Microsoft Entra biztonsági műveletek a Privileged Identity Managementhez

Cikk
07/04/2024

Az üzleti eszközök biztonsága az informatikai rendszereket kezelő kiemelt fiókok integritásától függ. A számítógépes támadók hitelesítőadat-lopási támadásokkal próbálják meg megcélezni a rendszergazdai fiókokat és más emelt szintű hozzáférési fiókokat, hogy hozzáférjenek a bizalmas adatokhoz.

A felhőszolgáltatások esetében a megelőzés és a reagálás a felhőszolgáltató és az ügyfél közös felelőssége.

A szervezeti biztonság hagyományosan a hálózat belépési és kilépési pontjaira összpontosított biztonsági szegélyként. Az SaaS-alkalmazások és a személyes eszközök azonban kevésbé hatékonyabbá tették ezt a megközelítést. A Microsoft Entra-azonosítóban a hálózati biztonsági szegélyt a szervezet identitásrétegében lévő hitelesítésre cseréljük. Mivel a felhasználók kiemelt rendszergazdai szerepkörökhöz vannak rendelve, hozzáférésüket helyszíni, felhőbeli és hibrid környezetekben kell védeni.

Teljes mértékben Ön a felelős a helyszíni informatikai környezet minden biztonsági rétegéért. Az Azure-felhőszolgáltatások használatakor a megelőzés és a reagálás a Microsoft, mint felhőszolgáltató és Ön, mint ügyfél közös felelőssége.

A megosztott felelősségi modellről további információt a megosztott felelősség a felhőben című témakörben talál.
A jogosultsággal rendelkező felhasználók hozzáférésének biztonságossá tételéről további információt a Microsoft Entra ID-ban a hibrid és felhőbeli üzemelő példányok kiemelt hozzáférésének biztosítása című témakörben talál.
Videók, útmutatók és a kiemelt identitásokkal kapcsolatos alapvető fogalmak tartalmaiért látogasson el a Privileged Identity Management dokumentációba.

A Privileged Identity Management (PIM) egy Microsoft Entra szolgáltatás, amely lehetővé teszi a szervezet fontos erőforrásaihoz való hozzáférés kezelését, ellenőrzését és monitorozását. Ezek az erőforrások közé tartoznak a Microsoft Entra ID-ban, az Azure-ban és más Microsoft Online-szolgáltatásokban, például a Microsoft 365-ben vagy a Microsoft Intune-ban található erőforrások. A PIM-et a következő kockázatok enyhítésére használhatja:

Azonosítsa és minimalizálja azoknak a személyeknek a számát, akik hozzáférnek a biztonságos információkhoz és erőforrásokhoz.
Észlelheti a bizalmas erőforrások túlzott, szükségtelen vagy helytelen hozzáférési engedélyeit.
Csökkentse annak esélyét, hogy egy rosszindulatú szereplő hozzáférjen a biztonságos információkhoz vagy erőforrásokhoz.
Csökkentse annak lehetőségét, hogy egy jogosulatlan felhasználó véletlenül hatással van a bizalmas erőforrásokra.

Ez a cikk útmutatást nyújt az alapkonfigurációk, a naplózási bejelentkezések és a kiemelt fiókok használatának beállításához. A kiemelt fiókok integritásának fenntartásához használja a forrásnapló forrását.

Hol érdemes keresni?

A vizsgálathoz és monitorozáshoz használt naplófájlok a következők:

Az Azure Portalon tekintse meg a Microsoft Entra auditnaplóit, és töltse le őket vesszővel tagolt értékként (CSV) vagy JavaScript Object Notation -fájlként (JSON). Az Azure Portal számos módon integrálhatja a Microsoft Entra-naplókat más eszközökkel a figyelés és riasztás automatizálásához:

Microsoft Sentinel – a biztonsági információk és az eseménykezelési (SIEM) képességek biztosításával lehetővé teszi az intelligens biztonsági elemzéseket vállalati szinten.
Sigma szabályok – A Sigma egy folyamatosan fejlődő nyílt szabvány a szabályok és sablonok írásához, amelyeket az automatizált felügyeleti eszközök a naplófájlok elemzésére használhatnak. Ahol Sigma-sablonok léteznek az ajánlott keresési feltételekhez, hozzáadtunk egy hivatkozást a Sigma adattárhoz. A Sigma-sablonokat nem a Microsoft írja, teszteli és kezeli. Ehelyett az adattárat és a sablonokat a globális informatikai biztonsági közösség hozza létre és gyűjti össze.
Azure Monitor – lehetővé teszi a különböző feltételek automatikus monitorozását és riasztását. Létrehozhat vagy használhat munkafüzeteket különböző forrásokból származó adatok kombinálására.
A SIEM Microsoft Entra-naplókkal integrált Azure Event Hubs az Azure Event Hubs-integráción keresztül integrálható más SIEM-ekhez, például a Splunkhoz, az ArcSighthoz, a QRadarhoz és a Sumo Logichoz.-
Felhőhöz készült Microsoft Defender-alkalmazások – lehetővé teszi az alkalmazások felderítését és kezelését, az alkalmazások és erőforrások közötti szabályozást, valamint a felhőalkalmazások megfelelőségének ellenőrzését.
Számítási feladatok identitásainak biztonságossá tétele az Identity Protection előzetes verziójával – A számítási feladatok identitásainak kockázatának észlelésére szolgál a bejelentkezési viselkedés és a biztonsági rés offline jelzései között.

