a támadó számára az Azure-előfizetések elérését a környezetben. |
A jogosultságszint-emelés kezelésével kapcsolatos további információkért lásd : Hozzáférés emelése az összes Azure-előfizetés és felügyeleti csoport kezeléséhez. A jogosultságszint-emelkedések a Microsoft Entra-naplókban elérhető információk használatával történő monitorozásáról az Azure Monitor dokumentációjának részét képező Azure-tevékenységnaplóban tájékozódhat.
Az Azure-szerepkörökhöz tartozó riasztások konfigurálásáról további információt az Azure-erőforrásszerepkörök biztonsági riasztásainak konfigurálása a Privileged Identity Managementben című témakörben talál.
Következő lépések
Tekintse meg az alábbi biztonsági műveletek útmutatóinak cikkeit:
A Microsoft Entra biztonsági műveleteinek áttekintése
Felhasználói fiókok biztonsági műveletei
Biztonsági műveletek fogyasztói fiókokhoz
A Privileged Identity Management biztonsági műveletei
Alkalmazások biztonsági műveletei
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: