Microsoft Entra biztonsági műveletek a Privileged Identity Managementhez
Az üzleti eszközök biztonsága az informatikai rendszereket kezelő kiemelt fiókok integritásától függ. A számítógépes támadók hitelesítőadat-lopási támadásokkal próbálják meg megcélezni a rendszergazdai fiókokat és más emelt szintű hozzáférési fiókokat, hogy hozzáférjenek a bizalmas adatokhoz.
A felhőszolgáltatások esetében a megelőzés és a reagálás a felhőszolgáltató és az ügyfél közös felelőssége.
A szervezeti biztonság hagyományosan a hálózat belépési és kilépési pontjaira összpontosított biztonsági szegélyként. Az SaaS-alkalmazások és a személyes eszközök azonban kevésbé hatékonyabbá tették ezt a megközelítést. A Microsoft Entra-azonosítóban a hálózati biztonsági szegélyt a szervezet identitásrétegében lévő hitelesítésre cseréljük. Mivel a felhasználók kiemelt rendszergazdai szerepkörökhöz vannak rendelve, hozzáférésüket helyszíni, felhőbeli és hibrid környezetekben kell védeni.
Teljes mértékben Ön a felelős a helyszíni informatikai környezet minden biztonsági rétegéért. Az Azure-felhőszolgáltatások használatakor a megelőzés és a reagálás a Microsoft, mint felhőszolgáltató és Ön, mint ügyfél közös felelőssége.
A megosztott felelősségi modellről további információt a megosztott felelősség a felhőben című témakörben talál.
A jogosultsággal rendelkező felhasználók hozzáférésének biztonságossá tételéről további információt a Microsoft Entra ID-ban a hibrid és felhőbeli üzemelő példányok kiemelt hozzáférésének biztosítása című témakörben talál.
Videók, útmutatók és a kiemelt identitásokkal kapcsolatos alapvető fogalmak tartalmaiért látogasson el a Privileged Identity Management dokumentációba.
A Privileged Identity Management (PIM) egy Microsoft Entra szolgáltatás, amely lehetővé teszi a szervezet fontos erőforrásaihoz való hozzáférés kezelését, ellenőrzését és monitorozását. Ezek az erőforrások közé tartoznak a Microsoft Entra ID-ban, az Azure-ban és más Microsoft Online-szolgáltatásokban, például a Microsoft 365-ben vagy a Microsoft Intune-ban található erőforrások. A PIM-et a következő kockázatok enyhítésére használhatja:
Azonosítsa és minimalizálja azoknak a személyeknek a számát, akik hozzáférnek a biztonságos információkhoz és erőforrásokhoz.
Észlelheti a bizalmas erőforrások túlzott, szükségtelen vagy helytelen hozzáférési engedélyeit.
Csökkentse annak esélyét, hogy egy rosszindulatú szereplő hozzáférjen a biztonságos információkhoz vagy erőforrásokhoz.
Csökkentse annak lehetőségét, hogy egy jogosulatlan felhasználó véletlenül hatással van a bizalmas erőforrásokra.
Ez a cikk útmutatást nyújt az alapkonfigurációk, a naplózási bejelentkezések és a kiemelt fiókok használatának beállításához. A kiemelt fiókok integritásának fenntartásához használja a forrásnapló forrását.
Hol érdemes keresni?
A vizsgálathoz és monitorozáshoz használt naplófájlok a következők:
Az Azure Portalon tekintse meg a Microsoft Entra auditnaplóit, és töltse le őket vesszővel tagolt értékként (CSV) vagy JavaScript Object Notation -fájlként (JSON). Az Azure Portal számos módon integrálhatja a Microsoft Entra-naplókat más eszközökkel a figyelés és riasztás automatizálásához:
Microsoft Sentinel – a biztonsági információk és az eseménykezelési (SIEM) képességek biztosításával lehetővé teszi az intelligens biztonsági elemzéseket vállalati szinten.
Sigma szabályok – A Sigma egy folyamatosan fejlődő nyílt szabvány a szabályok és sablonok írásához, amelyeket az automatizált felügyeleti eszközök a naplófájlok elemzésére használhatnak. Ahol Sigma-sablonok léteznek az ajánlott keresési feltételekhez, hozzáadtunk egy hivatkozást a Sigma adattárhoz. A Sigma-sablonokat nem a Microsoft írja, teszteli és kezeli. Ehelyett az adattárat és a sablonokat a globális informatikai biztonsági közösség hozza létre és gyűjti össze.
Azure Monitor – lehetővé teszi a különböző feltételek automatikus monitorozását és riasztását. Létrehozhat vagy használhat munkafüzeteket különböző forrásokból származó adatok kombinálására.
A SIEM Microsoft Entra-naplókkal integrált Azure Event Hubs az Azure Event Hubs-integráción keresztül integrálható más SIEM-ekhez, például a Splunkhoz, az ArcSighthoz, a QRadarhoz és a Sumo Logichoz.-
Felhőhöz készült Microsoft Defender-alkalmazások – lehetővé teszi az alkalmazások felderítését és kezelését, az alkalmazások és erőforrások közötti szabályozást, valamint a felhőalkalmazások megfelelőségének ellenőrzését.
Számítási feladatok identitásainak biztonságossá tétele az Identity Protection előzetes verziójával – A számítási feladatok identitásainak kockázatának észlelésére szolgál a bejelentkezési viselkedés és a biztonsági rés offline jelzései között.
A cikk további részében javaslatok vannak arra, hogy alaptervet állítson be a monitorozáshoz és riasztáshoz egy rétegmodellel. Az előre elkészített megoldásokra mutató hivatkozások a táblázat után jelennek meg. Az előző eszközökkel riasztásokat hozhat létre. A tartalom a következő területekre van rendezve:
Alapvonalak
Microsoft Entra szerepkör-hozzárendelés
A Microsoft Entra szerepkör riasztási beállításai
Azure-erőforrás szerepkör-hozzárendelése
Azure-erőforrásokhoz való hozzáférés kezelése
Emelt szintű hozzáférés az Azure-előfizetések kezeléséhez
Alapvonalak
Az alábbi alapkonfigurációs beállítások ajánlottak:
Monitorozási teendők | Kockázati szint | Ajánlás | Szerepkörök | Jegyzetek |
---|---|---|---|---|
Microsoft Entra-szerepkörök hozzárendelése | Magas | Az aktiválás indoklásának megkövetelése. Jóváhagyást igényel az aktiváláshoz. Kétszintű jóváhagyó folyamat beállítása. Aktiválás esetén a Microsoft Entra többtényezős hitelesítést igényel. Állítsa be a maximális szintemelési időtartamot 8 órára. | Biztonsági rendszergazda, kiemelt szerepkörök rendszergazdája, globális rendszergazda | A kiemelt szerepkörök rendszergazdái testre szabhatják a PIM-et a Microsoft Entra-szervezetükben, beleértve a jogosult szerepkör-hozzárendelést aktiváló felhasználók felhasználói élményének módosítását is. |
Azure-erőforrásszerepkör konfigurálása | Magas | Az aktiválás indoklásának megkövetelése. Jóváhagyást igényel az aktiváláshoz. Kétszintű jóváhagyó folyamat beállítása. Aktiválás esetén a Microsoft Entra többtényezős hitelesítést igényel. Állítsa be a maximális szintemelési időtartamot 8 órára. | Tulajdonos, felhasználói hozzáférés rendszergazdája | Azonnal vizsgálja meg, ha nem tervezett módosítást. Ez a beállítás lehetővé teheti a támadók számára az Azure-előfizetésekhez való hozzáférést a környezetben. |
Emelt szintű identitáskezelési riasztások
A Privileged Identity Management (PIM) riasztásokat hoz létre, ha gyanús vagy nem biztonságos tevékenység történik a Microsoft Entra-szervezetben. Amikor létrehoz egy riasztást, az megjelenik a Privileged Identity Management irányítópultján. Konfigurálhat egy e-mail-értesítést is, vagy elküldheti a SIEM-nek a GraphAPI-n keresztül. Mivel ezek a riasztások kifejezetten a felügyeleti szerepkörökre összpontosítanak, minden riasztást szigorúan figyelnie kell.
Microsoft Entra-szerepkörök hozzárendelése
A kiemelt szerepkörök rendszergazdái testre szabhatják a PIM-et a Microsoft Entra-szervezetben, amely magában foglalja a jogosult szerepkör-hozzárendelés aktiválásának felhasználói élményének módosítását:
Megakadályozza, hogy a hibás szereplő eltávolítsa a Microsoft Entra többtényezős hitelesítési követelményeit a kiemelt hozzáférés aktiválásához.
Megakadályozza, hogy a rosszindulatú felhasználók megkerüljék a kiemelt hozzáférés aktiválásának indoklását és jóváhagyását.
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
Riasztás a kiemelt fiókengedélyek módosításainak hozzáadásáról | Magas | Microsoft Entra ellenőrzési naplók | Category = Role Management -és- Tevékenységtípus – Jogosult tag hozzáadása (állandó) -és- Tevékenységtípus – Jogosult tag hozzáadása (jogosult) -és- Status = Success/failure -és- Módosított tulajdonságok = Role.DisplayName |
Figyelheti és mindig figyelmeztetheti a kiemelt szerepkör-rendszergazda és a globális rendszergazda módosításait. Ez azt jelezheti, hogy a támadó jogosultságot próbál szerezni a szerepkör-hozzárendelési beállítások módosításához. Ha nincs definiált küszöbértéke, a felhasználók 60 perc alatt 4, a kiemelt fiókok esetében pedig 60 perc alatt 2 riasztást kapnak. Sigma-szabályok |
Riasztás a kiemelt fiókengedélyek tömeges törlési módosításairól | Magas | Microsoft Entra ellenőrzési naplók | Category = Role Management -és- Tevékenységtípus – Jogosult tag eltávolítása (állandó) -és- Tevékenységtípus – Jogosult tag eltávolítása (jogosult) -és- Status = Success/failure -és- Módosított tulajdonságok = Role.DisplayName |
Azonnal vizsgálja meg, ha nem tervezett módosítást. Ezzel a beállítással a támadó hozzáférhet az Azure-előfizetésekhez a környezetében. Microsoft Sentinel-sablon Sigma-szabályok |
A PIM beállításainak módosítása | Magas | Microsoft Entra auditnapló | Szolgáltatás = PIM -és- Category = Role Management -és- Tevékenység típusa = Szerepkör-beállítás frissítése a PIM-ben -és- Állapot oka = MFA az aktiválás letiltva (példa) |
Figyelheti és mindig figyelmeztetheti a kiemelt szerepkör-rendszergazda és a globális rendszergazda módosításait. Ez azt jelezheti, hogy a támadónak hozzáférése van a szerepkör-hozzárendelési beállítások módosításához. Az egyik ilyen művelet csökkentheti a PIM-jogosultságszint-emelés biztonságát, és megkönnyítheti a támadók számára egy emelt szintű fiók beszerzését. Microsoft Sentinel-sablon Sigma-szabályok |
Jóváhagyások és elutasítási jogosultságok emelése | Magas | Microsoft Entra auditnapló | Service = Access Review -és- Category = UserManagement -és- Tevékenység típusa = Kérelem jóváhagyva/elutasítva -és- Kezdeményező = UPN |
Minden szintszint-emelkedést figyelni kell. Naplózza az összes szintemelést, hogy egyértelműen jelezze a támadás ütemtervét. Microsoft Sentinel-sablon Sigma-szabályok |
A riasztási beállítás le van tiltva. | Magas | Microsoft Entra ellenőrzési naplók | Service =PIM -és- Category = Role Management -és- Tevékenység típusa = PIM-riasztás letiltása -és- Status = Success /Failure |
Mindig riasztás. Segít észlelni a Microsoft Entra többtényezős hitelesítési követelményeivel kapcsolatos riasztásokat eltávolító hibás szereplőket a kiemelt hozzáférés aktiválásához. Segít észlelni a gyanús vagy nem biztonságos tevékenységeket. Microsoft Sentinel-sablon Sigma-szabályok |
A Szerepkör-beállítás változásainak azonosításáról a Microsoft Entra naplózási naplójában a Microsoft Entra-szerepkörök naplózási előzményeinek megtekintése a Privileged Identity Managementben című témakörben talál további információt.