A cikk további részében javaslatok vannak arra, hogy alaptervet állítson be a monitorozáshoz és riasztáshoz egy rétegmodellel. Az előre elkészített megoldásokra mutató hivatkozások a táblázat után jelennek meg. Az előző eszközökkel riasztásokat hozhat létre. A tartalom a következő területekre van rendezve:

Alapvonalak
Microsoft Entra szerepkör-hozzárendelés
A Microsoft Entra szerepkör riasztási beállításai
Azure-erőforrás szerepkör-hozzárendelése
Azure-erőforrásokhoz való hozzáférés kezelése
Emelt szintű hozzáférés az Azure-előfizetések kezeléséhez

Alapvonalak

Az alábbi alapkonfigurációs beállítások ajánlottak:

Monitorozási teendők	Kockázati szint	Ajánlás	Szerepkörök	Jegyzetek
Microsoft Entra-szerepkörök hozzárendelése	Magas	Az aktiválás indoklásának megkövetelése. Jóváhagyást igényel az aktiváláshoz. Kétszintű jóváhagyó folyamat beállítása. Aktiválás esetén a Microsoft Entra többtényezős hitelesítést igényel. Állítsa be a maximális szintemelési időtartamot 8 órára.	Biztonsági rendszergazda, kiemelt szerepkörök rendszergazdája, globális rendszergazda	A kiemelt szerepkörök rendszergazdái testre szabhatják a PIM-et a Microsoft Entra-szervezetükben, beleértve a jogosult szerepkör-hozzárendelést aktiváló felhasználók felhasználói élményének módosítását is.
Azure-erőforrásszerepkör konfigurálása	Magas	Az aktiválás indoklásának megkövetelése. Jóváhagyást igényel az aktiváláshoz. Kétszintű jóváhagyó folyamat beállítása. Aktiválás esetén a Microsoft Entra többtényezős hitelesítést igényel. Állítsa be a maximális szintemelési időtartamot 8 órára.	Tulajdonos, felhasználói hozzáférés rendszergazdája	Azonnal vizsgálja meg, ha nem tervezett módosítást. Ez a beállítás lehetővé teheti a támadók számára az Azure-előfizetésekhez való hozzáférést a környezetben.

Emelt szintű identitáskezelési riasztások

A Privileged Identity Management (PIM) riasztásokat hoz létre, ha gyanús vagy nem biztonságos tevékenység történik a Microsoft Entra-szervezetben. Amikor létrehoz egy riasztást, az megjelenik a Privileged Identity Management irányítópultján. Konfigurálhat egy e-mail-értesítést is, vagy elküldheti a SIEM-nek a GraphAPI-n keresztül. Mivel ezek a riasztások kifejezetten a felügyeleti szerepkörökre összpontosítanak, minden riasztást szigorúan figyelnie kell.

Monitorozási teendők	Kockázati szint	Where	Szűrő/alszűrő UX	Jegyzetek
A szerepkörök a Privileged Identity Managementen kívül vannak hozzárendelve	Magas	Privileged Identity Management, Riasztások	A szerepkörök a Privileged Identity Managementen kívül vannak hozzárendelve	Biztonsági riasztások konfigurálása Sigma-szabályok
Potenciális elavult fiókok emelt szintű szerepkörben	Közepes	Privileged Identity Management, Riasztások	Potenciális elavult fiókok emelt szintű szerepkörben	Biztonsági riasztások konfigurálása Sigma-szabályok
A rendszergazdák nem használják a kiemelt szerepköreiket	Alacsony	Privileged Identity Management, Riasztások	A rendszergazdák nem használják a kiemelt szerepköreiket	Biztonsági riasztások konfigurálása Sigma-szabályok
A szerepkörök nem igényelnek többtényezős hitelesítést az aktiváláshoz	Alacsony	Privileged Identity Management, Riasztások	A szerepkörök nem igényelnek többtényezős hitelesítést az aktiváláshoz	Biztonsági riasztások konfigurálása Sigma-szabályok
A szervezet nem rendelkezik Microsoft Entra-azonosítóval P2 vagy Microsoft Entra ID-kezelés	Alacsony	Privileged Identity Management, Riasztások	A szervezet nem rendelkezik Microsoft Entra-azonosítóval P2 vagy Microsoft Entra ID-kezelés	Biztonsági riasztások konfigurálása Sigma-szabályok
Túl sok globális rendszergazda van	Alacsony	Privileged Identity Management, Riasztások	Túl sok globális rendszergazda van	Biztonsági riasztások konfigurálása Sigma-szabályok
A szerepkörök túl gyakran aktiválódnak	Alacsony	Privileged Identity Management, Riasztások	A szerepkörök túl gyakran aktiválódnak	Biztonsági riasztások konfigurálása Sigma-szabályok

Microsoft Entra-szerepkörök hozzárendelése

A kiemelt szerepkörök rendszergazdái testre szabhatják a PIM-et a Microsoft Entra-szervezetben, amely magában foglalja a jogosult szerepkör-hozzárendelés aktiválásának felhasználói élményének módosítását:

Megakadályozza, hogy a hibás szereplő eltávolítsa a Microsoft Entra többtényezős hitelesítési követelményeit a kiemelt hozzáférés aktiválásához.
Megakadályozza, hogy a rosszindulatú felhasználók megkerüljék a kiemelt hozzáférés aktiválásának indoklását és jóváhagyását.

Monitorozási teendők	Kockázati szint	Where	Szűrő/alszűrő	Jegyzetek
Riasztás a kiemelt fiókengedélyek módosításainak hozzáadásáról	Magas	Microsoft Entra ellenőrzési naplók	Category = Role Management -és- Tevékenységtípus – Jogosult tag hozzáadása (állandó) -és- Tevékenységtípus – Jogosult tag hozzáadása (jogosult) -és- Status = Success/failure -és- Módosított tulajdonságok = Role.DisplayName	Figyelheti és mindig figyelmeztetheti a kiemelt szerepkör-rendszergazda és a globális rendszergazda módosításait. Ez azt jelezheti, hogy a támadó jogosultságot próbál szerezni a szerepkör-hozzárendelési beállítások módosításához. Ha nincs definiált küszöbértéke, a felhasználók 60 perc alatt 4, a kiemelt fiókok esetében pedig 60 perc alatt 2 riasztást kapnak. Sigma-szabályok
Riasztás a kiemelt fiókengedélyek tömeges törlési módosításairól	Magas	Microsoft Entra ellenőrzési naplók	Category = Role Management -és- Tevékenységtípus – Jogosult tag eltávolítása (állandó) -és- Tevékenységtípus – Jogosult tag eltávolítása (jogosult) -és- Status = Success/failure -és- Módosított tulajdonságok = Role.DisplayName	Azonnal vizsgálja meg, ha nem tervezett módosítást. Ezzel a beállítással a támadó hozzáférhet az Azure-előfizetésekhez a környezetében. Microsoft Sentinel-sablon Sigma-szabályok
A PIM beállításainak módosítása	Magas	Microsoft Entra auditnapló	Szolgáltatás = PIM -és- Category = Role Management -és- Tevékenység típusa = Szerepkör-beállítás frissítése a PIM-ben -és- Állapot oka = MFA az aktiválás letiltva (példa)	Figyelheti és mindig figyelmeztetheti a kiemelt szerepkör-rendszergazda és a globális rendszergazda módosításait. Ez azt jelezheti, hogy a támadónak hozzáférése van a szerepkör-hozzárendelési beállítások módosításához. Az egyik ilyen művelet csökkentheti a PIM-jogosultságszint-emelés biztonságát, és megkönnyítheti a támadók számára egy emelt szintű fiók beszerzését. Microsoft Sentinel-sablon Sigma-szabályok
Jóváhagyások és elutasítási jogosultságok emelése	Magas	Microsoft Entra auditnapló	Service = Access Review -és- Category = UserManagement -és- Tevékenység típusa = Kérelem jóváhagyva/elutasítva -és- Kezdeményező = UPN	Minden szintszint-emelkedést figyelni kell. Naplózza az összes szintemelést, hogy egyértelműen jelezze a támadás ütemtervét. Microsoft Sentinel-sablon Sigma-szabályok
A riasztási beállítás le van tiltva.	Magas	Microsoft Entra ellenőrzési naplók	Service =PIM -és- Category = Role Management -és- Tevékenység típusa = PIM-riasztás letiltása -és- Status = Success /Failure	Mindig riasztás. Segít észlelni a Microsoft Entra többtényezős hitelesítési követelményeivel kapcsolatos riasztásokat eltávolító hibás szereplőket a kiemelt hozzáférés aktiválásához. Segít észlelni a gyanús vagy nem biztonságos tevékenységeket. Microsoft Sentinel-sablon Sigma-szabályok

A Szerepkör-beállítás változásainak azonosításáról a Microsoft Entra naplózási naplójában a Microsoft Entra-szerepkörök naplózási előzményeinek megtekintése a Privileged Identity Managementben című témakörben talál további információt.

Azure-erőforrás szerepkör-hozzárendelése

Az Azure-erőforrásszerepkör-hozzárendelések monitorozása lehetővé teszi az erőforrások szerepköreinek tevékenységeinek és aktiválásainak láthatóságát. Előfordulhat, hogy ezek a hozzárendelések visszaélnek egy erőforrás támadási felületének létrehozásához. Az ilyen típusú tevékenységek figyelésekor a következőt próbálja észlelni:

Szerepkör-hozzárendelések lekérdezése adott erőforrásokon
Szerepkör-hozzárendelések az összes gyermekerőforráshoz
Minden aktív és jogosult szerepkör-hozzárendelési módosítás

Monitorozási teendők	Kockázati szint	Where	Szűrő/alszűrő	Jegyzetek
Naplózási riasztás erőforrásnaplója emelt szintű fióktevékenységekhez	Magas	A PIM-ben az Azure-erőforrások alatt az erőforrás-naplózás	Művelet: Jogosult tag hozzáadása a szerepkörhöz a PIM-ben befejezve (időkorlát) -és- Elsődleges cél -és- Felhasználó beírása -és- Status = Succeeded	Mindig riasztás. Segít észlelni a hibás színészt, aki jogosult szerepköröket ad hozzá az Azure-beli összes erőforrás kezeléséhez.
Naplózási riasztás erőforrás-naplózása a riasztás letiltásához	Közepes	A PIM-ben az Azure-erőforrások alatt az erőforrás-naplózás	Művelet: Riasztás letiltása -és- Elsődleges cél: Túl sok tulajdonos van hozzárendelve egy erőforráshoz -és- Status = Succeeded	Segít észlelni a riasztásokat letiltó rossz szereplőket a Riasztások panelen, amely megkerülheti a vizsgált rosszindulatú tevékenységeket
Naplózási riasztás erőforrás-naplózása a riasztás letiltásához	Közepes	A PIM-ben az Azure-erőforrások alatt az erőforrás-naplózás	Művelet: Riasztás letiltása -és- Elsődleges cél: Túl sok állandó tulajdonos van hozzárendelve egy erőforráshoz -és- Status = Succeeded	Megakadályozza, hogy a rossz szereplő letiltsa a riasztásokat a Riasztások panelen, amely megkerülheti a vizsgált rosszindulatú tevékenységeket
Naplózási riasztás erőforrás-naplózása a riasztás letiltásához	Közepes	A PIM-ben az Azure-erőforrások alatt az erőforrás-naplózás	Művelet: Riasztás letiltása -és- Elsődleges cél duplikált szerepköre létrehozva -és- Status = Succeeded	A riasztások panelről tiltsa le a hibás szereplő a riasztásokat, amelyek megkerülhetik a vizsgált rosszindulatú tevékenységeket

A riasztások konfigurálásával és az Azure-erőforrásszerepkörök naplózásával kapcsolatos további információkért lásd:

Hozzáférés-kezelés Azure-erőforrásokhoz és -előfizetésekhez

A tulajdonosi vagy felhasználói hozzáférés-rendszergazdai előfizetési szerepköröket hozzárendelt felhasználók vagy csoporttagok, valamint a Microsoft Entra globális rendszergazdái, akik engedélyezték az előfizetések kezelését a Microsoft Entra-azonosítóban, alapértelmezés szerint erőforrás-rendszergazdai engedélyekkel rendelkeznek. A rendszergazdák szerepköröket rendelnek hozzá, konfigurálják a szerepkör-beállításokat, és áttekintik a hozzáférést a Privileged Identity Management (PIM) használatával az Azure-erőforrásokhoz.

Az erőforrás-rendszergazdai engedélyekkel rendelkező felhasználók kezelhetik az erőforrásokhoz készült PIM-et. A bevezetett kockázat figyelése és enyhítése: a funkcióval a rossz szereplők jogosultsági jogosultságokkal férhetnek hozzá az Azure-előfizetés erőforrásaihoz, például virtuális gépekhez vagy tárfiókokhoz.

Monitorozási teendők	Kockázati szint	Where	Szűrő/alszűrő	Jegyzetek
Emelkedés	Magas	Microsoft Entra ID, a Kezelés, Tulajdonságok csoportban	Rendszeresen tekintse át a beállítást. Azure-erőforrásokhoz való hozzáférés kezelése	A globális rendszergazdák az Azure-erőforrások hozzáférés-kezelésének engedélyezésével emelhetnek. Ellenőrizze, hogy a rossz szereplők nem kaptak-e engedélyt szerepkörök hozzárendelésére az Active Directoryhoz társított összes Azure-előfizetésben és felügyeleti csoportban.