Azure-erőforrás szerepkör-hozzárendelése
Az Azure-erőforrásszerepkör-hozzárendelések monitorozása lehetővé teszi az erőforrások szerepköreinek tevékenységeinek és aktiválásainak láthatóságát. Előfordulhat, hogy ezek a hozzárendelések visszaélnek egy erőforrás támadási felületének létrehozásához. Az ilyen típusú tevékenységek figyelésekor a következőt próbálja észlelni:
Szerepkör-hozzárendelések lekérdezése adott erőforrásokon
Szerepkör-hozzárendelések az összes gyermekerőforráshoz
Minden aktív és jogosult szerepkör-hozzárendelési módosítás
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
Naplózási riasztás erőforrásnaplója emelt szintű fióktevékenységekhez | Magas | A PIM-ben az Azure-erőforrások alatt az erőforrás-naplózás | Művelet: Jogosult tag hozzáadása a szerepkörhöz a PIM-ben befejezve (időkorlát) -és- Elsődleges cél -és- Felhasználó beírása -és- Status = Succeeded |
Mindig riasztás. Segít észlelni a hibás színészt, aki jogosult szerepköröket ad hozzá az Azure-beli összes erőforrás kezeléséhez. |
Naplózási riasztás erőforrás-naplózása a riasztás letiltásához | Közepes | A PIM-ben az Azure-erőforrások alatt az erőforrás-naplózás | Művelet: Riasztás letiltása -és- Elsődleges cél: Túl sok tulajdonos van hozzárendelve egy erőforráshoz -és- Status = Succeeded |
Segít észlelni a riasztásokat letiltó rossz szereplőket a Riasztások panelen, amely megkerülheti a vizsgált rosszindulatú tevékenységeket |
Naplózási riasztás erőforrás-naplózása a riasztás letiltásához | Közepes | A PIM-ben az Azure-erőforrások alatt az erőforrás-naplózás | Művelet: Riasztás letiltása -és- Elsődleges cél: Túl sok állandó tulajdonos van hozzárendelve egy erőforráshoz -és- Status = Succeeded |
Megakadályozza, hogy a rossz szereplő letiltsa a riasztásokat a Riasztások panelen, amely megkerülheti a vizsgált rosszindulatú tevékenységeket |
Naplózási riasztás erőforrás-naplózása a riasztás letiltásához | Közepes | A PIM-ben az Azure-erőforrások alatt az erőforrás-naplózás | Művelet: Riasztás letiltása -és- Elsődleges cél duplikált szerepköre létrehozva -és- Status = Succeeded |
A riasztások panelről tiltsa le a hibás szereplő a riasztásokat, amelyek megkerülhetik a vizsgált rosszindulatú tevékenységeket |
A riasztások konfigurálásával és az Azure-erőforrásszerepkörök naplózásával kapcsolatos további információkért lásd:
Hozzáférés-kezelés Azure-erőforrásokhoz és -előfizetésekhez
A tulajdonosi vagy felhasználói hozzáférés-rendszergazdai előfizetési szerepköröket hozzárendelt felhasználók vagy csoporttagok, valamint a Microsoft Entra globális rendszergazdái, akik engedélyezték az előfizetések kezelését a Microsoft Entra-azonosítóban, alapértelmezés szerint erőforrás-rendszergazdai engedélyekkel rendelkeznek. A rendszergazdák szerepköröket rendelnek hozzá, konfigurálják a szerepkör-beállításokat, és áttekintik a hozzáférést a Privileged Identity Management (PIM) használatával az Azure-erőforrásokhoz.
Az erőforrás-rendszergazdai engedélyekkel rendelkező felhasználók kezelhetik az erőforrásokhoz készült PIM-et. A bevezetett kockázat figyelése és enyhítése: a funkcióval a rossz szereplők jogosultsági jogosultságokkal férhetnek hozzá az Azure-előfizetés erőforrásaihoz, például virtuális gépekhez vagy tárfiókokhoz.
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
Emelkedés | Magas | Microsoft Entra ID, a Kezelés, Tulajdonságok csoportban | Rendszeresen tekintse át a beállítást. Azure-erőforrásokhoz való hozzáférés kezelése |
A globális rendszergazdák az Azure-erőforrások hozzáférés-kezelésének engedélyezésével emelhetnek. Ellenőrizze, hogy a rossz szereplők nem kaptak-e engedélyt szerepkörök hozzárendelésére az Active Directoryhoz társított összes Azure-előfizetésben és felügyeleti csoportban. |
További információ: Azure-erőforrás-szerepkörök hozzárendelése a Privileged Identity Managementben
Következő lépések
A Microsoft Entra biztonsági műveleteinek áttekintése
Felhasználói fiókok biztonsági műveletei
Biztonsági műveletek fogyasztói fiókokhoz
Kiemelt fiókok biztonsági műveletei
Alkalmazások biztonsági műveletei
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: